Extrait 42397210 PDF

AU TO M AT I Q U E - R O B OT I Q U E
Ti660 - Automatique et ingénierie système
Systèmes d'information
et de communication
Réf. Internet : 42397
Actualisation permanente sur

www.techniques-ingenieur.fr
Tec h n ique s de l ’I n gé ni eur
La plus impor tante ressource documentaire scientifique
et technique en français
Une information fiable, claire et actualisée

Validés par un comité scientifique et mis à jour en permanence sur Internet,
les articles Techniques de l’Ingénieur s’adressent à tous les ingénieurs et
scientifiques, en poste ou en formation.
Outil d’accompagnement de la formation et de la carrière des ingénieurs,
les ressources documentaires Techniques de l’Ingénieur constituent le socle
commun de connaissances des acteurs de la recherche et de l’industrie.
Les meilleurs experts techniques et scientifiques

Plus de 200 conseillers scientifiques et 3 500 auteurs, industriels, chercheurs,
professeurs collaborent pour faire de Techniques de l’Ingénieur l’éditeur
scientifique et technique de référence.
Les meilleurs spécialistes sont réunis pour constituer une base de
connaissances inégalée, vous former et vous accompagner dans vos projets.
Une collection 100 % en ligne

• Accessibles sur www.techniques-ingenieur.fr, les dernières nouveautés et
actualisations de votre ressource documentaire
• Les articles téléchargeables en version PDF
Des services associés

Rendez-vous sur votre espace « Mon compte » en ligne pour retrouver la liste
des services associés à vos droits d’accès et les utiliser.
 Des services associés

Pour toute information, le service clientèle reste à votre disposition :
Tél : 01 53 35 20 20 l Fax : 01 53 26 79 18 l Mail : infos.clients@teching.com
III
Cet ouvrage fait par tie de
Automatique et ingénierie système
(Réf. Internet ti660)
composé de :
Modélisation et analyse de systèmes asservis Réf. Internet : 42391
Régulation et commande des systèmes asservis Réf. Internet : 42394
Automatique avancée Réf. Internet : 42393
Automatique séquentielle Réf. Internet : 42395
Supervision des systèmes industriels Réf. Internet : 42396
Systèmes d'information et de communication Réf. Internet : 42397
 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
IV
Cet ouvrage fait par tie de
Automatique et ingénierie système
(Réf. Internet ti660)
dont les exper ts scientifiques sont :
Pierre VIDAL
Professeur honoraire des universités
Chékib GHARBI
Directeur du Centre d'Innovation des Technologies sans Contact (CITC
EuraRFID), Lille
Christian TAHON
Professeur à l'Université de Valenciennes et du Hainaut Cambrésis (UVHC)
Étienne DOMBRE
Directeur de Recherche Émérite du CNRS au LIRMM, UMR 5506 Université
Montpellier-CNRS
Éric BONJOUR
Professeur à l'université de Lorraine / ENSGSI, Vice-président Enseignement
-Recherche de l'AFIS
Dominique LUZEAUX
Ingénieur général de l'armement, HDR
V
Les auteurs ayant contribué à cet ouvrage sont :
Khaldoun AL AGHA Joseph CICCOTELLI Philippe LECLERE

Pour l’article : H8500 Pour l’article : S8270 Pour les articles : S8130 – S8131
Jean-François AUBRY Laurent CLAVIER Christophe LOYEZ

Pour les articles : S8262 – S8263 Pour l’article : S7511 Pour l’article : S7511
Eddy BAJIC Frédéric COLLET Nathalie MITTON

Pour l’article : S8160 Pour l’article : S8140 Pour l’article : S7510
Mireille BAYART Blaise CONRARD Ahmed RACHID

Ali BENFATTOUM Christian COUWENBERGH Michel ROBERT

Bruno BOUARD Philippe DALLEMAGNE Olivier SÉNÉCHAL

Pour les articles : S8160 – S8162 Pour les articles : S8150 – S8152 Pour l’article : S7598
Fabrice BRUEL Antoine DESPUJOLS Claude TÉTELIN

Pour l’article : IN147 Pour l’article : MT9202 Pour l’article : E1470
Philippe CHARPENTIER Ethmane EL MOUSTAINE Jean-Pierre THOMESSE

Pour l’article : S8270 Pour l’article : H5325 Pour les articles : S7574 – S8120
Jean-Marc CHARTRES Jean-Marie FLAUS Jacques TICHON

Eric CHATELET Salvador GARCIA ACEVEDO Damien TRENTESAUX

André CHOVIN Rudi GIOT Gilles ZWINGELSTEIN

Pour l’article : S7520 Pour l’article : S8590 Pour les articles : S8250 –
S8251 – S8252 – S8253
GT 18-4 CIAME SEE Maryline LAURENT
Pour l’article : S7520 Pour l’article : H5325
VI
Systèmes d'information et de communication
(Réf. Internet 42397)
SOMMAIRE
1– Technologie sans contact Réf. Internet page
Systèmes et techniques RFID E1470 11
Systèmes et techniques RFID . Risques et solutions de sécurité H5325 17
La technologie NFC : principes de fonctionnement et applications S8650 21
Réseaux de capteurs H8500 25
Réseaux de capteurs sans il. De nouveaux déis S7510 29
Réseaux de capteurs autonomes. Couche physique et architectures matérielles S7511 33
Capteurs et actionneurs intelligents S7520 39
2– Réseaux industriels Réf. Internet page
Réseaux locaux industriels. Concepts, typologie, caractéristiques S7574 45
Caractéristiques temporelles des réseaux industriels S8120 49
Choix du réseau ATM pour le tramway de Strasbourg S8130 55
Réseau ATM du tramway de Strasbourg. Intégration des services S8131 59
Conduite des systèmes de production manufacturière S7598 63
3– Communication temps réel Réf. Internet page
Bus CAN S8140 71
Universal Serial Bus USB S8150 81
Bus IEEE 1394 Firewire S8152 85
Réseau Proibus S8160 89
Ethernet en tant que réseau de terrain : standard PROFINET S8162 93
VII
Communication avec les périphériques S8590 99
Virtualisation des réseaux locaux. Switch, hyperviseur et pare-feu IN147 107
4– Sûreté de fonctionnement Réf. Internet page
Sûreté de fonctionnement. Principaux concepts S8250 111
Sûreté de fonctionnement. Analyse et bases de données de iabilité S8251 119
Sûreté de fonctionnement des systèmes industriels complexes. Etude opérationnelle S8252 125
Sûreté de fonctionnement des systèmes industriels complexes. Exemples S8253 127

d'applications
Cybersécurité des installations industrielles. SCADA et Industrial IoT S8257 133
La sécurité des systèmes d'information - Garantir la maîtrise du risque S8260 139
Sécurité des systèmes d'information. Retour d'expérience S8261 143
Sûreté de fonctionnement des systèmes de commande. Principes et méthodes S8262 147
Sûreté de fonctionnement des systèmes de commande. Exemple d'application et S8263 151

rappels sur les RdP
Équipements de travail : sécurité des systèmes programmés S8270 153
Maintenance, sûreté de fonctionnement et management des actifs de production MT9202 157
Ｑ
1– Technologie sans contact Réf. Internet page
Systèmes et techniques RFID E1470 11
Systèmes et techniques RFID . Risques et solutions de sécurité H5325 17
La technologie NFC : principes de fonctionnement et applications S8650 21
Réseaux de capteurs H8500 25
Réseaux de capteurs sans il. De nouveaux déis S7510 29
Réseaux de capteurs autonomes. Couche physique et architectures matérielles S7511 33
Capteurs et actionneurs intelligents S7520 39
2– Réseaux industriels
3– Communication temps réel
4– Sûreté de fonctionnement
Ｙ
Ｑ
ＱＰ
ｒ￩ｦ￩ｲ･ｮ｣･＠ｉｮｴ･ｲｮ･ｴ
ｅＱＴＷＰ
Systèmes et techniques RFID
par Claude TETELIN

Ｑ
Ingénieur ISEN, Docteur de l’Université de Lille, France
Directeur technique du Centre National RFID,
Président de la commission nationale AFNOR CN31
Note de l’éditeur
Cet article est la réédition actualisée de l'article E1470 intitulé « Systèmes et techniques
RFID » paru en 2010, rédigé par Claude TETELIN
1. Principes généraux de la RFID............................................................. E 1 470v2 - 2

2. Familles de systèmes RFID et caractéristiques .............................. — 3
2.1 RFID active ou passive................................................................................ — 4
2.2 Champ proche ou champ lointain ............................................................. — 4
2.3 Lecture seule ou lecture/écriture ............................................................... — 6
2.4 Protocole ITF ou TTF................................................................................... — 6
3. Téléalimentation des étiquettes RFID ............................................... — 6
3.1 Téléalimentation en HF, couplage magnétique........................................ — 6
3.2 Téléalimentation en UHF, équation de Friis ............................................. — 9
3.3 Adaptations d’impédance interrogateur et étiquette ............................... — 10
4. Communication et codage des informations .................................. — 11
4.1 Modulations en RFID .................................................................................. — 11
4.2 Codes utilisés en RFID ................................................................................ — 13
4.2.1 Codes dans la communication « uplink » ........................................ — 13
4.2.2 Codes dans la communication « downlink » ................................... — 13
5. Protocoles d’anticollision ..................................................................... — 16
5.1 Algorithmes déterministes......................................................................... — 16
5.2 Algorithmes aléatoires ............................................................................... — 17
6. Normes et réglementations.................................................................. — 18
6.1 Régulations.................................................................................................. — 19
6.2 RFID et santé publique................................................................................ — 19
6.3 Normes techniques..................................................................................... — 20
7. Conclusion................................................................................................. — 20
8. Glossaire .................................................................................................... — 21
Pour en savoir plus .......................................................................................... Doc. E 1 470v2
nsérer une clé pour démarrer un véhicule, badger pour accéder à un bâti-
I ment ou une salle, utiliser les remontées mécaniques lors d’un séjour au ski,
valider un titre de transport dans le bus ou le métro sont des gestes entrés
dans le quotidien de bon nombre d’entre nous. Nous utilisons, sans en être
toujours conscients, des technologies de capture automatique de données
basées sur les ondes et rayonnements radiofréquence. Cette technologie est
connue sous le nom de RFID pour Identification RadioFréquence. De même
que chaque individu peut être identifié grâce à un passeport biométrique ou
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｮｯｶ･ｭ｢ｲ･＠ＲＰＱＵ
encore un badge d’accès personnel, les objets sont aujourd’hui de plus en plus
Copyright © – Techniques de l’Ingénieur – Tous droits réservés

E 1 470v2 – 1
ＱＱ
ｅＱＴＷＰ
SYSTÈMES ET TECHNIQUES RFID ______________________________________________________________________________________________________
souvent porteurs d’étiquettes RFID contenant un identifiant unique et parfois

quelques bytes ou kilobytes de données. La différence entre les objets et nous,
c’est qu’ils ne présentent pas « volontairement » leur étiquette ou badge RFID
lorsqu’on leur demande. Les conditions de lecture de ces étiquettes sont donc
différentes et demandent généralement des distances de détection plus impor-
tantes. L’objectif de cet article est de présenter les techniques qui sont mises
en œuvre dans les systèmes d’identification par radiofréquence. Il s’agit princi-
Ｑ palement de téléalimentation, de télécommunications et d’encodage. Les

personnes qui recherchent une solution à leur besoin d’automatisation de la
traçabilité (identification, inventaire, authentification, etc.) trouveront dans cet
article les bases permettant de choisir la technologie RFID la plus adaptée. Les
notions telles que le retour sur investissement ou l’intégration de la RFID à un
système informatique ne sont pas abordées et demandent généralement une
étude au cas par cas.
Ayant cette source d’énergie à disposition, la puce de l’étiquette

1. Principes généraux pourra alors décoder les commandes venant de l’interrogateur et
de la RFID répondre à ses commandes (ou transmettre des informations sans
attendre que l’interrogateur lui demande). La manière de répondre
aux commandes d’un interrogateur est, comme la téléalimenta-
Pour transmettre des informations à un interrogateur (encore tion, caractéristique des systèmes RFID. Nous pouvons (naturelle-
appelé « station de base » ou plus généralement « lecteur »), une ment) imaginer que la puce de notre étiquette possède un
étiquette RFID est munie d’une puce électronique associée à une émetteur radiofréquence capable de générer son propre signal.
antenne. Cet ensemble, appelé « inlay », est ensuite packagé pour On parle alors de RFID active. Un tel émetteur complexifie le cir-
résister aux conditions dans lesquelles il est amené à vivre. cuit électronique de la puce ce qui la rend plus chère. D’autre part,
L’ensemble ainsi formé est appelé « tag », « label » ou encore l’énergie récupérée par téléalimentation ne sera certainement pas
« transpondeur ». La figure 1 représente les éléments d’un sys- suffisante pour alimenter correctement un tel émetteur.
tème RFID : étiquette, interrogateur et système hôte. Pour éviter cette complexité tout en pouvant communiquer avec
Si l’interrogateur possède sa propre source d’énergie électrique l’interrogateur, l’étiquette RFID va donc devoir modifier ses carac-
(batterie ou branchement sur le secteur), qu’en est-il de téristiques propres (impédance, surface équivalente radar). Ceci
l’étiquette ? Pour qu’une puce électronique puisse fonctionner, va avoir pour effet de modifier les caractéristiques (amplitude et/
chacun sait qu’il faut l’alimenter. Dans bon nombre d’applications, ou phase) du signal réfléchi par le tag vers l’interrogateur. Cette
le simple fait de devoir ajouter à notre tag une source d’énergie technique, appelée rétromodulation est la base de communica-
(pile ou batterie) est simplement inconcevable. Le tag serait trop tion des étiquettes RFID passives (sans émetteur RF propre). La
volumineux, coûterait trop cher et une maintenance deviendrait figure 2 schématise cette technique de communication. Dévelop-
nécessaire pour recharger la batterie ou changer la pile. Les éti- pée pour des applications radar dans les années 1930, elle a été
quettes RFID doivent donc tirer leur énergie d’une autre source et appliquée pour des communications par Harry Stockman dès
c’est naturellement l’interrogateur qui va la fournir. L’antenne de 1949.
notre étiquette va non seulement servir pour communiquer avec Bien sûr, si l’application le permet ou le requiert, il est toujours
l’interrogateur mais va également servir à capter l’énergie possible d’embarquer, dans ces tags passifs, une source d’énergie
radiofréquence issue de ce dernier. On parle alors de téléalimen- propre. Celle-ci sert alors à alimenter des « périphériques » au tag
tation ou alimentation à distance. RFID comme des capteurs ou sert à améliorer les performances
Données ou
données + énergie
Antenne(s)
interrogateur Antenne
Liaison câble
ou sans fil
Interrogateur Support
Système hôte
fixe ou portable
Puce
Étiquette/tag
Émission RF ou
rétromodulation
Figure 1 – Les éléments principaux d’un système RFID

E 1 470v2 – 2
ＱＲ
ｅＱＴＷＰ
_______________________________________________________________________________________________________ SYSTÈMES ET TECHNIQUES RFID
Nous mettons ce dernier terme entre guillemets car nous verrons

plus tard dans cet article que la lecture de plusieurs étiquettes pré-
Signal RF transmis par l’interrogateur sentes face à un même interrogateur se fait par étapes et de
pour téléalimentation du tag manière séquentielle. Néanmoins, pour certains protocoles de
communication, l’interrogateur peut identifier plusieurs centaines
d’étiquettes différentes en quelques secondes. L’effet macrosco-
pique est celui d’avoir identifié ces étiquettes de manière quasi-
instantanée.
Un dernier avantage de la RFID (parmi ceux les plus importants)
réside dans le fait que cette technologie est basée sur une puce
électronique. Son contenu est par définition le numéro (unique)
Ｑ
Superposition des signaux
d’identification de l’objet auquel le tag sera attaché. Suivant

l’application, ce numéro unique d’identification peut être plus ou
moins long. La technologie EPC (Electronic Product Code) prévoit
Signal rétromodulé par le tag un numéro d’identification sur 96 bits. Cela laisse imaginer jusque
variations amplitude et/ou phase 296 ou 832 identifiants différents ou encore près de 8.1028 possibi-
lités. Pour comparaison, on pourrait identifier individuellement
chaque grain de sable de toutes les plages du monde avec 51 bits
et tous les atomes du corps humain avec 93 bits. On pourrait
donc, avec 96 bits, identifier individuellement chaque grain de riz
produit sur la terre pendant huit mille milliards d’années. Au-delà
de cet identifiant, la puce peut posséder une zone mémoire pro-
grammable ou réinscriptible permettant à l’utilisateur d’accéder à
Signal RF « vu » par l’interrogateur
de l’information directement en lisant le contenu de cette
mémoire. Il peut également compléter ou modifier cette informa-
tion lors des étapes de la vie de l’objet. Cette information peut
bien sûr être cryptée et la zone mémoire peut être partagée par
Antenne tag plusieurs utilisateurs avec une gestion des droits d’accès.
Avec toutes ces caractéristiques, nous voyons bien que la ques-
Données en tion qui vient rapidement à l’esprit lorsque l’on parle d’un sys-
bande de base
tème RFID : « à quelle distance puis-je lire une étiquette RFID ? »
est bien sûr importante mais ne peut être que la première d’une
longue série au cours de laquelle l’utilisateur potentiel devra
décomposer son processus et parfois remettre en cause ses prin-
cipes pour tirer parti du meilleur de cette technologie.
Charge
2. Familles de systèmes RFID

Figure 2 – Principe de la rétromodulation pour les tags passifs
et caractéristiques
L’identification par radiofréquences ou RFID est basée sur le fait
globales du tag. La méthode de communication du tag vers le lec- que des informations contenues dans une puce électronique
teur restant basée sur la rétromodulation, on est toujours dans le peuvent être transmises sans contact via un lien RF à un interro-
cas de tags passifs, ils sont simplement assistés d’une source gateur fixe ou mobile. Pour ce faire, la puce électronique est reliée
d’énergie propre. On parle alors de RFID BAP (Battery Assisted à une antenne, l’ensemble constituant ce que l’on appelle
Passive). « inlay ». Cet inlay est finalement packagé pour répondre aux
diverses contraintes de l’application finale.
La RFID n’est pas la seule technologie permettant la saisie auto-
matique de données (avec geste volontaire ou non) et/ou l’identi- Tous les tags ou étiquettes RFID ne fonctionnent pas de la
fication. Les codes à barres (1D ou 2D), la reconnaissance optique même manière. Nous pouvons classifier de plusieurs façons les
systèmes RFID suivant des critères différents. Le premier critère
de caractères sont largement répandus et ont l’avantage d’être
qui vient à l’esprit est la fréquence à laquelle le système fonc-
(pour leur forme la plus simple) relativement bon marché. Cepen-
tionne. De 125 kHz à 2,4 GHz, voire 5,7 GHz en passant par
dant, la RFID a, par rapport à ces techniques, certains avantages
13,56 MHz et 900 MHz, on trouve de nombreuses applications
que nous allons détailler ci-dessous.
répondant à des besoins et contraintes différentes. Cette première
Basée sur le rayonnement ou la propagation d’ondes électroma- classification peut se résumer au fait que le couplage entre l’inter-
gnétiques, la technologie RFID ne requiert pas de visibilité rogateur et les étiquettes est soit principalement magnétique soit
optique pour la lecture des étiquettes. Bien sûr, le métal et cer- principalement électromagnétique. On parle également de fonc-
tains matériaux peuvent fortement perturber cette lecture. tionnement en champ proche ou en champ lointain.
Un deuxième avantage est que la lecture se fait sans contact. Une deuxième classification possible peut se faire suivant que
Suivant les fréquences et/ou les tailles d’étiquettes, la distance à l’étiquette RFID possède un émetteur RF propre (on parle alors de
laquelle une étiquette peut être lue varie de quelques millimètres RFID active) ou qu’elle ne fait que rétromoduler un signal RF issu
à quelques mètres en technologie passive sans batterie. En tech- de l’interrogateur (on parle alors de RFID passive). Il faut bien
nologie active (avec un émetteur RF à bord du tag RFID), cette dis- noter ici que les termes actif et passif n’ont rien à voir avec le fait
tance peut dépasser la centaine de mètres sans difficultés. que l’étiquette embarque ou non une source d’énergie.
Un autre avantage à mettre à l’actif de la technologie RFID est Une troisième classification des systèmes RFID peut se faire sui-
sa capacité à lire plusieurs étiquettes « simultanément ». vant que la puce embarquée sur l’étiquette est en lecture seule ou
Copyright © – Techniques de l’Ingénieur – Tous droits réservés.

E 1 470v2 – 3
ＱＳ
ｅＱＴＷＰ
que l’on peut écrire (une fois ou plusieurs fois) de nouvelles infor-
mations via des commandes transmises par l’interrogateur.
Antenne Tag
Enfin, une quatrième classification peut se faire suivant le pro-
tocole de communication entre l’étiquette et l’interrogateur. Dans
une première famille, l’étiquette, une fois présente dans le champ
de l’interrogateur, attend une commande de la station de base Téléalimentation
pour transmettre des informations. On parle de protocole ITF AC/DC
Ｑ
(Interrogator Talk First). Dans d’autres cas, l’étiquette transmet Récupération
des informations dès son activation dans le champ de l’interroga- d’énergie
teur. On parle alors de protocole TTF (Tag Talk First). Bien sûr, on
trouvera des variantes de ces protocoles dans diverses normes
ISO ou propriétaires.
Démodulateur Data IN
Logique et
mémoire
2.1 RFID active ou passive Commutation
Data OUT
de charge
Dans les systèmes RFID actifs, l’étiquette possède une puce
électronique ayant un émetteur RF. La communication entre
l’interrogateur et l’étiquette peut donc se faire comme dans
n’importe quel système pair à pair, en utilisant des protocoles
full duplex par exemple. Généralement, l’énergie rayonnée par a tag passif
l’interrogateur et captée par l’étiquette n’est pas suffisante pour
alimenter correctement la puce électronique. Les systèmes actifs
doivent donc prévoir l’embarquement d’une source d’énergie Antenne Tag
propre à l’étiquette. Ajouté au fait que la puce possède son Assistée par batterie
propre circuit d’émission, cela peut augmenter fortement le coût
de l’étiquette RFID. La norme ISO/IEC 18000-7 prévoit le fonction-
nement de systèmes actifs à 433 MHz. Avec de tels systèmes, la Alimentation DC
portée de communication entre un interrogateur et une étiquette
peut atteindre sans difficulté la centaine de mètres. Le mode 3
de la norme ISO/IEC 18000-4 propose également un protocole
basé sur l’utilisation de tags actifs dans la bande de fréquence
2,405 – 2,483 GHz. Ce protocole est d’ailleurs lui-même basé sur
la couche physique (NPL : Network Physical Layer) de la norme Démodulateur Data IN
Logique et
IEEE 802.15.4 également utilisée dans les protocoles ZigBee et mémoire
6LoWPAN. Émetteur RF Data OUT
Le principe de fonctionnement des systèmes RFID passifs
repose quant à lui sur la rétromodulation de l’onde provenant
de l’interrogateur. Cette onde (ou ce champ) est alors partielle-
ment réfléchie par l’étiquette. Quels que soient les fréquences
ou les modes de couplage, le moyen utilisé pour réaliser cette
rétromodulation, consiste à commuter une charge (impédance) b tag actif
placée en parallèle entre la puce électronique et l’antenne de
l’étiquette.
Figure 3 – Schémas de principe des étiquettes (a) passive
et (b) active
Nota : il est clair que ce système de commutation de charge fait partie intégrante de la
puce RFID.
Le signal réfléchi par l’étiquette vient alors se superposer au source d’énergie peut également servir à alimenter d’autres sys-
signal provenant de l’interrogateur. Dans le cas, très majoritaire- tèmes électroniques associés à l’étiquette RFID comme des cap-
ment rencontré, des étiquettes passives ne possédant pas de teurs. L’étiquette RFID peut alors récupérer de l’information issue
source d’énergie embarquée, le rapport entre la puissance du de ces capteurs, la stocker dans une zone mémoire particulière de
signal émis par l’interrogateur (pour alimenter la puce) et la puis- la puce électronique sans pour autant être dans le champ rayonné
sance du signal rétromodulé par l’étiquette peut atteindre 60 dB. par un interrogateur. Ces systèmes, appelés BAP (Battery Assisted
L’interrogateur doit donc présenter une bonne sensibilité pour Passive), se comportent comme des systèmes passifs sans source
détecter et décoder l’information issue de l’étiquette. La difficulté d’énergie une fois cette source épuisée.
de ces systèmes consiste donc à trouver la meilleure charge per-
mettant de créer de fortes variations de signal réfléchi sans pour
autant pénaliser l’alimentation du circuit lui-même. 2.2 Champ proche ou champ lointain
La figure 3 schématise les grandes différences entre tags actifs
et passifs, séparant ces notions de la présence ou non de source Les systèmes RFID passifs peuvent fonctionner à différentes fré-
d’énergie embarquée par l’étiquette. quences. Dans un premier temps, l’interrogateur doit émettre un
Dans la majorité des cas, la distance de communication entre signal permettant la téléalimentation de la ou des étiquettes pré-
une étiquette passive et son interrogateur est limitée par la dis- sentes à proximité. Pour rayonner et de la même manière recevoir
tance de téléalimentation (sauf dans les cas, de plus en plus rares, un signal radio, il faut se poser la question de l’antenne la mieux
où l’interrogateur n’a pas la sensibilité nécessaire). Une manière adaptée. Le concepteur a le choix entre deux grandes familles
d’augmenter cette distance est d’ajouter à l’étiquette une source d’antennes : les antennes fermées (boucles) ou ouvertes (dipôles).
d’énergie propre. Cette source d’énergie va permettre d’alimenter Les premières vont plutôt créer un champ magnétique dans leur
le circuit de la puce électronique sans pour autant devoir capter entourage proche alors que les secondes créeront plutôt un
l’énergie issue du signal RF transmis par l’interrogateur. Cette champ électrique. Au fur et à mesure que l’on s’éloigne de la

E 1 470v2 – 4
ＱＴ
ｅＱＴＷＰ
structure rayonnante, le champ électromagnétique se forme et les

célèbres équations de Maxwell permettent de relier champs
magnétique et électrique. On parle alors de champ formé ou Champ proche Champ lointain
champ lointain. La distance à laquelle on peut considérer que le
champ est formé dépend de la fréquence du signal et des dimen-
sions de l’antenne.
La figure 4 résume les ordres de grandeur des extensions des
0,63 2
Ｑ
zones de champ proche et de champ lointain. Les limites
dépendent de D, la plus grande dimension de l’antenne rayonnant
le champ électromagnétique et de λ la longueur d’onde du signal.
Il n’est pas dans l’objectif de cet article de détailler plus en avant
ces notions et le lecteur pourra se référer aux ouvrages [1] et [2]. Région de Rayleigh Région de Fresnel Région de Fraunhofer
Les champs E et H Les champs E et H

Zone de transition
Prenons l’exemple de système RFID fonctionnant à 13,56 MHz. décroissent en 1/R3 décroissent en 1/R
Dans l’air (ou dans le vide), la longueur d’onde associée à cette fré-
quence est de plus de 22 m. Vu les champs maximaux que l’on est
autorisé à rayonner, les distances auxquelles on pourra lire une éti- Impédance d’onde Impédance d’onde
quette ne dépasseront jamais 1 à 2 m. Cela signifie que les systèmes variable constante
RFID fonctionnant à cette fréquence seront toujours dans la zone de
champ proche. On peut alors se poser la question du type d’antenne. R : distance à l’antenne
Allons-nous rayonner principalement un champ électrique (antenne
dipôle) ou un champ magnétique (antenne boucle). Pour rayonner cor-
Figure 4 – Définition des zones de champs proche et lointain
rectement un champ électrique, une antenne doit avoir des dimen-
sions proches de la longueur d’onde. Avec des étiquettes de l’ordre
de 22 m, aucune application RFID n’aurait pu voir le jour à 13,56 MHz. Pour être tout à fait complet, nous pouvons remarquer que la
Le choix est donc par défaut celui des antennes boucle créant un notion de champ proche peut parfaitement s’appliquer pour des
champ magnétique. systèmes RFID UHF. En effet, si l’étiquette se rapproche de
l’antenne de l’interrogateur, le champ n’est pas encore formé et
nous sommes dans un régime de champ proche. Dans ce cas, on
Si on travaille à présent à 900 MHz, la longueur d’onde est d’envi-
peut très bien utiliser une antenne boucle pour récupérer le
ron 33 cm dans l’air libre. Les puissances que l’on peut rayonner dans
champ magnétique comme dans les applications RFID HF.
cette gamme de fréquence permettent d’envisager des distances de
communication comprises classiquement entre 5 et 10 m. Nous Les bandes de fréquence dans lesquelles peuvent fonctionner
sommes cette fois dans la zone où le champ électromagnétique est les systèmes RFID font partie des bandes non soumises à licence.
formé. On peut véritablement parler de propagation d’onde entre Ces bandes, réservées aux applications industrielles, scientifiques
l’interrogateur et l’étiquette. Se pose encore une fois le choix entre et médicales (bandes ISM), si elles ne sont pas soumises à
des antennes boucle ou des antennes de type dipôle. Cette fois, la licence, ne sont utilisables qu’en respectant scrupuleusement des
taille du dipôle optimal est de l’ordre de λ/2 c’est-à-dire 15 cm. Cette gabarits d’émission (largeur de bande autorisée, puissance ou
taille est tout à fait compatible avec les contraintes des applications champ maximal à ne pas dépasser, taux d’occupation à respec-
RFID. Les équations de Maxwell, valables dans le cas du champ loin- ter). Les utilisateurs de ces bandes veilleront à respecter les règle-
tain, indiquent que pour une onde électromagnétique se propageant ments et régulations propres à chaque région du globe où sera
en espace libre, le rapport entre l’amplitude du champ électrique et déployée l’application RFID. Ceci sans compter les règlements liés
celle du champ magnétique est constant. Ce rapport est égal à l’impé- à la sécurité sanitaire et à l’exposition humaine aux rayonnements
dance du milieu de propagation et vaut, pour le vide, 377 Ω. La valeur non ionisants (la RFID n’utilise pas encore de rayons X ou
de ce rapport montre que le choix des antennes de type dipôle gamma !). La figure 5 synthétise les fréquences couramment utili-
électrique est tout à fait logique. sées pour les applications RFID.
Ondes Ondes Infrarouge Ultraviolet Rayons X

électriques radio
Fréquence
Spectre radio
9 kHz 30 kHz 300 kHz 3 MHz 30 MHz 300 MHz 3 GHz
VLF LF MF HF VHF UHF SHF EHF
125 kHz 13,56 MHz 5,8 GHz

et 134,2 kHz
2,45 GHz
433 et 860-960 MHz
Figure 5 – Fréquences couramment utilisées en RFID
Copyright © – Techniques de l’Ingénieur – Tous droits réservés.

E 1 470v2 – 5
ＱＵ
Ｑ
ＱＶ
ｈＵＳＲＵ
Systèmes et techniques RFID

Risques et solutions de sécurité
Ｑ
par Ethmane EL MOUSTAINE
Doctorant à l’Institut Mines-Télécom/Télécom SudParis, laboratoire CNRS Samovar
UMR 5157
et Maryline LAURENT
Professeur à l’Institut Mines-Télécom/Télécom SudParis, laboratoire CNRS Samovar
UMR 5157
1. À retenir ...................................................................................................... H 5 325 - 2

1.1 Contexte et cadre techniques...................................................................... — 2
1.2 Bénéfices et risques ..................................................................................... — 3
2. Architecture des RFID et technologie ................................................ — 3
2.1 Étiquettes RFID ............................................................................................. — 3
2.2 Antennes....................................................................................................... — 5
2.3 Lecteur RFID ................................................................................................. — 5
2.4 Intergiciel ...................................................................................................... — 5
3. Standard EPCGlobal ................................................................................ — 5
3.1 Système de codification EPC ...................................................................... — 6
3.2 Classification des étiquettes RFID............................................................... — 6
3.3 Réseau EPCGlobal........................................................................................ — 6
3.4 Standard EPC de seconde génération (EPC Gen2).................................... — 7
4. Usages des RFID ....................................................................................... — 8
5. Risques et besoins en technologie RFID............................................ — 8
5.1 Atteinte à la vie privée ................................................................................. — 8
5.2 Problèmes de sécurité ................................................................................. — 9
5.3 Besoins de services de sécurité .................................................................. — 10
6. Verrous technologiques ......................................................................... — 10
7. État des lieux des solutions de sécurité ............................................ — 10
7.1 Standard EPCGen2....................................................................................... — 10
7.2 Solutions symétriques légères ................................................................... — 11
7.3 Solutions asymétriques ............................................................................... — 15
7.4 Analyse et synthèse ..................................................................................... — 15
8. Conclusions et perspectives ................................................................. — 16
Pour en savoir plus ........................................................................................... Doc. H 5 325
a technologie RFID (Radio Frequency IDentification) sans contact, a pour

L objectif d’identifier et scanner des objets sans nécessité de contact phy-
sique ou visuel. Une simple étiquette RFID collée, sur n’importe quel objet
permet à cet objet de révéler son identifiant, ses déplacements, à tout lecteur
RFID situé à proximité. Bien entendu, seules les étiquettes en activité peuvent
répondre aux sollicitations des lecteurs.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｮｯｶ･ｭ｢ｲ･＠ＲＰＱＲ
Son exploitation avantageuse, en remplacement des codes-barres, est évi-

dente pour toute entreprise ayant une activité dans le secteur de la logistique.
Elle permet la prise d’inventaire plus rapide dans un camion, un entrepôt...
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

est strictement interdite. – © Editions T.I. H 5 325 – 1
ＱＷ
ｈＵＳＲＵ
Mais aussi, elle permet d’améliorer la traçabilité des produits, de mieux lutter
contre la contrefaçon, les vols dans un entrepôt, par exemple...
Cependant, de nombreux autres usages sont prometteurs, et pourraient
transformer le quotidien de notre société par l’automatisation de certaines
tâches de notre vie courante, par une meilleure adaptation de notre environne-
ment à nos besoins personnels...
Ｑ Cet article présente les RFID sous l’angle technologique, mais aussi :
– de l’architecture réseau dans laquelle elles évoluent ;
– du standard EPCGlobal ;
– des différents usages possibles ;
– des risques encourus pour notre vie privée ;
– des verrous technologiques à lever ;
– des familles de solutions de sécurité aujourd’hui préconisées.
Glossaire Aujourd’hui, les standards spécifiés par l’organisation

EPCGlobal, Inc. permettent de donner un cadre à la techno-
Abréviations Signification logie des RFID, en définissant des bandes de fréquences
(13,56 MHz ou 860-950 MHz) en fonction des domaines
AES Advanced Encryption Standard d’applications, plusieurs codages EPC des identifiants RFID, la
CRC Cyclic Redundancy Code classification des étiquettes RFID, les protocoles de
communication... Elle s’appuie sur les standards ISO 14443,
ECC Elliptic Curve Cryptography ISO 15693, et ISO 18000 qui spécifient plusieurs types de
cartes sans contact avec une portée, une fréquence, et une
EPC Electronic Product Code modulation du signal radio propres.
PRNG Pseudo Random Number Generator EPCGlobal, Inc. s’intéresse aussi à définir une infrastructure
de réseau d’ampleur équivalente à celle de l’Internet, mais
RFID Radio Frequency IDentification pour les objets, et ce, pour permettre la localisation des
objets, leur suivi, le référencement de leurs propriétés...
La technologie dispose d’un très fort potentiel applicatif,
mais la prudence dans son déploiement s’impose, car elle
n’est pas dénuée de risques pour les individus
1. À retenir consommateurs. En effet, si toute personne dotée d’un lecteur
RFID est en mesure d’identifier le contenu d’un sac à main, de
lister les objets contenus dans une voiture, les biens dans une
maison, non seulement la divulgation de ces informations
1.1 Contexte et cadre techniques pose des problèmes de violation de la confidentialité, et de la
vie privée des individus, car ils n’ont ni donné leur
consentement, ni même été avertis de la procédure d’inven-
taire de leurs biens, mais, en plus, ils risquent de faire l’objet
Cette technologie est aujourd’hui considérée comme la d’agressions, de braquages, ou de cambriolages ciblés.
nouvelle révolution technologique, après celle connue avec Ce problème d’identification intrusif est en partie résolu
l’Internet. aujourd’hui par la désactivation des puces RFID au moment
Aujourd’hui, ne sont visibles que les prémisses d’une telle du passage en caisse des objets. Cependant, d’une part : le
technologie, mais, au vu de ses capacités prometteuses en problème d’identification abusive se pose pour les transpor-
termes d’applications, d’interpénétration de la technologie des teurs de marchandises de valeurs de transport qui peuvent
communications avec notre environnement matériel, cette faire l’objet de cambriolages ciblés sur un de leurs camions
technologie pourrait connaître la même ampleur que l’arrivée stationnés sur une aire d’autoroute, ou dans un de leurs
de l’Internet dans nos foyers. Ce n’est pas pour rien que la entrepôts. D’autre part : la désactivation des puces RFID rend
référence à la terminologie d’Internet des Objets (Internet of impossible l’émergence de nouvelles applications post achat,
Things ou IoT) est faite. C’est comme si, en quelque sorte, le comme la réintégration des objets dans la chaîne logistique,
monde réel des objets qui nous entourent rejoignait le monde dans le cas d’un retour en magasin...
virtuel de l’informatique, de l’Internet, des réseaux sociaux, et, La réglementation juridique reste floue quant à la manière
pourquoi pas, des jeux électroniques, qui pourraient adapter de considérer les données générées par les RFID. Elles
leur scénario en fonction de l’environnement réel du joueur. semblent relever de la réglementation sur la protection des
D’autres questions se posent aussi : quel effet ce saut techno- données personnelles. La question est, en fait, de savoir si
logique aura-t-il sur nos repères ? N’y aura-t-il pas une l’identifiant d’un objet en possession d’une personne, et les
confusion encore plus accrue entre monde réel et monde informations que l’objet est amené à révéler, font partie inté-
virtuel ? grante de l’identité de cette personne.

H 5 325 − 2 est strictement interdite. − © Editions T.I.
ＱＸ
ｈＵＳＲＵ
1.2 Bénéfices et risques raison du manque de ressources de calcul sur les étiquettes RFID,
les solutions de sécurité qui ont fait leur preuve dans les systèmes
L’une des premières applications connues de la technologie d’information ne sont pas applicables. Les solutions de sécurité
RFID (Radio Frequency IDentification ) remonte à la seconde guerre pour RFID sont vulnérables à l’identification et traçage clandestin
mondiale, et servait comme système d’identification des avions de des marchandises, le clonage, les écoutes, et les attaques par
combats « friend or foe » (« ami ou ennemi »). relais. La technologie RFID nécessite donc que la communauté
scientifique s’intéresse à ce domaine pour améliorer la sécurité et
■ Avantages des systèmes RFID la protection des données personnelles des usagers.
L’intérêt pour cette technologie a resurgi plusieurs décennies
après, en vue de remplacer les codes-barres optiques, dans le
secteur de la logistique [1], et ce, pour automatiser les C’est en ce sens que la commission européenne a émis une
Ｑ
traitements : recommandation demandant que les applications RFID soient
– inventaire ; sécurisées, et que plus de recherches soient menées sur des
– contrôle d’expédition ; solutions de sécurité RFID à hautes performances et bas-coût.
– contrôle de réception ;
– suivi industriel en chaîne de montage.
• Les enjeux sont de taille, puisque, de la bonne résistance de
Ces mêmes traitements avec les codes-barres sont, en effet, ces parades techniques, découlera l’émergence possible de
beaucoup plus coûteux en temps, en main-d’œuvre et en flexibilité l’Internet des Objets (Internet of Things – IoT), c’est-à-dire : la pos-
d’usages. sibilité que chaque objet soit identifié, référencé et puisse interagir
avec un réseau de type Internet [RE 165], voire avec l’environne-
Exemple ment physique immédiat dans lequel il évolue.
Wal-Mart, qui est l’un des plus gros détaillants précurseurs de l’uti-
lisation de la technologie RFID, estime pouvoir réaliser des écono-
mies de plusieurs centaines de millions de dollars en limitant le
volume de ses marchandises perdues, et ce principalement, grâce à
la localisation de marchandises par RFID [NET].
2. Architecture des RFID
et technologie
• La petite taille des étiquettes RFID leur permet d’être implan-
tées à l’intérieur des objets, et l’identification par radio fréquence
L’architecture classique d’un système RFID, comme l’illustre la
permet de lire un très grand nombre d’étiquettes simultanément,
figure 1, est constituée de trois composants principaux :
et ce, dans des conditions visuelles ou environnementales diffi-
ciles. Grâce au facteur d’échelle, les étiquettes RFID sont très peu – une étiquette RFID ;
coûteuses (quelques centimes d’euros pour des étiquettes – un lecteur RFID ;
passives, contre plusieurs euros pour des étiquettes actives). – une base de données appelée très souvent « back-end » en
• Enfin, les 96 bits disponibles pour coder les identifiants RFID anglais.
permettent à chaque objet d’être identifié de façon unique. Cette Cette base de données sert à répertorier l’ensemble des
particularité rend possible le suivi d’un produit marchand dans ses étiquettes du système avec un ensemble d’informations associées
changements de localisation, et ce, dans le but premier à ces étiquettes. Les éléments d’informations sont propres au
d’améliorer la gestion de la chaîne logistique d’approvisionnement domaine d’application et peuvent contenir la localisation d’une
et de fabrication. étiquette RFID, le prix du produit porteur de l’étiquette, etc.
• De ces particularités des RFID, émergent deux familles d’appli-
cations selon le type d’étiquetage. Ainsi, pour les étiquettes visi-
bles et personnalisables, résultent essentiellement des Notons que le véritable apport des systèmes RFID ne vient
applications d’identification et de paiement : pas de la simple lecture des étiquettes, mais de l’obtention des
– les passeports ; informations attenantes à l’objet et dans un format exploitable,
– les cartes de télépéage ; et ce, pour servir une application particulière.
– cartes de crédits ;
– cartes d’accès ;
– dispositifs de suivi des animaux de compagnie et du bétail. Plusieurs standards ont été définis par l’ISO/IEC dans les années
2000 pour caractériser les technologies RFID sans contact en fonc-
• Les étiquettes furtives incrustées dans des produits visent, en
tion de leur portée, leurs fréquences, le protocole de transport
plus de faciliter les opérations de logistique à mieux lutter contre
(modulation, et techniques d’anti-collision). Les principaux
les vols et la contrefaçon de produits tels que : vêtements, médica-
standards sont rassemblés dans le tableau 1.
ments... À savoir, d’après Verisign [2], l’ensemble des vols commis
sur les chaînes d’approvisionnement représentent une perte de 30 Cette architecture à trois composants, qui correspond au modèle
milliards de dollars US par an. Un meilleur suivi des produits dans fonctionnel d’un système RFID au sein d’une entreprise, a été
la chaîne d’approvisionnement s’avère indispensable pour étendue par l’organisation mondiale, EPCGlobal pour organiser les
identifier et limiter les vols. informations à l’échelle mondiale, et répondre aux besoins de
La contrefaçon de produits est un problème économique localiser et tracer les objets (§ 3 et figure 1 [3]).
majeur, mais aussi de santé publique quand il s’agit de la
contrefaçon de produits pharmaceutiques. Devant la complexité
des chaînes d’approvisionnement que nous connaissons, l’authen- 2.1 Étiquettes RFID
ticité des médicaments est difficile à prouver. Les étiquettes RFID
peuvent être un moyen efficace d’atténuer la contrefaçon. Les étiquettes sont attachées à tout objet que le système RFID a
besoin d’identifier ou de tracer. Les étiquettes peuvent être placées
■ Risques et enjeux directement sur un objet individuel, ou bien sur le
• Les risques liés à l’utilisation des étiquettes RFID sont connus. conditionnement des objets (cartons, containers). Les étiquettes
La sécurité et la confidentialité des données est le principal existent en différentes formes et tailles. En anglais, les étiquettes
obstacle à leur adoption dans de nombreuses applications. En RFID sont désignées sous le terme de « tag ».

ＱＹ
ｈＵＳＲＵ
Ｑ FR
AG
ILE
Antenne
RFID serveur Lecteur Objet suivi
Figure 1 – Composants de base d’un système RFID
Tableau 1 – Standards ISO de cartes sans contact

Standards Portées Fréquences Domaine d’application
ISO/IEC18000-2 40 mm 125 KHz et 134,2 KHz (LF) Traçabilité de produits et d’animaux
ISO/IEC 14443 40 mm 13,56 MHz (HF) Contrôle d’accès, carte d’identité, transport, paiement
ISO/IEC 15693 100 mm 13,56 MHz (HF) Traçabilité de produits et de biens
Traçabilité de produits et de contenants dans la logisti-

ISO/IEC 18000-6 2m 868 MHz en Europe (UHF)
que et la grande distribution
Traçabilité de produits à forte valeur et/ou critique (en

ISO/IEC 18000-7 10 à 30 m 433 MHz (UHF)
combinaison avec des capteurs)
■ L’étiquette dispose d’une mémoire qui permet de stocker des

données et qui peut être programmée pour être réinscriptible, à
écriture unique, à lecture unique ou à lecture multiple.
Classifications des étiquettes RFID
• Étiquettes passives
Elles n’ont pas de batterie intégrée. Elles sont composées
d’une micropuce et d’une antenne. La mémoire est utilisée
uniquement pour stocker un identifiant unique et quelques
informations supplémentaires. Les informations du tag
peuvent être lues par un lecteur RFID à une distance raison-
nable et sans nécessiter de visibilité directe. Ces étiquettes
sont alimentées par le champ électromagnétique du lecteur
pour communiquer et, éventuellement, pour effectuer des
Figure 2 – Étiquette RFID embarquée sur un ePassport calculs. De cette façon, puisqu’aucune énergie n’est localisée
sur l’étiquette passive, elle porte la mention d’« étiquette
passive ». Ainsi cette étiquette n’est pas en mesure de
■ Les étiquettes RFID sont classées en trois grandes familles –
communiquer, ni de calculer en l’absence d’un lecteur à proxi-
passives, actives, semi-passives – selon la source d’énergie qui les
mité.
alimente (cf. encart « Classifications des étiquettes RFID »). Ces
dernières années, ce sont les étiquettes RFID passives qui ont • Étiquettes actives
connu le plus vif succès du fait de leurs très faibles coûts. Le Elles disposent d’une batterie à partir de laquelle elles
passeport électronique, illustré à la figure 2, [1] en est un exemple peuvent effectuer des calculs et émettre un signal vers des
d’utilisation. lecteurs (ou d’autres étiquettes).
• Étiquettes semi-passives
■ L’étiquette qui a pour fonction première de transmettre des
données au reste du système RFID, contient généralement les Elles disposent aussi d’une source d’énergie qui est exclusi-
trois éléments suivants : vement utilisée pour effectuer des calculs (et non pour
émettre). Ce type d’étiquette combine les spécificités des tech-
– un circuit intégré électronique ; nologies RFID passive et active. Pour leurs communications,
– une antenne miniature ; les étiquettes semi-passives prennent l’énergie nécessaire des
signaux radio fréquence transmis par le lecteur.
– un substrat qui assemble le circuit intégré, l’antenne à l’objet.

H 5 325 – 4 est strictement interdite. – © Editions T.I.
ＲＰ
ｓＸＶＵＰ
La technologie NFC
Principes de fonctionnement et
applications
Ｑ
par Ali BENFATTOUM
Ingénieur projet R&D
1. Les principes et normes du NFC .................................................. S 8 650 – 3

1.1 Origine du concept de NFC ................................................................ — 3
1.2 De la RFID à la technologie NFC ........................................................ — 3
1.3 Principe de fonctionnement d’une communication en champ
proche ................................................................................................. — 4
1.4 Normes de communication et de tests ............................................. — 4
1.5 Interopérabilité et technologies propriétaires ................................... — 5
2. Focus sur le NFC ............................................................................. — 7
2.1 Le NFC Forum..................................................................................... — 7
2.2 NFC Forum Device et NFC Forum Tag ............................................... — 7
2.3 Les trois modes du NFC ..................................................................... — 8
2.4 Les spécifications techniques du NFC Forum ................................... — 8
2.5 Applications et services ..................................................................... — 9
3. Intégration du NFC dans le téléphone mobile........................... — 10
3.1 Architecture d’un mobile NFC ........................................................... — 10
3.2 Le Secure Element ............................................................................. — 10
3.3 Les architectures Mobile-Centric et Sim-Centric ............................... — 10
3.4 Architecture Sim-Centric .................................................................... — 11
4. Marchés et écosystème ................................................................. — 12
4.1 Les acteurs et leurs rôles ................................................................... — 12
4.2 Le rôle du TSM ................................................................................... — 12
5. Cas d’usages NFC............................................................................ — 12
5.1 Exemple d’un Smart Poster ............................................................... — 14
5.2 Exemple d’un handover NFC-Bluetooth ............................................ — 15
6. Conclusion........................................................................................ — 15
Pour en savoir plus.................................................................................. Doc. S 8 650
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＱＳ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠｡ｯ￻ｴ＠ＲＰＱＸ
es technologies sans contact sont, depuis des dizaines d’années, largement

L déployées dans le monde et sont utilisées dans divers secteurs comme le
transport, la logistique, le contrôle d’accès et le paiement. Les facteurs de forme
sont nombreux : cartes à puce sans contact, badges, étiquettes adhésives…
Depuis quelques années, avec l’apparition d’une technologie sans contact
nommée NFC (Near Field Communication – Communication en champ proche),
de nouvelles façons de communiquer et d’interagir avec son environnement se
développent. De nombreux produits grand public intègrent la technologie NFC
à commencer par les smartphones, objets devenus incontournables dans la vie
de millions de personnes. Il devient alors possible de lire avec son équipement
NFC des étiquettes et des cartes sans contact, d’échanger du contenu entre
deux équipements ou encore d’embarquer des cartes de paiement ou de trans-
port dans son téléphone pour payer ou valider son transport, d’un simple geste.
La technologie NFC, en plus de proposer des facteurs de formes supplémen-
taires, amène une interopérabilité jusqu’alors déficiente entre les différentes
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

est strictement interdite. – © Editions T.I. S 8 650 – 1
ＲＱ
ｓＸＶＵＰ
LA TECHNOLOGIE NFC ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
technologies sans contact. En effet, elle repose sur un ensemble de normes

directement inspirées de technologies déjà existantes. Elle est également com-
patible avec d’autres technologies, bien que ces dernières ne soient pas à l’ori-
gine de la technologie NFC. Cela amène une complexité dans la définition et la
délimitation du périmètre de la technologie NFC. D’ailleurs, nous verrons que
des technologies de communication en champ proche n’entrent pas dans le
spectre de la technologie NFC malgré son appellation.
Ｑ
Liste des abréviations
APDU Application Protocol Data Unit
API Application Programming Interface
ASK Amplitude-Shift Keying
BPSK Binary Phase-Shift Keying
European association for standardizing information and communication systems (anciennement European
ECMA
Computer Manufacturers Association)
EEPROM Electrically Erasable Programmable Read-Only Memory
ETSI European Telecommunications Standards Institute
GP Global Platform
HF High Frequency
ISD Issuer Security Domain
ISO/IEC International Standards Organisation/International Electrotechnical Commission
JIS Japan Industrial Standard
LLCP Logical Link Control Protocol
MIME Multipurpose Internet Mail Extension
MNO Mobile Network Operator, ou opérateur de téléphonie mobile
NDEF NFC Forum Data Exchange Format
NFC Near Field Communication
NFC-IP Near Field Communication – Interface and Protocol
NRZ Non-Return-to-Zero
OOK On Off Keying
OTA Over The Air
P2P Peer to Peer
PCD Proximity Coupling Device
PICC Proximity Integrated Circuit Card
RAM Random-Access Memory
RFID Radio Frequency Identification
ROM Read-Only Memory
RTD Record Type Definition

S 8 650 – 2 est strictement interdite. – © Editions T.I.
ＲＲ
ｓＸＶＵＰ
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– LA TECHNOLOGIE NFC
Liste des abréviations (suite)
RZ Return-to-Zero
SDK Software Development Kit
SE Secure Element
SIM
SP
Subscriber Identity Module
Service Provider
Ｑ
SSD Suplementary Security Domain
SWP Single Wire Protocol
TLV Type Length Value
TNF Type Name Format
TSM Trusted Service Manager
UHF Ultra High Frequency
UICC Universal Integrated Circuit Card
URL Uniform Resource Locator
1. Les principes et normes normes, dans lesquelles sont introduits de nouveaux modes de
communication, reposent en grande partie sur les normes déjà
du NFC existantes : ISO 14443A et JIS X6319-4.
Ces normes évolueront par la suite intégrant le type B de la
norme ISO 14443, utilisée notamment dans quelques réseaux de
transports publics. Aujourd’hui, la technologie NFC s’intègre dans
Interagir avec son environnement, échanger de l’information,
toutes sortes d’accessoires et d’équipements électroniques : télé-
valider son titre de transport et effectuer ses achats depuis son
phone mobile, téléviseur, haut-parleur, podomètre, etc.
mobile et d’un simple geste, sont quelques-uns des usages que
permet la technologie NFC. Le NFC est une technologie de commu-
nication sans contact à très courte portée fonctionnant à la fré-
quence de 13,56 MHz. Elle permet la communication et l’échange
1.2 De la RFID à la technologie NFC
d’informations à courte distance (< 10 cm) entre deux objets : un Comme nous l’avons vu précédemment, ces technologies sans
lecteur et une carte sans contact par exemple. Les principaux avan- contact, reposant sur le principe d’identification par radiofréquence
tages de cette technologie sont la rapidité, la simplicité d’utilisation (RFID), sont à l’origine de la technologie NFC. En effet, les normes
et la sécurité. Intégrée dans un téléphone mobile, elle permet de et les spécifications définissant une communication NFC héritent
lire le contenu de cartes sans contact ou d’étiquettes sans contact de normes et de standards issus de la RFID. D’ailleurs, le principe
(appelées « tag » ou « transpondeur »), de dématérialiser sur de communication en champ proche est déjà présent dans une par-
mobile les cartes sans contact : cartes bancaires, billets de trans- tie des systèmes RFID.
port ou cartes de fidélité, et d’échanger des données entre deux
terminaux. La RFID consiste en l’utilisation d’ondes électromagnétiques
rayonnantes ou d’un couplage de champ magnétique pour commu-
niquer vers ou à partir d’une étiquette selon différents schémas de
1.1 Origine du concept de NFC modulation et de codage afin de lire l’identité d’une étiquette de
radiofréquence ou d’autres données stockées sur celle-ci. Comme le
Le concept NFC voit le jour au début des années 2000. Sony et montre la figure 1, il existe plusieurs bandes de fréquences disponi-
Philips Semiconductors (devenu NXP Semiconductors) sont alors bles pour l’utilisation de systèmes RFID. Pour chaque fréquence de
les deux principaux fabricants de puces sur le marché des techno- ce spectre, il existe une multitude de normes définissant différents
logies sans contact. Philips domine largement le marché avec sa types de systèmes RFID fonctionnant à des distances plus ou moins
famille de produits Mifare, qui repose sur la norme ISO 14443A, importantes et avec des modulations et des codages différents.
appelée « type A » (nous verrons qu’il existe également Parmi les normes de communication existantes dans la bande de
l’ISO 14443B, appelée « type B »). La technologie de Sony, nommée fréquence 13,56 MHz (RFID HF), nous retrouvons les normes
« Felica », n’est quant à elle, pas reconnue par l’ISO (Organisation ISO 14443 et JIS X6319-4 (desquelles découle la technologie NFC)
internationale de normalisation) et doit se contenter d’une standar- et la norme ISO 15693. Cette dernière, appelée « vicinity », permet
disation japonaise : JIS X6319-4. une distance de communication plus importante (de l’ordre du
Sony et NXP (Philips) proposent alors en 2002, avec d’autres mètre) que les normes ISO 14443 et JIS X6319-4 (appelée « proxi-
industriels tels que Nokia et Sony Ericsson, les premières normes mity »). Ainsi, malgré une fréquence de fonctionnement commune
relatives au NFC : ECMA 340 (ECMA : European association for (13,56 MHz), ces normes ont chacunes des codages, des modula-
standardizing information) puis ISO 18092, cette dernière reprenant tions et des formats de trame différents (ces informations seront
quasiment à l’identique le contenu de la norme ECMA 340. Ces explicitées par la suite).

ＲＳ
ｓＸＶＵＰ
LA TECHNOLOGIE NFC ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
RFID HF / NFC : 13,56 MHz RFID SHF : 2,45 GHz
VLF LF MF HF VHF UHF SHF
Ｑ 3kHz 30 kHz 300 kHz 3 MHz

f0= 13,56 MHz
30 MHz 300 MHz 3 GHz

Fréquence
RFID LF : 125 kHz - 134,2 kHz RFID UHF : 860 MHz - 960 MHz
Figure 1 – Bandes de fréquences utilisées par la RFID
Données
f0 = 13,56 MHz
Antenne Antenne
Lecteur / Interrogateur Transpondeur / Cible
Couplage magnétique
Énergie
Figure 2 – Principe de fonctionnement d’une communication RFID HF/NFC
1.3 Principe de fonctionnement d’une Soit R, la distance séparant le transpondeur de l’antenne et D, le

diamètre de l’antenne, nous considérons être en champ proche
communication en champ proche D2
lorsque : R < 2 .
Comme nous venons de l’évoquer, les systèmes RFID peuvent λ
fonctionner à différentes fréquences. Les systèmes RFID haute fré- Ainsi, pour une fréquence de 125 KHz, nous avons une longueur
quence (tout comme ceux fonctionnant en basse fréquence) sont d’onde de l’ordre du kilomètre (~ 2 km) pour une distance d’utilisa-
des systèmes de communication en champ proche. Le NFC, tion inférieure à 2 mètres. Nous serons donc dans ce cas toujours
comme son nom l’indique, est également un système de communi- dans une zone de champ proche. Le raisonnement est similaire
cation en champ proche. La technologie NFC, comme la RFID HF pour le NFC (et la RFID HF) avec sa fréquence de 13,56 MHz : la lon-
(hautes fréquences), repose sur l’échange de données (et éventuel- gueur d’onde est d’une vingtaine de mètres pour une distance
lement le transfert d’énergie) par ondes électromagnétiques entre d’utilisation d’une dizaine de centimètres.
deux objets à 13,56 MHz (figure 2). Nous pouvons considérer que
La technologie NFC comme la RFID HF partagent les mêmes prin-
la technologie NFC est une extension de la RFID HF. Précisons que
cipes physiques. Les communications NFC seront, de la même
dans le cas du NFC, le transpondeur peut désigner un tag RFID HF, manière que pour la RFID HF, impactées et dégradées par des envi-
un terminal mobile ou tout autre équipement électronique. ronnements liquides ou métalliques à proximité. Par exemple, la
communication avec une étiquette NFC sera fortement dégradée si
f0 = 13,56 MHz
celle-ci est disposée sur un support métallique. Toutefois, des four-
nisseurs proposent des étiquettes adaptées aux supports métalli-
En fonction de la distance séparant la cible de l’antenne émet- ques pour répondre à ces problèmes.
trice, l’onde électromagnétique n’a pas les mêmes propriétés de
propagation (pour modéliser la propagation d’une onde électroma-
gnétique, il convient de résoudre les équations de propagation de 1.4 Normes de communication et de tests
Maxwell, mais nous ne détaillerons pas ces équations et leurs
résultats dans ce document). Tenant compte de ces propriétés de Détailler le contenu de l’ensemble des normes ayant trait à la
propagation différentes, l’espace de propagation est découpé en technologie NFC est un travail fastidieux. Cependant, il est impor-
plusieurs zones. Nous distinguons généralement trois régions de tant pour le lecteur de connaı̂tre les principales normes NFC et à
l’espace : les zones de champs proches, intermédiaires et lointai- quels contenus elles se réfèrent. Les normes relatives à la technolo-
nes. La figure 3 illustre ce découpage en trois régions de l’espace. gie NFC sont nombreuses et évoluent sans cesse au cours du

ＲＴ
ｈＸＵＰＰ
Réseaux de capteurs
par Khaldoun AL AGHA

Ｑ
Ingénieur Supelec, PhD, HDR
Professeur à l’université de Paris-Sud XI
1. Comment se définit un réseau de capteurs ? H 8 500 - 2

2. Contraintes dans la conception d’un réseau de capteurs — 3
2.1 Contraintes liées à l’application — 3
2.2 Contrainte énergétique — 3
2.3 Contraintes liées aux déterminismes — 3
2.4 Contraintes de passage à l’échelle — 3
2.5 Contraintes liées à la qualité de service — 4
2.6 Contraintes liées à la protection de l’information — 4
2.7 Contraintes liées à l’environnement — 4
2.8 Contraintes de simplicité — 4
3. Applications — 4
4. Protocoles de communication — 5
4.1 IEEE802.15 — 5
4.2 IEEE802.11 ou Wi-Fi — 7
5. Routage dynamique — 8
5.1 Protocole DSDV — 9
5.2 Protocole DSR — 9
5.3 Protocole AODV — 9
5.4 Protocole OLSR — 9
6. Évolution des réseaux de capteurs — 11
Pour en savoir plus .......................................................................................... Doc. H 8 500
ans le monde industriel, un capteur est un appareil qui permet de traduire

D une grandeur physique en une grandeur électrique, qui après numérisa-
tion pourra être mémorisée, traitée, transmise pour être exploitée avec
d’autres informations. On pourra ainsi réaliser des opérations globales, comme
éviter une catastrophe, anticiper un problème ou encore optimiser une opéra-
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｯ￻ｴ＠ＲＰＱＰ＠Ｍ＠ｄ･ｲｮｩ￨ｲ･＠ｶ｡ｬｩ､｡ｴｩｯｮ＠Ｚ＠ｭ｡ｲｳ＠ＲＰＱＵ
tion complexe.
Avant la révolution des télécommunications et le développement des techno-
logies sans fil, l’acheminement de l’information relevée par un capteur se
faisait par un système de câblage coûteux, encombrant et nécessitant la mobi-
lisation d’efforts humains relativement importants. Le spectre d’utilisation des
capteurs restait très limité. Pour justifier le déploiement d’un réseau de cap-
teurs, il fallait un très grand enjeu sécuritaire ou des perspectives de profits
économiques importants.
À présent, les capteurs de nouvelles générations se sont dotés de circuits
« radio » leur permettant de transmettre et de recevoir de l’information. De
plus, ils disposent de capacité de mémorisation et d’une puissance de
calcul permettant de réaliser le routage et l’acheminement des paquets

ＲＵ
ｈＸＵＰＰ
RÉSEAUX DE CAPTEURS _____________________________________________________________________________________________________________
d’informations. Ainsi, des réseaux de capteurs peuvent se former. Ils

peuvent s’auto-configurer, se découvrir de manière autonome et relayer à
bon port l’information mesurée. En conséquence, un grand nombre d’appli-
cations ont pu se développer en tirant profit de ce nouvel environnement de
capteurs.
Ｑ 1. Comment se définit Les nœuds actifs (en bleu sur la figure 1) transmettent l’informa-
tion qu’ils détiennent. Lors de la transmission, le nœud doit s’assu-
un réseau de capteurs ? rer qu’il est seul à occuper l’espace de transmission afin d’éviter des
interférences sur les autres transmissions. Sa transmission se fait en
diffusant l’information et seul le nœud dont l’adresse apparaît
Un réseau de capteurs se compose de deux types de nœuds : des comme destination récupère l’information pour la relayer à son tour
simples capteurs et des collecteurs d’informations appelés puits. en la transmettant au nœud suivant. Ces nœuds sont appelés les
Le capteur est composé d’un microcontrôleur et d’un circuit nœuds relais. Le relais est un nœud indispensable dans un réseau
radio. Le microcontrôleur est simple et peut être embarqué aisé- large. En effet, il est impossible de couvrir tous les nœuds du réseau
ment. Plusieurs fabricants, tels que Texas Instruments, Atmel, par une seule transmission. L’atténuation des signaux radio et
Freescale… en produisent. Cet appareil doit répondre à l’exigence d’autres phénomènes comme l’évanouissement ou le multichemin
d’une faible consommation d’énergie tout en ayant la possibilité font que le signal, à partir d’une certaine distance, peut se dégrader
d’exécuter de simples opérations et de posséder une mémoire per- et contenir un nombre important d’erreurs le rendant incompréhen-
mettant d’emmagasiner de l’information. L’appareil doit aussi pré- sible. C’est pourquoi, relayer l’information permet de la récupérer
senter la possibilité d’avoir un état oisif durant lequel il consomme dans un nœud intermédiaire, de la régénérer avec une énergie
une quantité d’énergie infinitésimale. Ces états oisifs peuvent par- remise à neuf redonnant ainsi à l’information la possibilité d’attein-
fois durer très longtemps. Le capteur peut se réveiller seulement dre une destination plus lointaine. Ainsi, la transmission de proche
pour capter la grandeur physique à mesurer et aussi pour effectuer en proche permet de joindre le nœud final (le nœud puits men-
des opérations de réseaux comme dialoguer avec des capteurs tionné en gris sur la figure 1). Certains capteurs captent la grandeur
voisins ou relayer l’information provenant d’autres capteurs. physique et la gardent afin d’agréger l’information mesurée qui sera
Le circuit radio assure la communication du capteur avec envoyée plus tard pour réduire la consommation d’énergie. Ces
d’autres appareils via des liens radios. Ces derniers ont facilité nœuds sont indiqués en bleu clair sur la figure 1. L’agrégation, la
l’implantation massive de capteurs et ont offert une indépendance synchronisation, la manière de relayer l’information, etc. sont toutes
précieuse car il a réduit les coûts du câblage et de l’ingénierie des procédures qui doivent être bien pensées afin d’optimiser la
nécessaire pour les installations passées. Grâce à la communica- durée de vie du réseau qui est intimement liée au nombre de nœuds
tion par ondes hertziennes, un installateur peut déposer facilement considérés comme finis car leur batterie est épuisée. Ces nœuds
des capteurs sans se soucier de la complexité des opérations pour sont indiqués avec la couleur blanche sur la figure 1.
les atteindre afin de relever les mesures. Il suffit d’être dans le Pour que l’acheminement de l’information se fasse de manière
champ de couverture radio pour transmettre ou recevoir l’informa- harmonieuse, on peut distinguer plusieurs fonctionnalités.
tion requise.
Avec ses capacités de traitement et de mémorisation, le capteur ■ Endormir et réveiller les nœuds
peut devenir un nœud actif dans un réseau relativement large. Ici, l’algorithmique reste complexe car endormir un nœud vou-
Lorsque le nombre de capteurs devient conséquent, la communi- drait dire que le nœud n’est plus là pour servir de relais et le pro-
cation en réseau devient indispensable. Il n’est en effet alors plus cessus d’endormissement doit prendre en considération le fait
possible d’atteindre un capteur directement par un câble ou même d’éviter qu’un groupe de capteurs se retrouve isolé du reste du
par une connexion radio. C’est là alors qu’on peut parler de vérita- réseau car tous ses nœuds relais sont en état oisif.
bles réseaux de capteurs capables de s’auto-configurer et de
s’auto-organiser de manière dynamique. Ces propriétés offrent un
très large spectre d’applications, notamment dans les domaines
militaires, de l’environnement, de l’écologie, etc.
Dans un réseau de capteurs, une autre entité, appelé puits,
détient un rôle très important. Cette entité généralement possède
des capacités supérieures en termes de puissance de traitement,
de capacité de mémoire et d’autonomie d’énergie. Elle permet de
collecter l’information en provenance des capteurs et apporte un
soutien très fort au fonctionnement du réseau. Elle peut locale-
ment assurer des fonctions centrales dans le routage, l’agrégation
des données, la configuration des nœuds ou encore l’organisation
de l’ordre de transmission et de réception des différents capteurs
avoisinants.
La figure 1 illustre un exemple de réseau de capteurs où nous
pouvons distinguer différents scénarios possibles. Sur cette figure, Puits
nous pouvons repérer :
Nœud actif
• des nœuds hors service car leurs batteries sont usées ; Nœud relais
• des nœuds actifs en étant soit source de l’information ou ser- Nœud capteur et agréateur
vant comme relais pour atteindre le puits de la collecte Nœud mort
d’informations ;
• des nœuds endormis qui se trouvent dans leur état oisif. Figure 1 – Exemple de réseau de capteurs.

H 8 500 – 2 est strictement interdite. – © Editions T.I.
ＲＶ
ｈＸＵＰＰ
______________________________________________________________________________________________________________ RÉSEAUX DE CAPTEURS
■ Accéder à la transmission sans collision ni interférence avec les besoins. Ici, les contraintes sont plus nombreuses et empêchent la
voisins création d’un type spécifique du réseau de capteurs. Sans être
La transmission physique se fait sur l’interface radio qui est parta- exhaustif, voici une liste de contraintes possibles lors de la concep-
gée avec les capteurs voisins. Les ondes peuvent perturber à la fois tion d’un réseau de capteurs.
les nœuds qui se retrouvent dans la couverture radio et ceux qui sont
en dehors mais pas suffisamment loin de l’émetteur pour que leurs
signaux soient largement atténués. Un protocole d’accès au support 2.1 Contraintes liées à l’application
Ｑ
de transmission doit offrir au capteur la possibilité de transmettre à
la demande, et parfois une contrainte d’accès déterministe s’impose Il est impossible aujourd’hui de créer un réseau de capteurs
lorsqu’il s’agit d’applications présentant des risques élevés. La capable de répondre aux besoins de toutes les applications poten-
conception du protocole d’accès doit tenir compte des contraintes tielles. On peut relever des mesures pour une infinité de situations
énergétiques des nœuds capteurs car cela ne doit pas user les batte- et dans des environnements très variables tout en ayant une
ries inutilement. Il faut savoir que la transmission, la réception, concentration faible ou forte des capteurs ; on peut se retrouver
l’écoute et l’interférence représentent les fonctions les plus gourman- avec des réseaux denses comme avec des réseaux épars. La diffi-
des en énergie et ce loin devant d’autres fonctions comme l’accès à culté réside alors dans la recherche d’un dénominateur commun à
la mémoire, la mesure ou le traitement de l’information. toutes ces applications ce qui est pour l’instant très complexe et
relève de l’impossible. C’est pourquoi, l’application devient le prin-
■ Acheminer l’information cipal paramètre lors de la conception de protocoles très spécifi-
Acheminer l’information utilise ce qu’on appelle le routage qui ques pour que le fonctionnement des capteurs produise le résultat
permet de faire véhiculer l’information du capteur vers le nœud attendu par l’application en question.
puits destination. Le routage doit être dynamique et distribué.
Dynamique car nous n’avons jamais les mêmes routes pour cause
d’endormissement et de disparition de certains capteurs. Il est éga- 2.2 Contrainte énergétique
lement distribué pour ne pas user toujours les mêmes relais. Ici, le
capteur endosse des responsabilités importantes car il est consi- L’énergie est considérée comme la contrainte principale dans un
déré, à certains moments, comme étant un nœud routeur capable réseau de capteurs. Déjà, comme pour tout réseau sans fil, il est
à la fois de réfléchir pour décider du prochain relais et d’intégrer important de tenir compte de cette contrainte car la plupart des
dans cette décision des paramètres importants comme l’augmen- machines fonctionnent sur batterie. Après la décharge de la batte-
tation de la durée de vie du réseau de capteurs et la réduction de rie, l’utilisateur est obligé de trouver une source électrique pour la
la consommation de sa propre énergie ainsi que celle de tous les recharger. Cependant, dans les réseaux de capteurs, il est prati-
nœuds de son réseau. L’aspect distribué du routage permet au quement impossible de recharger de par le nombre élevé de cap-
réseau de capteurs d’accéder au principe du passage à l’échelle où teurs par installateur et de par la difficulté de l’environnement
localement l’évolution du nombre de capteurs dans une zone dans lesquels ils peuvent se trouver. On parle alors pour la pile ou
n’influence en aucun cas les autres nœuds du réseau. la batterie d’âme du capteur. Une fois vide, le capteur est consi-
déré comme mort ou hors service. L’objectif à atteindre devient
■ Gérer l’énergie de façon à réduire le nombre de capteurs qui dis- l’augmentation de la durée de vie du réseau de capteurs. Ce para-
paraissent mètre peut être défini sous différentes formes telles que la con-
L’énergie est la contrainte la plus importante dans un capteur. sommation globale de tous les capteurs ou l’évitement qu’un
Généralement, lorsqu’on installe un réseau de capteurs, on pense capteur important perde son énergie ou la perte de la connectivité
en mettre beaucoup et souvent dans des endroits isolés. Par consé- du réseau, etc.
quent, aller recharger les capteurs en énergie ou tout simplement
remplacer leurs batteries devient une opération complexe et coû-
teuse. Il est donc important de comprendre que la durée de vie d’un 2.3 Contraintes liées aux déterminismes
capteur est relative à l’autonomie de son support d’énergie. Ainsi,
toute opération imaginée ou envisagée doit être évaluée en termes La plupart des réseaux de capteurs sont destinés à être
de consommation d’énergie. Gérer l’énergie dans un réseau de cap- déployés dans des environnements hostiles sur des sites indus-
teurs peut devenir une opération très délicate selon le but à attein- triels importants ou à opérer pendant des scénarios de crises.
dre. Parfois, on souhaite que la consommation totale des batteries L’information que le capteur mesure doit parfois atteindre le col-
des différents capteurs soit diminuée mais d’autres fois et aux lecteur d’informations en un temps borné bien défini. Au-delà de
dépens de cette consommation, on privilégie l’augmentation de la ce temps, l’information est considérée comme périmée ou non
durée de vie d’un capteur auquel on a affecté une opération délicate existante. Atteindre le déterminisme sur un réseau de capteurs
ou urgente. En somme, à la conception et aussi pendant l’évolution sans fil n’est pas une tâche évidente. La raison vient du fait que
du réseau, la question de l’énergie est à traiter de manière précise. pratiquement tous les standards de communication sans fil
aujourd’hui utilisent des méthodes probabilistes pour accéder à
Toutes ces opérations sont organisées dans le but d’optimiser le cette interface radio.
fonctionnement du réseau de capteurs. Ce bon fonctionnement
tient en répondant à un nombre de contraintes fixées par la fonc-
tion à laquelle est destiné le réseau de capteurs.
2.4 Contraintes de passage à l’échelle
Le passage à l’échelle (en anglais scalability) indique que le
réseau est suffisamment large et peut croître de manière illimi-
2. Contraintes tée. En d’autres termes, quand on passe à l’échelle, il est trop
dans la conception tard pour effectuer des mises à jour radicales au réseau. À cha-
que nouvel ajout, on doit prendre en considération les services
d’un réseau de capteurs existants et assurer leur pérennité. De plus, gérer un grand
réseau par des humains devient une tâche impossible à réaliser.
Pour pouvoir opérer quand on passe à l’échelle, il faut que les
Les réseaux de capteurs diffèrent des réseaux classiques où l’on capteurs soient capables de s’auto-configurer seuls. L’auto-confi-
peut être relativement générique et définir seulement un certain guration peut aller de la simple attribution d’un identifiant
nombre de classes de service pour satisfaire le maximum de jusqu’à l’application du protocole pour le bon fonctionnement du

ＲＷ
Ｑ
ＲＸ
ｓＷＵＱＰ
Réseaux de capteurs sans fil

Les nouveaux défis
Ｑ
par Nathalie MITTON
Docteur
Directrice de recherche, responsable scientifique équipe Inria FUN
1. Réseaux de capteurs : définition et applications ..................... S 7 510v2 – 2

2. Différents défis ............................................................................... — 3
3. Découvrir le réseau ........................................................................ — 4
3.1 Découverte de voisinage sans connaissance des coordonnées ....... — 4
3.2 Découverte de voisinage avec connaissance des coordonnées ....... — 5
4. Routage géographique ................................................................... — 6
5. Routage basé sur une auto-organisation ................................... — 8
6. Et si les capteurs pouvaient se déplacer ?................................. — 10
6.1 S’auto-déployer .................................................................................. — 10
6.2 Routage géographique ....................................................................... — 11
7. Conclusion........................................................................................ — 13
8. Acronymes........................................................................................ — 13
Pour en savoir plus.................................................................................. Doc. S 7 510v2
es réseaux de capteurs sans fil envahissent progressivement notre quoti-

L dien, nous proposant de nouveaux services chaque jour. On les trouve
dans des applications qui nous touchent de plus en plus. Tout d’abord utilisés
dans la surveillance de l’environnement et des animaux, ils ont ensuite apporté
leur support dans les activités de secourisme et de surveillance de structure.
Maintenant, ils font leur apparition dans des applications encore plus proches
de nous pour améliorer notre confort, comme lorsqu’ils nous guident vers des
places de parking disponibles ou nous informent sur la qualité de l’air.
Mais que sont-ils exactement ? Et à quoi peuvent-ils servir ? C’est ce que
nous allons voir au travers de cet article. Nous verrons également quels sont
les défis technologiques qu’ils apportent et comment les chercheurs y répon-
dent. Nous verrons comment ils font pour se découvrir les uns les autres, com-
ment ils font pour communiquer et acheminer des informations de façon sim-
ple alors qu’ils sont limités en capacité de calcul, en espace mémoire et qu’ils
reposent sur des batteries. Nous verrons que bien que plusieurs solutions aient
été apportées, il reste encore beaucoup de défis à relever.
Nous verrons enfin que les avancées de la science permettent maintenant de
transformer ces petits capteurs en petits robots, c’est-à-dire que leur mobilité
peut être contrôlée. Cela ouvre la voie à des applications encore plus nombreu-
ses, comme des applications d’exploration de zone dangereuse tel le site d’une
centrale nucléaire après une fissure dans un réacteur. Mais cela vient égale-
ment avec de nouvelles difficultés et des défis toujours plus nombreux et
plus intéressants à relever.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｬｬ･ｴ＠ＲＰＱＹ
Copyright © - Techniques de l’Ingénieur - Tous droits réservés S 7 510v2 – 1
ＲＹ
ｓＷＵＱＰ
RÉSEAUX DE CAPTEURS SANS FIL ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
1. Réseaux de capteurs :
définition et applications
Un capteur (figures 1 et 2) est un équipement qui permet de
mesurer une grandeur physique dans l’environnement qui l’en-
toure, telle que la température, le taux d’humidité, des vibrations
Ｑ
et qui la transforme en une grandeur numérique capable d’être trai-
tée informatiquement. Un capteur seul peut permettre des applica-
tions locales.
Par exemple, un capteur de présence va permettre d’éclairer une

lampe lors du passage d’une personne. Figure 1 – Zolertia Firefly
Lorsque le capteur est équipé d’une carte de communication

sans fil, il peut alors être mis en réseau, relayer les informations
des autres capteurs, étendant ainsi leur couverture, ce qui donne
une autre dimension.
Illustrons un réseau de capteurs au travers d’une application.
Imaginez un volcan dont l’activité sismique doit être surveillée
étroitement [1]. Imaginez un ensemble de capteurs sismiques qui
vont être déployés sur le volcan pour en mesurer l’activité sismique
comme illustré sur la figure 3. Imaginez que ces petits capteurs
sont équipés d’une carte radio qui leur permet d’envoyer ces infor-
mations prélevées sur l’environnement vers une station de base,
que l’on appellera par la suite puits (puits de données) capable
d’interpréter ces valeurs. Les capteurs sont de petits objets à faible
coût (afin de pouvoir en déployer un très grand nombre) qui ont
des capacités réduites en termes d’espace mémoire et de puis-
sance de calcul. Par ailleurs, ils reposent sur des batteries et ont
donc une source d’énergie limitée. Ainsi, les capteurs n’ont pas la
possibilité d’envoyer directement leurs données au puits trop loin-
tain et doivent donc relayer les informations les uns des autres.
Nous obtenons alors un réseau de capteurs sans fil qui doit savoir
s’auto-organiser.
Les réseaux de capteurs sans fil peuvent être utilisés dans de
nombreuses applications. À l’image de la surveillance d’un volcan,
ils peuvent être utilisés dans toute sorte de surveillance de l’envi-
ronnement (surveillance de feux de forêts avec des capteurs ther-
miques et d’humidité, évolution de la qualité de l’air ou de l’eau,
etc.). On les rencontre également dans les activités de secourisme. Figure 2 – WSN430 – © Photo Eric Fleury
Figure 3 – Un réseau de capteurs pour la surveillance d’un volcan. @Harvard
S 7 510v2 – 2 Copyright © - Techniques de l’Ingénieur - Tous droits réservés
ＳＰ
ｓＷＵＱＰ
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– RÉSEAUX DE CAPTEURS SANS FIL
Par exemple lorsqu’un incendie se déclare dans une zone souter-

raine comme un parking, la fumée empêche de détecter la source de 2. Différents défis
l’incendie. Des capteurs de température peuvent alors guider les
pompiers vers ce foyer.
Afin de faire fonctionner de façon efficace ces réseaux sans fil, il
faut répondre à de nombreux défis. En effet, un capteur est petit et
Ils sont également très sollicités par les biologistes qui souhai- peu coûteux. Il a peu de capacité mémoire et donc ne peut pas
tent mieux comprendre le comportement des animaux mais dont embarquer une carte complète du réseau, ni apprendre au long de
l’observation biaise en elle-même l’observation. Placer des cap- sa vie pour ne pas saturer sa mémoire. Il a peu de puissance de
Ｑ
teurs sur les animaux permet de mesurer les inter-contacts entre calcul et donc ne peut pas exécuter des calculs compliqués
eux et de retracer leurs habitudes. comme des intégrales, des cosinus ou autres. Il dispose d’une
source d’énergie limitée qu’il faut préserver au maximum afin que
& Applications industrielles le réseau vive le plus longtemps possible. Enfin, suivant l’applica-
tion, les capteurs peuvent être mobiles (si apposés sur des ani-
Les réseaux de capteurs apparaissent également dans le monde maux ou des véhicules par exemple), ce qui introduit une topologie
industriel qui leur prête de nouveaux usages. En effet, au-delà de du réseau constamment dynamique et pas toujours prédictible.
leur fonction première qui consiste à prélever une donnée physique
Les plus grands défis sont liés bien sûr à l’auto-organisation de
sur l’environnement, les industriels exploitent maintenant leur ces capteurs en réseau et aux primitives nécessaires pour remonter
capacité à véhiculer de l’information sans le besoin d’une infra- les données captées, que nous listons ci-dessous. De par les
structure et avec des propriétés liées à la propagation sans fil. contraintes matérielles et spécificités des capteurs listées ci-dessus,
Les applications industrielles pourraient être regroupées en six on favorisera des protocoles locaux (ne se basant que sur des infor-
grands thèmes : mations propres à chaque capteur qui ne nécessitent pas ou peu
d’échanges de messages) et distribués (tous les capteurs sont les
1) Surveillance de l’environnement : les applications plus ‘tradi- mêmes et exécutent le même algorithme). À cela s’ajoutent deux
tionnelles’ comme celles évoquées précédemment (surveillance de défis transverses que sont l’énergie qu’il faut préserver au maxi-
feu de forêt, de volcans, etc) sont commercialisées et généralisées. mum et la mobilité des nœuds.
À cela s’ajoutent des applications à destination des citoyens,
notamment dans les villes, qui permettent la mesure de la qualité Très souvent, des compromis sont à faire dans les choix techni-
ques des protocoles entre coûts (en matériel, en énergie, etc.) et
de l’air ou encore de la pollution sonore.
performances (latence, taux de réceptions, etc.).
2) Contrôle des structures : les réseaux de capteurs font main-
L’énergie est en général la ressource la plus critique dans un
tenant leur apparition dans les projets d’urbanisme pour détecter réseau de capteurs sans fil car dans la plupart des cas, on ne sau-
des fuites d’eau ou de gaz dans les infrastructures urbaines ou rait envisager de remplacer ou recharger la batterie. La radio est le
encore pour mesurer et contrôler les consommations énergéti- composant qui nécessite le plus d’énergie dans un capteur (par
ques de divers équipements. Ils peuvent également être placés rapport aux activités de sensing (prélever les données physiques),
sur des structures telles que des ponts ou des tunnels pour de calcul ou d’accès mémoire. Il faut également avoir conscience
mesurer les vibrations et anticiper les ruptures et fêlures de ces que écouter demande autant d’énergie qu’émettre et que, en
structures comme c’est le cas par exemple du Golden Gate [2] à radio, tout nœud se trouvant à portée radio de l’émetteur reçoit
San Francisco. (pas seulement le destinataire du message) et consomme par
3) Automatisation des processus : les capteurs sont placés le conséquent. Les différents capteurs doivent coopérer pour faire
long de la chaı̂ne de production et permettent de détecter le pas- fonctionner le réseau. Une façon de réduire la consommation sera
sage des pièces, de les aiguiller dans les bonnes directions et de de mettre périodiquement le capteur en veille (couper la radio)
mais cela signifie que le capteur ne peut pas recevoir pendant ce
remonter des alertes en cas de problèmes.
temps. On introduira donc dans le réseau, soit un délai, soit des
4) Traçabilité, suivi et logistique : Du fait de leur grande agilité pertes de messages.
(pas besoin de câblage) et de leur capacité à s’auto-organiser en Chaque capteur doit, de façon autonome et indépendante, trans-
réseau de façon opportuniste en se basant sur tout mode de commettre l’information qu’il a lui-même perçue et relayer celle
munication disponible, les réseaux de capteurs sans fil sont égale- d’autres capteurs vers le puits.
ment utilisés pour remonter des données depuis des zones non
couvertes par un réseau filaire ou cellulaire. Ils sont par exemple Pour cela, chaque capteur doit être en mesure de découvrir son
apposés sur des biens qui voyagent à travers le monde et permet- voisinage, c’est-à-dire, établir la liste des autres capteurs à portée
tent de les suivre en quasi-temps réel. radio avec qui il peut communiquer directement (ses voisins) et
garder cette liste à jour malgré la mobilité ou la défaillance des cap-
5) Sport et santé : Des capteurs corporels (mesure du rythme car- teurs. Cette étape se situe entre les couches de niveaux 2 et 3 de la
diaque, de la pression sanguine, etc.) sont également utilisés pour couche OSI. Elle est utile à la plupart des protocoles de niveau 3 tels
étudier le corps des sportifs ou pour surveiller l’état de santé de que le routage [E 7 520] ou supérieur (clustering, ordonnancement
certains patients. Le mode de communication sans fil est privilégié d’activité, localisation, etc). Nous verrons au § 3 cette étape plus en
pour ne pas entraver les mouvements de la personne surveillée. détail.
6) Services : De nouveaux services sont proposés au travers de Ensuite, lorsque le capteur envoie ou relaie un message, tous ses
réseau de capteurs. Par exemple, ils sont déployés dans des par- voisins le recevront. Il faut donc identifier celui parmi eux pour qui
kings pour détecter les places disponibles et guider les automobile message est destiné. Ce peut être le destinataire final du mes-
listes. Les propriétés de la propagation radio sont également sage ou alors juste un nœud intermédiaire qui devra à son tour
exploitées pour proposer des solutions de localisation qui se relayer le message. Dans ce dernier cas, l’identification du relais
basent sur les puissances des signaux. se fait de façon locale et diffère à chaque saut. C’est le rôle du pro-
tocole de routage. Suivant les algorithmes, cette identification peut
De nombreuses applications industrielles sont détaillées dans [3], être faite au niveau du nœud expéditeur qui inscrit alors l’identi-
expliquant pour chacune les solutions existantes. fiant du prochain relais dans le message ou par le nœud qui reçoit
Ainsi, les réseaux de capteurs trouvent leur place dans de nom- le message et qui décide par lui-même s’il doit relayer ou non.
breuses applications pluri-disciplinaires [4] [5] qui sont chaque Le premier cas est le plus simple et le plus courant. Le second
jour plus nombreuses. cas a l’avantage de ne pas toujours nécessiter de découverte de
Copyright © - Techniques de l’Ingénieur - Tous droits réservés S 7 510v2 – 3
ＳＱ
ｓＷＵＱＰ
RÉSEAUX DE CAPTEURS SANS FIL ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
voisinage au préalable mais ne peut être mis en place que pour cer- temps (généralement égal à 3 fois la période d’envoi des messages
tains protocoles de routage comme les protocoles géographiques HELLO), u efface v de la liste de ses voisins. C’est ce protocole sim-
ou opportunistes. ple qui est généralement implémenté aujourd’hui avec une période
Enfin, lors de la transmission, chaque capteur doit d’abord transmission égale à 2 s et donc une période de rafraı̂chissement
s’assurer qu’il est seul à occuper l’espace de transmission afin égale à 6 s. En général, la table de voisinage est cependant limitée
d’éviter des interférences et collisions sur les autres transmissions. à 10 entrées pour des raisons d’occupation mémoire mais, à l’heure
Un espace de transmission est défini ici par une zone géogra- actuelle, les réseaux déployés étant peu denses, cette limite est
phique, temporelle et fréquentielle. (Par exemple, deux capteurs amplement suffisante. En cas de densité plus forte, un filtrage est
effectué pour maintenir seulement les voisins dont le signal radio
Ｑ
ne peuvent émettre pas en même temps sur la même fréquence
en étant à portée radio l’un de l’autre.) est le plus puissant.
En effet, les différents messages entrant en collision seraient non Ce protocole est simple et efficace. Il est très adapté à des situa-
seulement perdus et devraient être re-transmis (impliquant des tions où les capteurs sont statiques ou bougent peu.
délais de retransmission) mais aussi leur émission et leur écoute Cependant, lorsque le réseau est plus dynamique, les verrous
par les différents capteurs à portée radio auraient provoqué des consistent en l’adaptation des fréquences d’envoi et de rafraı̂chisse-
consommations d’énergie non négligeables. Il est donc parfois pré- ment de la table afin d’avoir des tables à jour, même en cas de
férable d’attendre avant d’envoyer pour économiser les différentes mobilité des capteurs, sans saturation des ressources. Les fréquen-
ressources et même diminuer la latence (puisqu’en cas de collision, ces d’envoi de ces messages et celle, de rafraı̂chissement de la
la latence sera plus grande du fait du temps nécessaire aux re-
table de voisinage doivent s’adapter à leur environnement car
transmissions). Ces différentes problématiques sont traitées au
envoyer trop de messages pourrait saturer inutilement la bande
niveau de la couche MAC (Medium Access Control) de la pile de
passante et consommer inutilement de l’énergie alors qu’en
transmission des capteurs [TE 7 020] [H 2 284] [25]. Cette dernière
envoyer trop peu ne permettrait pas de détecter tous les voisins.
gère également la mise en veille et le réveil des capteurs nécessai-
De la même façon, effacer trop vite des entrées de la table de voisi-
res pour l’économie d’énergie. La couche MAC n’étant pas détaillée
dans cet article, le lecteur intéressé peut se référer au chapitre 2 nage pourrait effacer des liens toujours existants et ne pas rafraı̂-
de [6]. Les standards les plus connus et les plus développés chir assez souvent conduirait à des tables obsolètes dans lesquelles
aujourd’hui étant IEEE 802.11 [TE 7 376] et IEEE 802.15.4 [TE 7 509]. figureraient encore des voisins hors de portée.
Il s’agit là des primitives de base à assurer afin que le réseau soit Dans ce chapitre, nous allons voir quelles sont les solutions pro-
opérationnel. De nombreuses autres fonctionnalités peuvent posées aujourd’hui pour améliorer cet algorithme simple et obtenir
cependant être apportées en fonction des applications pour optimi- des tables de voisinage plus consistantes surtout en cas de mobi-
ser l’utilisation des ressources et en particulier l’énergie. Ainsi, cer- lité des capteurs. En effet, afin de permettre la détection des voisins
tains mécanismes d’ordonnancement d’activité existent, consistant la plus fine possible, la fréquence d’envoi d’un message Hello doit
chaque capteur à décider d’envoyer moins de données. Ils peuvent s’adapter à la mobilité des capteurs. En effet, plus un capteur va
se baser sur des méthodes d’apprentissage qui permettent de pré- vite, plus la fréquence doit être élevée.
dire les données aussi bien à la source qu’à la destination. Ainsi la
source n’envoie les données que si elles diffèrent de celles prédites.
On peut également décider de différer l’envoi de données afin de 3.1 Découverte de voisinage sans
les agréger (temporellement ou spatialement) avec d’autres à connaissance des coordonnées
venir. Les solutions récemment proposées en ce sens reposent
généralement sur des approches de Machine Learning simplifié Comment adapter la fréquence d’envoi d’un message HELLO si
afin de pouvoir être exécutée sur les capteurs [28]. les capteurs ne connaissent pas leurs coordonnées et donc n’ont
Ces derniers ne seront pas détaillés dans cet article. Nous ren- aucun moyen d’estimer leur mobilité ?
voyons le lecteur intéressé vers [24]. Une première solution Event-Based HELLO protocol (EHP) adapte
De plus, proposer des solutions distribuées et locales a un autre le protocole HELLO de la façon suivante. Si un capteur ne reçoit
avantage. Cela assure une robustesse au réseau vu qu’une panne aucun message HELLO pendant un certain temps et n’a aucune don-
ne pourra impacter que son voisinage et non pas l’ensemble du née à transmettre alors, il arrête d’envoyer des messages. Cela lui
réseau. Cela facilite également l’auto-réparation puisque cette permet d’économiser de l’énergie. L’idée est la suivante : si un cap-
même panne aura juste besoin d’être identifiée et isolée localement. teur ne reçoit pas de messages alors c’est qu’il est seul et donc n’a
Nous ne pourrons pas développer ici tous ces défis. Nous nous pas besoin de signaler sa présence. Malheureusement, EHP ne tient
attacherons plus précisément à deux d’entre eux qui sont le décou- pas compte de la dynamique du réseau qui fait qu’un capteur peut
verte de voisinage et le routage géographique. apparaı̂tre ou disparaı̂tre ou se déplacer. Un nouveau capteur appa-
raissant dans le voisinage d’un capteur qui a arrêté l’envoi de ses
messages HELLO ne le signalera pas.
Une première solution propose que chaque capteur calcule en
3. Découvrir le réseau permanence deux valeurs basées sur l’observation de son voisi-
nage, le TLF (Time Link Failure), temps pendant lequel un lien
reste actif, et le TWC (Time Without Change), temps pendant lequel
La découverte de voisinage [8] est un mécanisme qui permet à la table de voisinage ne change pas. Les messages HELLO sont
chaque capteur d’établir la liste des autres capteurs à portée radio alors envoyés avec une fréquence flow. Si un capteur remarque
(ses voisins). Cette étape est très importante dans la vie d’un que le TWC passe au-dessous d’un seuil donné (le réseau est
réseau puisque la plupart des algorithmes de niveau supérieur donc fortement dynamique), il passe en mode « hautement dyna-
(routage, ordonnancement, etc.) reposent sur les tables de voisi- mique » et envoie les messages HELLO avec une fréquence fhigh
nage construites par ces algorithmes. plus élevée. Puis si la valeur TLF passe en dessous d’un autre
seuil (le réseau est stable), les messages HELLO sont de nouveau
La découverte de voisinage se fait traditionnellement au travers
envoyés à la fréquence flow.
de l’envoi périodique d’un message HELLO. Sur réception d’un tel
message envoyé par le capteur v, le capteur u apprend l’existence Cette solution considère donc la mobilité relative des capteurs, ce
de v en tant que son voisin et l’inscrit dans sa table de voisinage, qui est plus approprié que la vitesse absolue. En effet, même si deux
ou met à jour l’entrée correspondante si v y apparaı̂t déjà. Lors- capteurs sont très rapides (vitesse absolue), s’ils évoluent côte à
qu’aucun message de v n’est reçu par u au bout d’un certain côte, de leurs points de vue, c’est comme s’ils ne bougeaient pas.
S 7 510v2 – 4 Copyright © - Techniques de l’Ingénieur - Tous droits réservés
ＳＲ
ｓＷＵＱＱ
Réseaux de capteurs autonomes

Couche physique et architectures matérielles
Laurent CLAVIER
Ｑ
par
Professeur à l’Institut d’Électronique de Microélectronique et de Nanotechnologie,
Villeneuve d’Ascq, France
et Christophe LOYEZ
Chargé de recherche CNRS à l’Institut d’Électronique de Microélectronique et de
Nanotechnologie, Villeneuve d’Ascq, France
1. Solutions actuelles ......................................................................... S 7 511 –3

1.1 Panorama des télécommunications .................................................. — 3
1.2 Canal radio ......................................................................................... — 5
1.3 Impact du canal et étalement du spectre (couche Phy) .................... — 6
1.3.1 Nécessité d’étaler le spectre ................................................... — 6
1.3.2 Techniques d’étalement ........................................................... — 7
1.3.3 Diversités ................................................................................. — 9
1.4 Accès à la ressource (MAC) ............................................................... — 9
1.4.1 Choix d’une méthode aléatoire ............................................... — 9
1.4.2 Problématique spécifique du canal radio ............................... — 10
1.4.3 Topologie du réseau ................................................................ — 11
1.4.4 Accès au canal : avec ou sans « balise » ................................ — 11
1.5 Limites actuelles ................................................................................. — 11
2. Architectures matérielles.............................................................. — 12
2.1 Solutions à faible consommation énergétique ................................. — 12
2.1.1 Généralités ............................................................................... — 12
2.1.2 Topologies actuelles ................................................................ — 12
2.2 Systèmes ultra large bande pour réseaux de capteurs .................... — 13
2.2.1 Contexte ................................................................................... — 13
2.2.2 Architecture d’un système ULB à impulsions ........................ — 13
2.2.3 Techniques de synchronisation à faible consommation
énergétique pour système ULB .............................................. — 14
2.3 Systèmes radio fréquences millimétriques à faible consommation
pour réseaux de capteurs .................................................................. — 14
2.3.1 Analyse du bilan de liaison d’un système millimétrique ....... — 14
2.3.2 Système impulsionnel radio à 60 GHz .................................... — 15
2.3.3 Architecture de récepteurs classiques .................................... — 15
2.3.4 Avantages des récepteurs à super-régénération .................... — 15
3. Interférences et coopération........................................................ — 17
3.1 Interférences externes ........................................................................ — 17
3.2 Interférences internes ........................................................................ — 17
3.3 Prise de décision ................................................................................ — 17
3.4 Coopération ........................................................................................ — 18
3.4.1 Avantages de la coopération ................................................... — 18
3.4.2 Relais ........................................................................................ — 19
3.4.3 Difficultés de la coopération ................................................... — 19
4. Conclusion........................................................................................ — 19
a capacité d’un canal radio tel qu’étudié par Shannon en 1948 est connue et
L des solutions existent pour l’atteindre. La question peut alors se poser sur
l’intérêt qu’il faut porter à la couche physique et à l’architecture matérielle des
systèmes de communication. Cependant l’évolution des réseaux de capteurs
vers l’Internet des objets crée la nécessité d’une nouvelle compréhension de
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠､￩｣･ｭ｢ｲ･＠ＲＰＱＳ
ces systèmes et apporte une contrainte très forte sur la consommation

énergétique.
Copyright © - Techniques de l’Ingénieur - Tous droits réservés S 7 511 – 1
ＳＳ
ｓＷＵＱＱ
RÉSEAUX DE CAPTEURS AUTONOMES –––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Depuis quelques années, les premiers réseaux de capteurs sont déployés sur
de grandes échelles. Si le premier réseau de capteurs date de 1969 (capteurs
sismiques utilisés par l’armée américaine au Vietnam) on peut compter à
l’heure actuelle près de 10 milliards d’objets communicants (pas uniquement
les capteurs) et l’étendue des champs d’application laisse penser que ce nom-
bre va croı̂tre très rapidement : villes et bâtiments intelligents, véhicules, cata-
strophes naturelles et secours, autonomie des personnes âgées, inventaires…
La figure 1 illustre une application des réseaux de capteurs dédiée au suivi du
Ｑ vieillissement d’infrastructures.
Les réseaux de capteurs sans fil permettent de collecter des données, de les
traiter localement ou de les transmettre à des centres qui les géreront. Mais les
contraintes des communications diffèrent de ce que l’on a fait jusqu’à
maintenant :
la durée de vie des nœuds doit être grande pour assurer une durée de vie du
réseau suffisamment longue (années, décennies) sans pour autant devoir
changer les piles ;
la densification des réseaux nécessite une grande robustesse, en particulier
aux interférences dont la densité de probabilité n’a pas nécessairement la
classique allure gaussienne.
L’efficacité spectrale est le nombre de bits d’information que l’on peut transmettre par
seconde et par Hertz. Une solution simple pour améliorer l’efficacité spectrale est d’aug-
menter la puissance du signal transmis : plus celui-ci sera fort, moins il sera sensible au
bruit, et plus la transmission sera efficace. Il semble clair pourtant qu’augmenter la
puissance d’émission présente beaucoup d’inconvénients et a ses limites. Les recher-
ches en communication sans fil ont permis de concevoir des stratégies de communica-
tion (modulation, codage en particulier) qui permettent (presque) de faire ce que l’on
peut faire de mieux (capacité sur bande passante comme Shannon nous l’avait
annoncé en 1948). Sauf que les contraintes énergétiques et la densification des réseaux
voudraient que l’on exprime l’efficacité en bits par seconde par Hertz mais aussi par
Joule et par mètre !
De ce fait, la définition du hardware et de l’accès au canal radio n’est plus

conçue exclusivement pour l’efficacité spectrale, mais également, et de plus
en plus, pour l’efficacité énergétique. C’est une modification profonde dans la
conception même des réseaux et des communications. Les systèmes commer-
cialement disponibles de nos jours tels que Zigbee fonctionnent dans les ban-
des de fréquence ISM (industrielle, scientifique et médicale). Ces bandes, si
elles ne le sont pas déjà, commencent à saturer et risquent de ne pas permettre
de transmettre la quantité souhaitée de données. Certaines fonctionnalités sont
également limitées dans ces bandes telles que la géolocalisation.
Figure 1 – Capteurs enfouis dans le béton pour suivi de vieillissement

d’infrastructures (Société CITC)
S 7 511 – 2 Copyright © - Techniques de l’Ingénieur - Tous droits réservés
ＳＴ
ｓＷＵＱＱ
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– RÉSEAUX DE CAPTEURS AUTONOMES
Cet article discute les différentes solutions pour des applications ultra basse
consommation. Nous ne parlerons pas ici de « communications vertes » bien
que ce soit tentant, mais la très basse consommation est plus un besoin égoı̈ste
du réseau pour s’assurer une longue durée de vie qu’une visée écologiste. Nous
présenterons tout d’abord le standard IEEE 802.15.4 qui définit les couches phy-
sique et MAC (couche 1 et 2 du modèle OSI) adaptées à la basse consomma-
tion. Plutôt que de détailler le standard, nous essayons d’expliquer ce qui déter-
mine les choix qui ont été faits pour assurer la faible consommation. Il nous
semble que cette compréhension est nécessaire pour ne pas déployer les
réseaux sans une connaissance minimale des enjeux au niveau radio, et donc
sans commettre des erreurs qui pourraient tout simplement empêcher le fonc-
Ｑ
tionnement du réseau. Nous discutons ensuite les architectures matérielles,
celles proposées sur le marché et d’autres qui permettront de supporter
l’énorme croissance attendue de la quantité de données transmises. Nous
nous intéresserons tout particulièrement à des solutions possibles dans la
bande millimétrique qui pourraient permettre de pallier la trop grande occupa-
tion des bandes ISM en dessous de 3 GHz. Enfin, nous discuterons d’une pro-
blématique et d’une solution cruciales pour le développement de ces technolo-
gies : l’interférence et la coopération.
(Machine to Machine), l’angle de l’optimisation est modifié. C’est

1. Solutions actuelles l’efficacité énergétique qui prime ! Il est cependant nécessaire de
garantir la fiabilité des communications. Le compromis est alors
fait sur les débits (nous entendons ici le débit d’un lien radio, pas
nécessairement le débit global du réseau). C’est pourquoi les solu-
1.1 Panorama des télécommunications tions proposées utilisent pour l’essentiel une bande de fréquence
Les progrès de l’électronique et la pénétration des applications largement supérieure à ce qui est réellement nécessaire : le spectre
informatiques (Internet, téléphonie mobile en particulier) ont fon- est étalé. Presque toutes les solutions du standard IEEE 802.15.4
damentalement modifié le paysage des télécommunications ces adoptent cette approche. Ce standard définit des solutions pour
trente dernières années. L’émergence de l’Internet des objets les couches physiques et MAC pour les fréquences de 400 MHz,
impose en particulier une diversité de contraintes sur les communi- 800 MHz et 2,4 GHz, ainsi qu’une solution dite à bande ultra-large,
cations, des contraintes pas toujours conciliables (débit et énergie essentiellement entre 3 et 10 GHz (tableau 1).
par exemple). Nous pouvons distinguer plusieurs types de contex- Pour la mise en œuvre du réseau et les applications, d’autres
tes pour les communications sans fils qui adressent un très grand solutions, libres ou propriétaires, sont définies et disponibles com-
nombre d’objets avec des objectifs d’optimisation spécifiques ; mercialement. Nous pouvons citer :
sans être exhaustifs, on compte (figure 2) : Zigbee, soutenue par l’alliance Zigbee, qui fournit les couches
les réseaux cellulaires, du GSM au LTE-advanced, en atten- hautes pour des systèmes radio basse consommation utilisa-
dant la 5G : mobilité, ubiquité et haut débit ; bles pour la récupération des données et le contrôle (éclai-
les réseaux locaux, essentiellement WIFI, qui visent aussi à du rage, chauffage…). Également spécifiées par l’alliance Zigbee,
très haut débit mais avec une mobilité significativement RF4CE est destinée au contrôle distant de réseaux (divertisse-
réduite et sur des régions plus limitées ; ment, domotique…) et Zigbee ip propose des solutions mesh
basées IPv6 ;
les réseaux de capteurs, bas débit, faible consommation. À
ces réseaux peut être associée la problématique des commu- WirelessHART est un standard libre développé par HART
nications machine à machine (M2M) qui peut ajouter des Communication Foundation pour une utilisation dans la
contraintes de longue distance. bande ISM à 2.4 GHz. Il propose une architecture maillée syn-
chronisée, auto-organisée pour des applications de mesure et
Les réseaux locaux (WLAN) visent les très haut débits, mais dans de contrôle des procédés et de gestion d’actifs ;
des zones géographiques restreintes et généralement pour une MiWi et les systèmes associés MiWi P2P et PRO sont conçus
mobilité limitée (WIFI). Les contraintes énergétiques sont secondai- par Microchip Technology. Ils sont conçus pour des applica-
res. Les réseaux cellulaires visent du haut débit et de la mobilité tions comme le monitoring et le contrôle industriel, l’automa-
avec une couverture globale. La consommation d’énergie dans les tisation des maisons et des bâtiments…
mobiles doit être limitée mais elle reste conséquente. A contrario,
ISA100.11a Standard, développé par ISA (Internation Society
les réseaux de capteurs et le M2M sont moins contraints en débit,
of Automation) pour des applications d’automatisation
mais cherchent à réduire drastiquement la consommation pour une
industrielle ;
durée de vie de plusieurs années sans remplacement des batteries.
6LoWPAN qui est un acronyme pour IPv6 over Low power
Les technologies des réseaux locaux et cellulaires cherchent à Wireless Personal Area Networks ; il vise à rendre compatible
maximiser l’efficacité spectrale. La tendance actuelle pour augmen- le standard IEEE 802.15.4 pour des paquets Ipv6.
ter les performances globales du réseau est de réduire la distance
de réutilisation des fréquences (MIMO : Multiple Input, Multiple Plus de détails sont disponibles dans [TE 7 509]. L’ensemble de
Output, femtocells…). Pour les réseaux de capteurs et le M2M ces solutions définissent les couches réseaux et supérieures, mais
ＳＵ
ｓＷＵＱＱ
RÉSEAUX DE CAPTEURS AUTONOMES –––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
WLAN
WiGig
Ｑ Réseaux
Mobillité
cellulaires
100 kbits/s UMTS/LTE
WIFI
GSM
1 kbits/s
Courte portée
IEEE 802.15.4
M2M
10 bits/s
Énergie
10 m 100 m 1 km 10 km
Figure 2 – Les différents types de réseaux sans fils
Tableau 1 – Ensemble des bandes possibles dans la norme IEEE 802.15.4 (toutes les bandes ne sont
pas disponibles dans l’ensemble des régions du monde), débits attendus sur chaque bande
et méthodes d’étalement et de modulation associées
Bande Débits
Étalement, modulation
(MHz) (kbits/s)
780 250 OQPSK/MPSK
20 GFSK
950
100 DSSS – BPSK
20 DSSS – BPSK/OQPSK
868-868.6 (1 canal)
100 PSSS – BPSK/ASK
40 DSSS – BPSK/OQPSK
902-938 (10 canaux)
250 PSSS – BPSK/ASK
250 DSSS – OQPSK

2400-2483.5 (16 canaux)
1 000 CSS – DQPSK
250-750
3244-4742 110 à 850 ULB
5944-10234
S 7 511 – 4 Copyright © - Techniques de l’Ingénieur - Tous droits réservés
ＳＶ
ｓＷＵＱＱ
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– RÉSEAUX DE CAPTEURS AUTONOMES
reposent toutes sur le standard IEEE 802.15.4. Chaque solution a représentant les évanouissements à grand échelle. Une illustration
ses avantages spécifiques. 6lowPAN repose par exemple sur l’Ipv6 de cette formule est donnée sur la figure 3.
avec l’objectif de donner à chaque objet un numéro IP, alors que
Le coefficient d’atténuation peut prendre des valeurs légèrement
Zigbee propose des solutions spécifiques.
inférieures à 2 dans des environnements indoor jusqu’à des valeurs
Nous allons nous intéresser au standard IEEE 802.15.4. Il définit de 5, voire 6, dans des environnements urbains denses. On
les couches physique et d’accès à la ressource (MAC : Medium remarque également l’influence de la fréquence porteuse : pour
Access Control) pour le déploiement des réseaux. Nous introduisons propager plus loin, il vaut mieux privilégier les basses fréquences
tout d’abord la principale difficulté des communications sans fils : le (800 ou 900 MHz) et pour confiner les ondes, les hautes fréquences.
Ｑ
canal radio. Nous verrons alors comment il est possible de fiabiliser Les hautes fréquences offrent également plus de bande passante,
un peu les communications en faisant un compromis sur le débit. ce qui permet plus de robustesse ou plus de débit.
Si cette expression peut suffire pour la planification des systè-
1.2 Canal radio mes, elle ne prend pas en compte un effet majeur du canal radio :
les multitrajets. Supposons la situation simple de deux trajets et la
Le canal radio est souvent le mieux adapté aux réseaux de cap- transmission d’une sinusoı̈de. Soit une source qui émet un signal
teurs sans fil car il ne limite pas les communications à une configu- x (t) = cos (2pfct) vers une destination. Comme le montre la figure 4,
ration point à point, contrairement aux solutions optiques et infra- nous supposons également que le signal subit une réflexion si bien
rouge. Mais son utilisation est délicate et il est donc l’une des limi- que deux signaux se superposent à la destination, le second ayant
tations fondamentales des performances de la transmission. un retard t1 par rapport au premier (le trajet direct ici).
L’émetteur et le récepteur peuvent être en vue directe ou masqués En se synchronisant sur l’instant d’arrivée du premier trajet nous
par des bâtiments, des arbres, des bureaux… Le canal radio est pouvons donc écrire que le signal reçu est :
alors aléatoire et son étude complexe. De plus, la mobilité des uti-
lisateurs et même de l’environnement le rend variable et le fait fluc- r (t ) = a0 x (t ) + a1x (t − t1) = a0 cos (2πfc t ) + a1 cos (2πfc (t − t1)) (2)
tuer rapidement. Enfin, la fréquence de transmission a également
un impact sur la propagation et influence les caractéristiques du où a0 et a1 sont les atténuations des deux trajets. Nous pouvons
canal. alors déterminer la puissance du signal reçue :
La loi de Friss permet d’exprimer la puissance reçue (Pr) en fonc- Tc
tion de la puissance émise (Pe), des gains des antennes émettrice
(Ge) et réceptrice (Gr) et de la distance d séparant l’émetteur du
Pr =
1
Tc ∫ r (t )
2
dt =
2
(
1 2
)
a0 + a12 + a0a1 cos (2πfc t1) (3)
0
récepteur. Cette loi n’est valide que dans le cas du champ lointain
de l’antenne d’émission et en espace libre. Elle est modifiée en
introduisant un coefficient d’atténuation g qui indique l’évolution
de l’atténuation moyenne en fonction de la distance et un coeffi- Source Destination
cient d’évanouissements à grande échelle (shadowing) qui modé-
lise l’environnement à grande échelle (par exemple les obstacles).
En dB, l’expression de la puissance reçue peut s’écrire :
⎛ c2 ⎞
Pr = Pe + 10log10 ⎜Ge Gr ⎟ − 20 log10 (fc ) − 10γ log10 (d ) − X S (1)
⎜⎝ (4π)2 ⎟⎠ Réflecteur
La valeur c est la vitesse de la lumière, fc est la fréquence por-
teuse, d la distance émetteur récepteur et XS la variable aléatoire Figure 4 – Scénario d’une transmission avec deux trajets
Atténuation moyenne en fonction de la distance

125 Exemple avec des évancuiss ments grand échelle
Attenuation (dB)
100
75
50
1 10 100 1 000
Distance (m)
Figure 3 – Exemple d’atténuation dans un canal à 2,4 GHz avec un coefficient d’atténuation g = 3 et un shadowing lognormal (ce qui signifie
qu’en dB, la loi de la variable Xs est gaussienne)
ＳＷ
Ｑ
ＳＸ
ｓＷＵＲＰ
Capteurs et actionneurs intelligents
Ｑ
par GT 18-4 CIAME SEE
Groupe Technique « Composants Intelligents pour l’Automatisation et la Mesure »
Société de l’Électricité, de l’Électronique et des Technologies de l’Information et de la Com-
munication
Mireille BAYART
Professeur des Universités, Polytech’Lille (École Polytechnique Universitaire de Lille)
LAGIS UMR CNRS 8146 (Laboratoire d’Automatique, de Génie Informatique et Signal),
Animateur du GT Ciame
Blaise CONRARD
Maître de Conférences, Polytech’Lille (École Polytechnique Universitaire de Lille)
LAGIS UMR CNRS 8146 (Laboratoire d’Automatique, de Génie Informatique et Signal)
André CHOVIN
Adjoint à la Direction des Développements Business Unit Sensors & Actuators
CROUZET Automatismes
et Michel ROBERT
Professeur des Universités, Université Henri Poincaré Nancy 1 ESSTIN
CRAN UMR CNRS 7039 (Centre de Recherche en Automatique de Nancy)
1. Systèmes automatisés à intelligence distribuée ............................ S 7 520 – 2

1.1 Évolutions .................................................................................................... — 2
1.2 Conjonction des besoins et disponibilité de la technologie .................... — 2
1.3 Système d’automatisation à intelligence distribuée (SAID) .................... — 3
2. Concept de capteur et d’actionneur intelligent.............................. — 3
2.1 Définition et caractéristiques...................................................................... — 3
2.2 L’instrument intelligent en terme de services ........................................... — 4
2.3 Architecture matérielle de l’instrument intelligent ................................... — 6
2.4 Spécificité des domaines d’application ..................................................... — 7
3. Problèmes liés à la communication.................................................... — 8
3.1 Bus de terrain............................................................................................... — 8
3.2 Interopérabilité ............................................................................................ — 8
3.3 Interchangeabilité ........................................................................................ — 9
3.4 Évaluation et choix du bus de terrain ........................................................ — 9
4. Aspects relatifs à la sûreté de fonctionnement.............................. — 9
4.1 Crédibiliser grâce à la validation................................................................ — 9
4.2 Participer à une conduite sûre.................................................................... — 9
4.3 Influences sur les attributs de la sûreté de fonctionnement.................... — 10
5. Intégration ................................................................................................. — 11
6. Réalisations industrielles ...................................................................... — 12
6.1 Application manufacturière ........................................................................ — 12
6.2 Application traitement de l’eau .................................................................. — 12
6.3 Application process continu ....................................................................... — 13
6.4 Application domotique ............................................................................... — 13
6.5 Application embarquée............................................................................... — 14
7. Conclusions et perspectives................................................................. — 14
Pour en savoir plus........................................................................................... Doc. S 7 520

ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｭ｡ｲｳ＠ＲＰＰＵ
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur S 7 520 − 1
ＳＹ
ｓＷＵＲＰ
CAPTEURS ET ACTIONNEURS INTELLIGENTS ________________________________________________________________________________________________
et article présente les concepts de capteurs et d’actionneurs intelligents.

C Apparus vers les années 1980, ces nouveaux équipements ont bénéficié
des nombreux progrès en microélectronique et du développement des systèmes
de communication, avec en particulier l’apparition des réseaux de terrain. Ces
évolutions ont conduit à l’intégration de nouvelles fonctions dans les capteurs et
les actionneurs, avec notamment la fonction communication et l’apparition de
ce que l’on a appelé « Capteurs et actionneurs intelligents » : « intelligent » étant
Ｑ en fait, une mauvaise traduction de « smart », dans le sens, « agréable à

utiliser ». Depuis, l’adjectif intelligent est passé dans les mœurs, et tout objet qui
intègre un tant soit peu d’électronique et de logiciel devient intelligent : on
trouve ainsi le bâtiment intelligent, la voiture intelligente, les skis intelligents…
Après une présentation des différents projets, qui ont permis d’identifier d’une
part, les besoins des utilisateurs et, d’autre part, les solutions à fournir, il nous
est apparu important de résumer l’évolution des systèmes automatisés ; les pos-
sibilités de distribution de traitement offertes par la microélectronique permet-
tent aux capteurs et actionneurs d’élargir leur fonction initiale (mesurer pour un
capteur, agir pour un actionneur) jusqu’à la participation à certaines fonctions
auparavant effectuées par le système central de contrôle-commande. L’architec-
ture fonctionnelle, puis matérielle sont développées. Une des fonctions essen-
tielles des instruments intelligents étant la communication, les problèmes liés au
choix de réseaux (domaine d’application, type de réseaux, interopérabilité…)
sont présentés. Enfin, les aspects sûreté de fonctionnement sont détaillés avant
de donner quelques exemples de réalisations industrielles.
1. Systèmes automatisés — suivi en 1991 du projet européen EURÊKA baptisé INCA (Inter-
face normalisée pour capteurs et actionneurs). Le projet INCA a
à intelligence distribuée complété ces travaux en intégrant l’étude des actionneurs intelli-
gents. Cette idée est la base des projets de normes IEEE 1451 rela-
tive à la standardisation d’une interface numérique pour capteurs et
actionneurs.
1.1 Évolutions Parallèlement, dans le cadre d’un programme ESPRIT II, le projet
de recherche franco-italien DIAS (Distributed Intelligent Actuators
and Sensors) a été effectué [5], suivi dans le programme ESPRIT III
L’évolution des systèmes automatisés prenant en compte, en plus par le projet PRIAM (Pre-normative Requirements for Intelligent
du contrôle-commande, la maintenance, la sécurité et la gestion Actionnement and Measurement).
technique conduit à un besoin de plus en plus important d’informa- Dans la suite logique de la rédaction des livres blancs, le CIAME
tions, et une augmentation des traitements en nombre et en com- (Comité Interprofessionnel pour l’Automatisation et la Mesure),
plexité. Cette évolution mène à une délocalisation des traitements structure dépendant de l’APIST (Association pour la Promotion de
rendue possible par le développement des réseaux de terrain, d’une l’Instrumentation Scientifique et Technique), a réuni des groupes de
part, et des équipements intelligents, d’autre part. travail composés d’utilisateurs, d’offreurs et d’universitaires concer-
nés par ce domaine sur les thèmes « capteurs intelligents » et
Les premiers capteurs dits « intelligents » sont apparus dans les « actionneurs intelligents », les résultats de ces travaux ont fait
années 1980. Dédiés le plus souvent aux systèmes numériques de l’objet de deux ouvrages [3] [4].
contrôle-commande, ils sont développés par des grands construc-
teurs d’automatismes : Honeywell, Fuji, Control Bailey, … En
France, des travaux sur les besoins des utilisateurs donnent lieu à
un Livre Blanc sur les capteurs intelligents en 1987 [1] et un autre sur 1.2 Conjonction des besoins
les actionneurs en 1988 [2]. Les institutions nationales et/ou euro- et disponibilité de la technologie
péennes ont été partie prenante dans la genèse de ces concepts et
produits ; en témoignent le soutien apporté aux travaux de la CIAME
Les apports des capteurs et/ou des actionneurs intelligents sont
(Commission Interministérielle pour l’Automatisation et la Mesure)
relatifs, en premier lieu, à leurs fonctions primitives (mesurer pour
dans les années 1980 et les différents projets qui ont été soutenus.
un capteur, agir pour un actionneur) et relèvent alors d’amélioration
On citera :
de performances (exactitude, temps de réponse…).
— le projet INF (Interface normalisée fonctionnelle pour capteurs Les capteurs et actionneurs étant utilisés dans de nombreux
intelligents), de 1988 à 1992 dans le cadre d’un programme « saut systèmes de production de biens (processus continus ou manufac-
technologique » soutenu par le ministère de la Recherche et de turiers) ou de services (tertiaire, systèmes embarqués), l’apport de
l’Espace, ce projet, regroupant des industriels de l’offre et de la l’intelligence est lié à l’accroissement de la crédibilité de la mesure
demande, a permis la description et la modélisation des fonctions et aux conditions dans lesquelles elle a été effectuée pour les cap-
de base d’un capteur intelligent ainsi que son développement indé- teurs, à la garantie de la réalisation de l’ordre transmis et à la sur-
pendamment du réseau de terrain utilisé ; veillance des conditions d’exécution pour un actionneur.
S 7 520 − 2 © Techniques de l’Ingénieur
ＴＰ
ｓＷＵＲＰ
________________________________________________________________________________________________ CAPTEURS ET ACTIONNEURS INTELLIGENTS
Cependant, les utilisateurs ont formulé d’autres besoins d’infor-

mations qui concernent :
Unité de
— le contrôle-commande ou la conduite, afin d’être renseigné en E traitement S
temps réel de façon qualitative ou quantitative sur l’état du système
et/ou sur les caractéristiques du produit fabriqué ou du service
fourni ;
Capteurs C C C A A A Préactionneurs
Détecteurs Actionneurs
— la sûreté, certaines mesures, étant à l’origine d’arcs réflexes
Procédé
qui permettent de protéger les opérateurs, l’équipement ou
l’environnement ;
— la maintenance pour connaître l’état de dégradation du sys-
tème et par conséquent son état de fonctionnement ;
Figure 1 – Automatisme centralisé Ｑ
— la gestion de production pour obtenir des bilans, des caracté-
ristiques des différents flux de produit ou d‘énergie ;
— la gestion technique pour connaître la disponibilité du Unité de
processus. E traitement S
Au niveau des fabricants, l’intelligence de l’équipement conduit à C
Réseau de terrain
une diminution des coûts et des délais de développement, ainsi que
des coûts de production ; une fois amortis les investissements en E/S D E/S D
matériel et en personnel, les intérêts résidant essentiellement dans : Capteurs C C C A A A Préactionneurs
— l’amélioration de performances (autocompensation, prise en Détecteurs Actionneurs
compte des non-linéarités, autocalibration…) ; Procédé
— la traçabilité de la vie de l’équipement ;
— les aides à la configuration et à la mise au point.
Figure 2 – Automatisme centralisé et entrées/sorties déportées (E/SD)
Pour répondre à ces différents besoins, trois voies sont envisageables :
— le développement de composants analogiques qui seront inté-
grés dans la chaîne de mesure ou dans la chaîne d’actionnement ; complexes (figure 2). On cumule dans ce cas des inconvénients en
— l’exploitation des nouvelles possibilités d’usinage et des effets terme de temps de réponse, gestion simultanée de nombreuses
offerts par de nouveaux matériaux (exemple : nouveaux transduc- variables, cohérence temporelle de l’information…
teurs améliorant les conditions de mesure et/ou mesurant des gran- L’étape suivante dans l’évolution des automatismes a été de
deurs inaccessibles auparavant), nouveaux actionneurs (exemples : répartir l’unité centrale et de rapprocher les traitements au plus près
capteur à effet hall, capteur interférométrique de micro déplace- des équipements. On parle alors de systèmes automatisés à intelli-
ments, tête magnétique d’impression, moteur piézo-électrique…) ; gence distribuée (SAID) (figure 3). Les traitements locaux peuvent
— l’exploitation des possibilités offertes par la micro-informatique, être implantés directement dans les capteurs et actionneurs intelli-
associées à la miniaturisation et à l’augmentation croissante des gents ou dans des petites unités de traitements (microautomate par
possibilités de traitement numérique de l’information, de mémori- exemple) gérant un sous-ensemble de capteurs et actionneurs.
sation des données, et naturellement à la communication numérique.
C’est cette dernière voie qui est présentée, dans la mesure où c’est
celle qui est principalement retenue dans le cadre des systèmes
d’automatisation. 2. Concept de capteur
et d’actionneur intelligent
1.3 Système d’automatisation
à intelligence distribuée (SAID) 2.1 Définition et caractéristiques
Les installations d’automatismes présentent habituellement une Un capteur (respectivement un actionneur) intelligent est obtenu
architecture centralisée, comprenant un ensemble de capteurs et par l’association de la technologie des capteurs (respectivement des
d’actionneurs raccordés par des liaisons directes via des cartes actionneurs), de l’électronique et de l’informatique. Un instrument
d’entrées/sorties numériques ou analogiques à une unité de traite- intelligent (qu’il soit capteur ou actionneur) est un équipement qui
ment (automate programmable industriel, système numérique de intègre des fonctionnalités supplémentaires ou évoluées aptes à
contrôle-commande…). Cette architecture permet (figure 1) améliorer ce pourquoi il a été conçu. Ainsi, en plus de sa fonction
l’échange point à point d’une seule information entre les équipe- élémentaire d’acquisition d’une grandeur physique dans le cas de
ments et l’unité centrale : capteur ou d’influer sur un processus dans le cas de l’actionneur, on
— un capteur fournit une mesure ; attend d’un instrument qu’il offre des fonctions de compensation, de
— un actionneur reçoit une consigne. validation, d’autodiagnostic ou encore d’intégration au système de
L’augmentation croissante du nombre d’informations nécessaires conduite, associées à des moyens de communications adaptés.
au contrôle des processus industriels a conduit au développement C’est au travers de ces nouveaux services qu’un instrument
d’unités de traitement de plus en plus performantes, capables de intelligent se distingue d’un composant standard. De manière géné-
traiter rapidement un grand nombre d’informations. Consécutive- rale, l’évolution des instruments fait apparaître une gradation allant
ment, la conception des systèmes est devenue de plus en plus diffi- de l’instrument analogique, à l’instrument numérique puis à l’instru-
cile, les temps et coûts de câblage ont augmenté, la mise au point ment intelligent avec les limites suivantes :
des installations s’est complexifiée. — l’instrument analogique a pour rôle une simple conversion ;
Une première évolution est apparue avec l’introduction des bus pour le capteur il s’agit de la transformation d’une grandeur physi-
de terrain [S 7 574] Réseaux locaux industriels : ils ont permis de que en un signal électrique exploitable ou pour l’actionneur d’un
déporter les entrées/sorties (E/S) digitales et analogiques, et de signal en une action sur le processus. Cette fonction ne sera pas
réduire les coûts et temps de câblage. L’ensemble des informations détaillée ici, nous renvoyons le lecteur aux différents ouvrages sur le
est toujours traité dans l’unité centrale, qui conserve les traitements sujet [6] [7] ;
ＴＱ
ｓＷＵＲＰ
CAPTEURS ET ACTIONNEURS INTELLIGENTS ________________________________________________________________________________________________
Unité de
E traitement S
C
Réseau de terrain
Unité de Unité de
E traitement S E traitement S
Ｑ
C C
Capteurs et actionneurs
Capteurs C C C CI CI intelligents A AI A A Préactionneurs
Détecteurs Actionneurs
Procédé
Figure 3 – Automatisme décentralisé
« crédibilisation » fait référence à une certaine capacité à valider la

mesure produite pour le capteur ou à rendre compte de la
Capteur intelligent réalisation effective de l’action pour l’actionneur. Quant à
l’« implication plus importante », elle concerne, entre autre, sa par-
Automatisation ticipation à la commande du système en intégrant des fonctions de
Capteur « smart » Métrologie commande-régulation, à la sécurité du système en offrant des pos-
sibilités d’alarme, à l’exploitation du système en diffusant des infor-
Traitement Intégration mations relatives à sa maintenance telles que la date du dernier
Capteur du signal entretien… Les équipements intelligents coopèrent via un système
« classique » de communication dédié, sélectionnent les données à transmettre,
Compensation éventuellement, prennent des décisions. L’ensemble constitue
l’ossature d’une véritable base de données temps réel.
La classification précédente n’est pas cependant universelle.
Connexion Connexion Réseau(x)
point à point point à point de terrain Un instrument est souvent considéré comme intelligent dès qu’il
intègre au moins un traitement numérique (complexe ou non) et ce
Figure 4 – capteur « smart » et capteur intelligent quel que soit son apport en terme de services. Outre des raisons de
« marketing », ceci est dû à une très grande similitude entre l’archi-
tecture matérielle de l’instrument numérique, et celle de l’instru-
ment intelligent. La distinction entre « smart sensor » et « intelligent
Phénomène Grandeurs sensor » est illustrée par la figure 4.
physique d’influence
Par la suite, on adoptera cette dernière définition dans

laquelle l’instrument n’est considéré comme intelligent que par
Transducteur(s) Conditionneur(s)
les fonctions complémentaires qu’il est susceptible de rendre.
Mémoire Alimentation(s)
D’un point de vue matériel, un instrument intelligent se compose
alors de trois sous-ensembles :
Organe de
calcul interne — une unité de traitement numérique (c’est-à-dire une unité de
calcul associée à de la mémoire) ;
Interface de — une interface de communication permettant un dialogue bidi-
communication
rectionnel numérique avec le reste du système ;
— un transducteur-conditionneur pour le capteur (figure 5) ou un
Réseau de organe d’actionnement pour l’actionneur (figure 6).
communication
Pour conclure, un capteur ou un actionneur intelligent peut être
considéré comme un véritable « système embarqué », qui devra
Figure 5 – Architecture matérielle générique d’un capteur intelligent
posséder son propre système d’exploitation lui permettant de coo-
pérer au sein d’une organisation plus complexe.
— l’instrument numérique offre la même fonction de conversion,
mais au travers d’une chaîne de traitements dans laquelle figure une
ou plusieurs opérations numériques, susceptible d’améliorer cette
fonction élémentaire ; comme par exemple, la numérisation de la
2.2 L’instrument intelligent en terme
mesure en vue de son utilisation par une centrale d’acquisition via de services
une liaison série ;
— l’instrument « smart » possède des fonctionnalités qui amélio-
rent ses performances métrologiques, par des fonctions embar- De ce qui précède, un instrument intelligent se caractérise fonda-
quées de mémorisation et de traitement de données ; mentalement par les fonctions qu’il peut offrir aux intervenants et ce
— l’instrument intelligent enrichit cela d’une capacité à crédibiliser tout au long de son cycle de vie. Dans ce paragraphe, on s’attachera
sa fonction associée à une implication plus importante dans la réali- donc à recenser les fonctions caractéristiques de ce type de compo-
sation des fonctions du système auquel il appartient. Cette sant.
ＴＲ
1– Technologie sans contact Ｒ

2– Réseaux industriels Réf. Internet page
Réseaux locaux industriels. Concepts, typologie, caractéristiques S7574 45
Caractéristiques temporelles des réseaux industriels S8120 49
Choix du réseau ATM pour le tramway de Strasbourg S8130 55
Réseau ATM du tramway de Strasbourg. Intégration des services S8131 59
Conduite des systèmes de production manufacturière S7598 63
ＴＳ
Ｒ
ＴＴ
ｓＷＵＷＴ
Réseaux locaux industriels

Concepts, typologie, caractéristiques
par Jean-Pierre THOMESSE
Professeur à l’École nationale supérieure d’électricité et de mécanique (ENSEM)
Ｒ
1. Réseaux et modèle OSI........................................................................... S 7 574 – 2
1.1 Réseau, réseau local, réseau local industriel ............................................ — 2
1.2 Modèle de référence OSI de l’ISO .............................................................. — 3
1.3 Conclusion.................................................................................................... — 7
2. Systèmes automatisés............................................................................ — 7
2.1 Architectures de systèmes et réseaux locaux industriels ........................ — 8
2.2 Domaines d’application .............................................................................. — 9
2.3 Architectures des applications.................................................................... — 10
3. Réseaux locaux industriels.................................................................... — 14
3.1 Types de coopération .................................................................................. — 14
3.2 Qualité de service ........................................................................................ — 17
3.3 Architectures des réseaux locaux industriels............................................ — 17
4. Conclusion ................................................................................................. — 20
Bibliographie ...................................................................................................... — 20
es réseaux locaux industriels ! « La littérature est prolifique sur le sujet. Les

L journaux professionnels l’abordent régulièrement pour annoncer de nou-
veaux produits, publier des études comparatives selon des critères variés et plus
ou moins précis, faire le point sur la normalisation. Les sigles de plus en plus
nombreux ne rendent pas plus claire la situation et de nombreuses questions se
posent sur l’intérêt de tel ou tel réseau, sur ses capacités, son adéquation à un
problème donné d’un utilisateur final. On y rencontre des expressions comme
réseau local d’entreprise, réseau local industriel, réseau temps réel, réseau de
terrain, réseau de cellule, réseau de salle de commande, réseau d’usine, réseau
Ethernet, réseau MMS, réseau MAP, TOP, FIP, PROFIBUS, MODBUS, SERCOS,
Mini-MAP, MAP-EPA, etc. En fait de quoi s’agit-il ? »
Telle était l’introduction de la précédente édition de cet article. Depuis, quel-
ques sigles de réseaux ont disparu, mais on pourrait y ajouter de nombreuses
« normes », qui ne correspondent souvent qu’à des produits très propriétaires,
voire à des tentatives de normalisation qui ont échoué. CEI 61158, EN 50170,
EN 50254, CEI 61375, ISO 15745, EN 50325, EN 50295, CEI 62026, ARINC, Safe-
bus, TTP/A et TTP/C, FlexRay, TCN, WTB, MVB sont entre autres de nouveaux
sigles, de nouveaux noms qui enrichissent les articles [S 7 574], [S 7 575] et
[S 7 576]. L’interrogation « de quoi s’agit-il ? » est toujours, sinon plus, d’actua-
lité. En effet, l’Internet et le Web ont explosé, l’accent économique a essentielle-
ment porté sur le multimédia, le téléphone, la musique, la vidéo, tous ces
médias sur les réseaux numériques. Et ces technologies, aujourd’hui, viennent
encore enrichir les choix possibles dans les réseaux industriels. Mais aussi les
besoins de réseaux n’ont cessé de croître et certaines solutions industrielles ont
investi d’autres domaines comme les systèmes embarqués, la domotique avec
de plus en plus d’équipements dits intelligents, avec les applications de télémé-
decine à domicile, toutes applications qui relèvent des réseaux locaux indus-
triels et qui seront étudiées ici.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｮ＠ＲＰＰＴ
ＴＵ
ｓＷＵＷＴ
RÉSEAUX LOCAUX INDUSTRIELS __________________________________________________________________________________________________________
Notre ambition est de clarifier la situation de tous les réseaux locaux indus-
triels (RLI) ou embarqués, en introduisant les concepts et les critères adéquats
pour permettre au lecteur de situer les différents réseaux les uns par rapport aux
autres mais surtout par rapport aux besoins. C’est pourquoi nous préciserons
d’abord la notion de réseau et de réseau local en nous appuyant sur le modèle
de référence OSI, dont les concepts peuvent s’appliquer à tout réseau, qu’il soit
public, local, industriel, domotique ou embarqué, puis la différence entre réseau
local d’entreprise et réseau local industriel, même si dans les deux cas, certains
protocoles peuvent être identiques.
Pour comprendre la variété des réseaux (mais aussi leurs similitudes), nous
Ｒ
étudierons les architectures des applications dans les différents domaines
considérés comme « industriels » et nous terminerons par l’étude des caractéris-
tiques des réseaux industriels.
1. Réseaux et modèle OSI 1.1.2 Réseau local
Un réseau local couvre une zone géographique limitée sur un

1.1 Réseau, réseau local, réseau local domaine privé, par opposition aux réseaux publics ou longue
distance, ce qui a permis dans les années 1980 de choisir des
industriel protocoles indépendamment des organisations des PTT de
l’époque.
Plusieurs articles ont déjà été consacrés aux réseaux et réseaux
locaux [H 1 418], [S 8 140], [S 8 160] ; nous ne reprendrons pas ici ce
qui peut donc y être trouvé, mais nous introduirons simplement les Parmi les réseaux locaux, on distingue souvent les réseaux locaux
compléments nécessaires, avant de traiter les RLI à proprement parler. d’entreprise [2] (§ 1.1.4) et les réseaux locaux industriels (§ 1.1.3). Ils
diffèrent essentiellement par les contraintes d’environnement
Le terme « réseau » a de nombreuses utilisations et significations. (temps et sûreté de fonctionnement) et par certains services et pro-
En plus des expressions déjà citées dans l’introduction, il désigne tocoles mis en œuvre pour tenir compte des différences de besoins
aussi bien : des applications qui les utilisent.
— un support de transmission (un réseau en fibre optique, un
réseau radio ou plus généralement un réseau sans fil, wireless
network en anglais) ; 1.1.3 Réseau local industriel
— un type de transmission de niveau physique (un réseau en
bande de base) ;
— un protocole de gestion des accès au support (un réseau Ether- Un réseau local industriel est en première approximation un
net ou un réseau à jeton) ; réseau local utilisé dans une usine ou tout système de produc-
— un ensemble de protocoles de niveau transport/réseau (un tion pour connecter diverses machines afin d’assurer la com-
réseau TCP/IP) ; mande, la surveillance, la supervision, la conduite, la
— des profils, c’est-à-dire une pile d’un ensemble de services et maintenance, le suivi de produit, la gestion, en un mot, l’exploi-
protocoles (un réseau MAP, un réseau WorldFIP, un réseau Profi- tation de l’installation de production.
bus). Notons tout de suite que dans MAP, TOP, WorldFIP, le « P »
signifie protocole alors qu’il devrait signifier profil ; nous revien-
drons sur ce sujet à la fin de ce paragraphe. Mais l’aspect connexion de machines, même s’il est fondamental,
n’est pas le seul à considérer. Ce sont surtout les processus d’appli-
cation répartis sur les machines qui sont mis en relation par les
1.1.1 Réseau réseaux. Et ce sont ces relations qui dicteront le choix d’un réseau
plutôt que d’un autre. Les besoins en communication sont alors très
diversifiés selon les matériels connectés et les applications qu’ils
Un réseau est un ensemble de moyens qui permettent la com- supportent, ce qui explique que les réseaux locaux industriels sont
munication entre des processus d’application (ou tâches) répar- nombreux et variés. Il est évident que le trafic entre des capteurs,
tis sur des matériels informatiques de tout type. Cet ensemble des actionneurs et des automates n’est pas le même qu’entre un
est constitué d’au moins un support de transmission pour système de CFAO et un contrôleur de cellule de fabrication. Les
l’acheminement des signaux et de protocoles de communica- besoins diffèrent selon des critères comme la taille des données à
tion selon une architecture en couches conforme ou non au transmettre, les contraintes de temps associées, les coûts accepta-
modèle OSI (Open System Interconnection) [1] [H 1 418]. On bles de connexion, les technologies qu’il est possible de mettre en
parle parfois de système de communication pour désigner un œuvre. Il sera donc nécessaire d’étudier globalement les architectu-
réseau. res des systèmes automatisés pour analyser en détail les divers
types de communication et classer les réseaux locaux industriels
Nota : on dit souvent qu’un réseau connecte des machines, ce qui est une réalité, mais (§ 2.1). Pour satisfaire tous ces besoins, de très divers protocoles ont
en fait, c’est surtout pour permettre la communication entre les tâches qui s’exécutent sur été définis depuis les années 1980, certains ont été normalisés,
les machines. Et en ce sens, un réseau connecte des processus d’application. Cette nuance
est importante car les caractéristiques des processus conditionnent le choix du réseau qui d’autres sont devenus des standards de fait, d’autres enfin sont
les interconnecte. purement privés.
ＴＶ
ｓＷＵＷＴ
_________________________________________________________________________________________________________ RÉSEAUX LOCAUX INDUSTRIELS
Nota : on retrouvera des caractéristiques voisines dans des systèmes autres que ceux les réseaux temps réel plus en détail et de façon comparative, étu-
de production, par exemple dans la domotique, ainsi que dans les systèmes de transport
(trains, automobiles). Nous reviendrons sur ces sujets dans le paragraphe 2.2.
dions d’abord les concepts de base de la communication qui servi-
ront de référence. Ces concepts sont définis dans le modèle OSI
(Open Systems Interconnection – Basic Reference Model, ISO 7498)
1.1.4 Réseau local d’entreprise de l’International Organization for Standardization (ISO).
Alors que les réseaux locaux industriels sont utilisés par les
processus déclenchés selon l’état des machines et par les événe-
1.2 Modèle de référence OSI de l’ISO
ments survenant dans leur environnement, les réseaux locaux
d’entreprise sont utilisés au final par des êtres humains. Les uti-
lisateurs de réseaux locaux d’entreprise, du point de vue techni- 1.2.1 Origine du modèle
Ｒ
que, sont les stations de travail, les terminaux, les micro-
ordinateurs et les serveurs qui leur sont connectés. Mais devant Afin de simplifier la définition des normes de communication, en
ces matériels sont des êtres humains qui décident ou non d’utiles situant les unes par rapport aux autres, l’ISO a lancé en 1977 un
liser leur outil de travail et le réseau en fonction de ce qu’ils ont projet de définition d’un modèle de référence pour l’interconnexion
à faire. de systèmes ouverts appelé simplement « modèle OSI » ou
« modèle de référence OSI » [1]. La version finale du modèle OSI
date de 1984. Il a été défini à partir des expériences dans les réseaux
En considérant dans une entreprise les services de gestion du per- publics, mais a dû ultérieurement être adapté aux réseaux locaux.
sonnel, de gestion des stocks, des approvisionnements, de la comp-
tabilité, tous interconnectés par un réseau, chacune des personnes de Un système est dit ouvert lorsqu’il permet la communication
ces services crée du trafic de façon non concertée et donc aléatoire. entre équipements de types différents, pouvant provenir de cons-
De tels réseaux doivent offrir des services adaptés pour chaque sorte tructeurs différents, pourvu que ces équipements respectent les
d’utilisation : accès à des fichiers ou des bases de données distantes règles de communication dans un environnement OSI. Les règles de
et partagées, accès à tout type d’application informatisée, impression communication sont publiques, accessibles à tous. Et inversement,
d’états, messagerie intraentreprise et interentreprise, et ils doivent un système est dit privé lorsqu’il ne permet la communication
être dimensionnés pour supporter tous les utilisateurs simultanés en qu’entre des équipements d’un même type ou d’un même construc-
leur offrant des temps de réponse acceptables. Mais surtout, on ne teur, en utilisant des protocoles qui sont la propriété de quelqu’un.
peut pas faire d’hypothèses sur les comportements des uns et des Nous considérons aussi comme privés les systèmes multiproprié-
autres pour définir des services et/ou des protocoles particuliers, ce taires dans lesquels on peut accéder à des spécifications privées
qui conduit à établir des mécanismes de communication suffisam- moyennant des accords avec les propriétaires. On qualifie parfois
ment généraux pour satisfaire toutes les sortes de besoins. Les tech- ces systèmes de « propriétaires » (en anglais : proprietary). On dit
nologies de l’Internet et du Web ont investi ce domaine. aussi parfois que ces systèmes sont fermés, mais en fait, ils ne le
sont jamais complètement.
1.1.5 Réseau temps réel

1.2.2 Couches du modèle OSI
Un réseau temps réel est capable de fournir des services Le modèle OSI constitue un cadre de référence pour l’intercon-
contraints par le temps. nexion de systèmes ouverts hétérogènes. Il s’agit d’un modèle pour
élaborer des normes d’interconnexion et de coopération de systè-
Une communication étant un phénomène indéterministe, il est mes répartis. Il est construit selon une structure en sept couches
utopique de penser créer des réseaux temps réel à comportement dont chacune correspond à un type de préoccupation ou à un type
purement déterministe. Au mieux, on pourra seulement garantir de problème à résoudre pour pouvoir communiquer (figure 1).
que les contraintes de temps seront respectées avec une certaine L’idée de base de la structure en couches est, comme dans d’autres
probabilité. Il sera alors important que le réseau puisse signaler à domaines, de pouvoir à chaque interface supérieure ignorer le plus
ses utilisateurs (les processus d’application) si une contrainte a été possible ce qui se passe en dessous. Le modèle est applicable à
respectée, ou ne l’a pas été, ou mieux, qu’elle ne pourra pas l’être. toutes les catégories de réseaux. Nous rappelons brièvement le rôle
Tous les réseaux dits industriels ne sont pas pour autant temps réel. de chaque couche. Tous les détails peuvent être trouvés dans de
nombreux ouvrages, par exemple [5]. Nous reviendrons sur le sujet
Mais nous verrons aussi qu’un réseau temps réel doit assurer des dans [S 7 575] pour analyser les principaux services et protocoles
trafics contraints par le temps et des trafics non contraints selon les typiques des réseaux locaux industriels, d’autant que les aspects
besoins des applications et qu’il vaudra mieux parler de profils temporels n’apparaissent pas dans le modèle.
temps réel ou non que de réseaux temps réel ou non. Nous revien-
drons sur ce sujet ultérieurement. Les sept couches initiales du modèle sont rappelées sur la
Nota : l’expression « temps réel » étant aussi employée pour des systèmes transaction-
figure 1.
nels, on utilise parfois l’expression « temps critique » comme qualificatif pour exprimer un
caractère de criticité, si une certaine contrainte de temps n’est pas respectée. En particulier,
Les couches 1, 2, 3 et 4 se préoccupent du transport d’informa-
une application, une architecture de communication, un service, un protocole, pourront tions et masquent aux couches supérieures les problèmes liés à la
être qualifiés de « temps critique », par une mauvaise traduction de time critical..., en par- communication d’informations entre des équipements distants. Les
ticulier à la suite des travaux du groupe ISO TC184/SC5/WG2-TCCA (Time Critical Commu- couches 5, 6 et 7 fournissent des services d’accès à la communica-
nication Architecture) [3]. L’EMUG (European MAP Users Group) a énoncé [4] des
spécifications qui devraient être incluses ou prises en compte dans la définition d’un tion pour différents types d’applications.
réseau dit temps critique ou d’une architecture temps critique.
La couche physique 1 adapte les signaux numériques au sup-
Ces définitions très informelles ne permettent que d’appréhender port de transmission.
le sujet. Remarquons tout de suite que certains services et protocoles
La couche liaison de données 2 fiabilise les échanges de don-
utilisés pour les réseaux locaux d’entreprise pourront l’être aussi
nées entre deux stations.
pour les réseaux locaux industriels, mais qu’ils ne pourront l’être tels
quels pour des réseaux temps réel. Nous avons déjà utilisé de nom- La couche réseau 3 assure la recherche d’un chemin et l’achemi-
breuses fois certains termes comme services et protocoles, sans les nement des données entre les stations terminales dans un réseau
avoir définis. Pour pouvoir analyser les réseaux locaux industriels et maillé.
ＴＷ
ｓＷＵＷＴ
RÉSEAUX LOCAUX INDUSTRIELS __________________________________________________________________________________________________________
La couche application a aussi été structurée avec l’expérience.

Utilisateur A Utilisateur B Des développements parallèles de protocoles ont montré que des
services communs pouvaient et même devaient (pour faciliter
l’ouverture) être définis d’une seule façon, ce qui a conduit à la
Protocole norme ISO 9545.
7 Application Application
d'application Le modèle OSI n’est pas seulement une architecture en couches, il
introduit aussi des concepts qui peuvent être appliqués à la plupart
des couches.
Protocole
6 Présentation Présentation
de présentation
1.2.4 Concepts du modèle OSI
Protocole
5 Session Session
Ｒ
de session Le modèle OSI définit non seulement les sept couches bien con-
nues, mais aussi et surtout des concepts, des principes, des
Protocole mécanismes qui peuvent s’appliquer ou être mis en œuvre a priori
4 Transport Transport dans toutes les couches. Les sujets que nous traitons ci-après sont :
de transport
— les notions de service et de protocole (§ 1.2.4.1) ;
Protocole
— les transmissions en point à point, en multipoint ou en diffu-
3 Réseau Réseau sion (§ 1.2.4.2) ;
de réseau
— les communications avec connexion ou non (§ 1.2.4.3) ;
— les protocoles avec ou sans acquittement (§ 1.2.4.4) ;
Liaison de Protocole Liaison de — le contrôle de flux (§ 1.2.4.5).
2 données données
de liaison D’autres principes ou règles comme l’adressage ne seront pas
étudiés ici, car ils intéressent plus les concepteurs de protocoles que
Protocole les utilisateurs. Il suffit de supposer qu’un processus d’application
1 Physique Physique
physique sache désigner son ou ses correspondants sans regarder comment
la désignation et l’adressage sont réalisés. Nous verrons (§ 3) pour-
quoi certains choix sont faits selon les protocoles des réseaux
Médium Médium locaux industriels.
1.2.4.1 Services, protocoles et profils

Figure 1 – Modèle OSI
■ Un service de niveau N (noté service (N ) ou en anglais N-Service)
est une fonction offerte par la couche (N ) à la couche (N + 1), acces-
La couche transport 4 assure le contrôle de bout en bout entre sible par une ou des primitives de service.
les stations terminales. Les unités de données associées à une demande de service de la
La couche session 5 synchronise et gère les échanges pour le couche (N + 1) et reçues par une couche (N ), sont appelées des
compte de la couche présentation. « unités de données de service (N ) » (N SDU ou N Service Data
La couche présentation 6 permet d’accepter des syntaxes diffé- Unit).
rentes pour les données échangées entre les couches application. Un service est dit confirmé quand la demande de service doit être
La couche application 7 donne aux processus d’application le suivie d’une confirmation d’exécution qui peut avoir diverses origi-
moyen d’accéder à l’environnement OSI. Elle n’a pas de limite supé- nes, en particulier la couche homologue distante (figure 2).
Nota : seule la sémantique des primitives de service est en général normalisée. Si la
rieure, c’est-à-dire que l’on peut toujours ajouter des services syntaxe elle-même l’est, on parle de norme d’interface. Il n’en existe quasiment pas.
supplémentaires construits sur des services existant déjà.
La gestion de réseau est un ensemble de fonctions de paramé- ■ Un protocole de niveau N (noté protocole (N ) ou en anglais N-
trage, de configuration, d’exploitation et de surveillance pour per- Protocol) est un ensemble de règles de codage, de coopération et
mettre le bon fonctionnement du réseau. d’échanges entre deux (ou plus) entités de niveau N pour fournir les
services (N ). Ces règles définissent d’une part le format des infor-
mations échangées, d’autre part l’enchaînement de ces échanges.
1.2.3 Extensions du modèle OSI On appelle PDU (N ) (unité de données de protocole ou Protocol
Data Unit) tout bloc d’informations échangé entre deux entités (ou
L’émergence des réseaux locaux et plus généralement les études plus) de même niveau N. Certaines de ces PDU contiennent de
de nouveaux protocoles, en particulier de la couche application, ont l’information « utile », c’est-à-dire provenant de processus d’appli-
conduit à découper ou à structurer ces sept couches. cation, d’autres non, mais sont nécessaires à l’accomplissement du
protocole, ou autrement dit au respect des règles définies.
Une couche de gestion d’accès au support de transmission (en
anglais, Medium Access Control ou MAC) est apparue entre la cou- Une PDU (N ) est composée soit uniquement d’informations de
che physique et la couche liaison de données. Elle permet de gérer contrôle du protocole (N ), dites N-PCI (Protocol Control Informa-
le droit d’émission des stations connectées à un support partagé par tion), soit de données venant du niveau (N + 1) et de PCI (N ).
plusieurs. Une SDU (N ) est donc combinée avec des informations de con-
Dans ce cas, la couche liaison a été renommée par l’expression de trôle du niveau N, pour former une unité de données du protocole
contrôle logique de liaison (en anglais, Logical Link Control ou LLC). (N) qui sera passée au niveau (N − 1) sous forme de SDU (N − 1) et
Cette extension de l’architecture initiale est connue sous le nom de ainsi de suite jusqu’au niveau le plus bas (le niveau physique).
IEEE 802 du nom du groupe de travail qui l’a créée. ■ Liens entre modèle OSI, services et protocoles : pour
La couche réseau a elle-même été structurée en trois sous- récapituler les notions vues ci-avant, il faut se rappeler que le
couches pour faciliter les interconnexions de réseaux locaux et les modèle OSI n’est qu’un ensemble organisé de concepts et qu’il
connexions de réseaux locaux avec les réseaux publics (voir la n’implique aucun service ni aucun protocole particulier. Il ne définit
norme ISO 8648). qu’un cadre fonctionnel et de conception qui précise les problèmes
ＴＸ
ｓＸＱＲＰ
Caractéristiques temporelles
des réseaux industriels
par Jean-Pierre THOMESSE

Professeur des Universités (Institut national polytechnique de Lorraine)
Ｒ
1. Transmission de données....................................................................... S 8 120 - 2
1.1 Histoire et notion de performances ........................................................... — 2
1.2 Système de communication ....................................................................... — 3
2. Voie physique ............................................................................................ — 3
2.1 Circuit de données....................................................................................... — 3
2.2 Caractéristiques d’une voie physique ........................................................ — 4
2.3 Délais caractéristiques d’une voie physique ............................................. — 5
3. Voie logique ............................................................................................... — 7
3.1 Caractéristiques d’une voie logique........................................................... — 7
3.2 Exemples de stations intermédiaires......................................................... — 8
4. Réseaux locaux ......................................................................................... — 10
4.1 Topologies .................................................................................................... — 10
4.2 Principes de l’accès au support de transmission ...................................... — 10
5. Exemples d’application .......................................................................... — 16
5.1 Idée de solution ........................................................................................... — 16
5.2 Application 1 : surveillance routière .......................................................... — 16
5.3 Application 2 : surveillance hospitalière.................................................... — 18
5.4 Solution 2.1 .................................................................................................. — 18
6. Conclusion ................................................................................................. — 20
Pour en savoir plus ........................................................................................... Doc. S 8 120
e dossier est consacré à l’étude du temps dans les réseaux locaux et

C spécifiquement dans les réseaux locaux industriels. La transmission de
données nécessite différentes qualités de service selon les applications
considérées, mais elle prend toujours du temps, alors que différentes
contraintes de temps doivent être respectées. Les aspects temporels repré-
sentent ainsi un des éléments importants de la qualité de service. Le but de
ce dossier est d’abord de présenter l’ensemble des délais qui composent le
temps de transmission d’un message et qui sont responsables des retards, puis
il indique comment évaluer les performances en s’appuyant sur quelques appli-
cations simplifiées tirées du monde réel. Ce dossier ne présente pas la modé-
lisation des trafics par des lois d’arrivée probabilistes, ni la résolution des
systèmes modélisés par des files d’attente.
On suppose connus les principes de base du modèle OSI. Toutefois deux
encadrés rappellent quelques définitions pour éviter au lecteur d’aller les
rechercher dans d’autres ouvrages. Si besoin était, les références biblio-
graphiques fournissent les renseignements complémentaires soit d’ordre
général, soit sur un protocole particulier.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠､￩｣･ｭ｢ｲ･＠ＲＰＰＶ
Ce dossier est structuré comme suit. Un premier paragraphe rappelle

quelques grands principes et l’importance de la notion de performance dans la
communication.

est strictement interdite. − © Editions T.I. S 8 120 − 1
ＴＹ
ｓＸＱＲＰ
CARACTÉRISTIQUES TEMPORELLES DES RÉSEAUX INDUSTRIELS ________________________________________________________________________________
Le second et le troisième paragraphes étudient respectivement les concepts

de voie physique et de voie logique, composée de plusieurs voies physiques
connectées par des stations intermédiaires. Les performances dépendent de
façon importante des protocoles de Medium Access Control, ils sont étudiés au
paragraphe 4.
Enfin, quelques applications sont étudiées dans le cadre d’une approche
méthodologique. (0)
Ｒ Notations et symboles 1. Transmission de données

B Débit binaire
1.1 Histoire et notion de performances
D utile _ phy Débit réel utile au niveau physique
La transmission de données est ancienne et a utilisé de nombreux
D reel _ phy Débit réel au niveau physique supports. Les premiers supports utilisés étaient basés sur les sens
humains, la voix et l’ouïe, la vision. Il suffit de se replonger dans
DEBITReelUtile Débit réél utile au niveau de l’application les romans ou les bandes dessinées de notre enfance, pour
DEBITreel Débit réel au niveau de l’application rencontrer des systèmes de communication comme les signaux de
fumée, le tam-tam, mais aussi dans les cours d’histoire ancienne,
Eff Efficacité les feux des marins grecs, puis plus proche de nous, les sémaphores
de Chappe* et les télégraphes de Morse**, de Baudot***, pour
L Longueur de la trame arriver aux inventions du téléphone, de la radio, de la télévision, du
téléphone portable, etc.
Lc Longueur du canal
Nota : * Claude Chappe (1763-1805) : Ingénieur français qui invente la télégraphie
aérienne. La première ligne est ouverte entre Lille et Paris en 1794. L’histoire retient que le
Lcanal _ equivalent Longueur du canal équivalent premier essai a permis l’annonce de la reprise de la ville de Condé-sur-l’Escaut sur les
Autrichiens.
Lu
i Longueur utile d’une PDU au niveau de la couche
** Samuel Morse (1791-1872) : Peintre américain, inventeur du télégraphe électrique.
i du modèle OSI C’est une rencontre fortuite avec Ampère, entre l’Europe et les États-Unis, en 1829, qui lui
donne l’idée de son système. Il obtient son brevet en 1840 et en 1843 les crédits qui lui
Li Longueur des PDU utiles de la couche i permettent d’installer la liaison Washington – Baltimore inaugurée le 24 mai 1844.
appli *** Émile Baudot (Ingénieur français, 1845-1903). On lui doit le télégraphe qui porte son
Lu Longueur utile pour une PDU d’application nom, son brevet de télégraphie rapide date de juin 1874, il crée un alphabet à 5 signaux
appli élémentaires. Le terme baud vient du nom de Émile Baudot.
Lr Longueur réelle pour une PDU d’application
Depuis que l’homme existe, il n’eut de cesse que tout fût mis en
R Vitesse de modulation œuvre pour communiquer. Il a utilisé son intelligence et les tech-
nologies de son époque pour améliorer la communication avec ses
Tdeliv Temps de délivrance d’une PDU semblables. L’avènement de l’informatique lui a fait développer la
communication entre les machines qu’il avait conçues. Les réseaux
Th Débit réel ou throughput d’ordinateurs se sont développés dès les années cinquante, en uti-
i Débit réel utile au niveau de la couche i du lisant les infrastructures et les technologies de l’époque comme le
Th u téléphone, le télex...
modèle OSI
Les problèmes techniques à résoudre ont de tout temps, été direc-
Tintertrame Temps intertrame tement induits par les contraintes de la communication humaine. La
Tp Temps de propagation première de ces contraintes était la portée maximale au-delà de
laquelle le signal n’est plus reconnu, ceci était vrai pour la parole ou
Tpropagation Temps de propagation sur l’anneau plus généralement pour la voix, y compris avec l’usage d’instru-
ments d’assistance comme les trompes de bergers des Alpes ou les
Tp _ canal _ equiv Temps de propagation sur le canal équivalent porte-voix de la marine. Il en était de même avec les signaux lumi-
neux comme ceux décrits par Polybius dans la marine grecque.
Tpvi Temps de propagation sur une voie physique Vi
Nota : Polybius, (Polybios en grec), (200-120 av. J.C.) décrit un système de transmission
de messages par torches utilisé par la marine grecque. Les lettres de l’alphabet sont
Tretour Temps de retournement arrangées dans un tableau de 5 lignes et 5 colonnes de façon à transmettre les coor-
données des lettres à la place des caractères de l’alphabet. Les coordonnées des lettres
Trot Temps de rotation sont transmises en utilisant le nombre correspondant de torches enflammées.
Tt Temps de transmission Ces contraintes sont directement ressenties par les utilisateurs,
et les offreurs de service vont tout mettre en œuvre afin de les satis-
Ttrans _ PDU Temps de transfert d’une PDU faire. Comment acheminer le plus rapidement possible un message
entre deux villes ? Et ils auront alors d’autres contraintes à satisfaire
Ttrans _ poll Temps de transfert du droit de parole ou d’autres critères à optimiser. Comment mieux rentabiliser les
Ttransfert Temps de transfert moyens développés et mis en œuvre pour satisfaire un maximum
d’utilisateurs ? Cette question était déjà d’actualité à l’époque des
Ttransit _ j Temps de transit dans la station intermédiaire j messagers à cheval qui sont passés du portage d’un message
unique entre deux personnes précises à celui de plusieurs
U Taux d’utilisation d’un canal messages entre deux cités, introduisant ainsi la collecte et la dis-
tribution. Sans parler du problème de la sécurité de la transmission
V Vitesse de propagation qui ne fera pas l’objet de ce dossier.

S 8 120 − 2 est strictement interdite. − © Editions T.I.
ＵＰ
ｓＸＱＲＰ
_______________________________________________________________________________ CARACTÉRISTIQUES TEMPORELLES DES RÉSEAUX INDUSTRIELS
Les préoccupations furent donc de développer des techniques

Circuit de données
pour aller plus loin, plus vite, à plus faible coût, avec la meilleure
qualité de service. L’enjeu des réseaux peut être ainsi brièvement
résumé. Outre la question de la sécurité, dont on a déjà dit qu’elle
ne faisait pas l’objet de ce dossier, nous allons étudier les aspects
ETTD Canal ETTD
temporels de la transmission de données, à la fois du point de vue
de l’utilisateur et de celui du fournisseur de service, sachant que le Modem ETCD
dilemme performance – coût est permanent. Satisfaire le client en
optimisant l’usage des infrastructures est le défi des ingénieurs en
télécommunications (comme dans beaucoup de domaines). Les Jonction Jonction
premiers travaux de Shannon relèvent d’ailleurs de cette démarche.
Figure 1 – Voie physique
Nota : Shannon, Claude Elwood, mathématicien américain (1916, 2001). Il est le père de
Ｒ
la théorie mathématique de l’information dans un article fondateur « A Mathematical
Theory of Communication », The Bell System Technical Journal, 27, 379-423, and 623-656,
July and October 1948.
d’outils de ligne, de « transceiver » en anglais, abréviation de
transmitter-receiver.
Dans le domaine des télécommunications, on appelle jonction
1.2 Système de communication l’interface entre ETTD et ETCD. Il s’agit en général de la spécification
des signaux nécessaires aux échanges et à la synchronisation entre
Un système de transmission de données est constitué d’un canal les deux appareils. Une jonction est aussi une spécification, voire
de transmission de données et d’équipements communicants. Les une norme, de connecteur.
systèmes terminaux, station de travail, automate, capteur, action-
neur sont les équipements de l’utilisateur qui produisent les infor-
mations à transporter, et qui exploitent les informations reçues. Ces 2.1 Circuit de données
systèmes terminaux sont connectés par un canal de transmission.
Un canal est caractérisé par les paramètres suivants : la bande Le terme circuit de données vient du terme électrique « circuit » ;
passante, l’affaiblissement, la distance entre stations terminales. à l’origine, c’est un chemin en téléphonie sur lequel un courant élec-
Les canaux sont réalisés sur différents supports, paires télé- trique circule ; pensez à l’expression « commutation de circuits » qui
phoniques, paires torsadées ou non, blindées ou non, liaisons consistait à établir un circuit électrique entre l’appelant et l’appelé,
radio dans différentes gammes de fréquence, câbles coaxiaux, sur lequel la parole était transportée par modulation de courant. Il
fibres optiques, etc. Les termes de canal, voie, liaison, support sont s’agit, dans les réseaux d’ordinateurs, du canal de transmission et
parfois utilisés l’un pour l’autre comme dans la phrase précédente. de ses équipements terminaux d’émission et de réception (ETCD).
Il faut toutefois distinguer le support qui transporte le signal, et le On peut aussi parler de liaison physique point à point.
canal qui, sur un support, occupe tout ou partie de la bande
passante ; la voie physique est analogue au canal. 2.1.1 Circuit simplex
Il existe aussi des équipements intermédiaires, qui n’ont pas de On appelle circuit simplex, un circuit de données qui ne permet
rôle particulier pour l’utilisateur final mais qui assurent des que la transmission dans un sens ; il relie un ETTD émetteur à un
fonctions de répétition, de routage pour la transmission proprement ETTD récepteur.
dite et qui introduisent d’autres délais dans les communications.
Nous allons d’abord étudier les voies physiques sans tenir
compte des équipements intermédiaires. Nous étudierons ensuite
2.1.2 Circuit full duplex
les voies logiques construites sur les voies physiques et les équi- On appelle circuit full duplex un circuit qui permet la trans-
pements intermédiaires. mission de données simultanément dans les deux sens sur le
même circuit. Une communication simultanée dans les deux sens
peut aussi avoir lieu sur deux circuits simplex de sens opposés.
2. Voie physique
2.1.3 Circuit half duplex
On appelle voie physique (figure 1) un canal sur un support On appelle circuit half duplex un circuit qui permet la trans-
entre deux stations terminales. En vocabulaire normalisé, une mission de données dans les deux sens mais alternativement. On
voie physique relie deux équipements terminaux de circuit de parle aussi de transmission à l’alternat.
données (ETCD, en anglais DCE, data circuit-terminating
equipment ) qui sont les interfaces des équipements terminaux 2.1.4 Liaison physique multipoint
de traitement de données (ETTD, en anglais DTE pour data
terminal equipment ). On appelle liaison physique multipoint, un circuit de données
direct permettant à plusieurs équipements terminaux de circuits de
données de recevoir les données émises par un équipement
Un équipement terminal de traitement de données est l’ensem- terminal de circuits de données.
ble des appareils qui permettent la communication entre les proces-
sus de traitement, les systèmes de stockage et un équipement
terminal de circuits de données. Un ETTD est, la plupart du temps, 2.1.5 Circuits de données et synchronisation
un ordinateur, un automate programmable, une station de travail et
La transmission sur un circuit simplex peut être synchrone ou
maintenant un capteur, un actionneur à condition qu’ils soient
asynchrone. Sur un circuit full duplex, les transmissions dans un
évidemment munis des dispositifs adéquats de communication et
sens ou dans l’autre peuvent être également synchrones ou
de traitement des données. On appelle en général l’ETTD, station,
asynchrones. Elles peuvent aussi présenter des débits différents
site, machine, hôte, nœud, (en anglais DTE, site, host, node).
selon le sens de transmission. Un exemple était le Minitel. Le poste
Un équipement terminal de circuit de données est l’ensemble Minitel émet à 75 bit/s et reçoit à 1 200 bit/s. On dit dans ce cas que
des appareils d’une station situés entre la ligne et l’équipement la voie est asymétrique. Le cas des liaisons ADSL est un autre
terminal de traitement de données. On appelle souvent un ETCD, exemple dans lesquelles les voies descendantes vers le domicile
modem (abréviation de modulateur-démodulateur), on parle aussi sont beaucoup plus rapides que les voies montantes.

ＵＱ
ｓＸＱＲＰ
CARACTÉRISTIQUES TEMPORELLES DES RÉSEAUX INDUSTRIELS ________________________________________________________________________________
Sur une voie half duplex, seule une transmission asynchrone est 2.2.2.2 Déphasage
possible, car chaque station est alternativement source et puits. On
parle toutefois de transmission asynchrone synchronisée quand, Le déphasage, encore appelé distorsion de phase, est un
durant tout le temps où une même station est source, tous les bits phénomène qui décale, ou qui retarde le signal en fonction de sa
émis le sont de façon synchrone. fréquence.
Un circuit de données peut utiliser des éléments intermédiaires Si l’on reprend l’exemple du quadripôle précédent, on a un
tels que des répéteurs ou amplificateurs de signaux. déphasage φ défini par : tan φ = – RC ω, le déphasage est l’argument
du gain complexe.
2.2 Caractéristiques d’une voie physique 2.2.2.3 Bande passante

La bande passante d’une voie de transmission est définie pour
un affaiblissement donné A. C’est l’intervalle de fréquences sou-
Ｒ
2.2.1 Caractéristiques des signaux
mises à un affaiblissement inférieur ou égal à A. La bande passante
Les caractéristiques d’un signal sont la fréquence, la phase et s’exprime en hertz (Hz).
l’amplitude. On transmet les informations soit en modulant une On connaît la bande passante d’une chaîne haute fidélité. Tous
onde porteuse en fréquence, en phase ou en amplitude, ou par une les signaux qui sont d’une fréquence inférieure ou supérieure aux
combinaison de ces caractéristiques (on parle de transmission par bornes ne sont pas transmis, ou sont affaiblis de telle façon qu’ils
bande porteuse, en anglais carrier band), soit sans modulation, on ne seront pas reconnus par le récepteur, c’est-à-dire que c’est
parle alors de transmission en bande de base (en anglais comme s’ils n’étaient pas transmis. Un canal se comporte comme
baseband ). Le modem est l’appareil capable de moduler une onde un filtre passe-bande.
à l’émission et de la démoduler à la réception.
2.2.3 Caractéristiques d’une source

2.2.2 Caractéristiques d’une voie physique
Une voie physique déforme les signaux qu’elle transporte. Les 2.2.3.1 Débit binaire
deux principales distorsions sont l’affaiblissement et le déphasage.
On appelle débit binaire (noté B) la quantité de bits transmise
Mais les signaux sont aussi soumis à des bruits comme les
par unité de temps. Il s’exprime en bit/s ou kbit/s ou Mbit/s ou
perturbations impulsives dues à des parasites. Ces parasites sont
Gbit/s. Ce débit correspond aussi bien à l’émission qu’à la récep-
d’origine variée en particulier sur les canaux constitués à partir de
tion. C’est une caractéristique des équipements aussi bien émet-
câbles métalliques, diaphonie entre lignes voisines, perturbations
teurs que récepteurs (en anglais : Bit Rate, Data Signalling Rate ).
électromagnétiques, etc.
Remarque : notez bien l’orthographe des unités en français, en
2.2.2.1 Affaiblissement anglais, on les note bps, kbps, Mbps, Gbps.
On peut distinguer plusieurs débits binaires.
Un signal transporté sur un canal est soumis à un affaiblissement.
Le débit d’émission est le débit de la station source. Le débit de
Par exemple, la voix porte sur une certaine distance, un phare réception est le débit de la station puits. Sur une voie physique, ces
éclaire à une distance maximale donnée. deux débits doivent être égaux. Ce débit est le débit nominal de la
voie physique. On verra que le débit utile et le débit réel sont autres.
À titre d’exemple plus technologique, si on considère un
quadripôle (figure 2) le rapport entre la tension de sortie et la ten- On verra aussi que sur une voie logique composée de plusieurs
sion d’entrée est défini par : éléments physiques, les débits d’émission et de réception peuvent
être différents.
V2 1
- = ----------------------------------------
-------- Certains auteurs confondent débit et bande passante qu’ils
V1 1 + R 2C 2ω 2 expriment en bit/s.
avec ω pulsation,
2.2.3.2 Moment élémentaire
R résistance,
On appelle moment élémentaire l’intervalle de temps Rt pen-
C capacité,
dant lequel la (ou les) caractéristique(s) du signal porteur d’infor-
V 2 et V 1 tensions de sortie et d’entrée du quadripôle. mation est (ou sont) constante(s) et donc significative(s) d’un ou
Ce rapport est égal au module du gain complexe du circuit. plusieurs chiffres binaires.
L’affaiblissement est une fonction du rapport inverse.
2.2.3.3 Rapidité de modulation
On appelle affaiblissement d’un canal de transmission la
grandeur A (ω ) : La vitesse de modulation (notée R) est le nombre de moments
élémentaires par unité de temps. Quand cette unité est la seconde,
n o
V
A ( ω ) = 20 lg -------1- on l’exprime en bauds. Un baud est la vitesse de modulation qui
V2 correspond à la transmission d’un moment élémentaire par
seconde (Δt = 1 s).
Nyquist a montré que la rapidité de modulation était inférieure
ou au plus égale à 2 fois la largeur de la bande passante.
Nota : Nyquist, ingénieur américain d’origine suédoise, 1889-1976. Un des théoriciens et
R experts de la transmission de données, de la théorie du signal, qu’il développa chez ATT
and Bell System. Il est aussi l’auteur du diagramme qui porte son nom pour la déter-
V1(t) C V2(t) mination de la stabilité des systèmes en boucle fermée.
Remarques :
— il n’est pas inutile de rapprocher ce que l’on appelle parfois la
« vitesse de Nyquist » du théorème de l’échantillonnage de
Figure 2 – Quadripôle Shannon ;

S 8 120 − 4 est strictement interdite. − © Editions T.I.
ＵＲ
ｓＸＱＲＰ
_______________________________________________________________________________ CARACTÉRISTIQUES TEMPORELLES DES RÉSEAUX INDUSTRIELS
— de nombreux auteurs confondent aussi vitesse de modulation et

débit binaire, ce qui se traduit par des expressions comme « ce Station 1 Distance Station 2
réseau offre un débit de 1 Mbauds ».
Tt
Les termes corrects et les bonnes unités doivent toujours être Tp
utilisés, le débit est exprimé en bit/s, la rapidité de modulation
en bauds, et la bande passante en Hz.
Ttransfert
2.3 Délais caractéristiques
d’une voie physique
2.3.1 Délai de propagation
Figure 3 – Diagramme spatio-temporel
Ｒ
Un signal se propage sur un support à une vitesse dite vitesse On remarquera que les deux délais Tp et Tt ne sont pas toujours
de propagation. En notant d la longueur du canal en m, V la vitesse du même ordre de grandeur et que l’on peut alors négliger le plus
de propagation en m/s, d/V est le délai ou le temps de faible.
propagation :
d Sur des canaux de faible longueur (de l’ordre de quelques km),
T p = -----
V le délai de propagation est négligeable et souvent négligé.
La vitesse de propagation dépend du support de transmission. Les
valeurs usuelles sont : c, c’est-à-dire 300 000 km/s pour la lumière 2.3.4 Longueur de canal
dans l’air ou le vide, 220 000 km/s pour un signal électrique dans un
câble métallique ou un signal lumineux sur une fibre optique. Dans La longueur de canal ou encore longueur de circuit se mesure
la plupart des exemples nous prendrons une valeur approchée égale naturellement en mètres, mais aussi en bits. Elle représente alors le
2c nombre de bits présents simultanément tout au long du canal. On
à -------- pour simplifier les calculs. À cette vitesse, le délai unitaire de peut l’assimiler à la taille d’une trame telle que l’on émet le dernier
3
bit quand le premier arrive au récepteur. C’est le nombre de bits que
propagation est de 5 µs par km.
l’on émet pendant que le premier se propage sur le canal.
Exemples Notons Lc la longueur du canal en bits :
Le délai de propagation sur un support métallique de 100 km est de
0,5 ms. d
L c = B ----- = BT p
V
Sur une liaison par satellite à 36 000 km, ce délai est de 12 · 10–2 s
soit 120 ms entre la station terrestre et le satellite. Entre deux stations L’équation aux dimensions (bit/s × s ⇒ bit) (vitesse × durée
terrestres, le délai est donc au minimum de 2 × 120 = 240 ms. ⇒ longueur) donne bien une longueur en bits.
Il faut y ajouter le temps mis par le satellite pour réémettre le signal. Cette grandeur établit un lien entre débit et temps de propagation.
Il s’agit d’un délai de transit introduit par une station intermédiaire (voir La longueur de canal permet de construire des représentations
§ 3.1.1 et 3.2). spatiales de la propagation des trames, de les situer à un instant
donné sur le support.
2.3.2 Délai de transmission Cette notion permettra aussi d’unifier dans le concept de canal
équivalent tous les délais induits par la présence de stations inter-
On appelle délai ou temps de transmission le temps nécessaire à médiaires, comme on le verra au § 3.
l’émission ou à la réception d’une trame. Sur une voie physique
simple, les délais d’émission et de réception sont identiques. Ce n’est
pas toujours le cas quand on prend en compte une voie logique. 2.3.5 Débit réel ou throughput
Si on note L la longueur de la trame en bits, B le débit binaire
en bit/s, le temps de transmission est : Le throughput ou débit réel a été introduit pour évaluer la per-
formance de l’usage que l’on fait d’un canal. Si l’on émet de toutes
L petites trames, on utilisera peu le canal, si l’on émet de grandes
T t = -----
B trames, ce sera le contraire.
Exemples Le throughput s’exprime en bit/s et est défini par :
Une trame de 8 octets sur un réseau CAN dans l’automobile à
L
250 kbit/s a un délai de transmission de 64/250 · 103 = 0,256 · 10–3 s Th = --------------------
Tt + Tp
soit 0,256 ms.
Une trame de 128 octets sur un réseau WorldFIP à 1 Mbit/s a un Exemples
délai de transmission de 1 024/106 ≈ 10–3 s soit 1 ms environ. 10 Mbit/s, 2 km avec L = 2 000 octets, Th ≈ 9,9 Mbit/s
Une trame de 128 octets sur un réseau Ethernet à 10 Mbit/s a un 10 Mbit/s, 2 km avec L = 100 octets, Th ≈ 8,89 Mbit/s
délai de transmission de 1 024/107 ≈ 10–4 s soit 0,1 ms environ. 10 Mbit/s, 2 km avec L = 512 bits, Th ≈ 8,3 Mbit/s
2.3.3 Temps de transfert sur une voie physique 2.3.6 Débit réel utile et efficacité
On appelle temps ou délai de transfert la somme du délai de
Le débit réel utile représente la performance du canal par rapport
transmission et du délai de propagation (cf. figure 3). On parle
aux informations utiles en tenant compte des informations de
parfois aussi de délai d’acheminement. C’est le temps nécessaire à
contrôle du protocole conformément aux principes du modèle
l’émission et à la réception de toute la trame :
OSI [16] [34]. Il ne faut pas oublier que pour transporter l’information
Ttransfert = Tt + Tp utile, on lui adjoint des informations de contrôle du protocole (PCI,

ＵＳ
Ｒ
ＵＴ
ｓＸＱＳＰ
Choix du réseau ATM pour le tramway

de Strasbourg
par Philippe LECLERE

Responsable systèmes à la direction des études et projet
de la Compagnie des transports strasbourgeois CTS
Ｒ
1. Raisons du choix ATM ............................................................................ S 8 130 - 2

2. Présentation et composantes du réseau de transmission sol/sol — 4
2.1 Principe général ........................................................................................... — 4
2.2 ATMLightRing ALR ...................................................................................... — 4
2.3 Multiplexeurs multiservices UMUX ........................................................... — 7
2.4 Audio codec ................................................................................................. — 8
2.5 LAN/Ethernet ............................................................................................... — 9
2.6 Vidéo codec.................................................................................................. — 10
3. Architecture de réseau de transmission sol/sol.............................. — 10
3.1 Architecture.................................................................................................. — 10
3.2 Réseau de transport ATM ........................................................................... — 10
3.3 Réseau de fibres .......................................................................................... — 11
3.4 Types de stations ......................................................................................... — 11
3.5 Synoptiques des stations............................................................................ — 11
4. Charge et gestion du réseau................................................................. — 14
5. Conclusions ............................................................................................... — 14
Références bibliographiques ......................................................................... — 15
our l’exploitation de la ligne B de tramway, le choix de la Compagnie des

P transports strasbourgeois CTS s’est porté sur le réseau ATM (Asynchro-
nous Transfer Mode).
C’est la première mise en œuvre d’un réseau ATM, jusque là réservé au
domaine des télécommunications, pour le transport urbain en France avec l’inté-
gration de l’ensemble des services d’exploitation.
Le principe de ce réseau de transmission sol/sol consiste à transmettre les
informations suivant trois réseaux que nous étudierons dans l’article suivant
[S 8 131].
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｮ＠ＲＰＰＳ
© Techniques de l’Ingénieur, traité Informatique industrielle S 8 130 − 1
ＵＵ
ｓＸＱＳＰ
CHOIX DU RÉSEAU ATM POUR LE TRAMWAY DE STRASBOURG __________________________________________________________________________________
Principaux sigles
ALM ATMLightRing Manager PCC Poste de Commande Centralisée
ALR ATMLightRing PCR Peak Cell Rate
API Automate Programmable Industriel PDH Plesiochronous Digital Hierarchy
APS Automatic Protection Switching PEM Privacy Enhanced Mail
ATM Asynchronous Transfer Mode PVC Permanent Virtual Connexion
CAC Contrôle d’Admission des Connexions RCM Ring Controller Module
Ｒ CAS
CBR
Composition Adjustment by Sealed Argon bubbing
Constant Bit Rate

RIGEN
RIS
Riging GENerator
Réseau à Intégration de Service
CIB Communication Interface Board RNIS Réseau Numérique à Intégration de Service
CIU Communication Interface Unit SAE Système d’Aide à l’Exploitation
CSM Carrier Sense Multiple SAI Système d’Aide à l’Information
CTS Compagnie des Transports Strasbourgeois SCR Sustained Cell Rate
DBC Dynamic Bandwith Control SDH Synchronous Digital Hierarchy
DTE Data Terminal Equipment SIG Signalisation ferroviaire
EXLA Exchange Line Analog SUBL SUBscriber Line
FDDI Fiber Distributed Data Interface TCP Transmission Control Protocol
GTC Gestion Technique Centralisée TDM Time Division Multiplexer
HDSL High bit-rate Digital Subscriber Line TSS Transmission Sol/Sol
IETF Internet Engineering Task Force UBR Unspecified Bit Rate
IF Installations Fixes UCST UMUX Control Software Tool
IP Internetwork Protocol UMUX Universal Multiplexer
IT Intervalle de Temps UNEM UMUX Network Element Manager
LAN Local Area Network UNIDA Universal Data Access
LANE LAN Emulation UPSR Unidirectional Path Switched Ring
MICDA Modulation par Impulsions Codées Différentielles Adapta- VBR Variable Bit Rate
tive
M-JPEG M-Joint Photographic Experts Group VD Voix et Données
MPEG Moving Picture Experts Group VDI Voix-Données-Images
PAL Privileged Architecture Library routine
1. Raisons du choix ATM Le support choisi est la fibre optique monomode (cf. [E 7 110]
réf. [6]).
Elle propage un signal avec une longueur d’onde (mode) prédé-
La Compagnie des transports strasbourgeois CTS a, sur la terminée. De ce fait, l’affaiblissement est très réduit. La distance
ligne A, un réseau de télécommunications bâti sur deux réseaux permise sans amplification et répétition du signal atteint 30 km sur
parallèles en fibre optique (monomode et multimode) dans les les produits industrialisés, pour un débit de 2,5 Gbit/s. C’est ce type
infrastructures de la ligne A du tramway. Plusieurs applications de fibre qui est très généralement posé dans les réseaux fédéra-
propres au fonctionnement de la CTS sont gérées sur ces réseaux : teurs à haut débit.
téléphonie, vidéo, sonorisation, GTC, interconnexion de réseaux
Ethernet, ... Les technologies de transport qui ont été envisagées avant le
choix d’ATM étaient les technologies FDDI, Ethernet et SDH.
Dans le cadre de la mise en place des lignes B et C, la CTS en
1998, a souhaité s’assurer de la pertinence du choix de la techno- FDDI est une structure de réseau fondée sur un simple ou double
logie du nouveau réseau. anneau physique en fibre optique. L’évolution de cette technologie
S 8 130 − 2 © Techniques de l’Ingénieur, traité Informatique industrielle
ＵＶ
ｓＸＱＳＰ
_________________________________________________________________________________ CHOIX DU RÉSEAU ATM POUR LE TRAMWAY DE STRASBOURG
n’offrait pas une garantie forte quant à la pérennité. Elle reste Le débit utile est plus important en ATM que pour SDH, du fait
d’ailleurs une technologie coûteuse et orientée vers des réseaux de l’utilisation de moins d’octets dans les trames. L’ATM limite
informatiques. donc les surdébits liés aux couches physiques.
La technologie Ethernet constituait un facteur limitatif pour les La solution ATM est beaucoup plus souple dans un contexte
réseaux fédérateurs hauts débits du fait : hétérogène.
— de la gestion des collisions qui ne permet pas d’utiliser la
Nota : l’ATM fait l’objet de nombreuses publications ou sites (cf. [1] [2] [3] [4] [5],
bande passante totale disponible (saturation aux environs de 30 à [E 7 180] réf. [7], [IP 2710] réf. [8]).
40 % de son débit de crête en half-duplex ) ;
— de son mode de fonctionnement en half-duplex au niveau
physique ; La compagnie des transports strasbourgeois
— de la longueur limitée des segments Ethernet ; La compagnie des transports strasbourgeois a été fondée en 1878. En
1898, c’est le début de l’électrification du réseau de tramway. La dernière
Ｒ
— du faible niveau de service offert par les ponts ; ligne de l’ancien tramway s’est arrêtée le 1er mai 1960.
— des problèmes de performance au niveau des routeurs si l’on En 1989, La communauté urbaine de Strasbourg décide de construire
approche leurs débits de saturation ; un nouveau réseau de tramway. C’est en 1994 qu’est inaugurée la pre-
— de sa limitation aux données (aux échanges non isochrones). mière ligne de tramway (ligne A) de 9,8 km de Hautepierre Maillon à Bag-
gersee.
Les technologies Fast Ethernet (100 Mbit/s) et Giga Ethernet En 1998, un prolongement (2,8 km) de la ligne A a été construit entre
permettent de reculer les risques de saturation par l’augmentation Baggersee et Lixenbuhl. La même année, la ligne D entre Rotonde et
Étoile Polygone a été créée.
de la bande passante, mais ne résolvent pas les limitations du
La première ligne (A et D) a été réalisée pour un montant de 296 M€
protocole de gestion des trames et la difficulté de traiter (à (1 940 MF), y compris matériel roulant.
l’époque) d’autres médias que les données. En 2000, les lignes B et C du tramway, d’une longueur de 12,6 km sont
inaugurées. Elles ont coûté 248 M€ (1 625 MF).
La technique de transmission synchrone ou SDH permettait
La figure 1 présente le réseau tramway depuis septembre 2000.
d’atteindre des débits potentiels de 2,5 Gbit/s. La technologie SDH
La CTS a trois missions essentielles :
identifie en cours de transmission les flux et les extraits pour les
— exploiter le réseau urbain, 24 lignes de bus et 4 lignes de
acheminer. Cette « commutation » est statique, configurée une fois tramway ;
pour toutes dans les tables de routage. Une technologie SDH peut — exploiter le réseau interurbain, 10 lignes de bus soit 70 % du
être réalisée en topologie unidirectionnelle ou bidirectionnelle, réseau interurbain ;
— assurer la conception, la construction et la maîtrise d’ouvrage des
point à point, bus ou anneau simple ou double. infrastructures du réseau tram.
L’ATM est une technologie à la convergence de la commutation
Le tramway
de circuits et de la commutation de paquets (cellules). Les cellules
sont de petite taille et peuvent être commutées rapidement, au Sur la base d’expériences antérieures, il s’est avéré nécessaire d’adop-
ter un matériel roulant à plancher bas intégral, sur toute la longueur des
bénéfice d’applications isochrones. La commutation se fait en rames, sans marches, ni podiums à l’intérieur du véhicule (figure 2). En
temps réel et la bande totale est partagée dynamiquement (ou 1994, c’était une première mondiale.
avec des réservations) entre les applications. La première série de 26 rames a été achetée à ABB. Ces rames avaient
pour caractéristiques principales :
L’ATM repose sur une technique de circuit virtuel et ne mobilise — longueur hors tout : 33,10 m ;
que les ressources de communication et d’acheminement néces- — largeur hors tout : 2,40 m ;
saires au passage des informations, par opposition à la technique — hauteur : 3,10 m ;
— nombre de moteurs de traction : 12 ;
de commutation de circuits. Le débit alloué à un circuit virtuel est — puissance totale : 318 kW (432 ch) ;
adapté à chaque sens de transmission. C’est le principe d’asymé- — poids à vide : 40 t.
trie. La deuxième série de 27 rames était composée de 10 rames
« 3 caisses » de 33,10 m et 17 rames « 4 caisses » de 43 m de long. Ces
L’ATM est particulièrement adaptée à un environnement multi- dernières ont 16 moteurs et pèsent 50 t à vide.
services, comportant des applications de données à haut débit, des
applications isochrones (téléphonie, audiovisuel, hifi) et de l’image Les courants faibles
animée. Pour assurer une exploitation optimale, il est nécessaire que les régu-
lateurs et les personnes du PC information puissent être informés, en
Le mode de communication ATM est conçu de manière à temps réel, de l’état des équipements sur le terrain ainsi que de la posi-
permettre le transport, de façon transparente, de la plupart des tion des véhicules. Il faut également que le personnel puisse renseigner
protocoles existants à ce jour. Cette tendance a motivé les fournis- la clientèle sur l’état du dispositif. Pour ce faire, un système articulé
autour d’une gestion technique centralisée (GTC) et d’un réseau de trans-
seurs d’ATM, dans la quête d’une solution de migration préservant mission haut débit permet de commander tous les outils nécessaires à
l’existant, appelée LAN Emulation (LANE). Cette technique émule ces fonctions.
le fonctionnement des réseaux locaux traditionnels, rendant La communication entre les stations et le poste de commande centra-
l’infrastructure ATM transparente pour les niveaux supérieurs lisé (PCC) (figure 3) constitue une des principales tâche dévolue au sys-
tème de GTC, partie intégrante des courants faibles, qui assure l’interface
(Netware, TCP/IP, Windows NT, ...). de commande pour :
Tous les éléments composant les réseaux locaux existants (adap- — la liaison interphonique entre le PCC et la station enterrée de la
gare ;
teur Ethernet, hubs, commutateurs, routeurs) ont dû cohabiter — la sonorisation des stations ;
avec le déploiement de réseau fédérateur ATM. — la télésurveillance visuelle depuis le PCC à l’aide de 75 caméras ;
— la surveillance de l’état des distributeurs automatiques de titres de
Après un premier tri, les deux solutions qui se sont dégagées transport ;
sont SDH et ATM. — la surveillance de la détection incendie ;
— la supervision et la commande de la distribution d’énergie électri-
Cependant, ATM présente des avantages pour : que pour les tram ;
— la commande de l’éclairage des stations ;
— l’établissement de connexions entre points homogènes ; — la supervision et la commande des escalators et des ascenseurs.
— l’optimisation de la bande passante utile ; Un système dédié est utilisé pour superviser et commander la signali-
— les connexions asymétriques, intéressantes dans un environ- sation ferroviaire.
nement multimedia où les flux « requête » (demande utilisateur) Un autre système appelé système d’aide à l’exploitation (SAE) permet
entre autre le suivi et la localisation de l’ensemble des véhicules en
sont faibles par rapport à la réponse ; temps réel, le suivi et la surveillance de l’horaire, l’information aux
— l’évolutivité du réseau vers des débits supérieurs (moyennant conducteurs et aux clients ainsi que la liaison phonie entre le PCC et les
conducteurs.
un rajout de cartes et sans nécessité de câblage supplémentaire).
ＵＷ
Ｒ
ＵＸ
ｓＸＱＳＱ
Réseau ATM du tramway de Strasbourg

Intégration des services
par Philippe LECLERE
Responsable systèmes à la direction des études et projet
Ｒ
de la Compagnie des transports strasbourgeois CTS
1. Réseau bas débits .................................................................................... S 8 131 - 2

1.2 Allocation des IT dans les trames 2 Mbit/s, G704 ..................................... — 2
1.3 Réseau téléphonique................................................................................... — 2
1.3.1 Accès au PCC et en stations............................................................... — 2
1.3.2 Accès 2 Mbit/s G. 703 interautocommutateurs ................................ — 4
1.4 Réseau SAI ................................................................................................... — 4
1.5 Réseau sonorisation .................................................................................... — 4
2. Réseau LAN/Ethernet.............................................................................. — 6
2.2 Récapitulatif des services par station ........................................................ — 8
2.3 Configuration physique............................................................................... — 8
3. Réseau vidéo ............................................................................................. — 8
3.2 Récapitulatif des accès au réseau vidéo .................................................... — 11
3.3 Synoptiques ................................................................................................. — 11
3.3.1 Au PCC................................................................................................. — 11
3.3.2 En station............................................................................................. — 12
3.4 Établissement des connexions ................................................................... — 12
Tableau des sigles............................................................................................. S 8 130
et article vient à la suite de l’article [S 8 130] sur le choix du réseau ATM

C pour le tramway de Strasbourg.
Le principe du réseau de transmission sol/sol consiste à transmettre les infor-
mations suivant trois réseaux :
— le réseau bas débits pour les services téléphoniques, les systèmes d’aide à
l’information et la sonorisation ;
— le réseau LAN/Ethernet pour les services de signalisation ferroviaire, de
gestion technique centralisée, d’énergie et de billétique ;
— le réseau vidéo pour les services vidéosurveillance.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｮ＠ＲＰＰＳ
ＵＹ
ｓＸＱＳＱ
RÉSEAU ATM DU TRAMWAY DE STRASBOURG _______________________________________________________________________________________________
1. Réseau bas débits

. Collecte (grooming) des informations relatives à
1.1 Principe général ces quatre réseaux aux travers des interfaces
spécifiques des UMUX 1500 du PCC
Le réseau bas débits regroupe la collecte, le transport et la dis- . Brassage (insertion/extraction) de ces informations
tribution des informations des services téléphoniques, SAI et sono- en utilisant la matrice de brassage d'intervalles de
temps 64 kbit/s (IT) de l'UMUX 1500
risation/audio.
PPC
Le principe général adopté s’articule autour des fonctions répar- . Mise en forme de ces informations dans des trames
ties dans les équipements qui composent le réseau de transmis- 2 Mbit/s, G.704. Deux trames E1 (active et redontante)
par station sont ainsi constituées
sion sol/sol TSS suivant la figure 1.
Ｒ Un schéma de principe résumant les fonctions décrites ci-dessus

est donné sur la figure 2.
L’architecture proposée pour la distribution des informations
.
.
Interfaçe électrique entre UMUX 1500 et ALR du PCC
au niveau 2 Mbit/s G.703 120 Ω
Segmentation dans l'ARL du PCC des trames ainsi

issues de ces quatre réseaux adopte une topologie « Étoile », point constituées en cellules ATM
à point.
Les informations des services bas débits sont donc transportées
des cellules correspondantes dans la
dans le réseau TSS au travers de liens E1 - 2 Mbit/s - G. 703, qui
utilisent une structure de trame selon la norme G. 704. Allocation
TRANSPORT boucle ATM desservant la/les station(s)
des IT dans les trames 2 Mbit/s, G704.

. Réassemblage des cellules ATM en trames G.704
au niveau de l'ARL situé en station
1.2 Allocation des IT dans les trames .
2 Mbit/s, G704 STATION Interface électrique entre ALR et UMUX 1300 situés
en station au niveau 2 Mbit/s G.703 120 Ω
Sur la base du principe adopté quant à la collecte, le transport

. Brassage (insertion/extraction) des informations
relatives à la station en utilisant la matrice de brassage
et la distribution des informations des services téléphonies, SAI et d'intervalles de temps 64 kbit/s (IT) de l'UMUX 1300
sonorisation, les figures des paragraphes 1.3, 1.4 et 1.5 donnent les
structures des différentes trames 2 Mbit/s - G. 704 entre le PCC et . Distribution ce ces informations vers les équipements
périphériques aux travers des interfaces spécifiques
les stations desservies. Pour chaque station deux liens E1 sont de l'UMUX 1300 en station
alloués, un lien actif (A) et un lien redondant (R), au niveau du PCC
et au niveau de la station. L’allocation des intervalles de temps (IT)
dans ces trames se fait au travers de l’outil de configuration et de
contrôle UCST (UMUX Control Software Tool ) partie intégrante du
Figure 1 – Répartition des fonctions dans les équipements
gestionnaire de réseau des UMUX (UNEM).
du réseau TSS
1.3 Réseau téléphonique

G. 703 UIT, section 6. La structure de trame du signal est conforme
Le réseau téléphonique assure : à la recommandation G. 704 UIT.
— l’interconnexion de 112 accès téléphoniques standards 300 à Les 112 accès téléphoniques (paires a/b) issus des interfaces
3 400 Hz entre l’autocommutateur du PCC et les postes télé- analogiques de l’autocommutateur du PCC sont connectés à un
phoniques localisées dans chaque station ; répartiteur. Une unité EXLA6 de l’UMUX 1500 reçoit un câble
— l’interconnexion d’un lien 2 Mbit/s - G. 703 entre l’autocom- 12 accès (12 paires a/b du répartiteur) qui correspond aux 12 rac-
mutateur du PCC et celui du dépôt. cordements disponibles sur cette unité.
Dans cet exemple, 4 accès doivent être réalisés jusqu’à la
1.3.1 Accès au PCC et en stations station x.
Ces 4 accès (IT) contenus dans l’unité EXLA6 sont brassés au
■ Au PCC niveau de l’unité COBUX (matrice de brassage) et insérés dans la
trame 2 Mbit/s G. 703/G. 704 spécifique à la station x. Cette trame
Le schéma de principe de la distribution des accès téléphoniques est ensuite envoyée au travers d’un port de l’unité LOMIF vers
au PCC est donné sur la figure 3. l’interface CE-E1 (16 ports E1) de l’ALR de la boucle où se trouve
L’unité EXLA6 (EXchange Line Analog ) 600 Ω, est une unité la station x puis transportée jusqu’à cette dernière.
d’interface pour autocommutateur téléphonique. Chaque unité
Ainsi, les 112 accès téléphoniques sont physiquement raccordés
offre 12 raccordements. EXLA6 reproduit les fonctions des appa-
à 10 unités EXLA6 (offrant un total disponible de 10 × 12 = 120
reils d’abonnés, détecte les signaux correspondants de l’autocom-
raccordements). Chaque groupe d’IT, correspondant aux besoins
mutateur de rattachement et les transmet à l’unité SUBL6 située
de chaque station à desservir, est brassé et inséré dans des trames
côté station.
G. 704 des liaisons 2 Mbit/s G. 703 spécifiques à chaque station.
L’unité de commande centrale COBUX fait partie de l’équipe- Ces trames sont ensuite transportées via le réseau ATM jusqu’aux
ment de base de l’UMUX 1500. Elle contient, entre autres, la fonc- stations correspondantes.
tion de brassage des signaux utiles entre les unités d’interface au
niveau 64 kbit/s (n × 64 kbit/s). ■ En station (hors dépôt)
L’unité LOMIF comprend 8 interfaces 2 Mbit/s à quatre fils. Les Le schéma de principe de la distribution des informations accès
caractéristiques électriques sont conformes à la recommandation téléphoniques en station est donné sur la figure 4.
ＶＰ
ｓＸＱＳＱ
______________________________________________________________________________________________ RÉSEAU ATM DU TRAMWAY DE STRASBOURG
UMUX 1500
Ｒ
UMUX 1300
Figure 2 – Schéma de principe

réseau bas débits
112 accès téléphoniques
12
Port 1
1 2 3 4
Figure 3 – Distribution accès téléphoniques au PCC
L’unité MEGIF 120 Ω comprend deux interfaces 2 Mbit/s G. 703. interconnexion est prévue pour n canaux à 64 kbit/s (n = 1 à 31). La
Les caractéristiques électriques sont conformes à la recom- fonction d’interconnexion simultanée de la signalisation par voie
mandation G. 703 UIT, section 6. La structure de trame du signal commune CAS (signalisation dans l’intervalle IT16) est standard.
est conforme à la recommandation G. 704 UIT. L’unité SUBL6 (SUBscriber Line analog) 600 Ω, est une unité
L’unité de commande centrale CENCA fait partie de l’équipement d’interface téléphonique. Chaque unité offre 12 raccordements.
de base de l’UMUX 1300. Elle contient, entre autres, la fonction de SUBL6 reproduit les fonctions de l’autocommutateur de ratta-
brassage (DXC, matrice résidente commandée par logiciel) des chement, détecte les signaux téléphoniques correspondants et les
signaux utiles entre les unités d’interface au niveau 64 kbit/s. Cette transmet à l’unité EXLA6 située côté autocommutateur.
ＶＱ
Ｒ
ＶＲ
ｓＷＵＹＸ
Conduite des systèmes

de production manufacturière
par Damien TRENTESAUX Ｒ

Ingénieur de l’École nationale supérieure d’ingénieurs électriciens de Grenoble
(ENSIEG/INP Grenoble)
Maître de conférences, université de Valenciennes
et Olivier SÉNÉCHAL
Maître de conférences, université de Valenciennes
1. Pilotage des systèmes ............................................................................ S 7 598 – 3

1.1 Concept de pilotage..................................................................................... — 3
1.2 Deux axes de modélisation......................................................................... — 3
1.3 Du pilotage au pilotage décisionnel........................................................... — 4
1.4 Aide au pilotage........................................................................................... — 7
2. Conduite des systèmes de production .............................................. — 7
2.1 Positionnement dans la gestion de production manufacturière ............. — 7
2.2 La conduite, un système de pilotage décisionnel..................................... — 8
2.3 Modélisation fonctionnelle ......................................................................... — 9
2.4 Modélisation structurelle ........................................................................... — 11
3. Problématique des systèmes de conduite ........................................ — 13
3.1 Conception ................................................................................................... — 13
3.2 Exploitation .................................................................................................. — 14
3.3 Analyse ........................................................................................................ — 14
4. Exemple illustratif ................................................................................... — 14
4.1 Site industriel ............................................................................................... — 14
4.2 Conception du système de conduite de l’atelier de finition..................... — 15
4.3 Exploitation du système de conduite......................................................... — 21
4.4 Analyse du système de conduite ............................................................... — 21
5. Conclusion ................................................................................................. — 21
Références bibliographiques ......................................................................... — 21
n environnement fortement concurrentiel et des produits de plus en plus

U rapidement obsolètes poussent aujourd'hui les entreprises à rechercher les
moyens d'augmenter la réactivité de leur système de production. Pour répondre
à cet objectif, il leur est nécessaire :
— d'intégrer et de responsabiliser les différents acteurs ;
— de réduire les stocks et les en-cours ;
— de réduire les coûts et les temps de changement de production ;
— d'assurer de façon plus générale une qualité totale de l'ensemble des acti-
vités et des produits (la norme ISO 9001 définit le modèle pour l'assurance
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠､￩｣･ｭ｢ｲ･＠ＲＰＰＲ
qualité en conception, développement, production, installation et soutien après

vente. Cet aspect des systèmes de production n'est pas traité dans cet article).
ＶＳ
ｓＷＵＹＸ
CONDUITE DES SYSTÈMES DE PRODUCTION MANUFACTURIÈRE ________________________________________________________________________________
Par conséquent, à l'heure actuelle, la gestion des flux de l’atelier devient pré-
pondérante et la conduite d'atelier, dont le rôle principal est de réaliser la pro-
duction prévue dans un environnement dynamique et fortement perturbé,
constitue un enjeu de plus en plus important si l’on veut conserver ou accroître
les parts de marché de l’entreprise.
Cependant, étant donné une offre logicielle souvent inadaptée, un accroisse-
ment de la complexité des ateliers et des opérations et une large diversité des
métiers concernés, les performances obtenues en conduite d’atelier sont sou-
vent largement inférieures aux performances attendues ou potentielles.
La conduite des systèmes manufacturiers est présentée suivant une approche
automaticienne à partir des notions de système, boucle cybernétique, pilotage,
Ｒ processus, décision, information, etc. Un moyen pour accroître les performances
consiste à augmenter la capacité de décision du niveau de conduite pour réagir
de manière adaptée.
Les auteurs remercient, pour son aide précieuse dans la rédaction de cet article,
monsieur C. Delstanche, directeur financier de la société Précimétal (Belgique),
du groupe Manoir Industries. (0)
Glossaire Glossaire
Ce glossaire constitue une liste non exhaustive de définitions Lot : quantité de transformation d'un produit, désigne l'ensemble
couramment utilisées et issues pour la plupart de normes ou physique des éléments subissant la transformation.
d’articles faisant référence dans le domaine. Il est également en Manufacturing execution system (MES) : un système intégré en
partie basé sur le dictionnaire APICS [1]. temps réel d’information et de communication d’atelier de produc-
tion supportant les fonctions d’allocation de ressource, d’ordon-
Activité : transformation d’éléments d'entrée en éléments de sortie nancement détaillé, de lancement, de gestion de données, de
(matière, produit, information, flux) selon une règle reproductible. gestion des calendriers de travail, de suivi, des opérations de
Cette transformation est supportée par un ensemble de ressources maintenance et d’analyse de performances.
(humaines, techniques, etc.).
Modèle : vue « logique » (c’est-à-dire traitant des informations, par
Commande : niveau de traduction de l'ordre en une séquence opposition à la vue « physique » traitant de l’énergie ou de la
d'instructions exécutables par la machine. matière) et réductrice d’une réalité afin d’en améliorer la compré-
Concourance : mise en œuvre simultanée de moyens de natures hension.
diverses en vue de concourir à un objectif global dans les meilleu-
res conditions de coût, de qualité et de délai. Ordonnancement (scheduling): planning des opérations complété
par les affectations des ressources qui vont réaliser ces opéra-
Conduite (production control): niveau de la gestion de production tions. Organisation fine du travail, équilibrage de la charge.
responsable de la pile de tâches, de l’intégration des contraintes
locales, du lancement, du suivi des produits et de chaque res- Planification (production planning): planification à long terme des
source. Ce niveau est responsable de la réalisation des actions de ventes et de la production.
production planifiées. Processus : un processus est constitué d’un ensemble d’activités
Contrôle : composante de la conduite assurant la définition des identifiées en nombre fini et concourant chacune à la réalisation
décisions possibles, la prise de décision à proprement parler et d’un objectif commun.
l’application de celle-ci de manière cohérente avec les objectifs de Programmation : définition des besoins nets, jalonnement, créa-
production. tion du programme prévisionnel de production.
Décision : restriction d’un domaine de valeur d’une variable, tri sur
plusieurs domaines ou valeurs ou classement sur plusieurs Ressource : entité du système de production capable d'effectuer
domaines ou valeurs. une tâche (transformation, action) sur un lot (poste de travail, cel-
lule, stock, poste de contrôle, etc.).
Entreprise resource planning (ERP) system : un système intégré
dédié à la gestion globale de toutes les ressources requises d’une Stock : point d'accumulation du flux de produits.
entreprise de production de biens ou de services pour prendre, Supervision de production : composante de la conduite assurant
faire, transporter et gérer d’un point comptable l’ensemble des le suivi de l'état du système de production (productivité, stocks,
commandes des clients. etc.) et la détection des anomalies.
Évaluation des performances (des systèmes de production) : mise Système : se dit d’un artéfact qui décrit quelque chose (quoi) qui,
en évidence des impacts d’une décision, passée ou future, sur le dans quelque chose (environnement), pour quelque chose (fina-
positionnement relatif de la finalité, des objectifs, des résultats et lité), fait quelque chose (activité), par quelque chose (structure) et
des moyens constitutifs de ces systèmes, sur la globalité du cycle qui se transforme dans le temps (évolution). Un système peut être
de vie de ces impacts, et sous chacun des points de vue concernés. caractérisé par le triplet (être, faire, devenir) décrivant sa structure,
Gestion de production (production management) : fonction géné- sa fonction et son évolution.
rale consistant à gérer prévisionnellement et à conduire les pro-
duits (leur stockage, leur transformation) de la commande des Tableau de bord : interface présentant à l'opérateur de conduite,
matières premières à la livraison des produits finis. sous une forme ergonomique, un certain nombre d'informations
sur le système de production.
Gestion prévisionnelle : prise en compte prévisionnelle des
besoins, niveaux de stock et charge, regroupe les fonctions de pla- Tâche : ordre de fabrication, de transformation d'un lot de produits
nification, de programmation et d'ordonnancement. sur une ressource donnée, prescription d’une activité.
Indicateur de performance : donnée quantifiée qui mesure l'effi- Temps réel : un système en temps réel est un système qui est
cacité de tout ou partie d'un processus ou d'un système par rap- capable de réagir dans un horizon temporel fixé par son environ-
port à une norme, un plan ou un objectif déterminé et accepté nement.
dans le cadre d'une stratégie d'entreprise. Transformateur : point de modification des caractéristiques du
Lancement (dispatching) : au niveau de la conduite, envoi d'une flux de produits (les ressources de l'atelier sont des transforma-
demande d'exécution d'une tâche à la commande de la ressource. teurs).
ＶＴ
ｓＷＵＹＸ
________________________________________________________________________________ CONDUITE DES SYSTÈMES DE PRODUCTION MANUFACTURIÈRE
1. Pilotage des systèmes conception concerne tous les systèmes de pilotage composant la
structure considérée. Au niveau le plus bas du système opérant,
c’est à dire sans plus de décomposition récursive, nous suppose-
rons que le modèle du système opérant est donné. La conception a
Nous présentons ici les différents modèles de pilotage qui servi- pour conséquence de générer un système global remplissant une
ront de support pour les phases de conception (§ 3.1), d’exploitation fonction globale a priori. Dans le cas où ces lois seraient conçues
(§ 3.2) et d’analyse des systèmes de conduite (§ 3.3). pour évoluer dynamiquement en fonction d’un modèle dynamique
Ces modèles sont déclinés selon deux axes : fonctionnel (quoi du système opérant (par exemple, identifié en temps réel), le sys-
faire et comment faire) et structurel (qui fait quoi). Auparavant, nous tème de pilotage est qualifié d’adaptatif ;
décrivons le concept de pilotage. — en phase d’analyse, à vérifier, a posteriori de l’exploitation ou
durant cette même phase, que les objectifs sont bien atteints et avec
Nous ne nous focaliserons pas sur la vue « physique » du pilo- quel degré de qualité par rapport à la conception et au cahier des
tage. Cette vue ne sera abordée que succinctement au niveau du charges. Il est également possible, durant cette phase, de mettre en
Ｒ
cadre applicatif proposé (§ 4). évidence des mécanismes d’amélioration de la pertinence de la
conception, soit en terme de simplification du système de pilotage
pour des performances au mieux semblables, soit en terme de com-
1.1 Concept de pilotage plexification pour augmenter ces performances.
Selon J.W. Forrester, « la boucle de rétroaction est l'élément

structurel fondamental des systèmes. Le comportement dynamique 1.2 Deux axes de modélisation
est généré par rétroaction » [2]. M.J. Avenier [3] poursuit ce raison-
nement en affirmant que piloter un engin revient en premier lieu à
choisir un objectif par rapport auquel la meilleure trajectoire est Dans la suite, nous nous focaliserons sur deux des trois axes de
définie. Une fois l’engin lancé, il s’agit de : modélisation des systèmes qui sont la fonction et la structure. L’évo-
— corriger en permanence les écarts par rapport à la trajectoire ; lution, liée au phénomène d’adaptation ou de reconception, sera
— modifier éventuellement la trajectoire, voire l’objectif, lorsque succinctement abordée au paragraphe 3.3.
des informations sur l’univers extérieur et sur le comportement de
l’engin montrent que le plan initial ne peut être maintenu.
Quelle que soit la nature du système (physique, social, organisa-
1.2.1 Modélisation fonctionnelle
tionnel, etc.), cette définition du pilotage est applicable dès lors que
l’on précise que, plus que de simples informations, c’est l’apprécia- Cet axe de modélisation permet de décrire ce que devront faire un
tion des performances du système qui conditionne les décisions de ou plusieurs systèmes. Il fait abstraction des systèmes qui mettront
modification de trajectoire ou même d’objectif. en œuvre les fonctions (ou activités). Par conséquent, il ne décrit pas
Nos propos seront basés sur l’approche systémique et la termino- par quoi sont mises en œuvre ces fonctions et activités.
logie correspondante [4]. Un système est défini par : quelque chose Les modèles fonctionnels du pilotage peuvent être décrits au tra-
(quoi) qui, dans quelque chose (environnement), pour quelque vers de plusieurs formalismes qui peuvent être regroupés en deux
chose (finalité), fait quelque chose (activité), par quelque chose catégories, selon qu’ils tiennent compte de la dimension temporelle
(structure) et qui se transforme dans le temps (évolution). Un sys- ou non.
tème peut être caractérisé par le triplet « être, faire, devenir » décri- Dans le domaine de la gestion de production, la première catégo-
vant sa structure, sa fonction et son évolution. Dans ce cadre, le rie, au sein de laquelle la dimension temporelle n’est pas prise en
pilotage correspond au domaine de l’automatique qui a pour objet : compte, regroupe majoritairement les formalismes de type SADT
— en phase d’exploitation, de commander les entrées (signal (structured analysis and design technique) ou IDEF0 (integrated
d’entrée ou variables d’action) d’un système opérant (encore appelé computer aided manufacturing definition language). Ce type de for-
moyen d’action ou système piloté) en fonction de l’observation de malisme se focalise essentiellement sur les décompositions hiérar-
ses signaux de sortie (variables de sortie), voire de certains de ses chiques entre fonctions (ou activités), sur leurs données en entrée et
signaux internes, afin que ce système opérant présente en sortie sortie, sur l’analyse de la complétude par rapport à un cahier des
(résultat) un niveau de performance suffisant (évaluation) dans la charges, etc. Cette catégorie correspond à une vue statique.
réalisation d’une fonction globale, étant donné des signaux de Toujours dans le domaine de la production, la seconde catégorie
consigne (déterministes) assignés au système de pilotage et des regroupe essentiellement les formalismes qui se basent sur la défi-
signaux aléatoires (perturbation) assignés au système opérant. nition d’un ensemble d’événements discrets (en référence aux sys-
Notons que ce modèle fondamental est récursif dans le sens où le tèmes à événements discrets ou SED). Ces événements, décrivant
système opérant peut dans certains cas être décomposé selon ce notamment les dates de début et de fin des activités à mener, peu-
même modèle en système de pilotage et système opérant de niveau vent alors être modélisés à l’aide d’outils tels que les graphes d’état,
inférieur. Ce principe nous permettra d’introduire la notion de struc- le Grafcet, les réseaux de Petri, etc. Cette approche de modélisation
ture de pilotage (§ 1.2.2) ; orientée « processus temporel » privilégie la dimension dynamique
— en phase de conception, de concevoir le modèle de pilotage, de l’identification et de la résolution d’un problème (consommation
c’est-à-dire d’expliciter les fonctions, structures et lois de transfor- de temps, impact sur les performances, etc.). Ce point permet égale-
mation de ses signaux d’entrée (consignes, mesures du système ment de mettre en évidence l’importance relative des différentes
opérant) en utilisant un ensemble de variables dites internes et ce, à activités composant ce processus et éventuellement leur impact en
partir d’outils existants (abaques, simulateur, outils mathématiques, terme de consommation de temps sur les performances globales du
etc.) qui vont conduire à la génération du signal de commande. Ces couple (système opérant, système de pilotage) pour une analyse
lois de transformation sont la plupart du temps établies en fonction ultérieure. Cette catégorie correspond à une vue dynamique.
d’un modèle donné du système opérant et d’un objectif global de
performance décomposé généralement en deux sous-objectifs : un
premier objectif dit de « poursuite » correspondant en exploitation à 1.2.2 Modélisation structurelle
l’élaboration d’une première composante du signal de commande
par rapport aux signaux de consigne et un second objectif de Cet axe permet de focaliser l’attention sur la mise en œuvre des
« régulation » traduisant l’élaboration d’une seconde composante fonctions. Une fonction peut alors être mise en œuvre par un ou plu-
du signal de commande par rapport aux signaux de perturbation. La sieurs systèmes et un système peut concourir à la réalisation de
ＶＵ
ｓＷＵＹＸ
CONDUITE DES SYSTÈMES DE PRODUCTION MANUFACTURIÈRE ________________________________________________________________________________
Vue statique
Consigne A0
erreur
évaluer Commande
de débit
de débit
commander
Spécifier un signal de commande de débit

Fonction
de pilotage Vue dynamique
Déclenchement Renseignement Évaluation Conception Application
Ｒ 1
Attente du Te Relevé Calcul des Élaboration au système

prochain «top» des valeurs erreurs du signal opérant
requises de commande (partie opérative)
Système de pilotage Perturbations
Système d'évaluation Système de Commande u(k )

erreur e ( k ) commande
Structure Consigne c ( k ) + Débit y( k )
de pilotage PI numérique Pompe
Débit y( k )
Figure 1 – Pilotage par PI numérique
plusieurs fonctions. Une structure de pilotage peut être établie dès — activité de conception du signal de commande à générer en
que plusieurs systèmes de pilotage interagissent ou dès qu’un ou fonction de ces erreurs et de la valeur à l’instant précédent (t – Te) du
plusieurs systèmes opérants sont décomposés récursivement en signal de commande ;
couple (système de pilotage, système opérant). Cette structure se — activité d‘application de ce signal à l’instant t au système opé-
compose ainsi : rant.
— des systèmes supports des fonctions de pilotage et des pro- Les activités de déclenchement, de renseignement et d’évaluation
cessus associés (acteurs, systèmes informatisés, ressources de pro- sont mises en œuvre par le système qui réalise la fonction d’évaluation
duction, etc.) ; (calcul de l’erreur) et celles de conception et d’application, par le sys-
tème « PI numérique » qui remplit la fonction de commande de la par-
— des liens entre ces systèmes (entrées et sorties). Il existe deux
tie opérative du système opérant.
types de liens : des liens hiérarchiques et des liens hétérarchiques.
Les liens hétérarchiques permettent aux systèmes de pilotage d’un Des modèles fonctionnel et structurel correspondant à cet exemple
même niveau hiérarchique de communiquer dans un objectif de sont donnés figure 1.
coordination, de coopération ou de négociation.
Nota : le lecteur pourra se référer aux travaux de Mesarovic dans ce domaine, qui 1.2.3 Articulation entre les deux axes
concernent plus particulièrement la coordination au sein des structures hiérarchiques [5].
de modélisation
L’exemple suivant va nous permettre d’illustrer ces deux axes de
modélisation et d’introduire les notions qui nous serviront dans la Ces deux axes sont orthogonaux dans le sens où une fonction
suite. peut être mise en œuvre par plusieurs systèmes et un système peut
Exemple : soit une fonction globale de poursuite de consigne de participer à la mise en œuvre de plusieurs fonctions.
débit. Cette fonction peut se concrétiser par la conception puis l’exploita- La figure 2 schématise cet aspect : à l’emplacement ij, on identifie
tion d’un système de pilotage (couramment appelé « système de le système i qui contribue à la mise en œuvre de la fonction j. Est
commande » dans ce cadre) de type PI (proportionnel intégral) comman- donnée à titre illustratif la matrice de croisement concernant l’exem-
dant en tension un système opérant constitué d’une pompe et de son ple précédent.
réservoir. Cette fonction peut être décomposée en deux fonctions d’éva-
luation et de commande. À un niveau de détail plus fin, on peut définir un
processus de pilotage composé des cinq activités suivantes (pour simpli-
fier cette description, nous adopterons une approche par échantillonnage/
1.3 Du pilotage au pilotage décisionnel
reconstruction des signaux à une période d’échantillonnage donnée Te) :
— activité de déclenchement du besoin en calcul du signal de com- Le système de pilotage précédent (PI numérique) n’est pas déci-
mande aux périodes d’échantillonnage ; deur dans le sens où le système de pilotage n’a pas à décider de la
— activité de renseignement : relevés des objectifs (consigne de valeur de commande. En effet, la loi a été conçue préalablement de
débit) et de la sortie du système opérant (débit réel) aux instants t et manière à lever toute marge de manœuvre dans la détermination de
t – Te ; la valeur du signal de commande (pas de degré de liberté) de telle
— activité d’évaluation : calcul des erreurs correspondant à ces sorte que cette valeur soit déterminée dès que les entrées du sys-
deux instants ; tème de pilotage sont déterminées.
ＶＶ
ｓＷＵＹＸ
________________________________________________________________________________ CONDUITE DES SYSTÈMES DE PRODUCTION MANUFACTURIÈRE
— activité de conception : activité/fonction qui consiste à élaborer

Un système intervenant l’ensemble des décisions possibles ou potentielles (solutions envi-
dans la réalisation de sageables au problème soulevé) et l’évaluation a priori de leur
plusieurs fonctions impact potentiel sur les performances du système opérant. Cette
Fonction activité de conception peut se décomposer en deux sous-activités,
de génération de décisions potentielles et d’évaluation a priori de
celles-ci ;
— activité de décision : dans le cadre de cet article, l’activité/fonc-
Une fonction
j mise en œuvre tion de décision consiste [8]:
par plusieurs systèmes
• soit à restreindre (ou non si la décision est de ne pas décider)
les domaines de valeur d’une variable d’état d’un système. Le
domaine peut alors être éventuellement réduit à un singleton (la
Ｒ
variable est alors entièrement spécifiée). C’est une problématique
de « choix »,
i Système • soit à trier les domaines (singletons ou non) de valeurs des
variables d’état d’un système. C’est une problématique de « tri »,
• soit à classer (ranger) ou non ces domaines ou ces valeurs par
catégories. C’est une problématique de « rangement » par catégo-
Fonction ries. Cette problématique est différente de la précédente car au
sein de chaque catégorie rangée, on suppose qu’il n’est pas possi-
Déclencher X ble d’effectuer un tri (notion d’ex aequo). Notons que la différence
entre la problématique de tri et la problématique de rangement
Évaluer Renseigner est sensiblement la même que celle entre un préordre total suppo-
X
sant l’existence d’une fonction d’utilité établissant et quantifiant le
Évaluer erreur tri et un préordre partiel où seules les catégories sont explicitées,
X
Conception sans définir la notion de « distance » entre chaque catégorie ;
X
Commander — activité d’évaluation : il existe deux types d’activité/fonction
Application X d’évaluation :
• une évaluation a priori qui consiste à évaluer avant application
Système
de commande
Système
Système
d'évaluation
un ensemble de décisions potentielles élaborées. Elle ne peut

ainsi tenir compte des impacts réels des décisions sur le système
opérant où seule une extrapolation du comportement du système
opérant en réponse à ces décisions potentielles est possible (par
simulation par exemple),
• une évaluation a posteriori qui consiste à évaluer une décision
après son application sur le système opérant. Une évaluation a
Figure 2 – Transversalité entre les deux axes de modélisation posteriori ne peut porter que sur une seule commande appliquée
suite à une prise de décision, et ce, dans un contexte donné. Cette
évaluation a posteriori permet de valider ou non les hypothèses
Ce même système de pilotage devient décideur si, vu de l’exté- posées lors des évaluations a priori réalisées en phase de concep-
rieur, ces entrées ne sont pas suffisantes pour déterminer sa sortie, tion, et d’enrichir éventuellement la connaissance du comporte-
ce qui devient le cas si le système de pilotage a été conçu pour pré- ment du système opérant par rapport à la décision prise pour
senter une certaine liberté pour fixer lui-même son signal de com- améliorer, lors des processus de pilotage ultérieurs, une nouvelle
mande (par exemple, par l’intermédiaire d’un opérateur humain). évaluation a priori ;
En partant du constat que l’opérateur humain (en tant que décideur) — activité d’application : cette activité/fonction consiste à trans-
est un élément important d’un système de conduite de production former une décision prise en action à mener au niveau du système
manufacturière, il est non seulement nécessaire mais également opérant sous la forme d’une commande. Il existe deux types d’appli-
important de prendre en compte cette présence ainsi que cette cations :
capacité de décision au niveau du concept de pilotage des systèmes • l’application porte au niveau de l’exploitation du système opé-
(nous montrerons au paragraphe 2.2 à cet effet que la conduite rant, en fonction d’une structure donnée dans une démarche de
constitue un cadre applicatif de la notion de pilotage). recherche d’efficacité,
Nous explicitons plus précisément les deux axes de modélisation • l’application porte au niveau de l’adaptation du système opé-
du pilotage décisionnel. rant (sur son organisation par exemple ou sur ses ressources),
dans une démarche de recherche de pertinence ou d’efficience.
Un processus de pilotage généralisé appelé « processus de pilo-
1.3.1 Modélisation fonctionnelle tage décisionnel » est alors composé de ces différentes fonctions/
activités.
Concernant les fonctions et processus de pilotage et par rapport à
la description donnée dans l’exemple précédent, il est nécessaire
d’intégrer une nouvelle activité qui est celle de décision. Le proces-
1.3.2 Modélisation structurelle
sus de pilotage précédemment décomposé en cinq activités se
généralise en six activités [6][7] : La figure 3 traduit l’intégration de la capacité de décision en fai-
— activité de déclenchement : activité/fonction qui consiste à sant apparaître le système de pilotage comme un centre capable de
identifier un besoin en terme de décision, en réponse à un problème décision. Cette généralisation (élaborée à partir du modèle structu-
relevé (par exemple, une sous-performance ou un risque de sous- rel donné figure 1) se traduit également par l’apparition d’un centre
performance) ; d’évaluation et des moyens d’interprétation. La commande du sys-
— activité de renseignement : activité/fonction qui consiste à tème opérant correspond alors à l’application de la décision prise.
générer (et/ou à rechercher) l’ensemble des informations internes Nous détaillons les trois sous-systèmes composant de manière
qui seront utiles tout au long du processus de pilotage décisionnel ; générale un système de pilotage décideur.
ＶＷ
Ｒ
ＶＸ
1– Technologie sans contact
Ｓ
3– Communication temps réel Réf. Internet page
Bus CAN S8140 71
Universal Serial Bus USB S8150 81
Bus IEEE 1394 Firewire S8152 85
Réseau Proibus S8160 89
Ethernet en tant que réseau de terrain : standard PROFINET S8162 93
Communication avec les périphériques S8590 99
Virtualisation des réseaux locaux. Switch, hyperviseur et pare-feu IN147 107
ＶＹ
Ｓ
ＷＰ
ｓＸＱＴＰ
Bus CAN
par Ahmed RACHID

Professeur des universités
Laboratoire des technologies innovantes, université de Picardie Jules-Verne, Amiens,
France
et Frédéric COLLET
Professeur agrégé
Laboratoire des technologies innovantes, université de Picardie Jules-Verne, Amiens,
France Ｓ
Cet article est la version actualisée de l’article S 8 140 intitulé Bus CAN, rédigé par Ahmed
RACHID et Frédéric COLLET et paru en 2000.
1. Historique du bus CAN .......................................................................... - S 8 140v2 - 3

2. Spécifications du bus CAN................................................................... — 5
2.1 Couches ISO et bus CAN ............................................................................ — 5
2.2 Concepts de base du bus CAN................................................................... — 7
2.3 Transfert des messages.............................................................................. — 7
2.4 Codage ......................................................................................................... — 11
2.5 Gestion d’erreurs ........................................................................................ — 11
2.6 Erreur de confinement................................................................................ — 12
2.7 Bit timing ..................................................................................................... — 12
3. Spécifications du CAN-FD .................................................................... — 13
3.1 Généralités................................................................................................... — 13
3.2 Grands principes ......................................................................................... — 14
3.3 Gains du bus CAN-FD par rapport au CAN............................................... — 15
3.4 Migration du CAN vers le CAN-FD ............................................................ — 15
4. Aspects matériels.................................................................................... — 15
4.1 Généralités................................................................................................... — 15
4.2 Microcontrôleur dsPIC30F4013 et son module CAN................................ — 15
4.3 Transceiver MCP2551 — 19
4.4 Contrôleurs CAN indépendants ................................................................. — 22
4.5 Autres composants ..................................................................................... — 22
5. Outils pour le bus CAN .......................................................................... — 27
5.1 Outils d’analyse........................................................................................... — 27
5.2 Outils de développements ......................................................................... — 31
5.3 Systèmes intégrés....................................................................................... — 33
6. Application du bus CAN........................................................................ — 34
6.1 Généralités................................................................................................... — 34
6.2 Couches d’applications............................................................................... — 34
6.3 Diagnostic .................................................................................................... — 36
6.4 Sécurité de l’information dans le bus CAN............................................... — 36
6.5 Exemples pratiques .................................................................................... — 37
7. Conclusion................................................................................................. — 42
8. Glossaire .................................................................................................... — 42
9. Sigles, notations et symboles.............................................................. — 42
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪ｡ｮｶｩ･ｲ＠ＲＰＲＰ
Pour en savoir plus .......................................................................................... Doc. S 8 140v2
Copyright © – Techniques de l’Ingénieur – Tous droits réservés S 8 140v2 – 1
ＷＱ
ｓＸＱＴＰ
BUS CAN _________________________________________________________________________________________________________________________
a communication est un facteur primordial dans les systèmes de production

L industriels. Les performances requises en termes de flux d’informations sont
aussi importantes (sinon plus) que les flux de matières et d’énergies. Le réseau a
pour objectif principal l’échange d’informations.
L’architecture décentralisée s’est rapidement imposée dans la conduite de
procédés. En effet, les systèmes distribués sont généralement mieux appro-
priés aux localisations des capteurs et des actionneurs qui constituent les
sources d’information. Cela nécessite une communication fiable et robuste
associée à une électronique « intelligente » et peu coûteuse.
Dans l’industrie, les communications par réseaux sont classifiées en quatre
niveaux qui sont souvent représentés par une pyramide. Le concept de produc-
tion assistée par ordinateur ou CIM (computer integrated manufacturing)
comprend un niveau dit de terrain, un niveau cellule, un niveau usine ou atelier
et un niveau études et direction.
• Le niveau études et réalisation permet la centralisation des informations
Ｓ liées à la conception comme les fichiers des outils de CAO.
• Le niveau usine concerne la gestion de la production et des commandes.
• Le niveau cellule va permettre la supervision, le suivi des stocks et le
contrôle de la production.
• Le niveau terrain est au plus proche de la production ; il correspond aux
différentes machines qui assurent la fabrication, la transformation, l’assem-
blage autour d’un objet ou d’un ensemble. Il met en relation les machines à
commandes numériques, les robots, les automates programmables, les régula-
teurs, les convoyeurs ainsi que les capteurs et actionneurs.
Le réseau (ou bus) de terrain (fieldbus) est aussi nommé « réseau local
industriel ». Il est qualifié d’industriel car orienté production et local car établi
dans une partie de ce site de production que constitue une entreprise. Il
permet donc de mettre en communication des capteurs, des actionneurs, des
automates programmables industriels, des machines à commande numérique,
des robots, des régulateurs industriels et des systèmes de commande et de
contrôle simples. Dans les réseaux de terrain, la taille des messages échangés
est assez faible comparativement aux autres types de réseaux, locaux ou
grandes distances. Les flux d’information sont plutôt périodiques et l’aspect
contrainte de temps est prioritaire (application temps réel).
Les réseaux de terrain fonctionnant au sein d’environnements perturbés du
point de vue électromagnétique, le support est généralement un câble coaxial
blindé ou une paire torsadée travaillant en mode différentiel ou encore une
fibre optique pour une plus grande immunité au bruit. Les distances de com-
munications sont assez faibles par rapport aux autres types de réseaux,
souvent inférieures à quelques dizaines de mètres.
Une topologie en bus est généralement adoptée pour sa facilité de mise en
place, d’évolution (ajout ou retrait de systèmes) et d’extension (répéteurs).
Pour faire référence à la normalisation de l’architecture des réseaux de l’ISO
qui est l’OSI (open system interconnection), trois des sept couches sont cou-
vertes : la couche physique (impossible de s’en passer), la couche lien ou
liaison (doit exister sinon comment communiquer ?) et la couche application
(pour pouvoir tirer parti des informations échangées).
Toutefois, l’évolution des réseaux vers une architecture uniforme simplifiée
conduit les industriels à opter pour des réseaux locaux informatiques pour
leurs réseaux de terrain. L’évolution technologique en matière de réseaux des
dix dernières années montre que des réseaux hauts débits pourraient venir
remplacer tous les types de réseaux dans les quatre niveaux de la CIM. Des
passerelles sont alors déployées pour s’interconnecter aux réseaux informa-
tiques avec des protocoles basés sur la pile TCP/IP et ses couches hautes
utilisées autour de l’Internet.
S 8 140v2 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés
ＷＲ
ｓＸＱＴＰ
__________________________________________________________________________________________________________________________ BUS CAN
1. Historique du bus CAN

En février 1986, Robert Bosch GmbH a présenté le bus CAN
(controller area network) au congrès de la SAE (Society of auto-
motive engineers) à Detroit (États-Unis). Le document paru dans
la publication SAE 860391 de Bosch décrit le protocole du bus
CAN (spécification CAN 1.0) constituant déjà le modèle CAN de
référence. Le nouveau système de bus de communication a été
présenté sous le nom de Automotive serial controller area
network, qui se traduit par « Réseau local de communication série
pour l’automobile ».
Le projet avait été initié quelques années plus tôt, au début des
années 1980 ; les ingénieurs de Bosch avaient évalué les systèmes
de communication de type « bus série » existants dans le but de
les utiliser dans les voitures. Comme aucun des protocoles
de communication série disponibles n’était en mesure de répondre
aux exigences des ingénieurs automobiles, le développement d’un
nouveau système de bus série a été lancé en 1983. Depuis, le CAN
est officiellement promu par l’association CAN in Automation (CiA)
Ｓ
créée en 1992 (http://www.can-cia.org) et basée à Nuremberg en Figure 2 – Photo du composant PCA82C200
Allemagne. Les spécifications ISO du CAN sont publiées dans la
série 11898. La figure 1 présente le logo du consortium CIA.
Le protocole ainsi présenté repose sur des caractéristiques
innovantes ; en voici trois :
• un bus multimaîtres, sans maitre principal ;
• un adressage des messages et non pas des stations ;
• un mécanisme d’arbitrage (collision) non destructif, le mes-
sage le plus prioritaire passe sans aucun délai.
Les deux dernières caractéristiques citées ci-dessus n’avaient pas
encore été mises en œuvre sur des composants, et encore moins
dans des réseaux. Il fallait implémenter le protocole dans des
contrôleurs et/ou microcontrôleurs. Ce fut chose faite quelques mois
plus tard avec un premier composant développé par INTEL courant
1987, à savoir le contrôleur référencé 82526. Peu de temps après,
Philips Semiconductors a présenté le 82C200. Les figures 2 et 3
montrent les deux composants qui sont actuellement obsolètes
dans le cadre de nouveaux développements.
Il est intéressant de noter que dans la documentation technique
de l’époque (Datasheet de chez INTEL) les principales caractéris-
tiques du bus CAN sont rappelées, ce qui peut paraître évident
puisque le composant doit respecter la norme du bus CAN V1.0
(figure 4).
De nos jours, tous les constructeurs de microcontrôleurs dis- Figure 3 – Photo du composant 82256
posent de nombreuses références de microcontrôleurs intégrant
un ou plusieurs contrôleurs de bus CAN. À titre d’exemple, NEC
distribue un composant avec cinq contrôleurs en interne. À la section 4, plusieurs composants d’actualité sont présentés chez
divers constructeurs, ce qui ne constitue pas une liste exhaustive.
D’autres normalisations vont voir le jour dont nous citons les
deux principales historiquement. La spécification CAN V2.0 a été
soumise à la normalisation internationale au début des années
1990. Après plusieurs différends politiques impliquant notam-
ment le réseau de véhicules (VAN) développé par certains
grands constructeurs automobiles français, la norme ISO 11898
a été publiée en novembre 1993. En parallèle, une méthode de
transmission de données via CAN, à faible consommation
d’énergie et tolérante aux pannes a été normalisée sous la
norme ISO 11519-2. Celle-ci n’a jamais été mise en œuvre en
raison de faiblesses dans la norme. En 1995, la norme ISO 11898
a été complétée par un addendum décrivant le format de trame
étendue utilisant un identificateur de messages CAN à 29 bits le
CAN V2.0B « extended frame format » alors que le CAN V2.0A
Figure 1 – Logo de l’association CAN in Automation « standard frame format » est lui sur un identificateur de mes-
sages à 11 bits.
ＷＳ
ｓＸＱＴＰ
BUS CAN _________________________________________________________________________________________________________________________
Figure 4 – Extrait de la documentation constructeur du contrôleur de bus CAN 822566
Malheureusement, toutes les spécifications et normalisations Tous ces développements n’auraient pas de sens s’ils ne débou-
CAN publiées contenaient des erreurs ou étaient incomplètes. chaient pas sur des utilisations. Dans l’automobile et depuis 1992,
Pour éviter les implémentations CAN incompatibles, Bosch s’est Mercedes-Benz utilise le bus CAN dans ses voitures de tourisme
assuré (et le fait toujours) que toutes les puces CAN sont de classe supérieure. Dans un premier temps, les unités de
conformes au modèle de référence CAN Bosch. En outre, l’univer- contrôle électroniques (ECU) chargées de la gestion du moteur
sité des sciences appliquées de Braunschweig/Wolfenbüttel, en ont été connectées via le bus CAN. Dans un deuxième temps, les
Allemagne, effectue depuis plusieurs années des tests de confor- unités de contrôle nécessaires à l’électronique de carrosserie sont
mité CAN. Les modèles de tests utilisés sont basés sur la spécifi- passées en CAN. Deux systèmes de bus CAN physiquement dis-
cation de tests normalisée ISO 16845. Aujourd’hui, plusieurs tincts ont été mis en œuvre, connectés via une passerelle.
entreprises de tests proposent des services de tests de conformité D’autres constructeurs automobiles ont suivi et mettent désor-
CAN. mais en place plusieurs réseaux CAN dans leurs véhicules de tou-
Les spécifications CAN révisées ont été normalisées. L’ISO risme comme les utilitaires. Les constructeurs européens ont
11898-1 décrit la couche liaison de données CAN, l’ISO 11898-2 intégré le bus CAN dans leurs véhicules, c’est aussi en grande
(en 2003) décrit la couche physique CAN (haute vitesse) et l’ISO partie le cas dans l’industrie des biens de production et dans les
11898-3 (en 2006) la couche physique CAN basse vitesse, tolérante bâtiments industriels. À noter que le terme employé dans l’auto-
aux défauts. mobile est « le multiplexage », qui fait référence au réseau dans
l’automobile.
Les normes ISO 11992 (interface pour camions et remorques) et
ISO 11783 (machines agricoles et forestières) définissent toutes De nombreuses déclinaisons du bus CAN sont aujourd’hui
deux des profils d’application basés sur le bus CAN et sur le pro- présentes, couvrant les couches hautes non définies dans les
tocole américain SAE J1939, mais ils ne sont pas compatibles. normes CAN de base, par exemple CANopen, DeviceNet, CAL,
SDS, CAN Kingdom, NMEA2000, FlexCAN, SocketCAN, CAN-
Toutes ces spécificités seront indiquées dans le descriptif
aerospace.
détaillé du bus CAN.
Le grand tournant du bus CAN se fait en 2011 ; General Motors En effet en 1994, Allen-Bradley a introduit DeviceNet, protocole
et Bosch ont alors commencé à travailler sur certaines améliora- de communication (couche 7 du modèle OSI) dédié aux applica-
tions du protocole CAN relatives à un débit binaire plus élevé. tions d’automatisation dans l’industrie. Le CiA a ensuite publié
L’industrie automobile a particulièrement souffert du télécharge- CANOpen, également relatif à la couche d’application.
ment en fin de ligne de progiciels de plus en plus importants dans
les unités de contrôle électroniques (ECU). Cette tâche fastidieuse Déjà en 1995, il y a eu dix millions de circuits CAN vendus dont
a dû être réduite par un système de communication plus rapide. six millions pour des applications hors véhicules. Depuis, les
En coopération avec d’autres experts CAN, Bosch a prédéveloppé ventes annuelles se comptent en centaines de millions et couvrent
la spécification CAN FD, officiellement introduite en 2012 lors de très nombreux domaines et applications.
de la treizième conférence internationale CAN dans le château de La société Bosch (Allemagne) possède la propriété intellectuelle
Hambach, en Allemagne. des protocoles du bus CAN. En tant que tel, elle touche des royal-
Le bus CAN s’offre alors une deuxième jeunesse qui va lui ties selon des conditions dite FRAND, (fair reasonable and non
prolonger sa durée de vie au moins dans le secteur de l’automo- discriminatory terms) : somme forfaire de 2 500 € pour les pre-
bile, mais peut-être aussi dans l’industrie. Certains experts miers 10 000 produits, puis au-delà, 1 % du prix du composant
annoncent une prolongation de 10 à 20 ans. Tous les détails de limité à 0,051 €. Cela représente une somme considérable,
ce nouveau protocole se trouvent dans la section 3 dédiée au sachant que plus de 800 millions de composants CAN sont vendus
CAN-FD. chaque année.
ＷＴ
ｓＸＱＴＰ
__________________________________________________________________________________________________________________________ BUS CAN
2. Spécifications du bus CAN 2.1.2 Sous-couche LLC (logical link control)

Du point de vue OSI, la sous-couche LLC fournit l’adressage et
le contrôle de la liaison de données.
2.1 Couches ISO et bus CAN Ce dernier utilise pour cela le contrôle de flux, l’accusé de
réception et la correction d’erreur.
La norme ISO 11519 du bus CAN spécifie :
C’est cette sous-couche qui forme la trame qui sera envoyée par
• dans sa partie A, un champ d’identification sur 11 bits (format
la sous-couche MAC.
dit « standard ») ;
L’adressage précise l’identifiant de la station destinataire, mais
• dans sa partie B, un champ d’identification sur 29 bits (format
aussi la station émettrice de la trame.
dit « étendu »).
Nota : dans cet article, sera présenté uniquement le format standard ; la différence
avec le format étendu va seulement porter sur la taille de l’identifiant.
Particularité du bus CAN : l’adresse correspond à l’identifica-
Cette norme définit la couche physique, couche 1 au sens de la tion du message car il n’y a pas d’identification de station
normalisation ISO, qui s’occupe de la définition du signal sur (nœud). C’est la couche supérieure qui précisera le numéro
le média, de l’interface électrique et du codage des bits ainsi que d’identification du message.
Ｓ
la couche 2, couche liaison.
L’architecture de communication considérée est comparable à
celle d’un réseau local ; elle est limitée à trois couches (comme Dans les applications « temps réel », il est spécifié à la sous-
indiqué en figure 5) qui sont, de haut en bas : la couche applica- couche LLC des contraintes temporelles sur les messages envoyés
tion, la sous-couche LLC (logical link control), la sous-couche MAC tels que la période, le temps d’arrivée, l’échéance…
(medium access control) et la couche physique. Pour une garantie de service, tous les messages préparés (mis
dans une file de transmission) sont transmis avec respect de leurs
2.1.1 Couche application échéances. En revanche, pour un service de meilleur effort, les
messages en attente de transmission seront mis dans un ordre tel
Cette couche fournit les services nécessaires à la gestion des que le taux de perte de messages (le nombre de messages dont
tâches et du contrôle tout en respectant les contraintes de temps. les échéances ne sont pas respectées) soit minimal.
Couche de liaison de données
LLC (logical link control )

Filtrage d’acceptation
Notification de surcharge
Couche 7 Application Gestion de recouvrement
Couche 6 Présentation
MAC (medium access control )
Encapsulation / décapsulation de données
Couche 5 Session
Codage de trame (stuffing / destuffing)
Protocole d’accès au support
Couche 4 Transport
Détection d’erreurs
Signalisation d’erreurs
Couche 3 Réseau Accusé de réception
Sérialisation / désérialisation
Couche 2 Liaison
Couche 1 Physique
Couche physique
PLS (physical signalling)

Codage / décodage de bits
Temps de durée du bit
Synchronisation
PMA (physical medium access)

Caractéristiques émetteur / récepteur
MDI (medium dependent interface)

Connecteurs
Figure 5 – Architecture des couches du bus CAN dans le modèle ISO
ＷＵ
ｓＸＱＴＰ
BUS CAN _________________________________________________________________________________________________________________________
Bus Récessif
Dominant
1
Ligne de bus
1 2 3 2
Ｓ 1 perdu 3 perdu
Figure 6 – Principe de l’arbitrage bit à bit non destructif
La « gestion des erreurs » est un mécanisme responsable de la ■ Arbitrage bit à bit non destructif
détection et éventuellement de la correction d’erreurs lors de la trans-
mission de paquets. Le mécanisme classique ARQ (automatic repeat Pour le traitement temps réel des données, le débit binaire phy-
request) qui consiste à renvoyer à l’émetteur un acquittement positif sique (ici 1 Mbit/s maximum) n’est pas le seul critère ; il faut aussi
si un paquet est bien reçu et négatif dans le cas contraire. que l’assignation du bus soit efficace. Comme les informations
traitées n’ont pas le même niveau de priorité, un identificateur de
Une solution avec acquittement serait d’associer un nombre maxi- chaque trame a été défini pour déterminer dans quelle mesure le
mal de retransmissions de trames en fonction de son échéance. Si message doit être transmis par rapport à un autre moins urgent.
un acquittement positif est reçu, la copie de la trame est supprimée Ainsi, le conflit d’accès au bus est résolu au moyen d’un arbitrage
localement. Une autre solution sans acquittement serait d’envoyer à bit à bit par l’intermédiaire d’identificateurs respectifs. La figure 6
la fois le maximum de copies de trames sans se préoccuper des montre le câblage et le chronogramme de l’arbitrage non destruc-
erreurs, le receveur s’arrangera pour garder la copie sans erreur et tif. C’est le bit dominant qui l’emporte sur un bit récessif.
supprimer les autres. Il est clair qu’aucune solution n’est complète-
ment fiable et présente toujours un taux d’erreurs. ■ Efficacité de l’attribution du bus
Le « contrôle de flux » est une technique de synchronisation qui
garantit au récepteur de ne pas être débordé par les messages de Les procédés d’assignation de bus utilisés sont nombreux ; on
l’émetteur. Pour un service de garantie, il faut s’assurer qu’il distingue les suivants :
existe suffisamment d’espace dans le buffer récepteur avant • assignation à tranches de temps fixe : l’assignation s’effectue
d’accepter un message. En revanche, pour un service de meilleur de manière séquentielle au niveau de chaque poste pour une
effort, si le buffer récepteur est plein, le message reçu est perdu. fourchette de temps maximale, sans se préoccuper du fait
Les spécificités de la couche liaison de données du bus CAN que la station ait besoin du bus à ce moment-là (exemple :
sont ici présentées. Token Slot) ;
■ Principe de l’échange de données • assignation en fonction des besoins : l’assignation est fonc-
tion de la volonté de transmettre ; seules les stations souhai-
Lors de la transmission des données sur un bus CAN, aucune sta- tant émettre sont prises en compte ; c’est le procédé utilisé
tion n’est adressée, mais le contenu d’un message est identifié par par le bus CAN ;
un identificateur univoque sur l’étendue du réseau. Outre identifier
le contenu du message, l’identificateur détermine également sa • accès non destructif au bus : chaque accès au bus par une ou
priorité, ce qui est déterminant pour l’assignation d’un bus lorsque plusieurs stations conduit toujours à l’attribution univoque
plusieurs messages sont en concurrence pour le droit d’accès au d’un bus, alors que l’accès destructif impose qu’à tout accès
bus. Si l’unité centrale de l’une des stations souhaite envoyer un simultané par plusieurs stations il faut interrompre les tenta-
message à une ou plusieurs stations, elle transfère les données à tives d’émission de toutes les stations (CSMA/CD). Le ratta-
transmettre et leur identificateur au module CAN qui lui est affec- chement de la priorité d’accès au contenu du message
tée. Ce dernier se charge de la constitution et la transmission du permet, en cas de surcharge du bus, d’éviter la saturation de
message. Dès qu’il reçoit l’assignation du bus (« émission du mes- l’ensemble de la transmission, comme c’est le cas du CSMA/
sage ») toutes les autres stations du réseau se mettent à l’écoute CA (carrier sense multiple access/collision avoidance). Le bus
(« réception du message »). Chaque station du réseau CAN est en CAN est doté d’un contrôle décentralisé de l’accès au bus,
mesure d’ignorer ou de prendre en compte le message qui est sur c’est-à-dire que tous les mécanismes essentiels à la commu-
le bus (« sélection »). Ce type d’adressage permet d’avoir une nication, y compris le contrôle de l’accès au bus, sont repris
grande flexibilité au niveau de la configuration. Contrairement à en plusieurs points du réseau. Ceci permet d’empêcher de
d’autres réseaux, aucune adresse cible physique n’est prescrite du ramener ces mécanismes vers une seule unité qui, une fois
côté du protocole de transmission de données. Ainsi, les valeurs de en panne, serait très difficile à substituer. Une station redon-
certains capteurs sont réparties sur toutes les stations du réseau, dante mettra beaucoup de temps à prendre en charge la ges-
évitant que chaque organe de commande n’ait son propre capteur tion du bus (ce qui peut empêcher tout fonctionnement en
(« diffusion générale multidestinataire »). temps réel).
ＷＶ
ｓＸＱＴＰ
__________________________________________________________________________________________________________________________ BUS CAN
2.1.3 Sous-couche MAC (medium access control) Une station est autorisée à émettre lorsque le bus est libre.
Toutes les stations doivent se synchroniser sur le front de tran-
Cette couche gère l’accès au canal physique à l’aide d’un protocole sition du bit SOF de la station qui a commencé la transmission
de communication ; autrement dit, elle récupère les unités de don- en premier.
nées (trames) de la couche LLC et les renvoie dans le canal physique
en ajoutant l’information de contrôle selon le protocole implanté. ■ Champ d’arbitrage
Les protocoles dont traite cet article sont ceux qui ont pour Il est composé de 11 bits ID-0 à ID-10 pour l’identificateur (identifier)
objectif le respect des échéances des messages. Il existe différents suivi d’un bit RTR (remote transmission request) (la figure 8) :
protocoles temps réel selon qu’ils garantissent le respect des • identificateur : les 11-bits associés doivent être transmis
échéances des messages ou pas. suivant l’ordre ID-10 à ID-0, ID-0 étant le bit de plus faible
poids (LSB : least significant bit). Il est possible de coder
2.1.4 Couche physique 2e11 = 2 048 messages. L’identificateur permet de détermi-
ner la priorité du message correspondant. La priorité est
Cette couche correspond à l’aspect matériel (connecteurs) et d’autant plus élevée que la valeur de l’identificateur est
électrique des signaux (codage, tensions, impédance…). faible ;
• RTR : il définit la nature de la trame ; il doit être dominant dans
2.2 Concepts de base du bus CAN une trame de données et récessif dans une trame de requêtes ;
Le tableau 1 donne une synthèse des principales caractéris-

tiques du CAN.
• Champ de contrôle : il est constitué de 6 bits dont 2 domi-
nants (r0 et r1) sont en réserve et 4 (DLC0-DLC4) indiquent le
nombre d’octets (date length code) contenus dans le champ
Ｓ
Lors de la définition de la couche physique, on s’intéresse au de données selon le tableau 4.
débit, à la distance et au type du support physique. La relation
vitesse/distance proposée par la norme CAN dépend : ■ Champ de données
• des retards introduits à la sortie de l’émetteur et à l’entrée du Il contient jusqu’à 8 octets de données à transmettre. Les 8 bits
récepteur ; de chaque octet sont transférés avec le bit de poids fort en pre-
mier (MSB – most significant bit).
• de la vitesse de propagation du support de la ligne ;
• du débit binaire nominal souhaité. ■ Champ de CRC (cyclic redundancy check)
À titre indicatif, le tableau 2 donne les distances maximales Il contient la séquence CRC sur 15 bits suivis d’un bit récessif
entre deux nœuds pour des débits standard. délimiteur de CRC.
La relation entre le débit et la distance maximale sur une paire Le polynôme, dont les coefficients sont les bits de début de
de fils en cuivre est la suivante : trame, des champs d’arbitrage, de contrôle et de données complé-
tés par des 0 pour les 15 coefficients des bits les moins significa-
tifs, est divisé par le polynôme générateur :
En résumé, l’implémentation du protocole CAN dans le modèle
OSI est illustrée dans le tableau 3.
Le reste de cette division polynomiale constitue la séquence
CRC transmise sur le bus. Lors de sa réception, le contrôle de
2.3 Transfert des messages l’intégrité du message est réalisé en ré-effectuant ce test.
Il y a quatre types de trames différentes : ■ Champ d’acquittement
• DATA FRAME : trame de données qui transporte les données Il est composé de 2 bits ACK SLOT et ACK DELIMITER, transmis à
d’un émetteur vers un ou des récepteurs ; l’état récessif. Toutes les stations ayant validé la séquence CRC
• REMOTE FRAME : trame de requête transmise par un nœud envoient un état dominant dans le bit ACK SLOT. Ainsi, le nœud
pour demander la transmission d’une DATA FRAME avec le émetteur sait que son message a été reçu par au moins une station.
même IDENTIFICATEUR ;
■ Fin de trame
• ERROR FRAME : trame d’erreur transmise par une unité
lorsqu’elle détecte une erreur de bus ; C’est une séquence de 7 bits récessifs qui ne subit pas la règle
• OVERLOAD FRAME : trame de surcharge utilisée pour géné- de « bit stuffing ».
rer un retard supplémentaire entre les trames DATA FRAME
ou REMOTE FRAME. 2.3.2 Trames de requête
Dans une application réseau, une station peut avoir besoin
2.3.1 Trames de données d’une information concernant un objet. Dans le bus CAN, une sta-
La trame de données, destinée à la transmission d’informations tion peut demander une information qu’elle souhaite en émettant
par le bus, comporte sept champs caractéristiques (figure 7) : une trame de requête (remote frame) avec le même identificateur
que celui de l’objet qu’elle souhaite. La station qui détient l’infor-
• début de trame (start of frame ou SOF) ;
mation répond alors en émettant la trame de données correspon-
• champ d’arbitrage (arbitration field) ; dante. Une trame de données est toujours prioritaire par rapport à
• champ de contrôle (control field) ; une trame de requête.
• champ de données (arbitration field) ; La trame de requête comporte six champs :
• champ de CRC (CRC Field) ; • début de trame (start of frame ou SOF) ;
• champ d’acquittement (ACK Field) ; • champ d’arbitrage (arbitration field) ;
• fin de trame (end of frame). • champ de contrôle (control field) ;
■ Début de trame • champ de CRC (CRC field) ;
Il est constitué d’un seul bit « dominant » signalant la trans- • champ d’acquittement (ACK field) ;
mission d’une trame de données ou d’une trame de requête. • fin de trame (end of frame).
ＷＷ
ｓＸＱＴＰ
BUS CAN _________________________________________________________________________________________________________________________
Tableau 1 – Synthèse des principales caractéristiques du CAN
Messages Les informations sur le bus sont émises suivant un format fixe. Il existe quatre types de messages : DATA
FRAME, REMOTE FRAME, ERROR FRAME, OVERLOAD FRAME… Lorsque le bus est libre, toute unité qui lui
est connectée peut transmettre un nouveau message.
Routage Un nœud CAN n’utilise aucune information relative à la configuration du réseau. Cela a d’importantes
conséquences :
• flexibilité : aucune modification logicielle ou matérielle n’est requise lorsqu’un nœud est ajouté au
réseau ;
• routage : le contenu d’un message est associé à un IDENTIFICATEUR. Ce dernier n’indique pas la destina-
tion du message mais décrit le type des données, de sorte que chaque nœud peut décider si ce message
le concerne ou pas grâce à une procédure de FILTRAGE DES MESSAGES ;
• multicast : un même message peut être reçu par plusieurs nœuds ;
• consistance : la consistance des données est assurée par les mécanismes de multicast et de détection
et signalisation d’erreurs.
Ｓ Bit rate La vitesse du CAN peut être différente d’un réseau à un autre. Toutefois, un même réseau doit fonctionner
avec une vitesse uniforme.
Priorités C’est l’IDENTIFICATEUR d’un message qui définit sa priorité d’accès au bus.
Multimaître Lorsque le bus est libre, n’importe quel nœud peut commencer à transmettre. C’est le nœud
avec le message de priorité la plus élevée qui « gagne » le bus.
Nombre de stations Théoriquement illimité, mais pratiquement restreint par les capacités des drivers de lignes. Typiquement,
un nombre entre 32 et 64 nœuds par réseau est courant. Certains constructeurs offrent des composants
permettant de gérer 110 nœuds sur un même réseau.
Arbitrage Les conflits d’accès au bus sont résolus à l’aide d’un arbitrage bit à bit sur l’IDENTIFICATEUR.
Si une REMOTE FRAME est transmise au même instant que sa DATA FRAME associée (dans ce cas,
elles ont le même IDENTIFICATEUR), c’est la DATA FRAME qui est prioritaire.
Sécurité Pour assurer la plus grande sécurité dans le transfert des messages, le CAN intègre de puissantes
procédures de détection et de signalisation des erreurs et d’autotests. Une erreur détectée
dans un message entraîne sa retransmission automatique.
Mode de communication Mode producteur-consommateur : une station émettrice envoie un message qui peut être lu par toute autre
station qui en a l’utilité.
Mode client-serveur : des requêtes (REMOTE FRAME) peuvent être envoyées par une station (le client)
sur le bus. La station concernée par l’identificateur (le serveur) répond en transmettant les données
demandées.
Confinement d’erreur Le CAN est capable de distinguer une courte perturbation d’une erreur permanente. Les nœuds défectueux
sont automatiquement mis hors service.
États du bus Deux valeurs logiques sont possibles : d = dominant ou r = récessif. Si un bit « dominant »
est transmis en même temps qu’un bit « récessif », l’état du bus qui en résulte est « dominant ».
Accusé de réception Tous les récepteurs testent la consistance du message reçu et acquittent même s’ils ne sont pas concernés
par le message.
Mode sommeil Afin de réduire la puissance consommée, un composant CAN peut être mis en mode sommeil (sleep mode)
sans aucune activité interne et avec des drivers de bus déconnectés. Pour réveiller les nœuds en mode
sommeil, un message spécial contenant l’identificateur de plus basse priorité (soit rrrrrrdrrrr) a été réservé.
Tableau 2 – Distances maximales en fonction des débits
Débit 1 600 1 000 500 250 125 100 50 20 10 5

(kbit/s)
Distance maximale 10 40 130 270 130 620 1 300 3 300 6 700 10 000
(m)
ＷＸ
ｓＸＱＴＰ
__________________________________________________________________________________________________________________________ BUS CAN
Tableau 3 – Implémentation du protocole CAN dans le modèle OSI
Couche physique
Topologie Bus
Débit 125 Kbit/s à 1 Mbit/s
Codage NRZ (non return to zero) et bit-stuffing.

Notions de bits dominant et récessif
Couche liaison de données
Sous-couche Mac
Méthodes d’accès au médium CSMA/CA et arbitrage bit à bit (CA – collision avoidance)
Gestion des priorités
Identification des trames

Arbitrage bit à bit sur l’identificateur
Basée sur le sujet des trames

Ｓ
Services offerts par la sous-couche Mac • Transfert de données non acquittées
• Demande de données non acquittées
• Indication de surcharge d’une station
Types de trames Trame de données (data frame), trame de demande de données (remote frame),
trame d’erreur (error frame), trame de surcharge (overload frame)
Structure d’une trame de données • Début de trame (1 bit)

• Arbitrage (identificateur sur 11 bit en standard + 1 bit RTR)
• Contrôle (6 bits : 2 en réserve + 4 de DLC data length code)
• Données (8 octets)
• CRC (15 bits)
• Acquittement (2 bits)
• Fin de trame (7 bits)
Sous-Couche LLC
Services offerts par la sous-couche LLC • Transfert de données sans acquittement ni connexion
• Demande de ces données
Protocole de la sous-couche LLC • Filtrage des trames reçues

• Notification de surcharge
Couche gestion de réseau
Services offerts • Gestion des compteurs d’erreurs

• Distinction entre fautes temporaires et erreurs permanentes
• Déconnexion logique de station défaillante
Début de trame Zone d’arbitrage Zone de contrôle Zone de données Zone de CRC Zone de ACK Fin de trame Intertrame Bus inactif
S R R0
O Identificateur 11 bits T et r0 DCL 0 – 8 octets 15 bits CRC
F R R1
Figure 7 – Trame de données en format standard
Il n’y a donc pas de champ de données. Ces champs obéissent de données (data length code) sont identiques à la trame de don-
aux mêmes règles que la trame de données, le bit RTR étant ici à nées correspondantes.
l’état récessif. L’identificateur (identifier) et la longueur des octets
ＷＹ
ｓＸＱＴＰ
BUS CAN _________________________________________________________________________________________________________________________
Premier octet descripteur Deuxième octet descripteur
10 9 8 7 6 5 4 3 2 1 0 R 3 2 1 0
Champ d’identification
Bit de demande de retransmission
Code de longueur des données
Ｓ
Figure 8 – Champ d’arbitrage
Tableau 4 – Champ de contrôle
0 d d d d
Drapeau d’erreur Délimiteur de champ
1 d d d r
2 d d r d
Trame
3 d d r r en cours Champ de trame d’erreur Intertrame
de diffusion
4 d r d d
5 d r d r Figure 9 – Trame d’erreur
6 d r r d
2.3.4 Trames de surcharge
7 d r r r
Un message OVERLOAD FRAME est composé de deux champs :
8 r d d d • OVERLOAD FLAG : composé de 6 bits dominants ;
• OVERLOAD DELIMITER : lorsqu’une station transmet un
« overload flag », elle gère le bus jusqu’à ce qu’elle détecte
2.3.3 Trames d’erreur une transition dominant à récessif. À cet instant, chaque sta-
tion a fini de transmettre son overload flag et toutes les
stations commencent à transmettre 7 autres bits récessifs de
Un message ERROR FRAME est composé de deux champs :
façon synchronisée.
• ERROR FLAG : il y en a deux types : « active error » et « pas- Il y a deux conditions de surcharge pouvant provoquer la trans-
sive error ». L’active error se compose de 6 bits dominants mission d’un overload flag :
consécutifs ; le passive error est constitué de 6 bits récessifs,
• les conditions internes d’un récepteur qui a besoin d’un délai
à moins que ces bits ne soient écrasés par des bits autres
pour la trame de données ou la trame de requête ;
provenant d’autres nœuds ;
• la détection d’un bit dominant pendant l’intertrame ; un nœud
• ERROR DELIMITER : il consiste en 8 bits récessifs. peut générer au plus deux trames de surcharge pour retarder
la trame de données ou de requête.
Après la transmission du champ ERROR FLAG, le nœud envoie
un bit récessif, puis les 7 autres lorsqu’il détecte que le bus est
dans un état récessif. 2.3.5 Espace intertrame (INTERTRAME SPACE)
Une station en mode active error qui détecte une erreur trans- C’est un champ qui précède systématiquement toute data frame
met un « active error flag ». Toutes les autres stations détectent ou remote frame. Les autres types de trames ne sont pas précé-
une erreur et démarrent alors la transmission de différents « error dés par un tel champ.
flag ». La longueur totale de la séquence de bits dominants trans- L’espace intertrame se compose de deux ou trois champs selon
mise par chaque station varie entre un minimum de 6 bits et un les cas.
maximum de 12 bits.
• pour les nœuds qui ne sont pas error passive ou qui ont été
récepteurs, l’espace intertrame contient deux champs :
Une station passive error, qui détecte une erreur, essaie de la
INTERMISSION et BUS IDLE ;
signaler en transmettant un « passive error flag ». Cette transmission
s’achève lorsque cette station reçoit 6 bits consécutifs de même pola- • pour les autres nœuds, c’est-à-dire ceux qui sont error pas-
rité. La figure 9 représente le format d’une trame d’erreur. sive et qui ont été émetteurs, l’espace intertrame contient
ＸＰ
ｓＸＱＵＰ
Universal Serial Bus USB

par Philippe DALLEMAGNE
Docteur ès Sciences
Chef de Projets R&D
Centre Suisse d'Électronique et de Microtechnique CSEM
1. Grands principes d’USB ......................................................................... S 8 150 - 2

1.1 Présentation ................................................................................................. — 2
1.2 Architecture .................................................................................................. — 3
1.3
2.
Évolution ......................................................................................................
Spécifications d’USB ..............................................................................
—
— 5
5
Ｓ
2.1 Couche physique ......................................................................................... — 5
2.2 Couche liaison de données ......................................................................... — 7
2.3 Configuration et gestion ............................................................................. — 10
2.4 Intégration dans un système ...................................................................... — 12
3. USB 2.0 ....................................................................................................... — 12
3.1 Présentation ................................................................................................. — 12
3.2 Particularités d’USB 2.0............................................................................... — 13
4. Performances ............................................................................................ — 13
4.1 Performances théoriques............................................................................ — 13
4.2 Performances pratiques .............................................................................. — 13
5. Domaines d’utilisation ........................................................................... — 14
5.1 Applications historiques ............................................................................. — 14
5.2 Applications spécifiques ............................................................................. — 14
5.3 Utilisation dans le domaine industriel ....................................................... — 14
Références bibliographique ........................................................................... — 15
e monde des ordinateurs grand public a engendré de nombreuses techno-

L logies pour connecter des unités centrales entre elles et à d’autres périphé-
riques. Quelques-unes de ces technologies ont eu beaucoup de succès. C’est
notamment le cas de la liaison série RS-232, de la liaison parallèle IEEE-1284,
de la liaison Apple ADB, etc.
Au cours de leur existence, ces technologies ont subi des transformations
parfois drastiques. Par exemple, la liaison parallèle, originellement unidirec-
tionnelle et peu performante est aujourd’hui parfois utilisée comme ersatz de
connexion SCSI pour connecter des graveurs de CD-ROM.
À l’autre bout du spectre, des technologies plus ambitieuses ont permis de
connecter les ordinateurs entre eux de manière performante et fiable, mais pas
toujours simple. Par exemple, si la norme SCSI est réputée pour son efficacité,
elle reste délicate à maintenir dans une configuration qui varie souvent. Elle ne
supporte pas les connexions ou déconnexions intempestives. L’interconnexion
d’ordinateurs par Ethernet est, elle aussi, fiable et aujourd’hui très rapide, mais
elle a un coût encore aujourd’hui prohibitif (notamment dû au transformateur
requis) pour pouvoir remplacer les liaisons simples comme la voie série ou
parallèle.
Ces technologies performantes ont elles aussi évolué et ont été l’objet de
nombreuses versions différentes. Il est apparu difficile dans certains cas,
d’assurer la compatibilité ascendante. Par exemple, la norme SCSI a adopté
quatre versions de connecteurs physiques différents, nécessitant l’emploi de
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｭ｡ｲｳ＠ＲＰＰＵ
complexes et coûteux adaptateurs.
ＸＱ
ｓＸＱＵＰ
UNIVERSAL SERIAL BUS USB _____________________________________________________________________________________________________________
Tous ces facteurs expliquent pourquoi ces technologies sont peu utilisées
dans les applications grand public.
Par ailleurs, les protocoles de communication utilisés au-dessus de ces tech-
nologies présentent rarement la souplesse et la robustesse nécessaires aux pro-
duits grand public. Or la polyvalence affichée des ordinateurs personnels
implique la connexion de périphériques de nature et de caractéristiques très
diverses (par exemple des scanners, des imprimantes, des modems, des appa-
reils photos, des caméras numériques, etc.). La mobilité de certains de ces
périphériques entraîne la reconfiguration dynamique quasi permanente du mini-
réseau constitué par l’ordinateur et son environnement technologique. Enfin les
utilisateurs, qui refusent généralement de lire la documentation accompagnant
les produits, recherchent surtout des solutions simples qui « résistent à leur
ignorance », voire qui anticipent les besoins à venir. Le résultat attendu doit en
effet être obtenu quelles que soient les conditions d’utilisation.
Les besoins qui ont provoqué le développement initial de l’Universal Serial
Ｓ Bus par Compaq, Intel, Microsoft et NEC sont donc :

— simplicité de connexion avec détrompeur ;
— configuration et reconfiguration (presque) automatique ;
— remplacement des multiples technologies standards de connexion déjà pré-
sentes sur les ordinateurs ;
— performances quelconques (légèrement supérieures) mais robustesse
élevée ;
— fourniture de courant intégrée.
USB se devait également d’être une technologie bon marché et très répandue.
Elle fut donc l’objet d’une promotion agressive de la part de ses géniteurs et
on la trouve aujourd’hui sur tous les micro-ordinateurs.
La dernière version USB 2.0 est au niveau de ses concurrents directs les plus
doués, principalement IEEE-1394 Firewire.
Ce chapitre traite du bus grand-public nommé Universal Serial Bus. Il en
décrit les motivations, les caractéristiques, les performances et les applications.
Il se termine par une estimation de la capacité d’USB à être utilisé dans le
domaine industriel.
1. Grands principes d’USB Tableau 1 – Version et nature des spécifications USB
Version Date Initiateur Nature

1.1 Présentation
USB 1.0 15 janvier 1996 Compaq, Intel, Bus
Microsoft maître- esclave,
USB ou Universal Serial Bus n’est pas une norme au sens pro- et NEC 12 Mbit/s
pre du terme, mais un ensemble de spécifications techniques
décrivant tous ses aspects, principalement dans un objectif USB 1.1 23 septembre 1998 Compaq, Intel, Bus
Microsoft et maître- esclave,
d’implémentation. Nous utiliserons donc le terme spécification NEC 12 Mbit/s
au lieu de norme, tout en rappelant que ces spécifications font
office de normes constructeurs. USB 2.0 27 avril 2000 Compaq, HP, Bus
Intel, Lucent, maître- esclave,
Microsoft, NEC 480 Mbit/s
La première spécification décrivant l’Universal Serial Bus (ver- et Philips
sion 1.0) est datée du 15 janvier 1996. Elle a été suivie par une mise
à jour (version 1.1 du 23 septembre 1998). Cette version [1] est USBCDCD 8 mai 1998 – Universal Serial
importante puisque c’est elle qui est aujourd’hui la plus présente 1.0 Bus Class
dans les équipements. Enfin, le 27 avril 2000, est apparue la Definitions for
version 2.0 [2], qui est la plus récente et la plus performante à ce Communication
Devices
jour. D’autres spécifications accompagnent USB, quelques-unes
d’entre elles étant citées dans le tableau 1 et l’encadré 1. (0)
(0) UHCI 1.1 mars 1996 Intel Universal Host
USB définit un bus série partagé qui fédère les périphériques Controller
autour, par exemple, d’un ordinateur personnel. USB offre deux Interface
ＸＲ
ｓＸＱＵＰ
____________________________________________________________________________________________________________ UNIVERSAL SERIAL BUS USB
Encadré 1 – USB sans fil

Maître Esclave
Le consortium à l’origine d’Universal Serial Bus a également Jeton OUT « en
publié au début de 2004 les spécifications de Wireless Universal voi de donnée
s»
Serial Bus (WUSB). Cette technologie est destinée à concurren- Un transfert
de données
cer principalement Bluetooth (IEEE 802.15.1) ou ZigBee (IEEE Envoi de donn
ée du maître
s
802.15.4) et accessoirement Wi-Fi (IEEE 802.11). L’objectif est de vers l'esclave
permettre l’interconnexion dans un rayon de 10 ou 50 m, à un
débit compris enctre 62,5 kbit/s et 480 Mbit/s, de dispositifs sim-
ples, comme des souris, des claviers, des disques durs exter- Jeton IN « dema
nde de donnée
nes, des supports de mémoire Flash et des ordinateurs s»
Un transfert
personnels. Wireless USB répond au même cahier des charges de données
qu’USB, tout en utilisant un support de communication physi- de l'esclave
que sans fil [16]. Données vers le maître
Tableau 2 – Capacités des différents modes USB

Mode Low-speed Full-speed High-speed (1)
Figure 1 – Aperçu schématique de deux transferts possibles
dans USB
Ｓ
480 Mbit/s – – x
12 Mbit/s – x x éventuels hubs. Le maître est directement connecté à un hub qui
permet de démarrer l’arborescence constituée par le réseau ;
1,5 Mbit/s x x x — différents modes de périphériques disponibles sur le réseau :
Transfert isochrone – x x deux modes sont définis par USB 1.1 (trois dans USB 2.0), chacun
correspondant à des besoins caractéristiques, comme les souris ou
Transfert interruption x x x les modems. Les vitesses disponibles sont 1,5 Mbit/s et 12 Mbit/s,
Transfert contrôle x x x avec des services spécifiques ;
— courant fourni par le câble USB : 5 V continu et 100 à 500 mA
Transfert bulk – x x (variable selon le type de hub) ;
Indication de début — les ressources nécessitée par le réseau chez le maître ou les
– x x
de cycle esclaves sont indépendantes de la taille du réseau ;
(1) high-speed est un mode défini dans USB 2.0 seulement. — détection d’erreur et récupération : le protocole USB permet
de détecter les erreurs et de retransmettre une trame erronée ;
— gestion de l’énergie : les esclaves peuvent passer en mode
modes de fonctionnement qui respectent les mêmes principes, veille lorsque aucune activité n’apparaît sur le réseau pendant
mais diffèrent par leur débit, les services disponibles ainsi que par 3 ms ;
quelques restrictions d’utilisation. Ces modes sont appelés — différentiation des services : USB définit quatre types de
« full-speed » pour le mode standard et « low-speed » pour le transferts pouvant être effectués entre un maître et un esclave :
mode simplifié. Les caractéristiques principales de ces modes sont bulk, isochrone, interruption et contrôle.
résumés dans le tableau 2.
Dans un souci de simplicité, les auteurs des spécifications d’USB
ont adopté une architecture de communication basée sur un 1.2 Architecture
modèle maître-esclave. Toutes les versions exploitent ce modèle.
Ce modèle délègue toutes les responsabilités d’organisation et de 1.2.1 Modèle de communication
gestion du réseau au maître. Il permet aux esclaves d’offrir leurs
fonctions spécifiques uniquement lorsqu’ils y sont invités par le Toutes les versions d’USB exploitent un modèle de communi-
maître. Dans ce modèle, les esclaves sont donc relativement cation maître-esclave en point à point. Le maître, piloté en général
simples. L’existence de puces dédiées et bon marché a permis la par un logiciel de contrôle, ordonne à loisir aux esclaves d’effectuer
large diffusion de périphériques très divers, comme des impri- les opérations pour lesquelles ils sont prévus (figure 1). C’est lui qui
mantes, des scanners ou des appareils photos numériques. coordonne l’action des esclaves et il est le seul à connaître leur état.
De plus, l’alimentation intégrée au câble USB simplifie encore la Il est aussi le seul à connaître leurs fonctions et leurs caractéristi-
conception des périphériques, puisqu’on en trouve certains qui uti- ques. Le maître est donc le seul habilité à s’adresser à un esclave,
lise cette alimentation comme unique source d’énergie. à lui ordonner d’effectuer des opérations et à pouvoir en récupérer
les résultats. C’est finalement le seul point de contact commun entre
USB atteint les objectifs fixés par ses concepteurs, à savoir : tous les esclaves.
— bas coût : jeu de puces produit en grande quantité, esclave de Le maître organise et gère le réseau, notamment lors de la
complexité réduite ; connexion ou de la déconnexion d’esclaves. Il énumère les nœuds
— connexion ou déconnexion à chaud : la connexion ou la présents en récupérant leur identité et les fonctions qu’ils offrent.
connexion d’un périphérique est détectée au niveau du bus et cet Un type particulier d’esclave permet d’interconnecter les nœuds
événement est répercuté à l’application résidant sur le nœud maître, USB entre eux : le hub.
qui peut provoquer une reconfiguration du réseau ;
— un seul type de connecteur définit pour connecter n’importe Il y a donc trois grands types de nœuds :
quel périphérique. Le connecteur possède deux variantes : une — le maître ;
forme pour le bout du câble connecté côté maître, une autre forme — le hub, sorte de répéteur sophistiqué qui, outre sa fonction de
pour le bout du câble connecté côté esclave ; retransmission vers les nœuds qui lui sont connectés, gère leurs
— plusieurs périphériques connectés à un seul connecteur côté besoins en énergie ;
maître : le réseau peut compter jusqu’à 127 esclaves, y compris les — le périphérique esclave, qui offre les fonctions utiles.
ＸＳ
Ｓ
ＸＴ
ｓＸＱＵＲ
Bus IEEE 1394 Firewire
par Philippe DALLEMAGNE

Docteur ès sciences
Chef de projets R&D
Centre Suisse d’Électronique et de Microtechnique (CSEM)
1.
1.1
Grands principes de Firewire ................................................................
Présentation..................................................................................................
S 8 152 - 2
— 2 Ｓ
1.2 Architecture .................................................................................................. — 3
1.3 Évolution ....................................................................................................... — 5
2. Spécifications............................................................................................ — 5
2.1 Couche physique.......................................................................................... — 5
2.2 Couche liaison de données ......................................................................... — 7
2.3 Transactions asynchrones........................................................................... — 9
2.4 Actions isochrones....................................................................................... — 11
2.5 Configuration et gestion .............................................................................. — 12
3. Performances ............................................................................................ — 13
3.1 Influence de la taille du réseau ................................................................... — 13
3.2 Résistance à la charge ................................................................................. — 13
3.3 Sensibilité à la distribution de la charge .................................................... — 13
3.4 Utilisation dans le domaine industriel ....................................................... — 13
irewire est l’appellation utilisée à la fin des années 1980 par Apple, son
F concepteur originel, pour désigner le bus de communication sériel, numé-
rique et à haut débit défini depuis par la norme IEEE 1394-1995 et ses dérivés.
Firewire est ainsi devenu la dénomination utilisée par les constructeurs dans
les produits grand public. Ce bus était destiné initialement aux applications
multimédias, mais il fait aujourd’hui le bonheur de quelques autres applica-
tions, notamment dans le domaine industriel. En effet, ses performances
élevées, son architecture et son modèle de communication le rendent poten-
tiellement utilisable par de nombreuses applications dans des domaines très
variés.
Malgré cela, Firewire a dû initialement se battre pendant de nombreuses
années contre des anciens bus de données comme Small Computer System
Interface (SCSI) avant de s’imposer difficilement. Firewire a dû aussi faire face
à une concurrence importante de la part du bus USB (voir l’article « Universal
Serial Bus USB » [S 8 150]). Par exemple, USB 1.1 est très présent dans les
domaines où les performances importent peu et USB 2.0 l’est pour les applica-
tions où des variations de performances importantes et inopinées sont
supportables. Ne présentant pas ces défauts, Firewire a trouvé une justification
au travers de multiples applications, notamment dans le domaine de l’édition
vidéo, le pérennisant ainsi pour de nombreuses années.
Ce document traite de la norme IEEE 1394 d’origine. Néanmoins, les exten-
sions ou normes d’accompagnement sont détaillées dans les parties pour
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠､￩｣･ｭ｢ｲ･＠ＲＰＰＷ
lesquelles elles présentent des différences notables ou des améliorations signi-

ficatives. Le terme Firewire sera utilisé dans ce document pour désigner la
collection de normes IEEE 1394 (IEEE 1394, IEEE 1394a, IEEE 1394b, etc.).

ＸＵ
ｓＸＱＵＲ
BUS IEEE 1394 FIREWIRE _____________________________________________________________________________________________________________
Sigles et abréviations Tableau 1 – Taille maximale de données utiles

par transfert
Sigle Définition
Taux de transfert Asynchrone Isochrone
AG acknowledge gap
S100 512 1 024
ARG asynchronous reset gap
S200 1 024 2 048
BM Bus Manager
S400 2 048 4 096
BOSS bus owner/supervisor/selector
S800 4 096 8 192
CM Cycle Master
S1600 8 192 16 384
CRC Cyclic Redundancy Check
S3200 16 384 32 768
Ｓ
CS Cycle Start
CSR Control and Status Register Des évolutions de la norme initiale sont en cours de normali-
sation (bridges pour connecter jusqu’à 1 024 réseaux Firewire :
FIP Factory Instrumentation Protocol IEEE 1394-1, transport dédié à l’audio-vidéo et définition de flux
asynchrones : CEI 61883, IEEE 1394a, gigabit : IEEE 1394b, etc.), en
FOM fibre optique multimode particulier pour y définir des périphériques génériques comme des
disques durs ou des unités de sauvegarde rapides (SBP-2 : ISO/
FOP fibre optique plastique CEI 14776-232 et OHCI [2]) ou pour définir son utilisation dans le
cadre des applications industrielles (1394TA Specifications
HCI Host Controller Initiative 2005001, 2005099 et 1999016, voir [Doc. S 8 152]).
Loin de signifier que la norme n’est pas prête (de nombreux pro-
IEEE Institute of Electrical and Electronics Engineering duits sont disponibles depuis plusieurs années déjà), cela montre
en fait que la technologie possède un potentiel d’évolution et que
IG isochronous gap ses utilisations potentielles en sont très nombreuses.
Les connecteurs définis par Firewire ont fait l’objet de beaucoup
IRM Isochronous Resource Manager
de soins avec un objectif de coût très bas. Ils permettent des
connexions et déconnexions instantanées et rapides (plug and
MAC Medium Access Control
play). Si ces connecteurs sont adaptés au marché grand public, ils
restreignent grandement leur utilisation dans le domaine indus-
OHCI Open HCI triel. Ils sont d’un coût relativement bas mais les composants
électroniques restent plus onéreux que leurs équivalents USB, ce
PTB paire torsadée blindée qui nuit à la diffusion à grande échelle, notamment dans les pro-
duits grand public pour lesquels le coût est déterminant.
SCSI Small Computer System Interface
Enfin, le câble fournit l’alimentation électrique (et sa gestion) des
SG subaction gap périphériques connectés (dans des limites déterminées), les
rendant ainsi complètement indépendants de leur environnement.
USB Universal Serial Bus Firewire présente d’autres avantages, comme la reconfiguration
automatique du réseau dans le cas de l’insertion ou du retrait d’un
périphérique. Le retrait du réseau d’un nœud en panne et son
remplacement n’implique donc que de brèves réinitialisations, pro-
voquant une rapide reconfiguration ne nécessitant pas l’arrêt du
1. Grands principes réseau ni des nœuds connectés.
de Firewire Firewire autorise la connexion de périphériques dont les vitesses
d’accès au réseau peuvent être différentes. Cette propriété a un
impact sur les vitesses maximales dans les sous-réseaux
concernés, mais elle permet d’augmenter le nombre de produits
1.1 Présentation potentiels et améliore l’interopérabilité.
Tous les nœuds sont potentiellement égaux envers la gestion du
Firewire est une norme définissant un bus sériel pouvant inter-
réseau. Tous peuvent assurer, en fonction de leurs capacités, la
connecter, à des débits importants (25, 50, 100, 200, 400, 800, 1 600
gestion des ressources du réseau, comme l’accès au médium,
et 3 200 Mbit/s, désignés respectivement de S25 à S3200,
l’allocation de bande passante, l’énergie électrique disponible,
tableau 1, jusqu’à 63 périphériques différents, appelés nœuds, au
l’attribution d’adresses, etc. Il n’y a pas de notion de maître ni
sein d’un même réseau. Elle s’appuie sur la norme d’architecture
d’esclave (comme dans Universal Serial Bus) ni de distributeur
dite « à régistres » ISO/CEI 13213.
(comme dans FIP : Factory Instrumentation Protocol, NF C46-602 et
Firewire est aujourd’hui une technologie très utilisée pour la suivantes). Cette caractéristique essentielle permet de répartir les
connexion de périphériques dédiés à la production ou au stockage traitements liés à la communication et à la gestion du réseau et,
de données de grande taille (images) et de flux d’information ainsi, de décharger le processeur principal. De plus, Firewire utilise
(vidéo numérique notamment [1], CEI 61883). Elle a également été un algorithme équitable pour le trafic asynchrone, ce qui permet
adoptée par Sony (et beaucoup d’autres par la suite) sous le nom de garantir qu’aucun nœud ne monopolisera le médium indé-
de i-Link pour les caméras Digital Video. finiment. Chacun des dispositifs ayant demandé l’accès au

ＸＶ
ｓＸＱＵＲ
______________________________________________________________________________________________________________ BUS IEEE 1394 FIREWIRE
Tableau 2 – Normes ayant trait à Firewire Tableau 3 – Profils du domaine automobile
Référence et thème Intitulé Référence Domaine
ISO/ICE 13213 (IEEE 1212) CSR Architecture IDB-1394/1 Profil audio/vidéo pour le DVD
IEEE 1394 IEEE Standard for a High IDB-1394/2 Profil audio/vidéo pour le DVB-T
Norme de base Performance Serial Bus
IDB-1394/3 Profil audio/vidéo pour les caméras
IEEE 1394a IEEE Standard for a High
Arbitrage et réinitialisation Performance Serial Bus – IDB-1394/4 Profil pour le contrôle et la gestion des flux
accélérée, gestion de l’énergie Amendment 1 audio/vidéo (streaming and control profile)
améliorée (suspend/résume)
IDB-1394/5 Profil IDB pour la gestion de l’énergie, la
IEEE 1394b IEEE Standard for a High mise en veille et le réveil sur événement
Amélioration de la couche Performance Serial Bus – réseau (power specification, physical media
physique (S800/S1600, jusqu’à Amendment 2
Ｓ
dependent for wake-up on LAN)
50 m (fibre plastique) ou
100 m (verre), par égalisation
signal % à 0 V DC), inter-
opérable avec IEEE 1394a longues périodes. Firewire possédait alors les qualités requises
pour pouvoir connecter des caméras vidéo (MiniDV, Hi8, etc.) et il
s’est depuis imposé dans ce domaine.
Firewire peut être utilisé dans une gamme très large d’appli-
médium pour ce type de trafic l’obtiendra donc au bout d’un délai cations. Des profils ont été définis afin de simplifier et de structu-
fini et connu à l’avance. L’implémentation, la maintenance, l’évo- rer les développements des applications et des périphériques.
lution et la gestion du réseau en sont ainsi rendues plus aisées. Renault a par exemple participé à la définition de profils dans le
domaine automobile (tableau 3).
1.2 Architecture Firewire peut aussi être utilisé dans le domaine industriel
comme bus de terrain. Il doit néanmoins faire l’objet d’attentions
Firewire est basée sur la norme ISO/IEC 13213 (ou IEEE 1212) qui particulières quant à la connectique utilisée ainsi qu’à l’envergure
définit les fonctions, caractéristiques et propriétés implantables physique totale (nombre de liens entre les deux nœuds les plus
par les bus de communication. IEEE 1394 s’appuie sur cette norme éloignés) du réseau nécessaire pour l’application.
tout en définissant des extensions spécifiques. Le développeur
d’implémentations de Firewire se référera donc aux normes listées 1.2.3 Modèle de communication
dans le tableau 2. Les dates des dernières versions peuvent être
consultées dans Pour en savoir plus [Doc. S 8 152]. Le principe de communication est basé sur une méthode multi-
La version de Firewire la plus répandue en 2007 est basée sur la maître d’arbitrage décentralisé (§ 2.2.4) qui détermine quel nœud,
norme IEEE 1394a-2000. C’est celle-là que nous détaillons dans ce parmi ceux ayant exprimé la volonté d’émettre, pourra le faire
document, aux côtés de la norme de base IEEE 1394-1995. Lorsque dans l’instant qui suit la phase d’arbitrage (arbitration). Cette
cela est pertinent, les caractéristiques remarquables de phase, jouant le rôle de contrôle d’accès au médium, n’intervient
IEEE 1394b-2002 sont aussi mentionnées. qu’après une période de silence appelé gap dont la durée est fixée
par la norme (environ 20 µs).
Nota : toutes les spécifications sont référencées à la 1394 Trade Association. Ce principe décentralisé impose la vérification soigneuse du
respect des algorithmes décrits par la norme IEEE 1394. En effet, le
1.2.1 Environnements bon fonctionnement du bus dépend du comportement des nœuds
connectés, puisque chacun d’entre eux peut émettre sur le
Firewire peut être utilisé dans des environnements de type fond médium. Si un nœud devait occuper le médium pendant une
de panier (ou carte-mère) ou de type câblé. Les caractéristiques durée incompatible avec la norme, alors les propriétés du réseau
respectives de Firewire dans ces deux environnements sont dif- (latence, isochronisme, débit, etc.) pourraient ne plus être res-
férentes, bien que les services et les principes de fonctionnement pectées. De même, le respect par tous les nœuds de l’algorithme
soient proches ou identiques. La version fond de panier (limitée à de transfert de paquets asynchrones garantit l’équité entre tous les
S25 et S50), dont l’objectif est de remplacer des bus locaux, n’a nœuds du réseau.
pas retenu l’attention des industriels et la présente description se Firewire divise le temps en périodes de 125 µs appelées cycles.
limite à la version câblée, plus performante et beaucoup plus Durant un cycle sont effectués des échanges correspondant à des
répandue. services offerts par Firewire. Un cycle est défini par un paquet par-
ticulier appelé Cycle Start (CS), émis par le nœud appelé Cycle Mas-
1.2.2 Profils applicatifs ter (CM) et se termine par le début du CS suivant. Chaque CS
comporte des informations de gestion à destination de tous les
Apple avait pris l’initiative de développer Firewire pour nœuds, comme par exemple le numéro de cycle, diffusion de la
remplacer le bus SCSI et son bus propriétaire. Les applications référence de temps global du réseau, etc. Un cycle est de plus divisé
envisagées étaient alors la connexion de périphériques comme en deux grandes parties, appelées « phase isochrone » et « phase
des disques durs, des modems, des cartes réseaux, des scanners, asynchrone » dans lesquelles sont respectivement effectués des
des imprimantes, etc. transferts de données isochrones et asynchrones (figure 1).
D’autres besoins se sont fait jour lorsque les équipements audio Les nœuds connectés au réseau peuvent avoir des rôles parti-
et vidéo ont atteint des qualités élevées imposant des débits très culiers lorsqu’ils en sont capables et qu’ils en font la demande,
importants avec la contrainte supplémentaire de l’isochronisme. comme celui de root, Cycle Master, Bus Manager (BM) ou Iso-
Cette propriété impose un débit quasi constant et maintenu sur de chronous Resource Manager (IRM) (tableau 4).

ＸＷ
Ｓ
ＸＸ
ｓＸＱＶＰ
Réseau Profibus
par Eddy BAJIC

Professeur à l’université Henri-Poincaré, Nancy
et Bruno BOUARD
Responsable produits automatisation répartie, SIEMENS Automation & Drives
1. Définitions.................................................................................................. S 8 160 - 2 Ｓ
2. Couche liaison de données.................................................................... — 3
3. Services de communication.................................................................. — 5
4. Structure des télégrammes DP et FMS ............................................. — 6
5. Couches physiques .................................................................................. — 8
6. Profibus-DP ................................................................................................ — 10
7. Profibus-PA ................................................................................................ — 12
8. Fichiers de configuration GSD ............................................................. — 14
9. Applications industrielles...................................................................... — 14
10. Évolutions ................................................................................................. — 17
11. Conclusion ................................................................................................ — 18
e réseau Profibus est un réseau de terrain qui se décline au travers de trois

L variantes appelées Profibus-FMS (Fieldbus Message Specification), Profi-
bus-DP (Decentralised Peripheral) et Profibus-PA (Process Automation), desti-
nées à couvrir les différents besoins en communication industrielle dans les
automatismes, depuis le niveau capteur-actionneur jusqu’au niveau de contrôle-
commande et de supervision de process.
Ce réseau a d’abord été normalisé en Allemagne (DIN 19245), puis au niveau
européen (EN 50170) en 1996, et finalement reconnu et cité parmi les réseaux de
la norme internationale CEI 61158. Il occupe aujourd’hui une place importante
dans le marché mondial des réseaux de terrain.
Cet article développe la structure de pile de communication Profibus, et de
façon plus particulière la couche liaison de données et les services de communi-
cation, la structure des télégrammes et les caractéristiques de la couche physi-
que. Les protocoles de communication Profibus-DP et Profibus-PA sont
particulièrement détaillés étant donné leur usage plus largement répandu
actuellement dans les applications industrielles.
Enfin, un aperçu des évolutions des solutions Profibus pour l’interconnexion
de réseaux sous TCP-IP par ProfiNet est abordé, ainsi que le profil ProfiSafe, per-
mettant de garantir un niveau de sûreté de transmission pour la prise en charge
par le réseau des équipements de sécurité des automatismes.
Cet article s’appuie sur l’expérience des auteurs, ainsi que sur les normes Pro-
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠､￩｣･ｭ｢ｲ･＠ＲＰＰＲ
fibus en vigueur, qu’il ne saurait remplacer.
ＸＹ
ｓＸＱＶＰ
RÉSEAU PROFIBUS _____________________________________________________________________________________________________________________
1. Définitions CNC PC API
Profibus (Process Field Bus) est un réseau de terrain ouvert, per-

mettant de répondre à un large éventail d’applications dans les Niveau cellule
Profibus-FMS
domaines concernant : Temps d'accès
au bus < 100 ms
— les procédés manufacturiers (conduite des procédés
API PC SNCC IHM
séquentiels, procédés discontinus par lots « batch ») ;
— les procédés continus (conduite, régulation) ;
— la gestion des bâtiments (gestion technique centralisée, ges- Niveau terrain Profibus-DP
tion technique du bâtiment). Temps d'accès
au bus < 10 ms Passerelle
En tant que réseau non propriétaire, Profibus est issu de travaux DP/PA
initiés en 1987 par le ministère fédéral allemand pour la Recherche Niveau capteur- Moteur E/S
technologique, comprenant un groupement de sociétés industriel- actionneur Profibus-PA
les et d’instituts de recherche allemands, orchestré par Siemens AG. Temps d'accès
La norme allemande DIN 19245 a été créée en 1991, normalisée au bus < 10 ms
Ｓ
EN 50170 par le Cenelec en 1996, comme norme européenne.
Depuis 1999, le réseau Profibus est reconnu dans la norme interna- Capteur Vanne
tionale CEI 61158, avec les autres réseaux ControlNet, P-Net, Field-
bus Foundation High-Speed-Ethernet, SwiftNet, WorldFip, Interbus- CNC : Computerized Numerical Control
S. IHM : interface homme-machine
SNCC : système numérique de contrôle-commande
Avec beaucoup de difficultés, le groupe de travail du projet
CEI 61158 a convergé enfin vers un compromis de norme sur les
réseaux de terrain en y intégrant sept réseaux très divers et quelque- Figure 1 – Classification des réseaux Profibus
fois rares. Les travaux d’homogénéisation de la norme CEI 61158 se
poursuivent, notamment pour affiner les différents types identifiés
au niveau des couches 2 et 7. — Profibus-DP (Decentralized Peripheral) : destiné aux applica-
tions de type maître-esclave en monomaître pour la gestion des
équipements d’entrées-sorties déportées avec des temps d’accès
extrêmement courts. Le fonctionnement multimaître est possible ;
1.1 Architecture — Profibus-FMS (Fieldbus Message Specification) : destiné aux
applications nécessitant l’échange entre maîtres pour la synchroni-
sation d’activités de contrôle-commande, basé sur la messagerie
Profibus propose une architecture réseau en trois niveaux, autori-
MMS (Manufacturing Message Specification) ;
sant une communication entre matériels hétérogènes et de diffé-
rents constructeurs, afin de couvrir tous les niveaux — Profibus-PA (Process Automation) : destiné aux applications
d’automatisation d’un système (figure 1) : de contrôle de process nécessitant la communication avec des équi-
pements de terrain (capteurs, actionneurs) permettant une téléa-
— transmission de données de type action réflexe avec un temps limentation des équipements et un fonctionnement avec sécurité
de réaction très court ; intrinsèque en ambiance explosive (EExi).
— raccordement direct de capteurs et d’actionneurs sur le bus ;
Les spécifications de la norme Profibus, définies par les normes
— fonctionnement en sécurité intrinsèque ;
EN 50170 et DIN 19245, portent sur les couches 7, 2 et 1 du modèle
— dialogue entre automatismes et périphérie décentralisée ; OSI (Open System Interconnection) comme le montre l’analogie du
— échange de données complexes et volumineuses pour la ges- réseau Profibus avec le modèle OSI sur la figure 2.
tion de cellules.
Les deux variantes DP et FMS peuvent cohabiter sur le même
En 2002, l’offre de produits communiquant sous Profibus est forte réseau physique car elles partagent les mêmes couches physiques
de plus de 3 000 produits, fournis par un grand nombre de sociétés et de liaison de données. L’interconnexion d’un réseau Profibus-PA
dont Schneider, Siemens, Landys & Gir, Applicom Int., Weidmuller, avec DP est généralement assurée au travers d’une passerelle DP/PA,
Saia, Europep, Hartmann et Braun, Khunke, Mitsubishi, Infranor, qui peut être totalement transparente pour le maître DP qui adresse
Beckhoff, Hirchmann, Wago, Festo, Endress+Hauser, Moeller, ABB. les équipements PA comme s’ils étaient sur DP, la passerelle jouant
Les acteurs principaux de développement de l’offre de produits et le rôle de maître PA. Cela présente un inconvénient : la passerelle
d’évolution du réseau participent à l’organisation internationale des peut limiter la vitesse sur le bus DP à 45,45 kbit/s.
utilisateurs Profibus (Profibus Nutzerorganisation : PNO), qui La couche physique, couche 1, caractérise les supports de trans-
s’appuie sur un réseau d’associations nationales dans plus de mission, leurs caractéristiques électrique et mécanique. Trois stan-
vingt pays, dont l’association France Profibus. dards sont préconisés : RS485, fibre optique (FO) et CEI 61158-2.
Une procédure de certification des équipements communiquant La couche de liaison de données, couche 2, appelée couche FDL
sous Profibus, respectant la norme ISO 9001, est réalisée par des (Fieldbus Data Link Layer), caractérise quant à elle les procédures
centres de certification Profibus, garantissant ainsi une conformité d’accès au bus, les services de transmission supportés ainsi que la
des produits à la norme Profibus et leur conférant un numéro structure des télégrammes.
d’identification Profibus unique.
Les couches 3 à 6 ne sont pas implémentées par Profibus.
La couche application, couche 7, définit pour sa part les fonctions
accessibles à l’utilisateur en s’appuyant sur la notion d’objet de
1.2 Variantes communication au travers de services de gestion d’objets FMS (Fieldbus
Message Specification). Les fonctionnalités de la couche FMS
constituent un sous-ensemble réduit des fonctions du standard
Profibus se décline en trois variantes de protocoles, répondant MMS (Manufacturing Message Specification) du protocole MAP
chacune à des finalités métiers et applicatives spécifiques : (Manufacturing Automation Protocol), optimisées pour les applica-
ＹＰ
ｓＸＱＶＰ
____________________________________________________________________________________________________________________ RÉSEAU PROFIBUS
Anneau logique avec passage

Normes EN 50170 Vol 2 et DIN 19245 Part 1-4 de jeton entre maîtres
Usage général Manufacturier Process

Profibus - FMS Profibus - DP Profibus - PA Maîtres : stations actives
Universel Rapide Téléalimentation
Multimaître E/S déportées Sécurité intrinsèque
Utilisateur
Profil DP Profil PA
Profil Profibus-DP
équipement Fonctions étendues DP
Fonctions de Base DP
7 Services FMS
M T
3...6
Actionneur Capteur Moteur Transmetteur
Ｓ
2 Fieldbus Data Link (FDL) Interface CEI Esclaves : stations passives
1 RS485 / Fibre optique CEI 61158-2 Figure 3 – Principe hybride de gestion du bus
EN 50170 Directives et profils Profibus
Figure 2 – Structure OSI des trois variantes Profibus Les équipements esclaves, appelés stations passives, sont des
équipements périphériques (blocs d’entrées-sorties, vannes, entraî-
nements et transmetteurs de mesure, etc.) qui n’ont pas le droit
d’accès au bus. Leur action se limite à l’acquittement des messages
tions réseau de terrain, et enrichies de fonctions d’administration reçus des maîtres ou à la transmission de messages en réponse à
d’objets de communication. une demande des maîtres.
La couche FMS exploite la notion d’équipement virtuel VFD (Vir- La nature hybride du principe d’accès au réseau implémenté par
tual Field Device) avancé par la norme MMS [R 7 574]. Selon les Profibus permet :
variantes Profibus-DP ou Profibus-PA, des profils d’application DP
— d’une part une communication entre les stations maîtres par
ou PA assurent des services spécialisés aux applications utilisatri-
un mécanisme de passage de jeton sur bus, déterministe et adapta-
ces.
tif. La circulation du jeton est effectuée selon un anneau logique,
Une interface LLI (Lower Layer Interface) est chargée d’adapter la indépendamment de la topologie bus du réseau ;
couche 7 à la couche 2, en prenant en charge le contrôle de flux et la — d’autre part une communication simple de type maître-esclave
surveillance de la liaison définie par des relations de communica- entre une station maître et les équipements esclaves auxquels elle
tion configurables. Profibus-FMS supporte des relations de commu- veut s’adresser.
nication en mode connecté nécessitant l’ouverture préalable d’une Chaque station maître (station active) disposant du droit d’accès
liaison (par un service Initiate) avec le destinataire avant tout au bus figuré par le passage du jeton – qui est constitué d’une trame
échange, et un mode non connecté permettant une communication spéciale – est libre d’accéder à tout esclave (station passive)
en diffusion. Une interface ALI (Application Layer Interface) réalise connecté au réseau.
quant à elle l’interface de la couche 7 avec le haut de la pile OSI vers
le processus d’application [1].
Par abus de langage, les variantes Profibus-FMS, DP et PA sont
souvent appelées protocoles. On parle ainsi de protocole Profibus- 2. Couche liaison de données
DP, protocole Profibus-FMS et protocole Profibus-PA. Mais comme
le montre la figure 2, Profibus-DP et Profibus-FMS partagent les
mêmes couches 1 et 2, et seul Profibus-FMS définit des services En référence au modèle OSI, la couche 2 de Profibus est désignée
FMS en protocole d’application. par Fieldbus Data Link Layer (FDL).
Quant à Profibus-PA, il se distingue par une couche physique

CEI 61158-2 différente, et une couche 2 implémentant un calcul de
clé de contrôle différent, ce qui confère à Profibus-PA un réel titre de 2.1 Méthode d’accès à la voie
protocole PA. Malgré cela, il est d’usage courant (et certainement
facilitant la compréhension) d’admettre cet abus de langage. Dans la
suite de cet article, cette appellation abusive de protocole pourra La méthode d’accès à la voie implémentée sous Profibus se veut
être utilisée. répondre aux exigences des applications industrielles en terme de
déterminisme de la communication et de rapidité d’échange ; elle
est déclinée à partir du standard jeton sur bus IEEE 8802.4. Le jeton
circule dans un anneau logique, entre les stations actives dans le
1.3 Principe d’accès au bus sens des adresses croissantes de 1 à 126 (adresse 0 interdite), sous
la forme d’une trame illustrée par la figure 4. La station d’adresse la
plus élevée (HSA : Highest Station Address) redonne le jeton à la
Profibus met en œuvre un modèle de communication de type station d’adresse la plus faible, et boucle ainsi un anneau logique
maître-esclave selon un mode d’accès au bus de nature hybride, par adresses croissantes sur le bus physique [2].
comme le montre la figure 3.
Les équipements maîtres, appelés stations actives, dirigent la
transmission de données sur le bus et émettent librement des mes- SYN SD4 DA SA
sages, sous réserve d’obtenir le droit d’accès au médium, déterminé
par le passage d’un jeton. Figure 4 – Trame de jeton Profibus
ＹＱ
ｓＸＱＶＰ
RÉSEAU PROFIBUS _____________________________________________________________________________________________________________________
La trame jeton est constituée de trois caractères précédés d’une Après que la station active a terminé ses communications, elle
période de synchronisation de 33 bits au niveau logique 1, appelée passe le jeton à son successeur (NS). En cas de non-réponse de la
SYN : station successeur, et après deux répétitions maximum, la station
— SD4 : délimiteur d’en-tête (DCH) ; active tente de trouver un autre successeur maître en explorant sa
liste LAS. En cas d’échec, la station se trouvera en situation de seul
— DA : adresse de destination ;
maître sur le réseau et se passera le jeton.
— SA : adresse source.
Pour la gestion de l’anneau logique, chaque station active mémo- Lorsqu’une station reçoit le jeton d’une station différente de celle
rise trois paramètres : enregistrée PS dans la LAS, la station active ignore le passage de
jeton. À la deuxième tentative, la station active reconnaît alors que
— TS (this station) : adresse de la station locale ; la configuration de l’anneau logique a changé ; elle remplace
— PS (previous station) : adresse de la station précédente dans l’adresse de PS par l’adresse de la station lui ayant passé le jeton
l’anneau logique ; dans la LAS, et réorganise ainsi l’anneau logique.
— NS (next station) : adresse de la station suivante dans l’anneau
logique. Chaque station active acquitte les trames de passage du jeton. En
cas de non-acquittement sous une temporisation chien de garde
La circulation du jeton sur l’anneau logique sur le bus respecte les (Slot Time), la station émettrice réémet la trame de passage de jeton
Ｓ
antécédences décrites par les paramètres TS, PS et NS de chaque à concurrence de trois fois. Après quoi, sans réponse, le jeton est
station, comme le montre la figure 5. De plus, chaque station active
passé à la station suivante. La table LAS et les champs PS et NS sont
maintient à jour trois tables ou listes d’adresses de stations lui per-
mis à jour dans les stations.
mettant de gérer la circulation du jeton et de s’adapter à une décon-
nexion de station ou à une connexion de nouvelle station :
L’initialisation de l’anneau logique est réalisée automatiquement
— Live List : c’est une liste contenant les adresses de toutes les par la première station présente sur le réseau, en interrogeant les
stations présentes sur le bus, qu’elles soient maîtres ou esclaves, stations d’adresse supérieure par une requête Request FDL-Status,
répondant au cycle d’interrogation cyclique du maître ou au pas- comme le montre la figure 6. À la suite d’une demande d’entrée
sage du jeton ; dans l’anneau logique, une station peut répondre par :
— List of Active Station (LAS) : c’est une liste d’adresses consti-
tuée par chaque station active, après la mise sous tension lors de la — prêt à entrer dans l’anneau comme station active ;
phase d’écoute du jeton (listen-token) par l’analyse des trames de
— non prêt;
jeton circulant sur le réseau. La table LAS est identique sur toutes les
stations, en régime permanent du réseau, et elle est mise à jour — station passive.
dynamiquement au gré des stations apparaissant ou disparaissant
du réseau ;
— Gap List (GAPL) : c’est une liste d’adresses, spécifique à cha-
que station active. Gap signifiant intervalle, la GAPL est constituée
de toutes les adresses Profibus qui suivent immédiatement
l’adresse de la station locale (TS) jusqu’à l’adresse de la prochaine
station active dans l’anneau logique (NS). Chaque station surveille TS=1 TS=2 TS=3
l’apparition sur le réseau d’une nouvelle station comprise entre son NS= NS= NS=
adresse (TS) et l’adresse de la prochaine station (NS). Lorsqu’un PS= PS= PS=
temps paramétrable à la configuration du réseau (TGUD : Time Gap
UpDate), appelé gaptime, est dépassé, la station active invite une
station par scrutation d’adresse croissante dans la GAPL à s’intégrer
à l’anneau logique de circulation du jeton. Jeton
Lorsqu’une station active (TS) reçoit le jeton de la station précé- SA=1 DA=1
dente (PS) dans la LAS, elle peut alors démarrer la communication
avec les stations esclaves ou maîtres partenaires.
Request FDL-Status
SA=1 DA=2
Non prêt
TS=1 TS=2 TS=3 Station 2
NS=2 NS=3 NS=1 inscrite dans la
PS=4 PS=1 PS=2 GapList
Request FDL-Status
SA=1 DA=3
Jeton
SA=1 DA=2 Prêt
Jeton
Station 2
SA=2 DA=3 inscrite dans la
LAS
Jeton Jeton
SA=3 DA=1 SA=1 DA=3
Figure 5 – Circulation du jeton Figure 6 – Initialisation de l’anneau logique
ＹＲ
ｓＸＱＶＲ
Ethernet en tant que réseau

de terrain : standard PROFINET
par Bruno BOUARD

Responsable produits automatisation répartie
Siemens Automation & Drives (A&D)
1. Le réseau Ethernet................................................................................... S 8 162 - 2 Ｓ

2. Couche liaison de données d’Ethernet natif .................................... — 2
3. Protocoles de communication associés à Ethernet ....................... — 3
4. Support physique d’Ethernet natif 10 Mbit/s................................... — 4
5. Technologie commutée switched Ethernet.
Fast Ethernet 100 Mbit/s........................................................................ — 5
6. Ethernet comme réseau de terrain : standard ouvert PROFINET ... — 7
7. PROFINET avec COM/DCOM ................................................................. — 12
8. PROFINET RT : temps réel pour les entrées-sorties ....................... — 15
9. PROFINET IRT : mode isochrone pour la commande d’axes........ — 19
10. Applications industrielles...................................................................... — 21
11. Conclusion ................................................................................................. — 23
ongtemps limité au domaine des réseaux industriels de communication

L dits de cellule dans le monde industriel, Ethernet est en passe de faire ses
preuves en tant que réseau de terrain suite aux évolutions technologiques qui
sont apparues ces dernières années avec Fast Ethernet, les « switches » et le
mode « full duplex ». PROFINET est le standard Ethernet industriel pour l’auto-
matisation industrielle développé par l’association PROFIBUS International qui
prend en compte les réseaux de terrain existants comme PROFIBUS, d’où son
nom, contraction de PROFIBUS et Ethernet [S 8 160].
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠､￩｣･ｭ｢ｲ･＠ＲＰＰＵ
©Techniques de l’Ingénieur S 8 162 − 1
ＹＳ
ｓＸＱＶＲ
ETHERNET EN TANT QUE RÉSEAU DE TERRAIN : STANDARD PROFINET ___________________________________________________________________________
1. Le réseau Ethernet 2. Couche liaison de données

d’Ethernet natif
1.1 Conception par DIX :
Digital Intel Xerox 2.1 CSMA : méthode d’accès au réseau
La création d’Ethernet remonte aux années 1970, et plus préci- La méthode d’accès sur Ethernet est appelée CSMA/CD (Carrier
sément aux travaux de Bob Metcalfe du laboratoire central de Sense Multiple Access/Collision Detection). C’est une technique de
recherche de Xerox, basé à Palo Alto (en Californie). Très vite, Xerox gestion des conflits (contention technique), elle ne donne pas un
décide de rechercher du renfort et s’allie avec Intel et Digital Equi- accès exclusif au canal (comme le polling ou le jeton) mais essaie
pement (repris par Compaq par la suite). Les premières spécifi- d’éviter les conflits et les utilise comme une méthode d’attribution
cations officielles d’Ethernet (on parle aussi de DIX, en référence à du canal.
l’initiale du nom de chacun des trois associés) sont publiées en 1980, ■ CS (Carrier Sense, détection de l’onde porteuse) : c’est la capacité
mais il faut attendre 1985 pour qu’Ethernet devienne un standard à détecter tout trafic sur le canal (écouter avant de parler). Si la
officiel, avec la publication de la spécification IEEE 802.3 de l’Insti- station qui veut émettre constate qu’il y a un trafic sur le réseau, elle
tute of Electrical and Electronics Engineers (IEEE). La première verne tente pas l’émission, elle attend que la voie soit libre (figure 2a).
Ｓ
sion d’Ethernet précise que les stations présentes sur le réseau
communiquent quand elles le veulent mais jamais en même temps : ■ MA (Multiple Access, accès multiple) : chaque station a potentiel-
écouter avant de parler. Lorsqu’une station communique, elle a un lement accès au canal lorsqu’elle a besoin d’émettre, mais il faut
accès exclusif au support de communication. L’émission sur le câble que le canal soit libre. Il n’y a pas d’attente d’attribution comme
est entendue par toutes les stations (figure 1). dans le cas des réseaux à jeton (polling ), où il faut attendre l’auto-
risation même si le canal est libre (figure 2b).
1.2 Utilisation industrielle d’Ethernet 2.2 CD : détection de collision

comme réseau de cellule
Normalement, une station n’émet que s’il n’y a pas de trafic sur
Parallèlement, dans le monde de l’automatisation industrielle, la le réseau, ou, pour être plus précis, elle n’émet que si elle « croit »
première implementation d’Ethernet dans les automates program- qu’il n’y a pas de trafic. Cela mérite une explication. Lorsqu’une
mables industriels est à mettre au bénéfice de Siemens dans les station commence à émettre, les bits émis mettent un certain
automates programmables SIMATIC S5 en 1985. Plus tard, d’autres temps pour arriver aux autres stations (du fait du temps de propa-
constructeurs ont aussi sorti leur solution sur Ethernet ; entre 1985 gation du signal sur le câble). Supposons qu’une deuxième station
et 2000 environ, les applications d’automatismes industriels qui veuille émettre avant que le message de la première soit parvenu
ont mis en œuvre Ethernet étaient des applications de réseau de à sa hauteur. Elle considère que la voie est libre et émet son
cellule (interautomates programmables industriels) exclusivement message. Il y a alors collision des deux messages (figure 3).
et non réseau de terrain (entre automate et stations d’entrées-sor- Le standard Ethernet prévoit cette situation : chaque nœud
ties, variateurs...). émetteur est capable de détecter le changement de niveau d’éner-
gie et de l’interpréter comme une collision. Lorsqu’une collision se
produit, les deux postes cessent immédiatement d’émettre. Ils
1.3 Évolution Fast Ethernet et utilisation essaient ensuite à nouveau, après un délai librement choisi.
potentielle comme réseau de terrain
L’Ethernet natif mettant en œuvre une méthode d’accès au
2.3 Comportement non déterministe
support qualifiée d’aléatoire (§ 2), personne n’a jamais pensé et limites d’utilisation
pouvoir l’utiliser pour des applications de réseau de terrain qui la
plupart du temps ont besoin d’un comportement déterministe. La première norme Ethernet a été établie pour un débit de
10 Mbit/s sur un câble coaxial. À ce débit, un bit occupe le signal
En revanche, lorsque Fast Ethernet associé à la technologie de la électrique pendant 1/(10 · 106 ) = 10 –7 s, soit 0,1 µs. C’est ce qu’on
commutation (switching technology) et au mode full duplex a été appelle la durée d’un bit ou BT (bit time). La norme Ethernet limite
standardisé en 1998 (§ 5), on a pu commencer à envisager d’utiliser à 46,4 µs (464 BT) le temps d’aller-retour (round trip delay) d’un
Ethernet pour des applications de réseaux de terrain. C’est ce qui signal entre deux émetteurs-récepteurs les plus éloignés (figure 4).
va être développé tout au long de ce document. Pendant cette durée, à 230 000 km/s, le signal peut parcourir
10 672 m ; comme il s’agit d’un parcours aller-retour, cela cor-
respond à un réseau moitié moins long, soit 5 336 m. En pratique,
pour des raisons d’atténuation du signal (et pour que la détection
de collision fonctionne correctement), le signal doit être régénéré
tous les 500 m. Pour régénérer le signal, on utilise des répéteurs...
qui induisent un retard. Compte tenu de cela (et des performances
des circuits électroniques en 1980), la taille maximale d’un réseau
Ethernet est limitée à 2 800 m au lieu de 5 336 m. Avec un câble à
fibre optique au lieu d’un câble coaxial, il est possible de réaliser
des réseaux de 4 520 m de longueur.
En plus du round trip delay de 46,4 µs, la norme Ethernet fixe éga-
lement la durée du signal de brouillage (jam) à une valeur comprise
entre 3,2 et 4,8 µs (32 à 48 BT). L’addition des deux donne le slot
time (tranche canal), soit 512 BT ou 51,2 µs. Pour être sûr de détecter
les collisions, il faut que les messages émis à 10 Mbit/s aient au
moins une longueur de 10 · 106 bit/s × 51,2 · 10 – 6 s = 512 bits, soit
Figure 1 – Principe de base du fonctionnement d’Ethernet 64 octets (préambule exclu).
S 8 162 − 2 ©Techniques de l’Ingénieur
ＹＴ
ｓＸＱＶＲ
___________________________________________________________________________ ETHERNET EN TANT QUE RÉSEAU DE TERRAIN : STANDARD PROFINET
Applicatif
7 Application MMS ISO 9506

Medium Medium
libre ? libre ? Présentation
6 Présentation Fetch/Write
(lecture/
a CS écriture) Session
5 Session
4 Transport
ISO 8073
3 Réseau
ISO 8473
Émission Émission
2 Liaison
b MA
1 Physique
Ethernet IEEE 802.3
Ｓ
Figure 2 – Principe CSMA d’Ethernet
SINEC H1 et MAP
Figure 5 – Pile de protocole SINEC H1 et MAP sur Ethernet
mission Control Protocol/Internet Protocol). Cette suite de protoco-

Collision les a été développée initialement au sein de l’université de
Berkeley en Californie sous le système d’exploitation Unix. À la
même époque, divers protocoles issus des constructeurs informa-
tiques ont aussi été utilisés comme NetBEUI, AppleTalk, SNA
d’IBM, Novell, etc. La montée en puissance de l’Internet a vu se
rationaliser les couches réseau et transport avec l’adoption de la
Figure 3 – Principe CD d’Ethernet suite TCP/IP [H 2 288] car c’est cette suite qui est à la base d’Inter-
net pour relier les différents sous-réseaux entre eux avec IP. Il fait
maintenant partie intégrante de tous les systèmes d’exploitation
informatique.
3.2 MAP, SINEC H1

dans le monde industriel
Lorsque Siemens introduit Ethernet dans les automates pro-
grammables SIMATIC S5 en 1985, les groupes de travail de norma-
lisation des protocoles industriels travaillaient sur le projet MAP
(Manufacturing Automation Protocol) au sein de l’ISO (Internatio-
nal Standard Organization). La définition de la pile des protocoles
Figure 4 – Round trip delay d’Ethernet du réseau MAP ayant pris plusieurs années, Siemens souhaitant
offrir une solution sur Ethernet pour ses clients a proposé dès 1985
la couche 4 du protocole MAP, en accès direct couche 4 ISO ou
La taille maximale d’un paquet est fixée à 1 518 caractères, afin avec une messagerie ouverte dite Read/Write S5 d’accès aux varia-
de ne pas pénaliser les temps d’accès et de limiter la taille des bles des automates SIMATIC S5 et l’a appelée SINEC H1 et renom-
mémoires tampons des émetteurs-récepteurs. mée plus tard Industrial Ethernet (figure 5). De nombreuses
applications d’automatismes industriels (près de 400 000 points de
connexion dans le monde) utilisent depuis 1985 ce protocole.
3. Protocoles Entre-temps, le réseau MAP ayant enfin été normalisé vers 1991,
celui-ci a été adopté par la plupart des fournisseurs d’automatis-
de communication mes industriels soit sur son support initial IEEE 802.4, soit sur sup-
port Ethernet IEEE 802.3. C’est sur ce dernier support qu’il y a eu
associés à Ethernet le plus d’applications du protocole MAP dans l’industrie bien que
devant la complexité de mise en œuvre de la messagerie MMS
(Manufacturing Message Specification) du réseau MAP, beaucoup
3.1 TCP/IP et sa suite d’utilisateurs aient préféré, et préfèrent encore, utiliser les messa-
geries propres à chaque constructeur.
dans le monde bureautique
Les applications qui utilisent ou ont utilisé ce protocole industriel
Assez rapidement, l’un des premiers protocoles de transport des sont en majorité des communications dites de cellule (interauto-
données utilisé dans le domaine informatique a été TCP/IP (Trans- mates programmables industriels par exemple) et non de terrain.
ＹＵ
ｓＸＱＶＲ
ETHERNET EN TANT QUE RÉSEAU DE TERRAIN : STANDARD PROFINET ___________________________________________________________________________
4. Support physique
d’Ethernet natif 10 Mbit/s
4.1 10Base5 : le support coaxial
et sa première variante industrielle
SINEC H1
10Base5 est le support physique natif d’Ethernet qui supporte une
vitesse de transmission de 10 Mbit/s sur le fameux câble coaxial
épais, ou thick, de 10 mm, aussi appelé yellow cable à cause de sa
couleur. L’identifiant « 10Base5 » est une contraction de la vitesse
de 10 Mbit/s, une transmission du type bande de base, et de la lon-
Figure 6 – Câble Ethernet SINEC H1 industriel
gueur maximale de segment de 500 m. La connexion des stations
sur le câble coaxial est réalisée au moyen d’un transceiver, ou MAU
Ｓ
(Medium Access Unit), monté sur le câble coaxial et un autre câble
appelé Drop Cable pour attacher la station au transceiver. Pour cela,
les stations disposent d’un connecteur Sub-D 15 points appelé AUI
(Attachement Unit Interface).
Nota : transceiver est une contraction de transmitter-receiver, émetteur-récepteur.
À la sortie d’Ethernet dans le monde industriel avec SINEC H1 de
Siemens, un effort particulier avait été fait sur la qualité industrielle
du support de transmission. Le yellow cable standard 10Base5
s’est vu adjoindre un blindage en aluminium massif sous une
gaine extérieure, ce qui lui a permit d’être totalement compatible
avec la norme 10Base5 et un fonctionnement en milieu industriel
à forte pollution électromagnétique. En effet, du fait de la
constitution du blindage extérieur et sa mise à la terre à chaque Figure 7 – Transceiver Ethernet SINEC H1 industriel
extrémité par des tresses de masse imposantes, le câble était
blindé aux hautes fréquences et donc parfaitement immune aux
parasites rayonnés (figure 6).
Des transceivers durcis étaient aussi proposés dans une version
en boîtier d’aluminium coulé qui assurait une séparation galvani-
que des stations par rapport au réseau, réseau qui se connectait de
façon sûre grâce à des connexions vissées (figure 7).
L’avantage de ce support de transmission est sa fiabilité de fonc-
tionnement lorsqu’il est correctement installé.
Les inconvénients résident dans la rigidité du câble mais aussi
dans le fait que le mode de transmission reste half-duplex (pas
d’émission et réception simultanées) et surtout qu’il ne supporte
pas les nouvelles vitesses de transmission supérieures à 10 Mbit/s.
4.2 10Base2 : câble coaxial fin

10Base2 supporte les vitesses de transmission de 10 Mbit/s sur
un câble coaxial fin, ou thin (5 mm). Il est aussi appelé Thin Figure 8 – Câble et connecteurs ITP Industrial Ethernet
Ethernet ou Cheapernet. Le support 10Base2 est en plusieurs
points semblable au 10Base5 : même signal, même encodage et
même mécanisme de détection de collision mais sur un câble 10BaseT utilise une paire de fils pour transmettre les données et
coaxial plus fin qui lui permet d’être plus flexible, moins lourd, une autre paire pour recevoir les données. Le câble se termine à
moins cher et plus facile à installer. La connexion des stations ne chaque extrémité par un connecteur RJ45 à 8 pôles (figure 8).
nécessite pas de transceiver mais un simple connecteur BNC en T
suffit. En revanche, le câble coaxial fin ne présente pas des carac- Toutes les connexions 10BaseT sont des liaisons point à point.
téristiques de transmission de très bonne qualité et est de ce fait Cela implique que le câble ne peut avoir qu’un maximum de deux
limité en distance à 185 m avec un nombre de stations de transceivers Ethernet, un à chaque extrémité. Une extrémité du
30 maximum par segment. C’est sans doute pour cela qu’il n’a câble est typiquement reliée à un hub 10BaseT, l’autre étant
jamais été utilisé en environnement industriel. directement reliée à la station au moyen de la carte réseau sur
laquelle est enfiché le connecteur RJ45 sans ajout d’autre
composant supplémentaire.
4.3 10BaseT : paire torsadée Dès 1996, Siemens a proposé le support de transmission
et première variante industrielle ITP 10BaseT en version industrielle, appelé ITP pour Industrial Twisted
Pair (c’est aussi à cette époque que le nom SINEC H1 a été aban-
10BaseT supporte les vitesses de transmission de 10 Mbit/s sur donné par Siemens au profit d’Industrial Ethernet). Encore une
deux paires de catégorie 3 ou plus. L’utilisation largement diffusée fois, la différence par rapport à la paire torsadée bureautique se
de la paire torsadée a fait de 10BaseT le support le plus populaire situe dans le blindage du câble via une tresse de blindage massive
d’Ethernet. et l’utilisation de connecteurs Sub-D 15 points et Sub-D 9 points au
ＹＶ
ｓＸＱＶＲ
___________________________________________________________________________ ETHERNET EN TANT QUE RÉSEAU DE TERRAIN : STANDARD PROFINET
lieu des connecteurs RJ45 réputés peu fiables mécaniquement 62,5/125 µm est fixée à 2 000 m. En choisissant des éléments
dans le monde industriel. émetteurs et récepteurs particulièrement puissants, des distances
Qu’il soit industriel ou bureautique, le standard 10BaseT a fait de 3 000 m peuvent être couvertes, voire 26 km avec des fibres
évoluer le câblage Ethernet vers une topologie en étoile, ce qui optiques monomodes 10/125 µm.
aurait pu être interprété comme un recul économique car le
câblage en étoile est plus coûteux qu’un câblage linéaire. Il n’en a Pour mettre en œuvre le mode full duplex, les hubs tradition-
rien été, bien au contraire, car, d’une part, c’est un câble facile à nels, qui ne sont que des répéteurs non intelligents, ne peuvent
installer (par rapport à n’importe quel câble coaxial), d’autre part, pas être utilisés. Ce mode ne peut être mis en œuvre qu’avec
c’est la technologie qui a permis des évolutions techniques des « composants » capables de stocker les paquets de don-
phénoménales comme le full duplex, la commutation et les débits nées, c’est-à-dire des switches (commutateurs). Ces switches
supérieurs (§ 5). sont issus de la technologie des ponts filtrants.
5. Technologie commutée 5.2 Notion de réseau commuté

switched Ethernet. Les ponts filtrants travaillent au niveau 2 (couche « liaison de
Fast Ethernet 100 Mbit/s
Ｓ
données ») du modèle OSI (Open Systems Interconnection) de
réseau (qui comporte sept couches) et servent à relier deux
réseaux. Ils traitent tous les paquets quelle que soit leur adresse de
Fast Ethernet en support cuivre n’a jamais été spécifié sur câble destination (promiscuous mode ). Leur existence est liée au besoin
coaxial et n’existe donc que sur paires torsadées blindées ; il est d’augmenter le nombre de stations, la taille du réseau et la bande
appelé 100BaseT. Pour cela, il est nécessaire d’utiliser des câbles passante globale du réseau.
de catégorie 5 qui supportent la transmission de signaux jusqu’à
100 MHz.
5.2.1 Principe de fonctionnement
Le pont ne transfère sur un segment que les paquets destinés
5.1 Liaisons full duplex aux nœuds situés sur ce segment. Le pont apprend l’appartenance
et désactivation des collisions de nœuds à un segment en constituant une table d’appartenance
des adresses sources aux segments.
En imposant une taille minimale de paquets de 64 octets (pour Il y a deux métriques pour caractériser un pont :
permettre la détection de collision en toutes circonstances), la
norme Ethernet est très pénalisante pour le trafic interactif, où les — capacité de filtrage, c’est-à-dire le nombre de paquets que le
informations ne dépassent pas une dizaine de caractères par pont peut examiner pour connaître leur appartenance au segment.
paquet. Si la station a moins de 64 octets à émettre, elle doit Compte tenu de la taille minimale du paquet et du silence entre
compléter les données par des zéros. deux paquets, il faut filtrer, pour un débit de 10 Mbit/s, au
minimum 14 880 paquets par seconde ;
Depuis la première version d’Ethernet, il y a eu des évolutions — capacité de transfert, c’est-à-dire le nombre de paquets par
importantes sur la vitesse de fonctionnement, portée à 100 Mbit/s seconde que le pont peut transférer d’un segment à l’autre.
(Fast Ethernet), voire 1 000 Mbit/s (Giga Ethernet).
La capacité de filtrage est le paramètre le plus important. Si elle
Fast Ethernet est désormais couramment utilisé. La taille du est trop faible, cela entraîne un débordement du buffer d’entrée
paquet (1 518 caractères), le format du paquet et le nombre (8 à 10 Ko). Les paquets destinés au même segment arriveront
maximum de stations (1 024) restent inchangés par rapport à la toujours, mais il y a un risque de perte de paquets destinés à
version à 10 Mbit/s. En revanche, les paramètres « temporels » l’autre segment (buffer plein).
retenus pour la première version de la norme sont évidemment
modifiés. Une vitesse de 100 Mbit/s correspond à un BT de 10 ns, La capacité de transfert est moins importante. En effet, un point
l’espace intertrame de 96 BT dure 0,96 µs et le slot time de 512 BT n’a d’intérêt que si la majorité du trafic est intrasegment. Sinon, le
dure 5,12 µs. Les paquets ne peuvent traverser que deux hubs pont fonctionne comme un répéteur très lent et très cher.
(répéteurs). Tous ces paramètres ont bien évidemment une Certains ponts sont programmables, ce qui permet de réaliser le
incidence sur le résultat du calcul de la longueur maximale du filtrage sur certains champs du paquet Ethernet. Grâce à leur
réseau : celle-ci est limitée à 200 m seulement, au lieu de 2 800 m capacité de filtrage, les ponts peuvent être utilisés pour segmenter
pour la version précédente. Autant dire que si on voulait conserver un réseau trop chargé ou remplacer un répéteur.
strictement les options de l’Ethernet d’origine, il ne serait plus
possible de faire grand-chose...
Pour résoudre ce problème, on fait appel au mode duplex
5.2.2 Commutateurs
intégral, ou full duplex, qui est un mode de fonctionnement dans L’Ethernet commuté offre une alternative intéressante. En effet, il
lequel les stations peuvent envoyer et recevoir simultanément des ne faut rien changer dans les configurations et les réglages des
données, contrairement au mode semi-duplex utilisé jusque-là. stations de travail et des serveurs (figure 9). Les adaptateurs (cartes
Pour être mis en œuvre, le mode duplex intégral nécessite d’uti- Ethernet) et le câblage restent inchangés. La largeur de la bande
liser des supports de transmission ayant des canaux d’émission et passante est simplement obtenue en remplaçant les hubs
de réception séparés, par exemple les fibres optiques ou la paire classiques par des switches (ou switching hubs ).
torsadée. Dans ce cas, un nœud n’envoie pas son paquet directement sur
En duplex intégral, la détection de collision est automatiquement le réseau mais il passe par le switch (commutateur). Celui-ci trans-
désactivée au niveau des stations. Ainsi, il n’est pas nécessaire de met alors ce paquet vers l’adresse adéquate. Les autres nœuds
régénérer le signal comme c’est le cas pour l’Ethernet 10 Mbit/s. La n’aperçoivent donc pas ce paquet et ne savent pas que le réseau
distance de transmission est alors considérablement allongée : en est occupé. Ils peuvent donc émettre leurs propres paquets. En
duplex intégral, elle peut atteindre les limites de puissance des plus, toute collision entre différents paquets est rendue impossible.
composants émetteurs et récepteurs utilisés. Pour le standard De ce fait, le principe du CSMA/CD (qui est le principe fondateur
100base FX, la longueur avec des câbles à fibres optiques de d’Ethernet) n’a plus d’utilité.
ＹＷ
Ｓ
ＹＸ
ｓＸＵＹＰ
Communication
avec les périphériques
par Jacques TICHON

Docteur,
Professeur à la Haute École Paul-Henri-Spaak
Institut supérieur industriel de Bruxelles (ISIB)
Christian COUWENBERGH
Ingénieur civil,
Chargé de cours à la Haute École Paul-Henri-Spaak
Ｓ
Rudi GIOT
Ingénieur civil
Chargé de cours à la Haute École Paul-Henri-Spaak
et Salvador GARCIA ACEVEDO
Ingénieur industriel
Maître assistant à la Haute École Paul-Henri Spaak
1. Transmission de données ...................................................................... S 8 590 – 2

2. Port parallèle............................................................................................. — 3
3. Bus série ..................................................................................................... — 11
4. Bus USB ...................................................................................................... — 17
5. Bus GPIB ..................................................................................................... — 24
Glossaire.............................................................................................................. 31
Pour savoir plus ................................................................................................ Doc.S 8 590
our pouvoir transmettre ou recevoir des données de/vers ses périphériques,

P un ordinateur utilise soit une liaison série soit une liaison parallèle appelées
« bus ». Depuis l’avènement des ordinateurs personnels (PC), de nombreux
types de bus sont apparus dont la structure dépend du microprocesseur utilisé,
de l’usage désiré mais aussi et surtout du fabricant.
La communication entre une machine et ses périphériques est un sujet aussi
vaste que complexe. Les standards sont nombreux et au vu de leurs possibilités,
ils ne peuvent être traités en quelques pages. Nous allons donc aborder dans cet
article les normes les plus importantes par leur popularité dans le monde informa-
tique. Nous nous intéresserons particulièrement aux bus et aux liaisons avec les
appareils situés à la périphérie de l’ordinateur : souris, imprimantes, scanners,
appareils de mesure… Nous ne nous intéresserons donc pas aux bus internes tels
que PCI (Peripheral Component Interconnect), ISA (Industry Standard Architec-
ture), AGP (Accelerated Graphic Port), etc. Nous ne décrirons pas non plus les
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＰＱ
connexions possibles « via » des réseaux informatiques ou industriels qui font

déjà l’objet d’articles dans les Techniques de l’Ingénieur (voir Connexion d’un pro-
cessus industriel à un calculateur [R 7 570] et Réseaux locaux industriels. Typolo-
ＹＹ
ｓＸＵＹＰ
COMMUNICATION AVEC LES PÉRIPHÉRIQUES _______________________________________________________________________________________________
gie et caractéristiques [R 7 574] dans le traité Informatique industrielle). Nous

nous concentrerons donc sur la présentation générale des bases théoriques des
bus et la description de quelques normes incontournables : la liaison parallèle
(§ 2), la liaison série (§ 3), l’Universal Serial Bus (USB) (§ 4) et le GPIB-SCPI (§ 5).
1. Transmission de données 1.4 Station de transmission
Dans tout système informatique, l’unité d'information est repré-

1.1 Concept de transmission de donnée sentée par un octet. Lors de chaque traitement dans ce système
informatique, tous les bits sont soit déplacés simultanément d'un
endroit mémoire à un autre, soit traités l’un à la suite de l’autre.
La transmission de données est une technique qui transfère des Nous différencions deux systèmes de transmission :
informations codées d'un émetteur à un récepteur grâce à un sup- — la transmission parallèle ;
Ｓ port de transmission physique. Un terminal composé d'un clavier et

d'un écran constitue un système de transmission de données
simple : les informations entrées par le clavier sont transférées par
— la transmission sérielle.
un câble afin d'être rendues visibles à l'écran. 1.4.1 Transmission parallèle

Un système de transmission de données a pour unique objectif la
transmission d'informations, ce qui ne signifie nullement que les Si un octet doit être transmis, tous les bits du même octet sont
informations ne subissent pas un traitement ou une vérification à un émis simultanément. Cela signifie qu'à chaque bit correspond une
moment donné. liaison conductrice séparée, c'est-à-dire un fil conducteur. Pour la
transmission d'un octet, huit liaisons parallèles doivent être présen-
tes entre l'émetteur et le récepteur. Dans ce cas, on parle d'une
1.2 Types d’information transmission parallèle.
C'est une transmission rapide mais sensible à l'environnement
électrique. De plus, son coût et le nombre de fils la rend inapte pour
Les informations peuvent être réparties en informations conti- les longues distances.
nues et discrètes : les informations continues comprennent un nom-
bre infini d'unités d'information, alors que les informations
discrètes en comportent un nombre fini.
1.4.2 Transmission sérielle
Les informations binaires sont des informations discrètes qui se
composent seulement de deux valeurs binaires, à savoir 0 et 1.
Une transmission sérielle est l’envoi des bits l’un après l’autre,
Une unité d'information est un objet abstrait ne pouvant être sur le même support physique, à l’inverse de la transmission de
transmis en tant que tel. C'est pourquoi toutes les unités d'informa- données en parallèle où l’envoi des bits est simultané. A l’autre
tion doivent être transposées en signaux physiques pouvant être extrémité, côté réception, la démarche est inverse, les bits sont ré-
transmis sur un support de transmission physique. assemblés pour reconstituer la donnée d’origine ce qui nécessite un
Les unités d'informations continues et discrètes peuvent être montage décodeur (UART : Universal Asynchronous Receiver
transposées respectivement en signaux analogiques et en signaux Transmitter) pour retransformer les données sérielles.
numériques. C'est une transmission plus lente mais moins sensible à l'environ-
Comme ces signaux correspondent à des courants ou des ten- nement que la transmission parallèle. Elle permet un grand nombre
sions électriques, on parle de signaux électriques. La transposition d'applications avec une faible contrainte d'encombrement ; la trans-
des informations en signaux électriques s'appelle le codage des mission peut s'effectuer avec trois fils, elle est donc plus économi-
signaux et est effectuée par le biais d'une interface électrique. que pour de longues distances.
Plus difficile à mettre en œuvre que la transmission parallèle, la
Exemple : les valeurs binaires 0 et 1 peuvent être transposées res- transmission en série se révèle cependant plus puissante et plus
pectivement en une tension électrique de +12V et de –12V. Cette opé- universelle.
ration a lieu dans l’interface électrique RS232.
1.5 Notions de bus

1.3 Codage des données
Un bus est un élément primordial dans une machine. Il est le cen-
Les données transmises se composent de chiffres, de lettres et de tre des échanges de données, de commandes entre les différents
caractères spéciaux, au total 128 caractères alphanumériques. Cha- organes constituant une machine. Il influe donc d’une manière
que caractère est représenté par un octet. La transposition d'un carac- directe sur les performances d’un système. En plus d’avoir une
tère en un mot binaire s'effectue à l'aide d'un système de codage architecture et une connectique particulière, il est nécessaire d’y
numérique. Le codage ASCII (American Standard Code for Informa- associer un protocole d’échange. Sur un bus on verra donc circuler
tion Interchange) est le code standard américain pour les échanges des signaux de contrôle, nécessaires pour l’arbitrage du bus et des
d'informations, il se compose de sept bits. Il en existe d'autres. signaux de transfert qui incluent les données mais également les
signaux de protocole d’échange.
Exemple : la représentation du caractère A en ASCII est
01000001. Chaque valeur binaire peut être transposée en une ten- ■ Il y a essentiellement deux modes possibles pour les signaux de
sion de +12 V et de -12V à l'aide de l'interface RS232. transfert : le mode synchrone et le mode asynchrone.
ＱＰＰ
ｓＸＵＹＰ
_______________________________________________________________________________________________ COMMUNICATION AVEC LES PÉRIPHÉRIQUES
Dans le mode synchrone la transmission se produit à des instants ■ Type ECP : Extended Capabilities Port
et pendant des durées fixes, définis à l’avance. Ces instants et Ce type de port bidirectionnel peut transférer des données aux
durées peuvent être ajustés en fonction des éléments et de leur vitesses du bus ISA.
vitesse ; on parle alors d’allocation statique. Si par contre la durée
des cycles est adaptée en fonction des éléments et de la disponibi- Les ports ECP comportent des tampons et permettent des trans-
lité du bus, on parle alors d’une allocation dynamique. ferts de DMA (Direct Memory Access) vers des locations FIFO (First
In First Out) et la compression de données.
Le mode asynchrone permet de rythmer les échanges en fonction
des éléments qui communiquent. Il y a donc une phase de demande Le type de port ECP est très utile pour les imprimantes, les scan-
de transfert émise par le maître vers l’esclave. ners et autres périphériques transmettant des blocs de données de
grande taille. Il améliore le port parallèle dans l'optique de techni-
Ces différents types de modes et d’allocations seront évoqués ques d’auto-configuration (plug and play) et de l'environnement
avec plus de détails dans les cas particuliers des différents bus étu- Windows.
diés.
2.3 Signaux
2. Port parallèle
2.1 Définition
Le port parallèle aboutit en général à un connecteur à 25 contacts
(voir la connectique (§ 2.6)). Ces signaux sont divisés en trois
registres :
Ｓ
Conçu à l'origine comme simple interface pour une imprimante, — registre ou port de données (data sur 8 bits) ;
le port parallèle a évolué vers un moyen de connecter divers péri- — registre ou port d'état (status port sur 5 bits) ;
phériques à l'ordinateur. Il permet des liaisons d'entrée, de sortie ou — et registre ou port de contrôle (control sur 4 bits).
bidirectionnelles. Pour des applications particulières, il existe La plupart des signaux ont reçu un nom et une fonction basés sur
de nombreux dispositifs de collecte de données, de tests ou de une convention établie par le fabricant d'imprimante Centronics
contrôle. Le port parallèle est l'interface de choix pour de nombreux Data Computer Corporation, dont l'interface est encore utilisée. Le
projets de taille réduite qui nécessitent des communications entre tableau 1 reprend les différents registres avec les contacts corres-
l'ordinateur et un dispositif externe. pondant de deux types de connecteurs.
Un port parallèle transfère plusieurs bits à la fois, tandis que le
port série en transfère un seul (même s'il permet un transfert dans ■ Registre de données
les deux sens à la fois). Le port ou registre de données (D0 à D7) conserve l’octet à écrire
Plusieurs fabricants ont introduit des améliorations du port paral- sur les sorties de données. Dans les ports bidirectionnels, lorsque le
lèle en ajoutant de nouvelles possibilités et en augmentant la port est configuré comme entrée, le registre de données conserve
vitesse de transmission de l'information. l'octet à lire sur les contacts de données du connecteur.
Nota : centronics et la norme IEEE1284 prennent comme référence des lignes de don-
Le port parallèle demeure populaire en raison de sa capacité, de nées D1 à D8; dans ce texte nous choisissons D0 à D7 pour correspondre aux bits du regis-
sa flexibilité et de sa présence dans chaque ordinateur. tre.
■ Registre d’état
2.2 Évolution des ports parallèles Le registre ou port d'état maintient les états logiques de cinq
entrées ( S3 à S7 ). Les bits S0 à S2 n'apparaissent pas au connec-
■ Type SPP : Standard Parallel Port teur. Le registre d'état fonctionne en lecture seule, sauf pour le
signal S0 qui est un repère de fin de séquence (timeout flag) pour les
Type de port d'origine, le port SPP était basé sur une interface
ports acceptant des transferts en mode EPP et qui peut être annulé
Centronics pour imprimante.
par logiciel.
Il peut transmettre 8 bits à la fois vers un périphérique, en utilisant
un protocole semblable à celui de Centronics. Les signaux du registre d'état ont les fonctions suivantes :
— S0 : Timeout. En mode EPP, ce bit à « 1 » indique la fin d’une
Le port SPP n'a pas de port d'entrée de la largeur d'un octet, mais
séquence d'un transfert de données ; sinon il est inutilisé. Ce bit
pour des transferts PC-périphérique, il travaille en mode nibble qui
n'apparaît pas au connecteur ;
transmet à chaque octet 4 bits à la fois (cf. 2.4.3).
— S1 : inutilisé ;
■ Type PS/2 bidirectionnel — S2 : inutilisé, sauf pour quelques ports où il indique l'état
Une des premières améliorations a été le port de données bidirec- d'interruption du port parallèle (PIRQ), « 0 » = l'interruption a eu
tionnel, introduit par IBM dans les PS/2. Il permet au périphérique de lieu, « 1 » = pas d'interruption ;
transmettre 8 bits à la fois vers un PC. L'interface parallèle standard — S3 : nError ou nFault. Niveau « 0 » lorsque le périphérique
comprend des pilotes bidirectionnels en plus des 8 lignes de don- (imprimante) détecte une erreur ;
nées. — S4 : Select. Niveau « 1 » lorsque l'imprimante est allumée ;
— S5 : PaperEnd, PaperEmpty ou PError. Niveau « 1 » lorsqu'il
■ Type EPP : Enhanced Parallel Port n'y a plus de papier dans l'imprimante ;
Le port EPP a été développé dans le but d'augmenter la vitesse de — S6 : nAck ou nAcknowledge. Niveau « 0 » lorsque l'imprimante
transfert de données (à la vitesse du bus ISA) de manière bidirec- reçoit un octet. Lorsque des interruptions sont autorisées, une tran-
tionnelle, qui soit compatible avec l'architecture des registres du sition (en général un flanc montant) à ce contact active une
port parallèle standard. La spécification EPP assigne les fonctions interruption ;
des signaux de bus d'un microprocesseur traditionnel aux lignes du — S7 : Busy. Niveau « 0 » lorsque l'imprimante n'est pas prête à
port parallèle standard pour accéder directement à l'adaptateur accepter de nouvelles données. Ce signal est inversé au connecteur.
hardware. EPP peut commuter rapidement les directions, ce qui le
rend très efficace lorsqu'il est utilisé avec des lecteurs de disque ou ■ Registre de contrôle
de bande ou d'autres périphériques qui transfèrent des données Le registre de contrôle garde l'état de quatre bits ( C0 à C3 ).
dans les deux sens. Habituellement ces bits sont utilisés comme sorties.
ＱＰＱ
ｓＸＵＹＰ
(0)
Tableau 1 – Registres et contacts correspondants

Contact
Bit Nom signal Source Inversé au connecteur Contact Centronics
D-sub (1)
Registre de données (2) (adresse de base)
D0 2 bit données 0 PC non 2
Ｓ
Registre d’état (3) (adresse de base + 1)
S3 15 nError (nFault) Périphérique non 32
S4 13 Select Périphérique non 13
S5 12 PaperEnd Périphérique non 12
S6 10 nAck Périphérique non 10
S7 11 Busy Périphérique oui 11
Registres de contrôle (4) (adresse de base + 2)
C0 1 nStrobe PC (5) oui 1
C1 14 nAutoLF PC (5) oui 14
C2 16 nInit PC (5) non 31
C3 17 nSelectIn PC (5) oui 36
(1) Connecteurs D-sub à 25 contacts
(2) Certains ports de données sont bidirectionnels
(3) Les bits supplémentaires ne sont pas disponibles sur le connecteur
0 : peut indiquer un timeout
1, 2 : inutilisés
(4) Les bits additionnels ne sont pas disponibles sur le connecteur
4 : Interrupt Enable : à« 1 » les IRQ passe de nAck vers le contrôleur d’interruption du système, à « 0 » les IRQ ne passe pas vers le contrôleur d’interruption
5 : contrôle de direction pour les ports de données bidirectionnels : à « 0 » les sorties sont permises, à « 1 » les sorties ne sont pas permises ; le port de don-
nées peut lire des tensions externes de niveau logique
6, 7 : inutilisés.
(5) Lorsque le signal est « 1 », le PC peut lire une entrée extérieure (en SPP)
Cependant sur la plupart des ports SPP ils peuvent également fonc- 2.4 Modes de communication
tionner en entrées. Les signaux de contrôle sont les suivants :
— C0 : nStrobe. Le flanc montant de ce signal à « 0 » indique à
l'imprimante de lire D0 à D7. Il est inversé au connecteur. Après 2.4.1 Norme IEEE1284
démarrage de l'ordinateur, le signal est normalement à « 1 » au
connecteur ;
— C1 : AutoLF ou Automatic line feed. À « 0 », ce signal dit à 2.4.1.1 Contenu de la norme
l'imprimante de générer automatiquement une ligne d'alimentation
La norme IEEE1284-1994, « Standard Signaling Method for a Bi-
après chaque retour de chariot. Il est inversé au connecteur. Au
directional Parallel Peripheral Interface for Personal Computers »
démarrage, il est normalement à « 1 » au connecteur ;
définit et décrit les conventions et protocoles des communications
— C2 : nInit ou nInitialize. Il est à « 0 » pour un reset de l'impri-
par le port parallèle.
mante et pour vider le tampon de celle-ci. La largeur minimale de
l'impulsion « 0 » est de 50 microsecondes. Après démarrage, il est Le document décrit les modes de transferts Compatibility (§ 2.4.2)
normalement à « 1 » au connecteur ; (compatible), Nibble (§ 2.4.3), Byte (§ 2.4.4), EPP (§ 2.4.5) et ECP
— C3 : nSelectIn. Il est à « 1 » pour dire à l'imprimante d'autoriser (§ 2.4.6). Il définit les signaux et leurs utilisations dans les différents
les entrées de données. Il est inversé au connecteur. Au démarrage, modes, y compris les spécifications de temps. Il décrit enfin les
il est normalement à « 0 » au connecteur. connecteurs et câbles.
Les autres signaux n'apparaissent pas au connecteur : La norme IEEE1284 ne renseigne pas sur la méthode de program-
— C4 : Enable interrupt requests. À « 1 » pour permettre aux mation et d'accès au port parallèle. Elle ne mentionne pas non plus
requêtes d’interruption (Interrupt Request – IRQ) de passer de S6 les registres du port parallèle du PC ni comment les utiliser pour
(nAck) aux circuits de contrôle d'interruption du PC ; configurer, écrire et lire sur le port.
— C5 : Direction control. Il sert dans les ports bidirectionnels :
à « 0 », les sorties de données sont permises, à « 1 » les sorties de 2.4.1.2 Définitions
données ne le sont pas ;
— C6 : inutilisé ; Le document IEEE1284 décrit les méthodes de communications
— C7 : inutilisé sauf pour quelques ports où il joue le rôle de C5. entre un hôte (un PC) et un dispositif périphérique.
ＱＰＲ
ｓＸＵＹＰ
■ Communication asynchrone entre octets de données et octets de contrôle. Un octet de contrôle

peut contenir une adresse ou une information de compression de
Les transferts de données par le port parallèle sont généralement
données. Un tampon FIFO (First In/First Out) stocke les octets reçus
asynchrones, les périphériques ne partageant pas une horloge com-
et les octets à envoyer.
mune et la chronologie des événements étant définie par le rapport
d'un événement à un autre. Pour pouvoir utiliser les modes byte, EPP et ECP, hôte et périphé-
rique doivent contenir les circuits et les logiciels ad hoc.
Exemple : lorsque le PC envoie le signal nStrobe bas (« 0 ») Nota : le terme « forward channel » (canal direct) se réfère aux transmissions hôte-péri-
phérique et « reverse channel » (canal inverse) aux transmissions périphérique-hôte.
(cf. § 2.3), le périphérique répond par le signal Busy haut (« 1 »). Le
délai entre le passage de Busy à 1 peut varier de 0 à 10 µs et la largeur Le tableau 2 résume les registres utilisés par les divers modes de
de l'impulsion nStrobe peut être comprise entre 0,75 et 500 µs. Le transfert.
périphérique est responsable de la détection de nStrobe, il lit les don- La norme IEEE1284 assigne des nouveaux noms aux bits du port
nées et répond ensuite par Busy plutôt que de dépendre d'un signal parallèle en fonction de leurs nouvelles fonctions dans les divers
d'horloge qui lui indique le moment d'effectuer ces actions. Le périphé- modes (tableau 3).
rique peut ramener le signal Busy à 0 lorsqu'il est prêt à recevoir un
La norme décrit également une négociation logicielle qui permet
nouvel octet.
à un PC et à un périphérique de décider du protocole de transfert
des données. En modes byte, EPP ou ECP, tant l'hôte (PC) que le
■ Communication verrouillée
Ｓ
périphérique doivent disposer d'un logiciel et de circuits adaptés.
Chaque signal de contrôle est reconnu par un signal de contrôle — Côté PC, le logiciel d'application ou le système d'exploitation
en réponse. Ceci assure que l'émetteur n'envoie des données que doit fournir un programme de pilotage pour les transferts en modes
lorsque le récepteur est prêt et que les dispositifs récepteurs recon- nibble, byte, EPP ou ECP.
naissent avoir reçu toutes les données. — Un périphérique muni d'un port EPP ou ECP contient son pro-
pre microprocesseur ou microcontrôleur pour gérer les communica-
■ Communication bidirectionnelle tions par le port parallèle. Le programme de contrôle côté
Les données peuvent circuler dans les deux sens (PC vers péri- périphérique est en général lié au fabricant : le code se trouve dans
phérique, et vice versa). une mémoire morte (ROM), une mémoire morte reprogrammée
(EPROM) ou autre mémoire non volatile.
■ Hôte Avec autant de modes de transmission possibles, lorsque hôte et
Il s'agit habituellement de l'ordinateur personnel (PC), mais cela périphérique veulent communiquer, ils ont besoin d'un moyen pour
peut être tout dispositif qui contrôle l'interface. décider quel mode choisir. La norme IEEE 1284 prévoit une phase de
négociation pour choisir le meilleur mode (l'utilisateur ne doit pas
■ Périphérique se soucier de cela en configurant le logiciel pour un mode particu-
Les dispositifs périphériques peuvent être une imprimante, un lier). Par cette négociation, l'hôte peut trouver selon quels modes un
scanner, un convertisseur analogique numérique ou numérique périphérique peut transmettre des informations.
analogique, un microcontrôleur, un autre PC ou tout dispositif qui (0)
peut se connecter au port parallèle.
2.4.1.3 Divers modes de communication Tableau 2 – Registres utilisés par les modes de transfert
par le port parallèle
Adresse Type de port Fonction
La norme IEEE-1284 renseigne cinq modes de transmission de adresse base SPP, PS/2, EPP, ECP Port de données
données. modes 000 et 001
■ Mode compatibility (compatible) ECP MODE 011 ECP FIFO (adresse)

Mode par défaut de tous les PC, il s'agit d'un mode semblable au adresse base + 1 tous Port d’état
protocole de transfert de données mis en œuvre par le BIOS (Basic
adresse base + 2 tous Port de contrôle
Input/Output System) ; l'hôte envoie un octet à la fois vers le péri-
phérique, les signaux Busy et nAck faisant office de poignée de pro- adresse base + 3 EPP Adresse EPP
tocole d’accord (« poignée de main » ou shake hand). adresse base + 4 EPP Données EPP
■ Mode nibble (partition d’octet) adresse base + 5 EPP (fonction variée)
C'est un mode qui permet à tous les ports d'envoyer des données adresse base + 6 EPP (fonction variée)
en sens inverse, périphérique-hôte : chaque octet arrive par 4 bits à
la fois (nibble ou partition) à 4 des entrées du port d'état; l’accord est adresse base + 7 EPP (fonction variée)
assuré par le bit d'état restant et un bit de données. adresse base + 400 h ECP mode 010 FIFO port parallèle
(données)
■ Mode byte (octet)
ECP mode 011 FIFO ECP (données)
Il s'agit également d'un transfert inverse périphérique-PC, lorsque
les lignes sont bidirectionnelles. ECP mode 110 Test FIFO
ECP mode 111 Configuration
■ Mode EPP registre A (1)
Ce mode permet des transferts rapides d'octets dans les deux
adresse base + 401 h ECP mode 111 Configuration
directions. Les signaux de protocole d’accord font la distinction registre B (1)
entre transfert de données et d'adresse.
adresse base + 402 h ECP tous modes ECR (registre contrôle
■ Mode ECP étendu)
Ce mode permet également des transferts rapides dans les deux (1) registre A pour le connecteur D-sub ou 1284-A
directions. Les signaux de protocole d’accord font la distinction registre B pour le connecteur Centronics ou 1284-B
ＱＰＳ
ｓＸＵＹＰ
(0)
Tableau 3 – Bits du port parallèle et fonction selon le mode de transfert

(d’après la norme IEE1284)
Bit Fonction selon le mode de transfert
Compatible Nibble Byte EPP ECP
(§ 2.4.2) (§ 2.4.3) et tableau 4 (§ 2.4.4) (§ 2.4.5) (§ 2.4.6)
D0 bit données 0 non utilisé bit données 0 adresse/bit bit données 0
données 0
données 1
données 2
Ｓ
données 3
données 4
données 5
données 6
données 7
S3 nError nDataAvail, nDataAvail bit utilisateur 2 nPeriphReq
bits données 0, 4
S4 Select XFlag, XFlag XFlag/bit utilisateur 3 XFlag
bits données 1, 5
S5 PaperEnd AckDataReq, AckDataReq bit utilisateur 1 nAckReverse
bits données 2, 6
S6 nAck PtrClk PtrClk Intr PeriphClk
S7 Busy PtrBusy, PtrBusy nWait PeriphAck
bits données 3, 7
C0 nStrobe HostClk HostClk nWrite HostClk
C1 nAutoLF HostBusy HostBusy nDStrobe HostAck
C2 nInit nInit nInit nInit nReverseReq
C3 nSlectln 1284Active (option) 1284Active 1284Active nAStrobe 1284Active
Préfixes utilisés :
n périphérique
Ptr printer – imprimante
Host hôte
1284 connecteur
2.4.2 Mode compatible — lorsque le périphérique lit un octet il envoie une impulsion
« nAck » pour avertir le PC que l'octet a été reçu.
Mode semblable au protocole de transfert du BIOS, c'est le mode
par défaut. Le protocole d’accord ou poignée de main n'est pas obligatoire
dans les opérations du port parallèle. Les signaux d’accord sont
Le PC hôte envoie des données au périphérique. L'hôte écrit des
nécessaires lorsqu'il y a un risque que le dispositif récepteur ne soit
octets sur le port de données et les bits des ports d'état et de
contrôle ont un rôle de protocole d’accord (handshake) qui est com- pas prêt, lorsque le dispositif émetteur a des données à envoyer, ou
patible avec celle de la routine du BIOS du PC pour les transferts par bien si le PC veut que le dispositif récepteur accuse réception de
chaque octet.
port parallèle.
Trois des signaux du port parallèle sont prévus comme signaux De nombreux fabricants de PC et d'imprimantes ont introduit des
de poignée de main pour contrôler le débit de données. Le protocole variantes dans la conception du port parallèle et des fonctions BIOS
d’accord remplit plusieurs fonctions : des PC. Actuellement la norme IEEE 1284 sert de base à la concep-
— la sortie « Busy » du périphérique signale au PC lorsqu'il est tion, les variations se situent plus spécifiquement dans les temps
prêt à recevoir des données ; des signaux Busy et nStrobe, dans la définition, les temps et l'usage
— la sortie « nStrobe » du PC avertit le périphérique qu'un octet du signal nAck et dans l'activation ou le verrouillage des signaux
est prêt à être lu sur les lignes de données ; d'interruptions (interrupts).
ＱＰＴ
ｓＸＵＹＰ
2.4.3 Mode nibble (partition) Tout comme dans le mode compatible, ce mode utilise un proto-
cole d’accord comprenant un signal Busy (C1 : HostBusy) pour
signaler à l'émetteur qu'il peut envoyer l'octet, et un signal Strobe
Ce mode était en usage bien avant la norme IEEE 1284. Il permet (S6 : PtrClk) pour signaler au récepteur qu'une donnée est dispo-
à une interface de port parallèle de recevoir des octets de données nible.
d'un périphérique. Le périphérique utilise quatre sorties d'état pour
envoyer un octet en deux parties. Chaque octet de données arrive En mode Byte, après avoir confirmé un signal de contrôle, le péri-
du périphérique vers 4 entrées d'état du port hôte (PC) par 4 bits à la phérique confirmant attend une reconnaissance d'un autre compo-
fois (morcellement) (tableau 4). Le bit d'état restant et un bit de don- sant avant d'infirmer le signal.
née font office de poignée de main. Le mode nibble est exécuté en
deux phases :
— la phase de transfert de données comprend l'écriture d'un 2.4.5 Mode EPP
octet du périphérique vers l'hôte ;
— la phase inactive définit les états du signal lorsqu'il n'y a pas
transfert.
Le mode EPP permet des transferts à haute vitesse dans les deux
Dans la plupart des applications, après avoir reçu les deux parties sens. Comme il peut commuter rapidement le sens de transfert, le
de l'octet, l'hôte les recombine en un octet. port EPP est utile pour des dispositifs qui échangent des petits blocs
Ｓ
Dans le mode nibble compatible, le périphérique doit prévoir un de données avec de fréquents changements de direction, tels que
protocole d’accord (poignée de main) pour compléter les signaux lecteurs de disques externes ou interfaces de réseaux.
du PC. Le moindre périphérique contient un microcontrôleur qui
contrôle l'interface, lit et écrit les signaux de poignée de main aux Un port EPP fait la distinction entre deux types d'informations,
instants voulus. Dans certains microcontrôleurs, les pilotes de port habituellement définis comme données et adresses. Le mode EPP
sont suffisamment puissants pour être connectés directement au permet quatre opérations : écriture d'adresse, écriture de données,
câble sans pilote extérieur. Dans les autres cas, il faut ajouter des lecture d'adresses, lecture de données, chacune ayant un protocole
tampons et des pilotes entre le câble et le microcontrôleur. Une d’accord différent.
autre possibilité est d'utiliser un circuit contrôleur dédicacé au port Les transferts EPP diffèrent des modes compatibilité, nibble et
parallèle (exemple: 82C55 Programmable Peripheral Interface chip). byte par le fait que les circuits du port génèrent automatiquement
des signaux de contrôle et détectent les réponses venant de l'autre
extrémité. Il n'est donc pas nécessaire d'instructions par un logiciel
2.4.4 Mode byte pour charger l’état du signal de sortie Strobe ou pour lire une entrée
occupée.
Il s'agit d'un mode de transfert dans la direction inverse (périphé- Les opérations de donnée et d’adresse en mode EPP utilisent dif-
rique vers hôte) dans le cas de lignes de données bidirectionnelles. férents signaux de contrôle pour verrouiller les octets dans le dispo-
Pour un transfert plus rapide, les ports PS/2, ECP et quelques EPP sitif de réception. Écritures et lectures d’adresse utilisent nAStrobe
peuvent utiliser ce mode pour des transferts en 8 bits du périphé- (C3), lectures et écritures de données utilisent nDStrobe (C1) : ceci
rique vers le PC, contrôlés par logiciel; le périphérique écrit un octet est un moyen simple pour que le récepteur fasse la distinction entre
à la fois vers le port de données, plutôt que de morceler chaque les deux types d'information.
octet en deux partitions et de les écrire en séquence sur la port
d'état. Il faut que l'hôte (le PC) possède un port bidirectionnel et que Un port EPP utilise 8 registres (tableau 5), cinq de plus que le port
le périphérique soit capable d'écrire un octet vers les lignes de don- original SPP. Les trois premiers sont identiques à SPP : données,
nées. état, contrôle (§ 2.2). (0)
Tableau 4 – Signaux en mode nibble

Fonction (inverse
Bit Nom du signal Source Fonction (inverse idle)(1)
transfert données)
S3 nDataAvail Périphérique Bas s’il y a un octet à Bas s’il y a un octet à
envoyer, puis bit don- envoyer
nées D0, puis D4
S4 Xflag Périphérique Bit données D1, puis D5
S5 AckDataReq Périphérique Bit données D2, puis D6 Haut jusqu’à ce que l’hôte
demande un transfert de
données, puit suit S5
S6 PtrClk Périphérique Haut si la réponse à C1 Bas pour signaler à l’hôte
passe haut qu’un octet est prêt à être
lu
S7 PtrBusy Périphérique Bit données 3 puis 7,
puis état occupé péri-
phérique
C1 HostBusy Hôte Haut si l’hôte reçoit Haut en réponse au pas-
octet, bas si l’hôte est sage haut de S6
prêt à en recevoir un
autre
(1) Idle : fonction de programmation correspondant au temps d’inoccupation entre deux événements
ＱＰＵ
Ｓ
ＱＰＶ
ｉｎＱＴＷ
INNOVATION
Virtualisation des réseaux locaux

Switch, hyperviseur et pare-feu
Ｓ
par Fabrice BRUEL
Architecte sécurité
Orange Business Service
Résumé : Le besoin d’hébergement des applications et de données ne cessent de

croître. Mais cette augmentation fait apparaître deux contraintes a priori opposées : il
faut à la fois rationnaliser les machines pour maintenir les coûts de fonctionnement et
environnementaux, mais il faut aussi parfaitement isoler les applications et les données
entre elles. Ce défi est l’élément de base de la virtualisation : réutiliser au maximum les
ressources, tout en donnant à chacun le sentiment d’avoir un environnement dédié. C’est
ce défi que cet article se propose d’aborder en focalisant sur le réseau local. Cet article
décrit comment, en partant d’un réseau conçu à une époque où de tels besoins n’exis-
taient pas, des mécanismes de cloisonnement ont pu être mis en place. Il aborde aussi le
cloisonnement logique Ethernet (VLAN) au sein d’un pare-feu (instance virtuelle de
pare-feu par réseau logique dans FreeBSD), mais aussi au sein d’hyperviseur (cloisonne-
ment de bout en bout et sa mise en œuvre dans VMware). Enfin et sachant que la
concentration des besoins d’hébergement devient très importante, cet article détaille
également l’évolution des équipements de réseaux locaux pour aller vers un agrégat
d’équipements, cet agrégat d’équipements devant être vu comme un équipement unique.
Abstract : The need for hosting application and data continues to grow. But this increase
brings up two opposing constraints : on the one hand we must streamline the machines to
keep operating costs and environmental and on the other hand we must fully isolate applica-
tions and data with each other. This challenge is the basic element of virtualization :
maximum reuse of resources, while giving everyone the feeling of having a dedicated envi-
ronment. This is the challenge that this article seeks to address, by focusing on the local
network. This article explains how, starting from a network designed at a time when these
needs did not exist, partitioning mechanisms have been put in place. It addresses the
Ethernet partitioning (VLAN), its implementation at a firewall level, with an example of virtual
firewall instance per logical network in FreeBSD, but also the partitioning within an hypervisor
covering its implementation in VMware. Finally and as the needs of hosting applications have
increased, this article also describes the evolution in order to define an aggregate of equip-
ments, this aggregate of equipments will be viewed as a single equipment.
Mots-clés : Virtualisation, VLAN, FreeBSD, hyperviseur, Ethernet
Keywords : Virtualization, VLAN, FreeBSD, hypervisor, Ethernet
Points clés
Domaine : Réseau Ethernet
Degré de diffusion de la technologie : Émergence | Croissance | Maturité
Technologies impliquées : switch, pare-feu, Ethernet, 802.1q, hyperviseur
Domaines d’application : hébergement de serveurs, virtualisation, réseaux locaux
Principaux acteurs français : Industriels : Alcatel-Lucent, Orange
Autres acteurs dans le monde : Juniper, Cisco, VMware, FreeBSD Foundation
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｭ｡ｩ＠ＲＰＱＲ
Contact : j.bruel@wanadoo.fr
5- 2012 © Editions T.I. IN 147 - 1
ＱＰＷ
ｉｎＱＴＷ
INNOVATION
1. Contexte C’est aussi une catastrophe, ou une chance suivant le point

de vue où l’on se place, en termes de sécurité : si, par défaut,
seul le serveur visé traite le paquet, il suffit à un serveur sur
Le nombre de données électroniques par utilisateur (photos,
le même réseau Ethernet de forcer l’écoute de sa carte réseau
musiques, vidéos, etc.) ne cesse de croître. Jusqu’à présent,
(mode « promiscus »), pour que la carte réseau remonte au
ces données étaient stockées sur l’ordinateur de l’utilisateur,
système d’exploitation tous les paquets qui transitent sur le
mais avec les nouveaux modes d’accès (smartphone, tablette,
réseau, et sans destruction du paquet original. Dans ce
etc.), l’utilisateur souhaite pouvoir disposer de ses données
contexte, l’écoute est totale et absolument indétectable.
quel que soit l’endroit où il se trouve, et quel que soit le moyen
d’accès qu’il utilise. On parle alors de « cloud » : les données ■ Solutions
(ou applications) de l’utilisateur sont hébergées dans un
« nuage », charge à l’hébergeur de fournir le service attendu. • Pour pallier ses nombreux défauts, un nouvel équipement
a été inventé : le commutateur (ou switch). Jusqu’ici, les
Si le terme « cloud » évoque volontairement quelque chose réseaux Ethernet étaient coaxiaux ou paire de cuivre relié à
Ｓ
avec un contour flou et peu, ou pas, délimité pour l’utilisateur, un concentrateur (hub).
pour l’hébergeur, au contraire, cela représente quelque chose
de très concret et de très précis. Au vu du nombre d’utilisa-
teurs concernés, des marges à dégager, de la rationalisation • Un hub est un équipement très simple, purement
de l’espace et des consommations électriques, l’hébergeur électrique : quand il reçoit un paquet sur un port, il le dif-
choisit très souvent de mettre en place de la virtualisation. Si fuse, c'est-à-dire le recopie électriquement sur tous les
le concept est maintenant assez connu au niveau système, il autres ports.
ne faut pas oublier que la virtualisation doit se décliner au
niveau du réseau local chez l’hébergeur. • Le switch introduit une première intelligence : pour
un port donné, le switch mémorise dans une table toutes les
Nous allons aborder ici plusieurs aspects de la virtualisation
adresses Ethernet sources qu’il voit arriver par ce port.
réseau :
– des réseaux locaux au sein d’un commutateur (VLAN) ;
– de commutateurs sur des pare-feux à base de mécanisme Grâce à cette table, il sait donc, quand il reçoit un paquet, et
d’isolation (jail) ; vers quel port recopier ce paquet. La diffusion, et tous ses
– de commutateurs sur des systèmes à base d’hyperviseur ; défauts, est simplifiée. À présent, sur le câble RJ45 d’un ser-
– d’agrégat de commutateurs (incluant les protocoles de veur, ne transitent plus que les paquets Ethernet qui lui sont
routage de niveau 2). destinés. Ainsi, et bien que nous ne soyons pas encore arrivés à
la virtualisation : tous les serveurs d’un même réseau Ethernet
Pour cela, notre fil rouge sera un hébergeur qui gère pour
savent dialoguer avec tous les autres serveurs de ce réseau.
ses clients des applications (serveurs web). Nous verrons, à la
fois la montée en puissance du nombre de clients, ainsi que la ■ Résultat actuel
solution technique associée.
Si nous reprenons notre fil rouge, notre hébergeur débute
son activité : il héberge quelques serveurs web pour quelques
2. Ethernet : du protocole clients. Pour des raisons évidentes de coût, il souhaite que ses
serveurs soient connectés sur le même switch, mais pour des
« à diffusion » à la virtualisation raisons toutes aussi évidentes de sécurité, il souhaite que ses
Inventé dans le milieu des années 1970 par Xerox, Ethernet serveurs ne puissent pas communiquer entre eux.
est devenu un standard de fait dans les réseaux locaux. Pour- • Pour répondre à ce besoin, les constructeurs (tel que Cisco)
tant, qui, il y a quelques années, aurait misé sur ce protocole ont inventé, puis normalisé, la norme IEEE 802.1q qui définit la
lent, contraignant et très peu évolutif dans sa version coaxiale ? notion de VLAN (Virtual Local Area Network). La virtuali-
sation fait donc son entrée dans le réseau local Ethernet.
Mais, ce protocole a su s’adapter, et ses multiples déclinai-
sons permettent maintenant de transporter des données à Mais qu’est-ce que le VLAN ? Pour le comprendre, il faut
très haute vitesse (10 Gbyte/s), à travers le monde, et en savoir à quoi ressemble un paquet Ethernet et ce qu’introduit
permettant de cloisonner – et donc de virtualiser – plusieurs le mécanisme de VLAN. Un paquet Ethernet est composé
utilisateurs/applications. comme l’indique la figure 1.
■ Rappel des défauts Les champs « préambule » et SFD sont la signalisation
électrique d’un début d’émission, les adresses source et desti-
• Pourtant, l’histoire commençait mal : le protocole Ethernet nation [dites adresses MAC (Medium Access Control)] sont
de base est un protocole de niveau 2 dans le modèle OSI (nor- codées sur 6 octets, les trois premiers représentant le
malisé par la norme IEEE 802.3, puis par ISO/IEC 8802-3), et constructeur de la carte. Le champ « diff » indique le type de
est, par conception, un réseau dit « à diffusion ». protocole inséré dans le champ de données. Une adresse
Ethernet est, par conception, obligatoirement unique.
Un réseau à diffusion est un réseau très simple :
quand un serveur a besoin d’envoyer une information à un
autre serveur sur le même réseau Ethernet, il émet le 46 à
paquet qui va se propager vers tous les serveurs, quelles 6 octets 1 6 octets 6 octets 2 1500 octets 4 octets
que soient leurs adresses, et seul le serveur avec l’adresse
Ethernet visée va le traiter. S
Préambule F @dest @source diff Données FCS
D
• En termes de performances, c’est une catastrophe. Dès
que le nombre de paquets émis augmente, le nombre de En-tête Ethernet
paquets inutilement transportés, de collisions, augmente aussi,
tendant à saturer rapidement le réseau. Figure 1 – Format d’un paquet Ethernet
IN 147 - 2 © Editions T.I. 5- 2012
ＱＰＸ
1– Technologie sans contact

Ｔ
4– Sûreté de fonctionnement Réf. Internet page
Sûreté de fonctionnement. Principaux concepts S8250 111
Sûreté de fonctionnement. Analyse et bases de données de iabilité S8251 119
Sûreté de fonctionnement des systèmes industriels complexes. Etude opérationnelle S8252 125
Sûreté de fonctionnement des systèmes industriels complexes. Exemples S8253 127

d'applications
Cybersécurité des installations industrielles. SCADA et Industrial IoT S8257 133
La sécurité des systèmes d'information - Garantir la maîtrise du risque S8260 139
Sécurité des systèmes d'information. Retour d'expérience S8261 143
Sûreté de fonctionnement des systèmes de commande. Principes et méthodes S8262 147
Sûreté de fonctionnement des systèmes de commande. Exemple d'application et S8263 151

rappels sur les RdP
Équipements de travail : sécurité des systèmes programmés S8270 153
Maintenance, sûreté de fonctionnement et management des actifs de production MT9202 157
ＱＰＹ
Ｔ
ＱＱＰ
ｓＸＲＵＰ
Sûreté de fonctionnement
Principaux concepts
par Gilles ZWINGELSTEIN
Ingénieur de l’école nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur, Docteur ès sciences, Professeur associé des universités en retraite,
Université Paris Est Créteil, France
Cet article est la version actualisée de l’article [S8250v2] intitulé Sûreté de fonctionnement
des systèmes industriels complexes. Principaux concepts rédigé par Gilles ZWINGELSTEIN
et paru en 2009
1.
1.1
1.2
Préambule ..................................................................................................... S 8 250v3 - 3
Sûreté...............................................................................................................
Sécurité ............................................................................................................
—
—
3
3
Ｔ
1.3 Relations entre sûreté et sécurité .................................................................. — 3
2. Enjeux et évolution de la sûreté de fonctionnement........................ — 4
2.1 Enjeux de la sûreté de fonctionnement ........................................................ — 4
2.2 Évolutions de la discipline sûreté de fonctionnement................................. — 4
3. Missions, fonctions et défaillances d’un système
et de ses composants ...................................................................................... — 5
3.1 Missions et fonctions...................................................................................... — 5
3.2 Défaillances ..................................................................................................... — 6
4. Procédés industriels ................................................................................... — 9
4.1 Description générale....................................................................................... — 9
4.2 Terminologie générale ................................................................................... — 9
4.3 Description fonctionnelle ............................................................................... — 10
4.4 Description matérielle .................................................................................... — 11
5. Rappels sur les probabilités ..................................................................... — 11
5.1 Notion de variable aléatoire........................................................................... — 11
5.2 Notion de probabilité d’un événement ......................................................... — 12
5.3 Fonction de répartition d’une variable aléatoire .......................................... — 12
5.4 Valeur moyenne, variance et écart-type d’une variable aléatoire continue ... — 13
5.5 Adaptation des définitions pour la description du comportement
de systèmes physiques .................................................................................. — 13
5.6 Lois de probabilité rencontrées dans les études de fiabilité ....................... — 13
6. Concepts de base et sûreté de fonctionnement ................................ — 14
6.1 Concepts de maintenance .............................................................................. — 14
6.2 Fiabilité (reliability) ......................................................................................... — 15
6.3 Méthodes d’estimation des lois de fiabilité et données du retour
d’expérience .................................................................................................... — 18
6.4 Disponibilité (availability)............................................................................... — 18
6.5 Maintenabilité (maintainability)..................................................................... — 19
6.6 Caractéristiques de la maintenance .............................................................. — 21
7. Fiabilité humaine ......................................................................................... — 22
8. Coût global de possession........................................................................ — 22
9. Maintenabilité intégrée à la conception et soutien logistique
intégré (SLI)................................................................................................... — 24
10. Sécurité .......................................................................................................... — 25
10.1 Enjeux et démarches ...................................................................................... — 25
10.2 Niveau d’intégrité suivant la norme IEC 61508 : SIL (safety integrity level).. — 28
11. Conclusion .................................................................................................... — 28
12. Glossaire ........................................................................................................ — 29
13. Sigles, notations et symboles.................................................................. — 30
Pour en savoir plus ...............................................................................................Doc. S 8 250v3
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｭ｡ｲｳ＠ＲＰＱＹ
ＱＱＱ
ｓＸＲＵＰ
SÛRETÉ DE FONCTIONNEMENT _______________________________________________________________________________________________________
a sûreté de fonctionnement est une des préoccupations majeures des res-

L ponsables de l’exploitation de systèmes industriels complexes pour
répondre aux exigences opérationnelles et réglementaires. Cet article décrit la
terminologie et les principaux concepts pour optimiser la fiabilité, la maintena-
bilité et la sécurité des installations industrielles complexes. Compte tenu des
diverses interprétations et définitions des termes « sûreté » et « sécurité », la
première section précise ces notions suivant les secteurs d’activités et les diffé-
rentes normes pour éviter toute ambiguïté dans le contenu de cet article. La
sûreté de fonctionnement est une discipline scientifique multidisciplinaire à
part entière et évolue en permanence pour intégrer les nouveaux outils et exi-
gences en matière notamment de maintenance et de maîtrise des risques
technologiques. Ces enjeux font l’objet de la deuxième section. Qualifiées
souvent de science des défaillances, les études de sûreté de fonctionnement
reposent sur des définitions précises des fonctions, missions et défaillances et
sont développées dans de la troisième section. En parallèle, les décomposi-
tions hiérarchiques fonctionnelles et matérielles des processus industriels qui
permettent de préciser les niveaux d’analyse sont précisées dans la quatrième
section. L’instant d’occurrence d’une défaillance se produisant de façon aléa-
toire, des rappels sur les probabilités et les principales lois de défaillance sont
détaillées dans la cinquième section. La sixième section est principalement
Ｔ dédiée aux définitions qui constituent les bases de la sûreté de fonctionne-

ment : fiabilité, maintenabilité, disponibilité et sécurité. Le retour d’expérience
sur les causes racines des incidents et accidents faisant ressortir que plus de
60 % d’entre elles sont imputables aux erreurs humaines ; la septième section
fournit une description des méthodes d’évaluation de la fiabilité humaine. La
rentabilité économique d’une installation industrielle pendant la durée de son
cycle de vie, de la conception à son démantèlement dépend en partie de la
sûreté de fonctionnement. La huitième section précise son rôle dans les éva-
luations des coûts globaux de possession et de cycle de vie ; ces coûts
dépendent très fortement des choix retenus lors de la phase de conception de
l’installation industrielle. La neuvième section fournit les bases des méthodes
de maintenance intégrée à la conception et du soutien logistique intégré.
Actuellement, les conséquences des défaillances sur la santé des personnes,
les biens et l’environnement sont les préoccupations majeures des respon-
sables d’exploitation qui sont soumis à des réglementations de plus en plus
contraignantes. La dixième section présente les enjeux et les méthodologies
pour la maîtrise des risques technologiques en y précisant également la termi-
nologie. Elle précise le rôle des moyens de prévention à mettre en place pour
obtenir un niveau de risque acceptable en se basant sur le modèle « swiss
cheese » de Reason. Une attention particulière est portée au cas particulier des
systèmes instrumentés de sécurité. La conclusion insiste sur la nécessité d’une
assimilation parfaite des concepts liés à la fiabilité, la maintenabilité, la dispo-
nibilité et la sécurité pour entreprendre avec succès une étude en sûreté de
fonctionnement. Les progrès réalisés depuis le début des années 2000 en intel-
ligence artificielle ouvrent de nouvelles perspectives en sûreté de
fonctionnement, notamment pour la prédiction des défaillances avec les nou-
veaux outils développés CBM (condition based monitoring, PHM (prognostics
and health management) et RUL (remaining useful life).
ＱＱＲ
ｓＸＲＵＰ
________________________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT
1. Préambule de logistique de maintenance, les conditions d’utilisation et

l’influence du personnel d’exploitation).
• Norme CEI 60050 – Sûreté de fonctionnement : aptitude à
Tchernobyl, Bhopal, AZF, Concorde, Columbia, Fukushima, Bré- fonctionner quand et tel que requis ; la sûreté de fonctionne-
tigny, Pont de Gènes sont des exemples des activités indus- ment comprend la disponibilité, la fiabilité, la récupérabilité,
trielles et humaines qui malheureusement font presque la maintenabilité, l’efficacité de la logistique de maintenance
quotidiennement les grands titres des actualités avec leurs cor- et, dans certains cas, d’autres caractéristiques telles que la
tèges d’incidents, d’accidents ou d’événements catastrophiques. durabilité, la sûreté et la sécurité.
En effet, le zéro défaut, ou le risque zéro, n’existe malheureuse-
ment pas pour les activités industrielles à cause de l’occurrence
de défaillances humaines ou matérielles. Pour minimiser les 1.2 Sécurité
conséquences de ces défaillances sur la santé des personnes, les
biens et l’environnement, des normes internationales et des Cette notion possède des interprétations multiformes dans les
réglementations spécifiques ont été élaborées pour définir des domaines techniques, la santé des personnes et la prévention des
méthodes. C’est ainsi que les notions de sûreté et de sécurité ont actes de malveillance.
été définies. Bien que les termes « sûreté » et « sécurité » ont en
fait la même racine étymologique (latin securus : sûr) leurs défini- ■ Sécurité suivant la norme ISO/IEC GUIDE 51:2014
tions portent à confusion car, suivant les secteurs, leurs contenus La sécurité est l’absence de risque intolérable, le risque étant
diffèrent totalement. Cela vient de l’héritage des mots « safety » défini comme la combinaison de la probabilité de la survenue
et « security » utilisés dans le monde anglo-saxon où ces termes d’un dommage et de sa gravité. Le dommage représente une bles-
ont vu le jour pour la première fois au milieu du XXe siècle. Pour sure physique, une atteinte à la santé des personnes, une atteinte
la bonne compréhension de cet article et éviter toute confusion, aux biens ou à l’environnement, sachant que le risque tolérable
les termes sûreté et sécurité vont être explicités suivant leurs sec-
Ｔ
correspond à un niveau de risque accepté dans un contexte donné
teurs d’application. et fondé sur les valeurs admises par la société.
■ Sécurité aérienne
1.1 Sûreté La sécurité vise à réduire et maîtriser à un niveau acceptable les
risques liés à l’exploitation des aéronefs. Il s’agit de prévention et
L’acceptation au sens général du terme « sûreté » dépend des de protection contre des événements d’origine accidentelle, quelle
secteurs industriels. Cette section fournit à titre d’exemple les qu’en soit la nature : technique, structurelle, météorologique,
définitions utilisées dans les secteurs aéronautiques et nucléaires humaine non intentionnelle. Si la finalité est la même, à savoir la
et dans les normes internationales. La définition de la sûreté de préservation des personnes et des biens, les notions de sûreté et
fonctionnement, objet de cet article, y est précisée. de sécurité ont leur logique propre et diffèrent tant sur les causes
que sur les remèdes. Elles doivent être pensées de manière
■ Sûreté aérienne conjointe et coordonnée dans un objectif d’efficience.
Ce terme est défini par la DGAC (Direction générale de l’aviation ■ Sécurité nucléaire
civile) : « La sûreté vise à protéger l’aviation civile contre les actes
volontaires malveillants dont les motivations peuvent être très L’article L. 591-1 du Code de l’environnement précise que la
diverses (terrorisme, criminalité, activisme politique, folie indivi- sécurité nucléaire comprend la sûreté nucléaire, la radioprotec-
duelle d’un passager… ». tion, la prévention et la lutte contre les actes de malveillance, ainsi
que les actions de sécurité civile en cas d’accident.
■ Sûreté nucléaire
■ Sécurité industrielle
Le droit français (article L. 591-1 du Code de l’environnement)
La sécurité industrielle désigne les moyens – humains, tech-
précise que la sûreté nucléaire est « l’ensemble des dispositions
niques et organisationnels – de prévention et d’intervention contre
techniques et des mesures d’organisation relatives à la concep-
les risques à caractère accidentel.
tion, à la construction, au fonctionnement, à l’arrêt et au démantè-
lement des installations nucléaires de base ainsi qu’au transport Il peut être question de risques techniques, physiques, chimiques
des substances radioactives, prises en vue de prévenir les acci- ou environnementaux, mais dont l’origine est toujours involontaire.
dents ou d’en limiter les effets ».
■ Sécurité au travail
■ Sûreté dans le secteur des PME et PMI Fortement liée à la santé au travail, la sécurité au travail est une
Suivant Veritas, la sûreté désigne « l’ensemble des moyens démarche pluridisciplinaire qui vise à supprimer ou à réduire les
dédiés à la prévention des actes de malveillance. Ces actes, par risques d’accidents susceptibles de se produire lors de l’exercice
définition volontaires, ont pour finalité le profit et/ou l’intention de d’une activité professionnelle.
nuire ». Cette définition est reprise par la majorité du tissu fran- ■ Sécurité fonctionnelle
çais des PMI et PME.
Elle représente un aspect de la sécurité au sens général. C’est
■ Sûreté de fonctionnement suivant les normes EN et CEI une méthodologie qui permet d’analyser et d’éliminer des
risques à caractère inacceptable qui pourraient engendrer des
Les normes NF EN 13306 et CEI 60050 sont principalement blessures, porter atteinte, directement ou indirectement à la
dédiées à la sûreté de fonctionnement. La norme NF EN 13306 est santé des personnes, dégrader l’environnement et altérer la pro-
dédiée à la maintenance tandis que la norme CEI 60050 propose priété.
des termes génériques applicables à tous les domaines de la
sûreté de fonctionnement, y compris les applications électrotech-
niques.
1.3 Relations entre sûreté et sécurité
• Norme NF EN 13306 – Sûreté de fonctionnement : aptitude à
fonctionner comme cela est requis et lorsque cela est requis ; Si la finalité est la même, à savoir la préservation des per-
elle précise que la sûreté de fonctionnement comprend la dis- sonnes et des biens contre des actions involontaires ou intention-
ponibilité, la sûreté, la sécurité, la durabilité et les facteurs qui nelles de malveillance, les notions de sûreté et de sécurité ont
les influencent (la fiabilité, la maintenabilité, les performances leur logique propre et diffèrent tant sur les causes que sur les
ＱＱＳ
ｓＸＲＵＰ
remèdes. Elles doivent être pensées de manière conjointe et 2.2 Évolutions de la discipline sûreté
coordonnée dans un objectif d’efficience. Ceci d’autant plus
qu’avec les nouveaux outils de la maîtrise des risques, les fron-
de fonctionnement
tières s’interpénètrent, notamment avec les notions de barrières
Historiquement, les premières études firent leur apparition
physiques et organisationnelles et les concepts de défense en
essentiellement dans les transports ferroviaires pour le dévelop-
profondeur comme c’est le cas dans le domaine de l’industrie
pement des recueils statistiques des pièces mécaniques. Les
nucléaire. Dans cet article, les concepts de sûreté de fonctionne-
études quantitatives de l’époque reposaient sur l’identification
ment correspondront strictement aux normes CEI 60050 et ISO/
d’éléments supposés critiques pour lesquels des améliorations de
IEC GUIDE 51.
la conception technique s’imposaient. Le développement des
transports aériens conduisit ensuite à évaluer la sécurité opéra-
tionnelle des vols d’aéronefs propulsés par un, deux, trois et
quatre moteurs. À cette occasion et pour la première fois, on a
2. Enjeux et évolution introduit des objectifs chiffrés en termes de probabilité d’occur-
rence d’accident par heure de fonctionnement. La Seconde Guerre
de la sûreté mondiale sonna le glas du concept du maillon le plus faible.
Quelques années après, en 1949, le capitaine Murphy énonça sa
de fonctionnement fameuse loi « If anything can go wrong, it will » (si un problème
risque de se produire, cela arrivera).
Dans les années 1950, l’avènement de l’électronique dans des
2.1 Enjeux de la sûreté équipements techniques complexes fit prendre conscience de
l’importance de leur fiabilité. En vue de quantifier la fiabilité des
de fonctionnement composants, les premiers indicateurs chiffrés firent leur apparition
Ｔ La sûreté de fonctionnement a été définie pendant plusieurs

décennies comme la science des défaillances. Cependant, pour
comme le MTBF (mean time between failure) pour servir de base
aux premières clauses contractuelles de fiabilité. Introduite pour
traduire le terme anglais « reliability », la fiabilité est la probabilité
réduire les risques à un niveau le plus faible possible et accep- de non-défaillance d’un équipement sur un intervalle de temps
table par l’opinion publique, des méthodes, des techniques et donné (du latin fidare : faire confiance, fidus : fidèle et du latin
des outils scientifiques nouveaux ont été développés pour éva- médiéval « fiablete » : ce qui est digne de confiance).
luer les risques potentiels, prévoir l’occurrence des défaillances La disponibilité instantanée se définit par la probabilité d’être
et tenter de minimiser les conséquences des situations catastro- en état d’accomplir sa fonction à un instant donné. Anglicisme
phiques lorsqu’elles se produisent. La sûreté de fonctionnement introduit vers 1965, la maintenabilité est l’aptitude d’un système à
est connue sous le sigle FMDS (fiabilité, maintenabilité, disponi- être maintenu en état. Elle correspond à la probabilité que la
bilité, sécurité), en anglais RAMS (reliability, availability, maintai- remise en état d’une entité en panne soit effectuée dans un inter-
nability and safety). D’autres dénominations sectorielles utilisent valle de temps.
le terme « analyse de risque » (dans le milieu pétrolier) et cyndi-
nique pour la science du danger. L’ensemble de ces développe- Dans les années 1960 et dans le cadre de leurs programmes de
ments méthodologiques à caractère scientifique représente la missiles et de la conquête spatiale, les États-Unis ont formalisé
discipline de la sûreté de fonctionnement. Au sens large, la l’essentiel des méthodes d’analyse de la sûreté de fonctionnement
sûreté de fonctionnement consiste à connaître, évaluer, prévoir, utilisées aujourd’hui :
mesurer et maîtriser les défaillances des systèmes technolo- • analyse des modes de défaillance, de leurs effets et de leur
giques et les défaillances humaines pour éviter des consé- criticité ;
quences sur la santé et la sécurité des personnes, les pertes de
productivité, les atteintes à l’environnement et pour les généra- • arbre des causes et des défaillances ;
tions futures, la préservation des ressources de la planète. Elle • méthode du diagramme du succès ;
se caractérise à la fois par les études structurelles statiques et • méthode d’évaluation de la fiabilité humaine.
dynamiques des systèmes, du point de vue prévisionnel mais
aussi opérationnel et expérimental (essais, accidents), en tenant La décennie 1970 vit la diffusion des techniques d’évaluation
compte des aspects de probabilités et des conséquences induites opérationnelles et prévisionnelles de la fiabilité et l’acceptation de
par les défaillances techniques et humaines. Cette discipline la notion probabiliste de la sécurité dans les secteurs industriels
intervient non seulement au niveau de systèmes déjà construits, présentant des risques pour les biens, les personnes et l’environ-
mais aussi au niveau conceptuel pour la réalisation de systèmes. nement. Dans le nucléaire en particulier, l’accident de Three Mile
Comme indiqué dans le préambule, de nombreuses normes ont Island le 28 mars 1979, qui ne fît aucune victime mais qui eut un
vu le jour dans les différents secteurs pour en donner des défini- impact considérable sur l’opinion publique, conduisit à des déve-
tions plus précises. En plus de son sens général défini par l’apti- loppements comme ceux entrepris par Norman Rasmussen dans
tude d’un système à fonctionner comme cela est requis et le cadre du rapport WASH-1400. Ensuite, la normalisation des
lorsque cela est requis, cet article sera consacré à la description termes relatifs à la sûreté de fonctionnement commença à s’éta-
des principaux concepts de la sûreté de fonctionnement : dispo- blir sous l’égide notamment de la CEI. Cela a conduit à formaliser
nibilité, sûreté, sécurité, durabilité, récupérabilité, et les facteurs les notions de maintenance, de disponibilité, de maintenabilité et
qui les influencent (la fiabilité, la maintenabilité, les perfor- les concepts associés : testabilité, durabilité, survivabilité, dia-
mances de logistique de maintenance, les conditions d’utilisa- gnostic, soutien logistique intégré, soutenabilité, sûreté et sécu-
tion et l’influence du personnel d’exploitation). Actuellement, les rité.
préoccupations en matière de prévention et de réduction des Les deux dernières décennies avant l’avènement du troisième
risques sont de plus en plus contraignantes pour les industriels millénaire ont été marquées par la mise en œuvre dans les études
en matière de prévention et de réduction des risques. Suivant la de sûreté de fonctionnement de nouveaux outils :
norme ISO/IEC GUIDE 51, le risque est défini par la combinaison
de la probabilité de la survenue d’un dommage et de sa gravité, • pour les problèmes relatifs aux défaillances techniques :
le dommage étant une blessure physique ou une atteinte à la chaînes de Markov, réseaux de Pétri, logiciels industriels de
santé des personnes, ou une atteinte aux biens ou à l’environne- sûreté de fonctionnement ;
ment. Ces nouveaux enjeux de plus en plus d’actualité feront • de nouvelles générations d’outils d’évaluation pour les fac-
l’objet de développements dans cet article. teurs humains ;
ＱＱＴ
ｓＸＲＵＰ
• la création de bases de données du retour d’expérience pour

permettre des évaluations quantitatives des métriques de la 3. Missions, fonctions et
sûreté de fonctionnement. défaillances d’un système
Depuis le début du troisième millénaire, les exigences réglemen-
taires et/ou les certifications relatives à la sécurité des biens et des
et de ses composants
personnes et la préservation de l’environnement ont conduit au
développement de méthodes pour évaluer les dangers et les 3.1 Missions et fonctions
risques, pour leur prévention et pour leur maîtrise. La mise en
œuvre dans les systèmes industriels de systèmes informatiques
embarqués ont imposé des contraintes sécuritaires très impor- Une étude de sûreté de fonctionnement passe nécessairement
tantes (automobile, aéronautique, transports) tels que les niveaux par une analyse exhaustive des différentes phases de fonctionne-
de sécurité SIL (safety integrity level). Actuellement, il n’existe ment faisant appel à des termes précis tels que missions et fonc-
désormais pratiquement plus d’activités industrielles où la sûreté tions assurées par un bien. Il est particulièrement indispensable
de fonctionnement n’est pas prise en compte (même partiellement) de définir les notions de fonction et de mission. Ces définitions
dans tout le cycle de vie du produit (conception, fabrication, exploi- sont, en effet, très variables d’un secteur d’activité à un autre ou
tation, maintenance et mise au rebut/recyclage. La prise en compte d’un pays à un autre. Les missions et fonctions d’une entité
du coût global de possession (CGP) exigée par les clients dans les découlent directement de la définition et de la spécification de ses
cahiers des charges avec la notion de conception à coût objectif est exigences opérationnelles :
en train de révolutionner le monde de la sûreté de fonctionnement. • Quelles sont les exigences opérationnelles, et comment
En parallèle, les méthodes du soutien logistique intégré ont été l’entité sera-t-elle utilisée ?
développées pour assurer une maintenabilité optimisée pendant le
cycle de vie des équipements complexes. À la suite de nombreuses • Où l’entité sera-t-elle utilisée ?
catastrophes industrielles liées à des défaillances techniques,
humaines et à des risques naturels dans de nombreux pays indus-
trialisés, les autorités administratives ont imposé un classement
• Combien de temps l’entité sera-t-elle utilisée ?
En particulier, ces définitions sont obligatoires pour réaliser des
Ｔ
des installations industrielles en fonction de leur dangerosité (éta-
blissements classés Seveso III, ICPE…) qui imposent des études de études de maintenance basée sur la fiabilité et/ou sur les risques,
sûreté de fonctionnement pour obtenir les autorisations d’exploiter. pour la réalisation d’études d’AMDEC (analyse des modes de
Également dans le cadre de différentes certifications ou labellisa- défaillance, de leurs effets et de leur criticité) ou d’arbres de
tions telles que ISO 9001, ISO 14001, OHSAS 18001, ISO 45001, lLO- défaillances comme décrits dans les références.
OHS-2001], MASE, ISO 22000, EMAS, les industriels ou organisa-
tions doivent entreprendre obligatoirement des études de sûreté de
fonctionnement pour identifier et prévenir les différents types de
3.1.1 Missions
risques. La sécurité au travail, en particulier en France, implique
actuellement les aspects réglementaires de la sécurité des per- Le profil de la mission d’une entité se décompose en plusieurs
sonnes avec notamment la rédaction du document unique. C’est phases distinctes ; il est indispensable, pour chacune d’entre elles,
ainsi que les CHSCT (comités d’hygiène, de sécurité et des condi- de disposer d’un ensemble de fonctions bien définies.
tions de travail) et les départements QHSE (qualité, hygiène,
sécurité et environnement) ont vu leur apparition dans les établis- Exemple
sements commerciaux et industriels. De plus, les stratégies de Ainsi, pour le véhicule de transfert automatique européen « Jules-
maintenance modernes font de plus en plus appel aux connais- Verne », le premier vaisseau ravitailleur de la station spatiale interna-
sances de la fiabilité des matériels et à leurs modes de défaillance : tionale dont la durée de mission était programmée sur six mois, les
maintenance basée sur la fiabilité MBF [2], [SE 1 649], maintenance cinq principales phases de la mission étaient les suivantes (http://
basée sur les risques et la fiabilité [SE 1 677]. Cependant, le talon www.esa.int) :
d’Achille actuel de la sûreté de fonctionnement provient du fait que • lancement depuis la base de Kourou avec la fusée Ariane 5 ;
les données de base servant à la modélisation sont soit inadé-
quates, soit inexistantes. Cela induit une réelle difficulté à obtenir • séparation de la fusée Ariane 5 ;
des résultats quantifiés et fiables pour les études de sûreté de fonc- • après plusieurs jours en orbite, amarrage à l’ISS, station spatiale
tionnement. J.-C. Ligeron en 2006 dans son ouvrage Le cercle des internationale ;
fiabilistes disparus ou critique de la raison fiabiliste [3] indiquait • après amarrage, utilisation pour rehausser l’orbite de la station,
qu’il allait devenir nécessaire de repenser une nouvelle école de refaire le plein de carburant de l’ISS et réapprovisionner l’équi-
sûreté de fonctionnement. Notamment, « cela implique de réviser page et évacuer les déchets ;
les fondements de la sûreté de fonctionnement permettant de
rendre cohérents les différents outils et méthodes, en pratiquant • une fois cette dernière phase accomplie, désintégration dans
une sorte de diététique de la sûreté de fonctionnement ». Ses vœux l’atmosphère.
sont en passe d’être exaucés avec l’apparition de nouveaux outils Les phases de la mission réalisées par le premier véhicule de trans-
issus de l’intelligence artificielle. Ainsi, à l’aide de très nombreuses fert automatique européen (ATV – Automated Transfer Vehicle)
données contenue dans le « big data », le « cloud », des techniques « Jules-Verne » pour la station ISS sont représentées sur la figure 1.
innovantes telles que le « data mining », l’apprentissage automa- La mission était considérée comme remplie si toutes les phases se
tique (« machine learning ») et l’apprentissage profond (« deep lear- déroulaient conformément aux spécifications.
ning ») se sont développées. Elles permettent actuellement des
applications en sûreté de fonctionnement pour la prédiction des
défaillances, les stratégies de maintenance avec les notions intro- 3.1.2 Fonctions
duites dans le monde anglo-saxon sous les vocables CBM (condi-
tion based monitoring), PHM (prognostics and health management) La compréhension de la notion de fonction et de ses para-
et RUL (remaining useful life). Le lecteur pourra compléter ses mètres est l’élément clé sur lequel reposent les analyses de sûreté
connaissances dans de très nombreux ouvrages [4], [5], [6], [7], [8], de fonctionnement car on recherche les éléments matériels qui
[9], [10], [11], [12]. L’ensemble des normes internationales, orga- vont entraîner la perte ou la dégradation des fonctions. L’AFNOR
nismes, institutions et sites Internet français et étrangers est donné définit une fonction comme « l’action d’une entité ou de l’un de
dans le « Pour en savoir plus » de cet article. ses constituants exprimée en termes de finalité ».
ＱＱＵ
ｓＸＲＵＰ
secondaires » et leur perte peut également avoir des consé-

quences catastrophiques.
Exemple
En reprenant l’exemple de la chaudière, une fonction secondaire
est de maintenir l’intégrité du confinement de la vapeur. L’existence
d’une fuite ou le risque d’une explosion entraînerait une défaillance de
la fonction principale. Le calorifugeage de la chaudière est une autre
fonction secondaire de la chaudière ayant pour but de minimiser les
pertes thermiques.
Figure 1 – Phases du module « ATV » Jules Verne ■ Fonctions de protection et de commande

Dans la majorité des cas, tout système industriel fonctionne
avec des fonctions de régulation et de protection, qui constituent
Cette définition de nature qualitative est indispensable pour de fait des barrières de protection pour éviter des dysfonctionne-
décrire de façon globale une fonction. La fonction fait appel à des ments graves. Les fonctions de protection et de commande ont
notions qualitatives et quantitatives. pour but de garantir, par des moyens de signalisation ou la mise
en route de systèmes redondants, la sécurité des biens, des per-
Exemple sonnes et de l’environnement. Ces fonctions de protection sont
Pour un système tel qu’un propulseur à poudre, la description de sa assurées par des systèmes de signalisation, d’alarme ou de pro-
fonction est simple : fournir une poussée nominale de 15 t pendant tection automatique.
30 s. Cette définition donne ses caractéristiques en termes quantita-
Ｔ tifs.
Un moteur électrique possède une fonction de base consistant à
convertir de l’énergie mécanique en énergie électrique.
Exemple
Dans le cas d’une chaudière à vapeur alimentée par un brûleur à
gaz :
• les soupapes de sécurité assurent une protection passive
Les différences entre ces fonctions sont quelquefois subtiles et contre le risque de surpression ;
l’acception de leur terminologie doit toujours faire l’objet d’une
acceptation au sens d’une même entreprise et de ses prestataires. • le système de mesure de pression et de température permet
Pour des systèmes plus complexes, il est indispensable de classer aux opérateurs de contrôler les anomalies de fonctionnement ;
et de hiérarchiser la nature des fonctions : • et le système de détection de gaz à l’intérieur de la chaudière a
pour rôle d’éviter son explosion.
• principales ;
• secondaires ; ■ Fonctions redondantes
• de protection ; Dans les industries telles que celles des secteurs aéronautiques,
• redondantes. nucléaires et spatiaux, des systèmes ou des matériels redondants
(doublés, triplés ou quadruplés) sont couramment mis en œuvre
■ Fonctions principales pour assurer le niveau requis de sécurité ou de sûreté. Ces sys-
Une fonction principale peut se définir comme étant la raison tèmes redondants peuvent fonctionner en permanence (redon-
d’être d’un bien ou d’un système défini souvent avec ses caracté- dance active) ou être en attente (redondance passive).
ristiques associées (durée, caractéristiques physiques,
chimiques… Exemple
Dans l’industrie automobile, c’est ainsi que l’on équipe certains
Exemple véhicules avec un double circuit de freinage. Pour un avion bimoteur,
Une première définition générale de la fonction principale d’une les deux moteurs illustrent la redondance active. En effet, en cas de
chaudière est de fournir de la vapeur. panne d’un des moteurs, le propulseur restant a été conçu pour pou-
Une seconde définition de la fonction de la chaudière à vapeur est voir ramener l’aéronef sur un terrain d’atterrissage avec toutes les
de fournir de la vapeur à 110 °C avec un débit de 40 t/h pendant 24 h. conditions de sécurité.
Cet exemple de définitions montrent la difficulté de décrire une ■ Fonctions instrumentées de sécurité
fonction quand on s’intéresse à ses modes de défaillance. En Les systèmes instrumentés de sécurité (SIS) sont utilisés
effet, dans la première définition, la perte de la fonction corres- comme moyens de prévention pour réaliser les fonctions instru-
pond à une non-fourniture de vapeur. Il n’existe dans ce cas qu’un mentées de sécurité (FIS) lorsque les systèmes automatisés
seul mode de défaillance. En revanche, en utilisant la deuxième présentent des risques potentiels pour les personnes, l’environne-
définition, trois modes de défaillance de la fonction apparaissent : ment ou les biens. Ces fonctions sont conçues pour réaliser des
• non-fourniture de vapeur à 110 °C (température supérieure ou fonctions de prévention et de protection de ces systèmes.
inférieure) ;
• non-fourniture du débit de 40 t/h (débit supérieur ou infé-
rieur) ; 3.2 Défaillances
• non-fourniture de la vapeur à une température de 110 °C, L’évolution de la discipline sûreté de fonctionnement au cours
avec un débit de 40 t/h, pendant 24 h. des trente décennies précédentes a conduit à l’introduction de
Sous l’aspect sémantique, une fonction est définie par un verbe nouvelles définitions relatives aux défaillances et à la dégradation.
à l’infinitif suivi d’un complément d’objet.
■ Défaillance
■ Fonctions secondaires Suivant la norme NF-EN 13306 « la défaillance est la perte de
Dans de nombreux cas, un système assure d’autres fonctions l’aptitude d’un bien à accomplir une fonction requise. Après la
que la fonction principale. Ces fonctions sont appelées « fonctions défaillance, le bien est en panne et correspond à l’état de défail-
ＱＱＶ
ｓＸＲＵＰ
lance du bien ». Une autre définition est souvent utilisée et décrit

la défaillance comme étant « l’altération ou la cessation de l’apti-
tude d’un ensemble à accomplir sa (ou ses) fonction(s) requise(s)
avec les performances définies dans les spécifications tech-
niques ». La défaillance est souvent le résultat d’une dégradation
qui correspond à un état néfaste de l’état physique avec le temps,
l’utilisation ou en raison d’une autre cause.
Suivant la norme CEI 60050, la dégradation est une modification

préjudiciable de l’aptitude à satisfaire à des exigences.
La défaillance est aussi qualifiée de « défaillance fonction-

nelle ». Pour bien comprendre la notion de défaillance, on peut
faire une analogie avec le la représentation d’une fonction mathé-
matique multivariable Y = f(X1, X2, X3,……XN.). Dès qu’une
variable Xi sort de son domaine de validité, automatiquement la
fonction Y n’est plus assurée. La figure 2 illustre cette situation, et
dans ce cas, on associe à la perte de la fonction un mode de
défaillance causée par le comportement de la composante Xi.
Il s’ensuit qu’un ensemble est défaillant s’il est considéré ou

déclaré incapable d’assurer les fonctions requises par l’exploitant
utilisant des critères fonctionnels simples. Toute étude de fiabilité
Ｔ
implique l’acceptation de deux états totalement exclusifs : le fonc-
tionnement normal et le fonctionnement défaillant. Contrairement
à la maintenance où l’on considère un fonctionnement dégradé, la
sûreté de fonctionnement considère uniquement deux états : un
état de fonctionnement normal et un état de panne. Le passage
d’un état de fonctionnement normal à un état défaillant pouvant
se manifester en fonction du temps de manière progressive, sou-
daine ou de façon aléatoire, la fiabilité ne connaît pas la notion de
défaillance partielle ou progressive. La figure 3 représente trois Figure 3 – Cas de figure conduisant tous à une défaillance
cas conduisant tous à une défaillance.
Cette définition inclut, de façon très explicite, la perte de la

■ Mode de défaillance
fonction d’une entité et, pour cette raison, elle porte souvent à des
interprétations différentes suivant les intervenants. Certains sec- Il est défini par la manière selon laquelle une défaillance se pro-
teurs industriels, pour lever cette ambiguïté, ont dressé des listes duit ; une défaillance fonctionnelle se manifeste dans la majorité
standardisées de défaillances fonctionnelles. des cas par plusieurs modes de défaillance.
Exemple ■ Effet d’une défaillance

Si l’on considère un moteur électrique dont la fonction principale Il s’agit de la conséquence d’une défaillance, dans ou au-delà de
est de convertir une énergie électrique en énergie mécanique, le la frontière de l’entité défaillante. Il peut être nécessaire de tenir
refus de démarrage est une défaillance fonctionnelle du moteur. Dans compte des modes de défaillance individuels et de leurs effets.
d’autres secteurs industriels, en adoptant une approche matérielle de ■ Dégradation
la défaillance, une perte de l’isolement du stator est considérée
comme une défaillance. Modification préjudiciable de l’aptitude à satisfaire à des exi-
gences.
Cette grande différence d’approche constitue une réelle diffi- ■ Défaillance potentielle
culté pour entreprendre de façon efficace un dialogue entre les Les évolutions récentes relatives à la maintenabilité et aux stra-
concepteurs et les exploitants. C’est la raison pour laquelle, dans tégies de maintenance telles que la maintenance basée sur la fia-
un cahier des charges d’une étude de sûreté de fonctionnement, il bilité et la CBM-PHM-RUL ont nécessité d’introduire de nouvelles
est indispensable de définir un glossaire commun accepté entre notions relatives aux défaillances qui se produisent suite à une
les différents partenaires pour lever toute ambiguïté ultérieure liée dégradation des équipements.
à une mauvaise compréhension.
La figure 4 représente l’évolution de la condition de l’équipe-
ment pendant son cycle de vie. À partir de sa mise en service,
l’équipement commence à se dégrader lentement sans qu’il soit
possible de le détecter avec les moyens de surveillance mis en
place. La défaillance potentielle suivant la norme SAE JA1012 est
une valeur de la condition identifiable qui indique qu’une défail-
lance fonctionnelle est en train de se produire. On associe deux
notions d’intervalle à courbe de dégradation de la condition :
l’intervalle P-F et le « Net P-F interval ». L’intervalle P-F est le
temps qui s’écoule entre le moment où la défaillance potentielle
devient identifiable et celui où on atteint la défaillance fonction-
nelle. Le « Net P-F interval » est défini comme l’intervalle de
temps qui s’écoulera vraisemblablement entre la découverte de la
défaillance potentielle et l’instant de l’occurrence de la défaillance.
En maintenance, cet intervalle de temps permet de définir la meil-
Figure 2 – Domaines de variation d’un paramètre d’une fonction leure stratégie de maintenance.
ＱＱＷ
Ｔ
ＱＱＸ
ｓＸＲＵＱ
Analyse et bases de données de fiabilité
Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT),
Docteur-ingénieur, Docteur ès sciences, Professeur associé des universités en retraite,
Université Paris Est Créteil, France
Cet article est la version actualisée de l’article S8251V1 intitulé Sûreté de fonctionnement
des systèmes industriels complexes – Analyse prévisionnelle et bases de données de fiabi-
lité rédigé par Gilles ZWINGELSTEIN et paru en 2009.
1. Étapes d’une analyse de sûreté de fonctionnement ..................... S 8 251v2 - 3 Ｔ

2. Méthodes d’analyse fonctionnelle ..................................................... — 3
2.1 Concepts de base de l’analyse fonctionnelle............................................ — 3
2.2 Méthode FAST............................................................................................. — 4
2.3 Méthode RELIASEP® .................................................................................. — 4
2.4 Méthode SADT® ......................................................................................... — 5
2.5 Méthode IDEF0 ............................................................................................ — 6
2.6 Méthode APTE®.......................................................................................... — 6
2.7 Autres méthodes d’analyse fonctionnelle ................................................ — 7
3. Méthodes classiques d’analyse prévisionnelle ............................... — 7
3.1 Méthodes déductives et inductives ........................................................... — 7
3.2 Méthodes qualitatives ................................................................................ — 8
3.3 Méthodes mixtes et quantitatives ............................................................. — 11
4. Méthodes avancées d’analyse prévisionnelle ................................. — 17
4.1 Méthodes prévisionnelles pour le diagnostic et le pronostic
de défaillance .............................................................................................. — 17
4.2 Méthodes de pronostic du DEFAD (RUL).................................................. — 18
5. Facteurs humains .................................................................................... — 21
5.1 Typologie des méthodes d’évaluation de la fiabilité humaine ............... — 21
6. Méthodes de prédiction et banques de données de fiabilité...... — 23
6.1 Méthodes de prédiction.............................................................................. — 23
6.2 Modèles de prédiction et recueils de données......................................... — 24
7. Conclusion................................................................................................. — 26
8. Glossaire .................................................................................................... — 26
Pour en savoir plus .......................................................................................... Doc. S 8 251v2
et article présente les différentes étapes, les méthodes et les données à

C mettre en œuvre pour réaliser une analyse de la sûreté de fonctionne-
ment prévisionnelle de systèmes industriels complexes. Compte tenu de
l’importance des conséquences des défaillances sur la disponibilité, les per-
sonnes et l’environnement, les industriels sont de plus en plus concernés par
la réalisation d’études pour prévoir le niveau de la sûreté de fonctionnement
pour des installations existantes ou en cours de conception. Une analyse de
sûreté de fonctionnement prévisionnelle d’un système complexe se décom-
pose en plusieurs étapes principales : l’analyse structurelle et fonctionnelle du
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠｡ｶｲｩｬ＠ＲＰＱＹ
ＱＱＹ
ｓＸＲＵＱ
système suivie d’analyses qualitatives et/ou quantitatives en fonction des

données disponibles du retour d’expérience. La première section décrit l’orga-
nigramme des tâches et analyses à réaliser pour élaborer un dossier d’analyse
prévisionnelle de la sûreté de fonctionnement. Il permet de vérifier si les résul-
tats obtenus grâce aux différentes analyses sont conformes aux spécifications
définies dans le cahier des charges de l’utilisateur. La seconde section, après
un rappel sur les finalités de l’analyse de la valeur, présente les principales
méthodes d’analyse fonctionnelles utilisées pour identifier les fonctions d’un
système complexe à partir de modèles structurels. La connaissance de ces
fonctions est en effet indispensable pour identifier leurs modes de défaillance
qui conduiront par leurs effets à la défaillance. Les principes des méthodes
d’analyses fonctionnelles FAST, RELIASEP®, SADT®, IDEF0 et APTE® font
l’objet de descriptions succinctes. La troisième section est dédiée à une typo-
logie des méthodes classiques d’analyse prévisionnelle. Elle précise les
définitions des méthodes déductives et inductives, ainsi que les caractéris-
tiques des méthodes qualitatives et quantitatives. En particulier, les méthodes
quantitatives évaluent les paramètres associés à la sûreté de fonctionnement.
Elles utilisent les données de la fiabilité humaine et les banques de données de
fiabilité qui seront présentées dans cet article. Parmi l’ensemble des méthodes
qualitatives, l’AMDEC, APR, MCPR et HAZOP y sont présentées. Pour les
Ｔ méthodes quantitatives qui font l’objet de développements figurent : le

diagramme de fiabilité, la table de vérité, les arbres de conséquences, le
diagramme cause-conséquence, le nœud papillon, l’espace des états et les pro-
cessus markoviens. Pour tenir compte des évolutions sur les deux dernières
décennies dans le domaine de l’analyse prévisionnelle en sûreté de fonction-
nement sous les noms de « condition-based-monitoring-CBM », « diagnosis,
prognostics and health management (PHM) » et « RUL - remaining useful life »,
la quatrième section présentera ces méthodes avancées. Elles ont été dévelop-
pées spécifiquement pour réaliser le diagnostic et le pronostic des défaillances.
Leurs finalités ultimes sont de prédire la durée de vie avant la défaillance
(DEFAD) et sa probabilité (notée « DEFAD-RUL » dans cet article). De nom-
breuses méthodes ont été développées pour estimer la DEDAD-RUL et feront
l’objet de descriptions succinctes. Elle couvrira les méthodes basées sur les
lois physiques (model-driven), l’exploitation des données (data-driven), les
expérimentations et les méthodes hybrides. Elles font appel aux techniques
classiques statistiques et aux outils de l’intelligence artificielle. Parmi ces outils
d’intelligence, l’apprentissage automatique (machine learning) et l’apprentis-
sage profond (deep learning) utilisant des réseaux de neurones artificiels
feront l’objet de développements. Comme certaines méthodes prévisionnelles
prennent en compte le facteur humain, la cinquième section présentera la
typologie des méthodes de la fiabilité humaine : l’évaluation probabiliste de la
fiabilité humaine (EPFH) et les facteurs humains (FH). Elle présente une classi-
fication en trois familles ; la première est basée sur des approches
principalement fréquentielles, la seconde privilégie les aspects cognitifs et la
troisième prend en compte l’environnement organisationnel. Cette section pré-
sente quinze modèles d’évaluation du facteur humain représentatifs de ces
trois familles. La sixième section présente un inventaire des banques de
données de fiabilité de composants dont l’usage est indispensable pour la
mise en œuvre des méthodes prévisionnelles quantitatives. Elle définit au pré-
alable les notions de « parts stress » et de « parts counts » utilisées dans les
modèles de prédiction de la fiabilité et les banques de données. Elle est consa-
crée à la description des caractéristiques de leurs contenus et à leurs domaines
d’application. Vingt-cinq banques de données sont ainsi passées en revue en
insistant sur leur niveau d’actualité. En conclusion, une synthèse et des recom-
mandations sont fournies pour guider l’utilisateur à choisir la méthode la plus
adaptée pour réaliser un dossier d’analyse prévisionnelle de la fiabilité.
ＱＲＰ
ｓＸＲＵＱ
1. Étapes d’une analyse de ment. L’utilisation de ces méthodes, par leurs caractères
systématiques et exhaustifs, représente une garantie formelle
sûreté de fonctionnement pour décomposer une installation industrielle en niveaux fonction-
nels et matériels. Elles sont nécessaires pour identifier les modes
de défaillance et leurs conséquences sur les objectifs opération-
Une analyse de sûreté de fonctionnement de système se nels retenus pour l’installation ou l’équipement concerné. De
décompose en plusieurs étapes principales, à savoir : nombreuses méthodes d’analyse fonctionnelle ont été mises au
• l’analyse structurelle et fonctionnelle du système ; point dans le monde depuis la fin de la seconde guerre mondiale
et se déduisent des techniques d’analyse de la valeur, développée
• l’analyse prévisionnelle qualitative du système ; par L.D. Miles, en 1947, dédiées principalement aux produits nou-
• l’analyse prévisionnelle quantitative du système ; veaux. Selon la norme NF EN 1325, l’analyse de la valeur est une
« méthode de compétitivité, organisée et créative, visant la satis-
• la synthèse des analyses précédentes et une conclusion. faction du besoin de l’utilisateur par une démarche spécifique de
Les détails et l’enchaînement de ces étapes sont donnés dans conception à la fois fonctionnelle, économique et pluridiscipli-
l’organigramme de la figure 1. Il faut remarquer que ces étapes ne naire ». L’analyse fonctionnelle consiste à recenser, caractériser,
sont pas totalement disjointes et présentent des aspects communs. ordonner, hiérarchiser et valoriser les fonctions. Les méthodes
De plus, une étude réelle est itérative ; les étapes principales d’analyse fonctionnelle permettent :
sont répétées plusieurs fois jusqu’à l’obtention d’une conclusion • de décrire le besoin d’un utilisateur en termes de fonctions,
acceptable (objectifs réalisés). en faisant abstraction des solutions qui peuvent les réaliser.
La mise en œuvre de ces méthodes rend indispensable des À chaque fonction sont attribués des critères d’appréciation
décompositions hiérarchiques matérielles ou fonctionnelles du et leurs niveaux ; les niveaux des critères d’appréciation sont
système. les caractéristiques quantitatives de chaque fonction du pro-
Ｔ
duit. Pour chaque critère d’appréciation, on peut définir une
flexibilité, c’est-à-dire un ensemble d’indications exprimées
par le demandeur sur les possibilités de moduler un niveau
2. Méthodes d’analyse recherché ;
fonctionnelle • de décrire les choix technologiques imposés au concepteur

en termes de contraintes qui peuvent venir de l’environne-
ment, de la technologie, du marché, de la situation et des
choix de l’entreprise ou de l’organisme ;
2.1 Les concepts de base de l’analyse
fonctionnelle • de s’assurer, pour chaque fonction, de sa bonne expression
en termes d’objectifs et de sa stabilité dans le temps ; c’est le
Les méthodes d’analyse fonctionnelle sont indispensables pour but du contrôle de validité ;
réaliser une décomposition fonctionnelle et matérielle d’une ins- • de décrire le produit envisagé comme solution, en termes de
tallation industrielle en cours de conception ou en fonctionne- fonctions de service et en termes de fonctions techniques ou
de conception ;
• d’initialiser l’optimisation du produit aussi bien du point de
vue coût que du point de vue fiabilité.
Les résultats des analyses fonctionnelles sont matérialisés par
trois éléments.
1/ Le cahier des charges fonctionnel (CdCF), défini par la norme
NF X50-151 (attention norme annulée et décrite dans [S 8 250]), est
un document par lequel le demandeur exprime son besoin (ou
celui qu’il est chargé de traduire) en termes de fonctions de service
et de contraintes. Pour chacune d’elles sont définis des critères
d’appréciation et leurs niveaux. Chacun de ces niveaux doit être
assorti d’une flexibilité.
2/ Le bloc-diagramme fonctionnel (BdF) permet de visualiser la
relation fonctions/solutions dans le cas de produits mécaniques,
électriques ou électroniques. C’est une représentation schématique
qui superpose les deux conceptions d’un système et permet de
mettre en évidence :
– les interactions entre les composants et les milieux extérieurs ;
– les interactions entre les composants eux-mêmes.
3/ Le tableau d’analyse fonctionnelle (TAF), en fiabilité, sert de
trame pour la réalisation d’analyses des modes de défaillance, de
leurs effets et de leur criticité (AMDEC). C’est un tableau sur lequel
on place sur les lignes les fonctions de service du produit (princi-
pales et contraintes) et les chaînes fonctionnelles de conception
(ou fonctions techniques), et sur les colonnes les fonctions élémen-
taires de tous les composants du produit. Il permet d’examiner
l’influence de chaque chaîne fonctionnelle de conception sur
chaque fonction de service. Les impératifs en termes de sûreté de
fonctionnement des systèmes industriels complexes impliquent de
décrire précisément les fonctionnalités des systèmes ; pour cela,
Figure 1 – Organigramme des tâches d’une analyse prévisionnelle différentes méthodes d’analyse fonctionnelle sont utilisables.
ＱＲＱ
ｓＸＲＵＱ
2.2 Méthode FAST

Imaginée par C.W. Bythenay [1], la méthode FAST (function
analysis system technique) est couramment employée en matière
d’analyse de la valeur. En France, le FAST est considéré comme
une étape dans les descriptions d’un système. Elle présente
l’avantage d’ordonner les fonctions suivant un ordre logique ; elle
contribue à la clarification de l’état fonctionnel du produit et à la
rédaction finale du CdCF.
Elle permet :
• d’ordonner les fonctions identifiées ;
• de vérifier la logique fonctionnelle ;
• d’avoir une bonne connaissance du produit ou du système
étudié ;
• de prendre conscience de l’importance relative des éléments
ou des structures vis-à-vis des fonctions qu’ils assurent ;
• de mettre en évidence des synchronisations entre les fonc-
tions indépendantes.
Figure 2 – Diagramme fonctionnel d’un FAST
Ｔ
À partir de la liste de fonctions identifiées par une des
méthodes d’analyse fonctionnelle, celles qui s’appliquent à
l’ensemble du produit sont répertoriées en marge du diagramme
FAST. 2.3 Méthode RELIASEP®
Le diagramme se construit de gauche à droite en plaçant à
La société européenne de propulsion (SEP) [2], maître d’œuvre
gauche la fonction principale et en se déplaçant ensuite vers la
de la propulsion du lanceur européen dans les années 1970, a
droite ou vers le bas. Les liaisons entre les blocs fonctionnels sont
développé sous l’initiative de R. Vogin une méthodologie appelée
réalisées en répondant à trois questions :
« arbre fonctionnel », afin de prendre en compte les exigences de
• Pourquoi ou dans quel but la fonction existe-elle ? sûreté de fonctionnement à toutes les étapes de la vie d’un pro-
duit, et cela à moindre coût (la SEP a été absorbée au sein du
• Comment la fonction d’ordre supérieur est-elle réalisée avec groupe SNECMA en 1997 et cette méthode n’est plus maintenue).
des fonctions d’ordre inférieur ? La SEP a mis au point une méthode empruntée à la fois aux
• Quand est-il nécessaire de disposer simultanément de plu- concepts de l’analyse de la valeur et à ceux de l’analyse et de la
sieurs fonctions ? programmation structurées en informatique (top-down program-
ming). Cette méthode présente l’ensemble de toutes les liaisons
À partir de la liste de fonctions identifiées par une des entre les fonctions, performances, contraintes et caractéristiques
méthodes d’analyse fonctionnelle, on identifie les fonctions qui du matériel à l’aide d’une structure arborescente.
s’appliquent à l’ensemble du produit et on les répertorie en marge
du diagramme FAST. RELIASEP® permet :
Le système est représenté à l’aide d’un diagramme (figure 2) • la modélisation fonctionnelle pour :
comportant trois régions délimitées par des traits interrompus
verticaux : – clarifier le besoin : fonction principale,
• la partie centrale correspond au domaine fonctionnel couvert – construire le système qui répond à ce besoin : fonctions élé-
par le système ; mentaires, choix technologiques et composants (arbre fonctionnel
et arbre matériel) ;
• dans la partie de gauche, on trouve les fonctions de services
du système ; • l’analyse des défaillances ;
• dans la partie de droite, on trouve les ressources extérieures
au système ; ressources qui, si elles n’existaient pas, ne • l’amélioration en conséquence de la conception du système.
modifieraient pas la capacité du système à satisfaire les fonc-
tions. L’analyse fonctionnelle se présente sous forme arborescente et
est régie par une trilogie : capter, transformer et transmettre les
Dans la partie centrale, on passe d’une fonction à une autre en flux d’énergie ou d’information. La décomposition prend en
se posant les questions : « Pourquoi ? », « Comment ? », compte les matériels, introduits en tant que choix technologiques
« Quand ? ». Les fonctions sont ordonnées et représentées dans qui engendrent des fonctions de conception ou de contraintes. La
des « boîtes » rectangulaires. La construction d’un diagramme première étape d’une analyse fonctionnelle passe nécessairement
représenté sur la figure 2 commence en plaçant à gauche la fonc- par l’analyse du besoin. Chaque fonction principale est décrite
tion de service principale. Il est admis que toute fonction située à (sous forme technique, physique ou logique) par un verbe et un
gauche d’une autre est de rang supérieur car elle répond à la complément. À cette fonction, on associe les performances à réa-
question « Pourquoi ? », c’est-à-dire qu’elle va dans le sens de la liser et toutes les performances représentant le besoin à satisfaire.
fonction supérieure du produit. Le graphe se construit progressi- Une fonction s’exerce dans le cadre d’une mission qui peut com-
vement sur une ligne baptisée « chemin critique » (initialement porter des phases différentes : on considère d’abord la phase prin-
appelé « chemin fondamental des fonctions »). Au-dessus ou en cipale puis les autres phases (contraintes) imposent des sous-
dessous d’une fonction, on place les fonctions qui se produisent fonctions. La description fonctionnelle se présente sous une forme
dans le temps, ou en même temps (on se pose la question arborescente de manière à hiérarchiser les fonctions et les flux
« Quand ? »). associés. La réalisation d’une fonction principale se construit à
ＱＲＲ
ｓＸＲＵＱ
La méthode introduit les concepts suivants :

• les fonctions qui échangent et transforment les données ;
• les données manipulées par les fonctions.
La méthode SADT® met en œuvre deux représentations com-
plémentaires :
• les actigrammes, dans lesquels les fonctions transforment les
données d’entrée en données de sortie, en respectant les
contraintes imposées pour cette transformation et en utilisant
certains moyens ou supports de l’activité ;
en vecteur « poussée » « poussée » à l’étage • les datagrammes, dans lesquels les données sont générées
par des fonctions de génération, utilisées par des fonctions
d’utilisation, sous la surveillance des activités de contrôle.
SADT® définit une décomposition fonctionnelle hiérarchisée entre
les différents niveaux de détail ; la décomposition à un niveau
donné doit faire apparaître des fonctions ou des données qui sont à
leur tour décomposées (approche descendante : top-down). Pour la
validation, on doit s’assurer que les entrées d’une fonction d’un
niveau donné se retrouvent dans sa décomposition, et celle-ci ne
doit produire que les sorties de la fonction de niveau supérieur.
L’accent est porté tout d’abord sur l’analyse et la spécification du
« Quoi » (ce que le système doit faire) et ensuite sur les considéra-
Ｔ
Figure 3 – Arbre fonctionnel RELIASEP® et flux
tions sur le « Comment » (avec quels moyens on réalise le « Quoi »).
SADT® utilise un seul type de boîte rectangulaire dont chacun des
base de sous-fonctions en répondant à la question : « Que faut-il quatre côtés possède une signification particulière (figure 4).
faire pour… ? »
Un diagramme SADT®, pour chaque niveau hiérarchique, est
Exemple constitué de trois à six boîtes pour que la représentation soit suf-
fisamment détaillée sans être trop complexe. La figure 5 repré-
La fonction principale : « fournir un vecteur “poussée” à l’étage d’un sente l’enchaînement des boîtes avec leurs relations entre les
moteur de fusée » fait appel aux sous-fonctions suivantes (figure 3) : entrées, les sorties et les contrôles. Elle donne également un
• « recevoir une énergie potentielle (ergols) » ; aperçu de la décomposition du bloc 1 à l’aide d’un diagramme de
• « transformer ces ergols en poussée » ; niveau hiérarchique inférieur.
• « transmettre cette poussée à l’étage ».
Cet exemple fait ressortir :

• la captation d’un flux d’entrée ;
• la transformation du flux ;
• la transmission d’un flux de sortie.
Ensuite, on construit un arbre superposé à l’arbre fonctionnel,
représentant les « matériels » répondant aux fonctions. Une sous-
fonction conduit à un sous-matériel. Le mécanisme étant amorcé,
la décomposition se poursuit pour atteindre le niveau des choix
technologiques retenus. L’arborescence de la méthode RELIA-
SEP® permet de mettre en évidence toutes les liaisons fonction- Figure 4 – Boîte utilisée par SADT®
nelles entre les divers matériels et toutes les interfaces du
système étudié : fonctions, contraintes et performances, matériels
et caractéristiques correspondants.
2.4 Méthode SADT®

La méthode SADT® (structured analysis and design technique
[3] est une méthode d’analyse et de conception des systèmes
importants et complexes en facilitant la communication entre spé-
cialistes de disciplines différentes. SADT est une méthode gra-
phique établie par D.T. Ross vers 1974.
Elle fournit des outils notamment pour :
• concevoir d’une façon structurée des systèmes vastes ou
complexes ;
• communiquer des résultats de l’analyse et de la conception
dans une notation claire et précise ;
• contrôler l’exactitude, la cohérence et, de façon générale, la
qualité de manière continue et systématique par des procé- Figure 5 – Boîte utilisée par SADT® Diagramme type SADT® avec
dures particulières de critiques et d’approbations. détail
ＱＲＳ
ｓＸＲＵＱ
2.5 Méthode IDEF0 la norme IDEF0. Un verbe à l’infinitif définissant l’action et la

valeur ajoutée de la fonction ainsi que son label Aijk d’identifica-
IDEF0 est une méthode dérivée de SADT. En décembre 1993, le tion doivent être obligatoirement fournis. Pour chaque niveau de
National institute of standards and technology (NIST) rend décomposition, le formalisme d’IDEF0 utilise la notion de nœud.
publique la norme de IDEF0 dans la publication Processing stan- De nombreux logiciels sont actuellement disponibles pour
dards publication 183. construire des diagrammes suivant le standard IDEF0 (VISIO 2007
de Microsoft Office, Edraw flowchart d’Edraw, Corel iGrafx IDEF0
IDEF0 est une méthode graphique particulièrement bien adap- 2007 de Corel).
tée pour une description fonctionnelle. Elle est donc surtout utili-
sée en phase de spécification d’un système ou d’un logiciel.
La description comprend une série de planches organisées de
façon hiérarchique descendante. Chaque planche est la décompo-
2.6 Méthode APTE®
sition en sous-fonctions d’une fonction du système. La décompo-
sition est arborescente et descend au niveau souhaité par Au début des années 1960, G. Barbey, alors consultant en
l’utilisateur. IDEF0 peut être utilisée dans tous les cas où l’on sou- France au sein du cabinet KBWhite, crée la méthode APTE à partir
haite analyser et décrire un système sous son aspect fonctionnel. des principes de l’analyse de la valeur. Depuis la création en 1964
La description peut tout aussi bien porter sur les fonctions rem- du cabinet APTE, la méthode est un ensemble formalisé et cohé-
plies par un élément matériel que sur la description d’un proces- rent de concepts logiques de raisonnement et d’outils méthodolo-
sus. IDEF0 a une structure hiérarchique, grâce à laquelle même les giques. Elle devient en France une méthode pour l’optimisation
modèles les plus complexes restent clairs, étant donné que les des produits, mais aussi des procédés, des équipements et des
détails sont représentés à différents niveaux. IDEF0 est donc sou- organisations. Le cabinet-conseil APTE® [5] développe une
vent utilisé pour représenter des processus. La figure 6 donne un méthode d’analyse fonctionnelle et d’analyse de la valeur APTE®,
exemple de modèles IDEF0. Les rectangles représentent les activi- rassemblant un ensemble formalisé de concepts, de logiques de
Ｔ tés. Les flèches qui viennent de gauche sont des entrées (I pour
inputs), celles qui partent vers la droite sont des sorties (O pour
outputs). Les flèches qui viennent du haut sont des commandes et
raisonnement et d’outils méthodologiques qui associe des
approches : fonctionnelle, systémique, qualitative et économique,
interdisciplinaire et participative. APTE® est utilisé pour la concep-
contrôles (C pour command), celles qui viennent du bas sont des tion ou la reconception du produit. La méthode APTE® utilise un
mécanismes support, techniques, humains ou organisationnel (M vocabulaire sensiblement diffèrent de celui recommandé par les
pour mechanism). Ces quatre termes forment l’ICOM décrit dans normes AFNOR et européennes :
Figure 6 – Principe d’une décomposition fonctionnelle suivant IDEF0
ＱＲＴ
ｓＸＲＵＲ
Sûreté de fonctionnement
des systèmes industriels complexes
Étude opérationnelle
Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur, Docteur ès sciences
Professeur des universités associé
1. Données de l’étude opérationnelle ............................................. S 8 252 – 2

1.1 Données de fiabilité ........................................................................... — 2
1.1.1 Paramètres ............................................................................... — 2
1.1.2 Estimateurs .............................................................................. — 2
Ｔ
1.1.3 Méthodes de calcul des estimateurs et intervalles
de confiance ............................................................................. — 2
1.1.4 Estimations des lois de probabilités ....................................... — 3
1.2 Banques de données .......................................................................... — 3
1.3 Précautions d’emploi des données de retour d’expérience.............. — 3
2. Conduite d’une étude opérationnelle ......................................... — 4
2.1 Management de la Sûreté de fonctionnement.................................. — 4
2.2 Assurance Sûreté de fonctionnement ............................................... — 4
2.3 Revue critique et audit ....................................................................... — 5
3. Conclusion........................................................................................ — 5
ans ce dossier, qui fait suite aux dossiers [S 8 250v2] et [S 8 251], nous
D examinons les aspects liés à l’étude opérationnelle de sûreté de fonction-
nement et à la conduite d’une étude prévisonnelle ou opérationnelle.
Les données de sûreté de fonctionnement sont essentielles pour toute étude
prévisionnelle et principalement quantitative. Elles sont de deux types : événe-
mentielles et fiabilistes.
Les données événementielles sont obtenues à l’aide d’études statistiques des
accidents et des expérimentations en grandeur nature. Elles concernent donc
l’aspect « macroscopique » et donnent des estimations du comportement d’un
système entier dans certaines circonstances (grand nombre d’événements
indiscernables ou non quantifiables). Elles sont surtout utiles pour l’évaluation
des risques (probabilité/gravité des conséquences) et donc de la sécurité.
Par contre, les données fiabilistes sont obtenues par des essais sur des com-
posants de base des systèmes dans des conditions données (événements dis-
cernables et quantifiables). Elles sont donc « microscopiques » et sont essen-
tielles pour les méthodes prédictives, décrites dans le dossier [S 8 251],
largement utilisées.
Dans les grandes entreprises performantes, l’utilisation de logiciels de GMAO
(gestion de maintenance assistée par ordinateur) qui incluent des modules de
collecte du retour d’expériences permet l’analyse de tous les paramètres asso-
ciés aux circonstances de l’apparition des défaillances et des temps consacrés à
la maintenance corrective ou préventive.
L’exploitation des systèmes de recueil de données de retour d’expérience sert
à évaluer les performances des systèmes opérationnels avec des indicateurs
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠､￩｣･ｭ｢ｲ･＠ＲＰＰＹ
quantitatifs tels que le MTTF (Mean Time To Failure), les taux de défaillance,
les temps de réparation et les temps de bon fonctionnement.

ＱＲＵ
Ｔ
ＱＲＶ
ｓＸＲＵＳ
Sûreté de fonctionnement
des systèmes industriels complexes
Exemples d’applications
Ingénieur de l’École nationale supérieure d’électrotechnique, d’électronique,
d’informatique et d’hydraulique et des télécommunications de Toulouse (ENSEEIHT)
Docteur-ingénieur, Docteur ès sciences
Professeur des universités associé
1. Système à deux composants identiques en redondance

active ................................................................................................. S 8 253 – 2
1.1 Présentation du système .................................................................... — 2
1.2
1.3
1.4
Utilisation des graphes de Markov ....................................................
Calcul de la disponibilité asymptotique ............................................
Calcul de la fiabilité ............................................................................
—
—
—
3
3
4
Ｔ
1.4.1 Cas général .............................................................................. — 4
1.4.2 Cas particulier .......................................................................... — 5
1.5 Calcul de la maintenabilité................................................................. — 6
2. Système de trois onduleurs avec voteur en 2/3........................ — 6
2.2 Calcul de la disponibilité instantanée et de la disponibilité
asymptotique ...................................................................................... — 7
2.2.1 Disponibilité instantanée ......................................................... — 7
2.2.2 Disponibilité asymptotique ..................................................... — 7
2.2.3 Influence du nombre de réparateurs ...................................... — 8
2.3 Calcul de la fiabilité ............................................................................ — 8
2.4 Calcul de la maintenabilité................................................................. — 10
2.5 Conclusions sur l’utilisation des chaı̂nes de Markov ........................ — 11
3. Arbre de défaillance pour un système de détection
d’incendie ......................................................................................... — 11
3.2 Construction de trois arbres de défaillance ...................................... — 11
3.3 Arbre réduit de complexité minimale................................................ — 12
3.4 Application de la méthode MOCUS pour la recherche de coupes
minimales ........................................................................................... — 13
3.5 Calcul de la probabilité de l’évènement redouté .............................. — 14
3.6 Correspondance entre l’arbre de défaillance et le bloc diagramme
de fiabilité associé.............................................................................. — 17
3.7 Calcul des facteurs d’importance....................................................... — 17
3.8 Conclusion sur les arbres de défaillance........................................... — 17
ans ce dossier, qui fait suite aux dossiers sur la sûreté de fonctionnement
D des systèmes industriels complexes :
– [S 8 250v2] « Principaux concepts » ;
– [S 8 251] « Analyse prévisionnelle » ;
– [S 8 252] « Étude opérationnelle »,
nous examinons trois types d’applications :
– un système à deux composants identiques en redondance active ;
– un système à trois onduleurs avec voteur en 2/3 ;
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠､￩｣･ｭ｢ｲ･＠ＲＰＰＹ
– un arbre de défaillance pour un système de détection d’incendie.

ＱＲＷ
ｓＸＲＵＳ
SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES INDUSTRIELS COMPLEXES ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
1. Système à deux Le MTTF se calcule facilement en évaluant :

∞
composants identiques MTTF = ∫ R (t )dt
en redondance active 0
3
et donne par intégration MTTF = = 15 000 h.
2λ
Rappels de définition La maintenabilité M(t) n’a pas de sens dans ce cas. En effet, si
La fiabilité R(t) est la probabilité que le système fonctionne l’on imagine que ce système est installé à bord d’un vaisseau spa-
sans panne sur l’intervalle de temps [0, t]. tial inhabité, il n’est pas possible d’envisager une réparation.
La maintenabilité M(t) est la probabilité que le système soit
remis en service à un instant t sachant qu’il est tombé en & Cas de composants réparables
panne à t = 0. La disponibilité A(t) d’un composant unique réparable se déduit
La disponibilité A(t) est la probabilité que le système ne soit aisément de la formulation suivante :
pas défaillant à l’instant t.
A (t + dt) = Probabilité (fonctionnement à t et pas de défaillance
sur [t + dt]) + Probabilité (panne à t et réparation à [t + dt ]).
1.1 Présentation du système
A (t + dt ) = A (t ) (1 − λdt ) + (1 − A (t )) µdt
Cet exemple a pour but d’illustrer les performances en termes
de fiabilité, disponibilité et maintenabilité d’un système com- Si dt est petit, on obtient l’équation différentielle :
Ｔ
posé de deux composants placés en parallèle lorsque ces com-
posants sont non réparables ou réparables. dA (t )
= µ − ( λ + µ ) A (t )
Il traite le cas d’une redondance active caractérisée par le fonc- dt
tionnement simultané d’un ensemble de deux composants mis
en parallèle remplissant les mêmes fonctions ou missions, un En supposant que la condition initiale A(0) = 1 est réalisée pour
seul de ceux-ci suffisant pour les réaliser. t = 0, il vient en intégrant :
µ λ
Le diagramme de fiabilité est du type parallèle comme le montre A (t ) = + exp ( − ( λ + µ )t )
la figure 1 et le seul état de panne est donné par les états de pan- λ+ µ λ+ µ
nes simultanés de X et de Y soit X ∩ Y ou bien noté par X • Y
En général, pour un système composé de N composants en
En effet, pour que le flux partant de l’entrée E ne puisse plus parallèle, avec autant de réparateurs disponibles qu’il y a de com-
atteindre la sortie S, il faut que les deux composants X et Y soient posants défaillants, l’indisponibilité globale s’exprime par :
défaillants (représentés par X ∩ Y ou bien noté par X • Y ).
1− A (t ) = Probabilité que tous les éléments
Pour les calculs, lors de l’hypothèse de composants réparables,
on suppose que les taux de défaillance (déf) et de réparation (rép) soient indisponible
es
sont les mêmes pour X et Y et respectivement constants et égaux à i =N
l et m. = ∏ (1 − Ai (t ))
i =1
Dans les applications numériques et les tracés de courbes avec
des logiciels spécialisés pour les calculs de R(t), A(t) et M(t) les D’où :
valeurs numériques sont identiques et égales respectivement à
i =N
λ = 0,0001 def / h et µ = 0,00005 rep / h A (t ) = 1 − ∏ (1 − Ai (t ))
i =1
(la valeur prise pour le taux de réparation n’est pas une valeur réa- Pour le système à deux éléments X et Y identiques, il vient :
liste et elle a été choisie pour obtenir des courbes à usage
pédagogique). µ λ
1 − AX (t ) = 1 − AY (t ) = 1 − − exp ( − ( λ + µ )t )
& Cas de composants non réparables λ+ µ λ+ µ
Dans ce cas, la fiabilité R(t) et la disponibilité A(t) coı̈ncident et =

λ
λ+ µ
(
1 − exp ( − ( λ + µ )t ) )
ont respectivement pour expression :
D’où :
R (t ) = A (t ) = 1 − (1 − exp ( − λt ))
2
2
⎛ λ ⎞
puisque l’on traite de deux composants en parallèle. A (t ) = 1 − ⎜
⎝ λ + µ ⎟⎠
(1 − exp (− ( λ + µ )t ))2
Le calcul de la disponibilité asymptotique A• s’obtient en éva-
X
luant l’expression précédente quand t tend vers l’infini, ce qui
E S donne :
µ2 + 2 λµ
Y A∞ =
( λ + µ )2
Figure 1 – Système redondant
L’application numérique conduit à A• = 0,55555556.

ＱＲＸ
ｓＸＲＵＳ
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES INDUSTRIELS COMPLEXES
Disponibilité A (t )
l 1 l
0,9
m 0,8
m
0 3
l l 0,7
0,6
m m
2
0,5
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h)
Figure 2 – Graphe de Markov
a simulation avec logiciel
1.2 Utilisation des graphes de Markov 1
Disponibilité A (t )
L’utilisation des graphes de Markov permet d’obtenir des résul- 0,9
tats identiques et ce paragraphe illustre comment il est possible 0,8
d’obtenir les valeurs de R(t), A(t) et M(t) en faisant des calculs for-
0,7
mels ou bien en utilisant des logiciels spécialisés commerciaux en
sûreté de fonctionnement. 0,6
Pour deux blocs redondants actifs en parallèle, en notant 0 l’état 0,5

0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
normal (0 élément en panne), 1 l’état avec X en panne, 2 l’état avec Temps (× 10 000 h)
Y en panne, 3 l’état où deux éléments sont en panne et Pi(t) la pro-
Ｔ
b calcul théorique
babilité d’être dans l’état i, le graphe de Markov associé est repré-
senté sur la figure 2.
Figure 3 – Comparaison des courbes de A(t) théorique et simulée
Les probabilités Pi(t) des quatre états s’obtiennent avec les équa- avec le logiciel Relex
tions différentielles suivantes :
0 = − λP0 (t ) + µP1 (t ) − λP0 (t ) + µP2 (t )
dP0 (t ) 0 = + λP0 (t ) − µP1 (t ) − λP1 (t ) + µP3 (t )
=− λP0 (t ) + µP1 (t ) − λP0 (t ) + µP2 (t ) 0 = + λP0 (t ) − µP2 (t ) − λP2 (t ) + µP3 (t )
dt
dP1 (t ) 0 = + λP1 (t ) − µP3 (t ) − λP2 (t ) − µP3 (t )
=+ λP0 (t ) − µP1 (t ) − λP1 (t ) + µP3 (t )
dt
dP2 (t ) La résolution est celle d’un système homogène : il faut utiliser
=+ λP0 (t ) − µP2 (t ) − λP2 (t ) + µP3 (t )
dt obligatoirement la relation :
(
dP3 t ) P0 + P1 + P2 + P3 = 1
=+ λP1 (t ) − µP3 (t ) − λP2 (t ) − µP3 (t )
dt
Cela revient à résoudre le système :
ou
− λP0 + µP1 − λP0 + µP2 = 0
⎡ dP0 (t ) ⎤
⎥⎢ ⎥
⎡ ⎤⎡ ⎤
− 2λ µ µ 0 P0 (t ) + λP0 − µP1 − λP1 + µP3 = 0
⎢
⎢ dt ⎥
⎢ dP (t ) ⎥ + λP0 − µP2 − λP2 + µP3 = 0
⎢ 1 ⎥ λ − ( λ + µ) 0 + µ ⎥ ⎢ P1 (t ) ⎥
⎢ dt ⎥ = ⎢ ⎥⎢ P0 + P1 + P2 + P3 = 1
⎢ dP2 (t ) ⎥
− ( λ + µ) + µ ⎢P2 (t )⎥
⎢
⎢ dt ⎥ λ 0
⎥ ⎥ Tous calculs faits, il vient :
⎢ dP (t ) ⎥
⎢ 3 ⎥ 0 λ −λ − 2 µ P3 (t ) µ2
⎢⎣ dt ⎥⎦ ⎣⎢ ⎦⎣ ⎦ P0 =
( λ + µ) 2
λ 1
P1 =
En intégrant le système d’équations par la transformée de µ ( λ + µ )2
Laplace et en supposant la condition initiale P0(0) = 1 sachant que λ 1
pour un système redondant actif, la disponibilité instantanée est P2 =
µ ( λ + µ )2
donnée par :
A (t ) = P0 (t ) + P1 (t ) + P2 (t ) Soit après regroupement :

µ2 + 2 λµ
La résolution donne le même résultat que le calcul formel : A∞ =
( λ + µ )2
2
⎛ λ ⎞
A (t ) = 1 − ⎜
⎝ λ + µ ⎟⎠
(
1 − exp ( − ( λ + µ )t ) )2 La valeur est identique à la valeur obtenue avec la méthode
précédente.
Pour des systèmes beaucoup plus complexes, des logiciels spé-
1.3 Calcul de la disponibilité cialisés (cf. [Doc. S 8 250v2]) permettent avec des algorithmes
asymptotique d’intégrations numériques d’obtenir les solutions des équations
différentielles donnant les probabilités de chacun des états. La
Il est toujours important de connaı̂tre la valeur que prend la dis- figure 3 donne les comparaisons des courbes obtenues avec le cal-
ponibilité quand le temps prend une valeur proche de la fin de vie cul théorique avec celle obtenue avec un logiciel spécialisé. On
du système. Cette disponibilité asymptotique A• s’obtient en obser- constate qu’elles sont identiques (en général la précision est iden-
vant que les dérivées s’annulent quand le temps t tend vers l’infini. tique à la sixième décimale près).

ＱＲＹ
ｓＸＲＵＳ
1 l l
1
Disponibilité A(t)
0,9
m
0 3
0,8 l l
0,7 m 2
Système réparable (2 réparateurs)
0,6
Figure 5 – Graphe de Markov associé au calcul de R(t)
0,5
0,4
1,2
Fiabilité R (t)
0,3
Système non réparable 1
0,2
0,1
0,8
0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h) 0,6
Figure 4 – Allures de la disponibilité A(t) avec et sans réparation

0,4
Ｔ La figure 4 montre l’influence de la réparation sur l’allure de la

disponibilité A(t). Pour un système réparable, la valeur asympto-
tique est une constante alors que pour un système non réparé la
0,2
disponibilité A(t) tend vers 0 (dans ce cas A(t) est identique à R(t)).
0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h)
1.4 Calcul de la fiabilité
Figure 6 – Allure de R(t) théorique pour un système réparable
1.4.1 Cas général (2 réparateurs)
En rappelant que la fiabilité R(t) est la probabilité que le système ⎧ p + ( λ + µ)

⎪P0 (p ) = 2
fonctionne sans panne sur l’intervalle de temps [0-t] (donc sans ⎪ p + p (3 λ + µ ) + 2 λ2
être réparé sur l’intervalle de temps [0-t]), il est nécessaire de tracer ⎪⎪ λ
un autre graphe de Markov où l’on interdit la réparation. Le graphe ⎨P1 (p ) = 2
de Markov associé alors à R(t) est représenté sur la figure 5. ⎪ p + p (3 λ + µ ) + 2 λ2
⎪ λ
En notant 0 l’état normal (0 élément en panne), 1 l’état avec un ⎪P2 (p ) = 2
élément en panne (X), 2 l’état avec un élément en panne (Y), ⎪⎩ p + p (3 λ + µ ) + 2 λ2
3 l’état où deux éléments sont en panne et Pi (t) la probabilité
d’être dans l’état i, les probabilités Pi (t) s’obtiennent avec les équa- La résolution inverse par la transformée de Laplace donne :
tions différentielles suivantes :
⎧ ( ) 1
⎪P0 t = R − R ⎡⎣(R1 + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦
⎧ dP0 (t ) ⎪ 1 2
⎪ dt = − λP0 (t ) + µP1 (t ) − λP0 (t ) + µP2 (t ) ⎪ ( ) λ
⎪ ⎨P1 t = ⎡exp (R1t ) − exp (R2t )⎤⎦
⎪ dP1 (t ) ⎪ R1 − R2 ⎣
() ()
⎪⎪ dt = + λP0 t − µP1 t − λP1 t
()
⎪ λ
⎨ ⎪P2 (t ) = ⎡exp (R1t ) − exp (R2t )⎤⎦
⎪ dP2 (t ) = + λP (t ) − µP (t ) − λP (t ) ⎩ R1 − R2 ⎣
⎪ dt 0 2 2
⎪ ()
⎪ dP3 t = + λP (t ) − λP (t ) où R1 et R2 sont racines de l’équation de l’équation du second degré :
⎪⎩ dt 1 2
p 2 + p (3 λ + µ ) + 2 λ2 = 0
La probabilité P3 se déduit de : La fiabilité R(t) est donc la somme P0(t) + P1(t) + P2(t), soit :
1
P0 (t ) + P1 (t ) + P2 (t ) = 1 R (t ) = ⎡(R + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦
R1 − R2 ⎣ 1
λ
+2 ⎡exp (R1t ) − exp (R2t )⎤⎦
Le calcul de la fiabilité R(t) s’obtient en partant d’une condition R1 − R2 ⎣
initiale unitaire sur P0(t) puis en calculant :
Finalement :
R (t ) = P0 (t ) + P1 (t ) + P2 (t )
1
R (t ) = ⎡(R + 3 λ + µ ) exp (R1t ) − (R2 + 3 λ + µ ) exp (R2t )⎤⎦
R1 − R2 ⎣ 1
En prenant la transformée de Laplace p du système d’équations,
avec la condition initiale P0(0) = 0, il vient : La figure 6 montre l’allure de R(t) à partir du calcul littéral précédent.

ＱＳＰ
ｓＸＲＵＳ
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES INDUSTRIELS COMPLEXES
Dans le cas des systèmes complexes, on fait appel pour l’intégra- La résolution par la transformée de Laplace donne, si la condi-
tion des équations différentielles à des logiciels spécialisés tion est unitaire pour P0(0) = 0 :
(cf. [Doc. S 8 250v2]). La figure 7 montre la comparaison de la
courbe théorique avec celle obtenue avec le logiciel de simulation ⎪⎧pP0 (p ) − 1 = − 2 λP0 (p ) + µP1 (p )
⎨
spécialisé Relex. On peut constater que les résultats sont stricte- ⎪⎩pP1 (p ) = + 2 λP0 (p ) − µP1 (p ) − λP1 (p )
ment identiques.
Pour montrer l’influence de la réparation sur les performances Soit :
⎧ p+ µ+ λ
⎪⎪P0 (p ) = p 2 + p (3 λ + µ ) + 2 λ2
d’un système, la figure 8 montre les tracés des courbes R(t) avec
et sans réparateur. On constate logiquement qu’avec la réparation
la fiabilité est légèrement supérieure (compte tenu des valeurs ⎨ 2λ
⎪P1 (p ) = 2
numériques retenues). ⎪⎩ p + p (3 λ + µ ) + 2 λ2
À partir du calcul formel de R(t), on peut calculer facilement
MMTF : Puis après transformation de Laplace inverse, on obtient :
∞
⎧ 1
MMTF = ∫ R (t ) dt ⎪P0 (t ) = R − R ⎡⎣(R1 + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦
0
⎪ 1 2
⎨
⎪P (t ) = 2 λ ⎡exp (R t ) − exp (R t )⎤
ce qui donne après intégration : ⎪⎩ 1 R1 − R2 ⎣ 1 2 ⎦
1 ⎛ 1 1⎞ 3 µ où R1 et R2 sont racines de l’équation du polynôme

MTTF = (R + 3 λ + µ ) R − (R2 + 3 λ + µ ) R ⎟ = 2 λ + 2 λ2
R2 − R1 ⎜⎝ 1 1 2⎠
p 2 + p (3 λ + µ ) + 2 λ2 = 0
L’application numérique donne MTTF = 17 500 h et l’utilisation d’un
logiciel spécialisé fournit une valeur égale à 17 500 h. La fiabilité R(t) est donc la somme P0(t) + P1(t), soit : Ｔ
1.4.2 Cas particulier 1
R (t ) = ⎡(R + λ + µ ) exp (R1t ) − (R2 + λ + µ ) exp (R2t )⎤⎦
R1 − R2 ⎣ 1
Si les deux blocs sont identiques, on peut simplifier le graphe de
λ
Markov en fusionnant les états 1 et 2 du schéma précédent car les +2 ⎡exp (R1t ) − exp (R2t )⎤⎦
blocs X et Y sont équivalents pour le fonctionnement d’un système R1 − R2 ⎣
en redondance active. On obtient alors le graphe de la figure 9. 1
= ⎡(R + 3 λ + µ ) exp (R1t ) − (R2 + 3 λ + µ ) exp (R2t )⎤⎦
Les trois équations différentielles associées deviennent alors : R1 − R2 ⎣ 1
⎧ dP0 (t ) 1 ⎛ 1 1⎞ 3 µ
⎪ dt = − 2 λP0 (t ) + µP1 (t )
MTTF = (R + 3 λ + µ ) R − (R2 + 3 λ + µ ) R ⎟ = 2 λ + 2 λ2
R2 − R1 ⎜⎝ 1 1 2 ⎠
⎪
⎪ dP1 (t )
⎨ = + 2 λP0 (t ) − µP1 (t ) − λP1 (t )
⎪ dt 1,2
Fiabilité R (t)
⎪ dP2 (t )
⎪ = + λP1 (t )
⎩ dt
1
0,8
1
Fiabilité R (t)
0,8
0,6
0,6
0,4 Système parallèle réparable
0,2 0,4
0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
0,2
Temps (× 10 000 h) Système parallèle
non réparable
a simulation avec un logiciel
0
1 0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Fiabilité R (t)
Temps (× 10 000 h)
0,8
0,6 Figure 8 – Allures de R(t) avec et sans réparateur
0,4
0,2 2l l
0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h) 0 1 2
b calcul théorique m
Figure 7 – Allures de R(t) théorique et simulée Figure 9 – Graphe de Markov à trois états

ＱＳＱ
ｓＸＲＵＳ
On obtient exactement les mêmes résultats mais seulement avec de M(t) théorique et simulée avec un logiciel dédié. On constate
trois états au lieu de quatre comme dans le cas précédent. que les deux courbes sont strictement identiques et que la mainte-
nabilité M(t) tend vers 1 quand t tend vers l’infini.
1.5 Calcul de la maintenabilité

La probabilité que le système ne soit pas réparé à l’instant t est
égale à 1 - M(t) avec M(t) la maintenabilité ; elle est aussi égale à la 2. Système de trois onduleurs
probabilité que tous les éléments N ne soient pas réparés :
i =N i =N
avec voteur en 2/3
∏ (Probabilité (élément i non réparé)) = ∏ (1 − Mi (t ))
i =1 i =1
Pour le système à deux composants X et Y, il vient, avec :

2.1 Présentation du système
MX (t ) = MY (t ) = 1 − exp ( − µt ) Un onduleur est un appareil permettant d’améliorer la qualité
de l’énergie électrique. Il se place en amont de récepteurs sen-
D’où la valeur de M(t) : sibles tels que les ordinateurs et leurs périphériques. On se
propose d’étudier les performances d’un ensemble d’ondu-
( )
M (t ) = 1 − (1 − Mx (t )) 1 − My (t ) = 1 − exp ( − 2 µt )
leurs en redondance 2/3 conformément au schéma de la
figure 12.
On peut déduire MTTR à partir des résultats précédents par le

L’indisponibilité n’est plus la seule grandeur à considérer : MTTF
Ｔ
calcul de l’intégrale :
permet de connaı̂tre le temps moyen avant la première coupure sur
∞ ∞ l’application. On est amené à construire le graphe d’états. Les trois
1
MTTR = ∫ (1 − M (t ))dt = ∫ (1 − exp (− 2µt ))dt = 2µ onduleurs sont identiques, ce qui permet de grouper les états cor-
0 0 respondant au même nombre d’onduleurs en panne. Les taux de
défaillance et de réparation des onduleurs sont notés l et m.
Le calcul de M(t) peut également s’obtenir en utilisant un graphe
de Markov dédié comme le montre la figure 10 :
1
Maintenabilité M (t)
Dans ce cas, le graphe est construit en partant de l’état de panne

3 avec une condition initiale égale à 1 : on suppose que les blocs X 0,8
et Y sont identiques comme dans le cas précédent (§ 1.4.2) et que 0,6
l’on dispose de deux réparateurs (alors le taux de réparation est 0,4
égal à 2 m).
0,2
Sachant que le système est dans l’état de panne totale 3, les
équations décrivant les états deviennent alors : 0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h)
⎧ dP0 (t )
⎪ dt = − 2 λP0 (t ) + µP1 (t ) a simulation avec un logiciel
⎪
⎪ dP1 (t )
⎨ = + 2 λP0 (t ) − µP1 (t ) + 2 µP2 (t ) 1
Maintenabilité M (t)
⎪ dt 0,8
⎪ dP2 (t )
⎪ = − 2 µP2 (t ) 0,6
⎩ dt
0,4
L’étude de ce système montre que seule la dernière équation est 0,2
suffisante pour calculer P2(t). Sachant que la condition initiale est 0
égale à P2(0) = 1, on obtient : 0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Temps (× 10 000 h)
P2 (t ) = exp ( − 2 µt ) b calcul théorique
D’où : Figure 11 – Courbes théorique et simulée avec logiciel dédié de M(t)
M (t ) = 1 − P2 (t ) = 1 − exp ( − 2 µt )
Pour les systèmes complexes, il faut faire appel à des logiciels Onduleur 1 Onduleur 2 Onduleur 3
spécialisés (cf. [Doc. S 8 250v2]) et la figure 11 montre les courbes
2l
0 1 2 Voteur
2/3
m 2m
Figure 10 – Graphe de Markov pour le calcul de la maintenabilité M(t) Figure 12 – Système industriel avec trois onduleurs avec vote en 2/3

ＱＳＲ
ｓＸＲＵＷ
Cybersécurité des installations

industrielles
SCADA et Industrial IoT
par Jean-Marie FLAUS
Professeur
GSCOP, Université Grenoble Alpes, Grenoble
1. Évolution de la menace ......................................................................... S 8 257 - 2

2. Définitions et notions de base ............................................................ — 2
3.
4.
Architecture des systèmes de contrôle industriel (ICS) ..............
Attaques.....................................................................................................
—
—
4
7
Ｔ
5. Vulnérabilités des systèmes industriels ........................................... — 8
6. Principaux guides et normes ............................................................... — 11
7. Aspects réglementaires......................................................................... — 14
8. Cybersécurité et sûreté de fonctionnement.................................... — 15
9. Méthodes et outils d’analyse ............................................................... — 16
10. Démarche générale pour sécuriser un ICS....................................... — 20
11. Solutions techniques.............................................................................. — 22
12. Conclusion................................................................................................. — 23
13. Glossaire .................................................................................................... — 24
Pour en savoir plus .......................................................................................... Doc. S 8 257
ans le monde actuel, beaucoup de systèmes physiques sont pilotés par

D des systèmes informatiques. La quasi-totalité des systèmes industriels,
les systèmes de distribution d’eau et d’énergie, les systèmes de transport ou
même les appareils du quotidien sont dans ce cas. Ces systèmes sont de plus
en plus interconnectés via Internet et sont donc une cible importante
d’attaques informatiques malveillantes. Les conséquences peuvent aller d’un
arrêt de production ou une perte de service, dans le cas d’un site de fabrication
ou d’une infrastructure de distribution d’énergie électrique, à la mise en jeu de
la vie humaine dans le cas d’un site chimique à risque ou d’un véhicule.
Le projet Aurora, en 2007, a démontré qu’une modification logicielle pouvait
entraîner la destruction physique d’une installation. Peu de temps après, en
2010, le célèbre virus Stuxnet a entraîné la destruction des installations ira-
niennes de séparation d’uranium.
Cette menace est donc réelle, et la maîtrise de ce cyber-risque par les opéra-
teurs d’infrastructures critiques, les exploitants d’installations industrielles et
les fabricants de produits devient incontournable. Elle l’est d’autant plus que
les pouvoirs publics ont commencé à mettre en place une réglementation
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｮｯｶ･ｭ｢ｲ･＠ＲＰＱＸ
comme la directive NIS qui s’applique à partir de 2018.
Copyright © – Techniques de l’Ingénieur – Tous droits réservés S 8 257 – 1
ＱＳＳ
ｓＸＲＵＷ
CYBERSÉCURITÉ DES INSTALLATIONS INDUSTRIELLES ____________________________________________________________________________________
Cependant, la cybersécurité des installations industrielles pose des pro-

blèmes spécifiques par rapport aux systèmes informatiques de traitement de
l’information.
En effet, les contraintes de fonctionnement sont différentes, le cycle de vie
est plus long, ce qui nécessite une prise en compte de l’existant, les équipe-
ments sont très hétérogènes et la culture des intervenants n’est pas la même
que dans le monde informatique.
Pour aider les industriels dans leur démarche, différentes instances de nor-
malisation et instituts en charge de la sécurité numérique ont proposé des
normes et des guides. Une des plus importantes normes est la IEC 62443, éla-
borée par l’ISA.
Dans cet article, après avoir détaillé les spécificités des installations indus-
trielles et leurs principales vulnérabilités, nous présentons les principales
approches et les solutions méthodologiques et techniques pour gérer les
risques liés à la cybersécurité.
Ｔ 1. Évolution de la menace 2. Définitions et notions

de base
La cybersécurité des installations industrielles, des systèmes
cyberphysiques et plus généralement des systèmes d’IIoT (Indus-
trial IoT) est une problématique très actuelle. La cybercriminalité
se développe de façon importante ces dernières années [2][3] : de
2.1 Systèmes étudiés
nombreux systèmes informatiques de traitement de l’information ■ Système d’information
(IT) font l’objet d’attaques qui peuvent se propager rapidement et
avoir un impact important, comme Wanacry. L’évolution des ins- Un système d’information (SI) est un ensemble organisé de res-
tallations industrielles (OT), pour lesquelles on assiste à une sources physiques, logicielles, organisationnelles ou humaines
convergence technologique avec le monde de l’informatique clas- permettant d’acquérir, de traiter, de stocker des informations (sous
sique et une interconnexion de plus en plus poussée entre les sys- forme de données, textes, images, sons, etc.) dans et entre des
tèmes, les rend de plus en plus vulnérables. Le futur proche dans organisations.
lequel les installations de production seront de plus en plus com- ■ Système d’information industriel ou ICS (Industrial Control Sys-
posées d’objets connectés entre eux et accessibles depuis l’Inter- tem)
net augmente encore cette vulnérabilité.
Un système d’information industriel ou un système de com-
La convergence de l’IT et de l’OT apporte des avantages évi- mande industriel (ICS) est un système composé d’un système
dents aux entreprises, notamment en réduisant les coûts et en d’information classique auquel s’ajoute des équipements spéci-
augmentant la performance et la flexibilité, mais elle introduit fiques pour le contrôle et la mesure qui permettent d’interagir
aussi les problèmes de sécurité informatique dans le monde de avec le monde physique. Cette définition inclut les SCADA (Super-
l’OT. visory control and data acquisition), les SIS (Safety Instrumented
Systems) et les DCS (Distributed Control Systems). Une architec-
Depuis les années 1960, des systèmes informatiques ont été uti- ture générique est présentée sur la figure 4.
lisés pour piloter des systèmes physiques. Cependant, ces sys-
tèmes informatiques se sont révélés difficiles à installer et à Dans cet article, nous nous intéressons à la sécurité de sys-
programmer. C’est la raison pour laquelle un nouvel équipement, tèmes composés d’une partie informatique et d’une partie phy-
appelé « automate » ou « PLC », a été développé par Modicon en sique. On parle de système « cyberphysique ».
1968. Il permettait de faciliter l’installation matérielle et offrait un ■ Biens ou actifs
langage de programmation simplifié.
Dans le cadre de l’analyse des risques, les différents éléments des
Dans une première phase, ces systèmes ont été utilisés pour systèmes étudiés sont appelés « biens » ou « actifs », traduction de
contrôler de grosses installations fixes. Puis, avec la miniaturisa- l’anglais « assets ». Un bien est un élément ou une ressource du
tion, ces systèmes ont été embarqués dans les systèmes phy- système étudié. On rencontre différentes catégories de biens :
siques et ont fini par donner naissance à des appareils compacts • matériel : cela comprend les systèmes d’ordinateurs et autres
possédant une certaine capacité de traitement et de communica- dispositifs de traitement de données, de stockage de données
tion, les systèmes cyberphysiques. Dans de nombreux cas, ces et de communication de données ;
systèmes peuvent se connecter directement à Internet en utilisant
les protocoles de communication du monde informatique, ce qui a • logiciel : dans cette catégorie, on trouve les systèmes
conduit à l’émergence de l’Internet des objets. Les problèmes de d’exploitation, les utilitaires système et les applications ;
sécurité informatique ont alors commencé à se poser avec acuité. • données : cela comprend les fichiers et bases de données,
ainsi que les données relatives à la sécurité, telles que
Ce petit détour historique est important car il explique la diffé- fichiers de mots de passe ;
rence de culture entre le monde OT et IT, et explique pourquoi le
monde OT, initialement moins concerné par les questions de • installations et réseaux de communication : ce sont les équi-
sécurité informatique, a finalement été rattrapé par ces problèmes pements permettant la communication par le réseau local et
et pourquoi la menace, qui est maintenant réelle, ne fait que étendu comme les routeurs, switch, etc.
s’accroître. Un bien est géré par un propriétaire ou dépositaire (owner).
S 8 257 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés
ＱＳＴ
ｓＸＲＵＷ
_____________________________________________________________________________________ CYBERSÉCURITÉ DES INSTALLATIONS INDUSTRIELLES
possède
Dépositaires
souhaite minimiser
diminue
Mesures
impose de sécurité possède
Vulnérabilités
exploite
Risque
engendre
augmente pour
Source Biens
Menace
de menace génère pour
Souhaite abuser ou endommager
Figure 1 – Relations entre les notions (d’après ISO/IEC 15408-1 : 2009)

Ｔ
2.2 Sécurité de l’information ■ Mesure de sécurité ou contre-mesure
C’est une mesure qui permet de contrer une attaque informa-
La cybersécurité concerne la sécurité informatique des sys- tique. Une mesure peut être technique, agir sur le facteur humain
tèmes connectés à Internet et appartenant au cyberespace. Les ou concerner les aspects organisationnels. Elle peut viser à préve-
cyberattaques sont des attaques informatiques menées depuis le nir une attaque, la détecter ou permettre une récupération efficace
cyberespace, s’ajoutant aux menaces existantes pour les sys- après une attaque. L’ensemble des mesures déployées doit per-
tèmes d’information. mettre d’obtenir un niveau de risque acceptable.
■ Menace ■ Critères DIC

Une menace est un phénomène ou une action qui peut potentielle- La sécurité des systèmes d’information est abordée en général
ment générer des dommages. Une menace est générée par une en caractérisant trois critères de base (DIC) :
source de menace ou une source de danger. Un exemple de menace • la disponibilité correspond à la propriété d’assurer le service
peut être l’effacement volontaire des données. La source de la menace pour un équipement ou à être accessible pour une donnée au
peut être une personne malveillante sur le site ou un hacker agissant moment utile ;
depuis Internet. Un autre exemple de menace peut être la destruction • l’intégrité est la caractéristique d’une information de n’être
des données par l’eau, la source pouvant être une inondation. modifiée que par des personnes autorisées et selon un pro-
cédé défini ;
■ Vulnérabilité
• la confidentialité est définie comme la propriété d’une infor-
Dans le cadre de la sécurité des systèmes d’information, le mation de n’être accessible qu’à ceux dont l’accès est auto-
terme « vulnérabilité » est utilisé pour désigner une faiblesse d’un risé.
système d’information. Cette faiblesse peut provenir de la concep-
tion, de l’intégration ou de l’exploitation d’un système ou d’un À ces trois critères de base s’ajoute dans certains cas un critère
équipement. appelé « preuve » qui est la propriété d’un bien permettant de
retrouver avec un niveau de confiance donné les circonstances
■ Attaque dans lesquelles le bien évolue.
D’autres critères reliés peuvent être considérés, comme :
Une attaque est une action malveillante destinée à porter
atteinte à la sécurité de l’information ou des équipements. Une • l’authenticité : propriété d’une entité d’être bien celle qu’elle
attaque représente la concrétisation d’une menace, et nécessite prétend être, s’applique aux utilisateurs, informations, appli-
l’exploitation d’une vulnérabilité. cations ;
• la non-répudiation : capacité à imputer une action à un utili-
■ Risque sateur unique et identifié ;
De façon générale, un risque est défini comme étant l’occur- • la traçabilité des actions menées : capacité à retrouver les
rence d’un événement incertain, non souhaité, pouvant entraîner actions réalisées.
des effets dommageables pour un système. Il est caractérisé par
la vraisemblance ou la probabilité de l’événement non souhaité et La cryptographie est l’une des techniques de base pour sécuri-
par la gravité des conséquences. ser les systèmes d’information. Les contenus sont chiffrés en utili-
sant une méthode ou un algorithme qui permet de transformer un
L’objectif du management des risques en sécurité de l’informa- message pour le rendre inintelligible. Cette technique est
tion est essentiellement de diminuer les vulnérabilités pour ancienne et existe depuis l’Antiquité. Son point faible était le
réduire le risque puisque le potentiel de danger des attaquants besoin de transmettre la méthode de chiffrement et de déchiffre-
n’est pas maîtrisable. ment à toutes les parties. En 1976, Whitfield Diffie et Martin
ＱＳＵ
ｓＸＲＵＷ
Hellman [4], de l’université de Stanford, proposent un principe de Par rapport aux systèmes informatiques classiques, les systèmes
chiffrement entièrement nouveau : la cryptographie à clé de contrôle industriels doivent répondre à un certain nombre de
publique, ou asymétrique. Cette technique permet de distribuer contraintes spécifiques, comme l’aspect temps réel imposé par le
une clé pour chiffrer un message, mais cette clé ne permet pas de système physique ou la durée de vie.
le déchiffrer. Ce principe a été repris dans le système RSA. Pour désigner les ICS, on rencontre les termes DCS (systèmes de
contrôle distribué) ou SCADA (Supervisory Control and Data Acqui-
sition), le premier terme étant plutôt réservé aux systèmes prove-
Cryptographie asymétrique nant d’un fournisseur unique, le second aux systèmes constitués
d’appareils et de logiciels de différents fabricants et mis en place par
De façon imagée le principe est le suivant : si Alice doit rece- un intégrateur. Le terme « IACS » a été proposé par l’ISA dans les
voir un message de Bob, mais qu’elle ne fait pas confiance au années 2000 et a été repris sous une forme simplifiée, « ICS », dans
facteur qui pourrait ouvrir sa lettre, elle va d’abord envoyer à le guide NIST 800-82 en 2008. Cette nouvelle dénomination rend
Bob une boîte à code chiffré ouverte, dont elle seule possède progressivement obsolètes les termes « DCS » et « SCADA ».
le code. Bob va placer son message dans la boîte, et la fermer,
avant de l’envoyer à Alice. Le facteur ne pourra donc pas Un ICS inclut en effet les services de SCADA et les différents élé-
ouvrir la boîte, puisque seule Alice possède la clé. Ainsi, un ments d’un DCS. Cependant, sa définition dans la norme IEC 62443
système cryptographie à clé publique est en fait basé sur deux est plus large et elle comprend aussi le personnel, le logiciel et les
clés : éléments matériels permettant de piloter de façon fiable et sûre un
– une clé publique, pouvant être distribuée librement, c’est processus industriel. On y trouve des éléments qui peuvent être :
la boîte ouverte ; • des contrôleurs logiques programmables (PLC) ;
– une clé secrète, connue uniquement du receveur, c’est le
code de la boîte. • des unités terminales distantes (RTU) ;
• des appareils électroniques intelligents (IED) ;
Ｔ
C’est la raison pour laquelle on parle de chiffrement asymé-
trique. • des logiciels de contrôle et d’acquisition de données
D’un point de vue mathématique, on dispose d’une fonction (SCADA) ;
P sur les entiers, qui possède un inverse S. On suppose qu’on • des systèmes instrumentés de sécurité (SIS) ;
peut fabriquer un tel couple (P, S), mais que connaissant uni-
quement P, il est impossible (ou au moins très difficile) de • des interfaces homme-machine pour les opérations de
retrouver S. Autrement dit, il faut déterminer mathématique- contrôle et de fabrication et les actions de sécurité (HMI) ;
ment des fonctions difficilement inversibles, ou « à sens • des systèmes d’information associés, tels que le contrôle
unique ». L’exponentiation modulaire est une telle fonction et avancé/multivariable, les optimiseurs en ligne, les moniteurs
est utilisée dans la méthode de Diffie-Hellman. d’équipements dédiés, les logiciels d’historique, etc.
Un automate programmable, ou PLC, assure une fonction essen-
tielle dans l’automatisation d’un système : il permet de déclencher ou
moduler des actions physiques en fonction de grandeurs observées
3. Architecture des systèmes de façon à réaliser le fonctionnement séquentiel et piloter les asser-
vissements d’un système (BCPS : Basic Control Process System).
de contrôle industriel (ICS) Pour simplifier l’utilisation des PLC, un certain nombre de lan-
gages spécifiques ont été définis. Ceux-ci, décrits dans la norme
IEC 61131-3, sont :
3.1 Composants d’un système • le schéma à contacts ou Ladder diagram (LD) ;
de contrôle industriel • le diagramme fonctionnel (FBD – Fonctional Block Diagram) ;
En termes d’architecture, nous pouvons différencier plusieurs • le diagramme séquentiel (SFC), proche du GRAFCET ;
classes de système. Tout d’abord les installations industrielles, • le texte structuré (ST), proche du langage PASCAL ;
qui peuvent peut-être relativement localisées (usine de produc-
tion) ou s’étendre sur un territoire (distribution d’eau ou d’énergie • la liste d’instructions (IL), proche de l’assembleur.
par exemple). Une seconde catégorie est constituée par les Un automate n’est donc pas programmé dans un langage infor-
systèmes embarqués (transport par exemple), qui peuvent être matique classique. Le programme réalisé dans l’un de ces cinq
connectés entre eux ou à un centre de supervision. Ces deux langages est soit compilé en un exécutable, soit interprété. Pour
types d’architecture sont en train de converger vers un « Internet réaliser ces tâches, une station de développement est utilisée et
des objets industriels ». est souvent présente en permanence dans un ICS.
Les systèmes de contrôle industriel (ICS) se composent : L’automate est connecté au système à contrôler par des cap-
teurs et des actionneurs. Les capteurs permettent de mesurer des
• d’une part, d’un système de traitement de l’information,
informations comme la température, la pression, le niveau, la
proche d’un système classique, composé de postes de travail,
position ou la présence d’objets. Les actionneurs permettent
de serveurs et d’équipements réseau, d’imprimantes, de sys-
d’agir sur le système avec des actions comme l’ouverture d’une
tèmes de stockage et de sauvegarde ;
vanne, la mise en action d’un vérin ou l’ouverture et la fermeture
• et d’autre part, d’un ensemble d’équipements spécifiques qui d’un circuit électrique. Les capteurs et actionneurs peuvent être
permettent de recevoir des grandeurs mesurées, d’agir sur le connectés à l’automate soit via des liaisons électriques, soit via un
système physique, et d’interagir avec les opérateurs ; on bus de terrain avec un protocole spécifique ou, de plus en plus,
trouve par exemple dans cette catégorie les automates pro- via un protocole informatique standard TCP/IP.
grammables (PLC), les capteurs et les actionneurs.
Un ICS comprend le plus souvent au moins un automate
Très souvent, ces éléments sont exploités par des logiciels spé- connecté (PLC) à un système de contrôle et d’acquisition des don-
cifiques, comme les logiciels SCADA (Supervisory control and nées (SCADA) fonctionnant sur un serveur et présentant une vue
data acquisition), les logiciels d’historisation qui stockent les évo- graphique de l’installation sur un poste de travail. Ce système
lutions des variables ou les ateliers de programmation des auto- communique avec l’automate pour lire les valeurs des grandeurs
mates. mesurées sur le processus et envoyer des commandes. Les don-
ＱＳＶ
ｓＸＲＵＷ
_____________________________________________________________________________________ CYBERSÉCURITÉ DES INSTALLATIONS INDUSTRIELLES
HMI
Historian
Supervisory
Control
PLC PLC
Figure 2 – Schéma de principe d’un ICS
nées peuvent être stockées ; on parle d’historique des évolutions ■ Protocoles de communication
des grandeurs en fonction du temps (logiciel d’historique).
Les équipements d’un ICS communiquent entre eux en utilisant
Le schéma d’un ICS simple est présenté sur la figure 2. On y des protocoles spécifiques dont l’un des plus connus est Modbus.
trouve les éléments de base : les capteurs et actionneurs, les auto- Ces protocoles ont été développés initialement pour utiliser des
mates, le système de supervision fonctionnant sur un serveur, un liaisons de type série ou des câbles spécifiques. Les problèmes de
logiciel et serveur d’historique permettant l’archivage des séries cybersécurité n’existaient pas et ces protocoles ne sont pas du
temporelles et une interface utilisateur (HMI). tout sécurisés. Ils sont maintenant transportés par un réseau TCP/
L’interface homme-machine (HMI) est une partie essentielle des IP, dans le cadre de la convergence IT/OT, et constituent une
systèmes industriels de contrôle-commande. Elle permet de visua- source importante de vulnérabilité des ICS.
liser le fonctionnement du système physique et de réaliser les
actions nécessaires. Autrefois réalisée de façon physique, avec De façon schématique, le protocole TCP/IP transporte l’informa-
des murs entiers recouverts d’indicateurs, de cadrans et de bou- tion sous forme de paquets qui contiennent, d’une part l’informa-
tons de réglages, elle a été remplacée par des écrans graphiques tion à transporter sous forme d’octets et d’autre part, un certain
lorsque l’évolution technologique l’a permis. nombre d’éléments supplémentaires comme l’adresse IP source
et l’adresse IP de destination. Les équipements de communication
Ces éléments constituent le noyau de base d’un ICS. Les autres (passerelle, routeur…) utilisent ces informations pour acheminer
éléments sont présents en fonction des besoins. Les IED et RTU le paquet de la source à la destination. Ce protocole de communi-
peuvent être vus comme des automates simplifiés et délocalisés. cation est lui-même assez peu sécurisé.
Certains automates spécifiques jouent un rôle particulier : ce sont
les systèmes instrumentés de sécurité (SIS), en charge des actions
de sécurité (voir encadré). MODBUS
Modbus est l’un des protocoles les plus utilisés dans les ICS.
Il a été développé par Modicon en 1979 pour des liaisons série
SIS
et n’est pas du tout sécurisé. La version IP a été proposée en
2006. Le principe de fonctionnement consiste à voir l’équipe-
Un SIS (Safety Instrumented System) est défini comme un ment comme une table d’octets et de bits dans laquelle on écrit
système composé de capteurs, d’une partie de traitement en fournissant une adresse. Un message de communication,
logique et d’actionneurs conçus pour : appelé « trame », est constitué d’une suite d’octets en clair pour
– permettre automatiquement l’évolution d’un processus définir le code d’action, et si besoin une adresse et une valeur.
industriel vers un état sûr lorsque des conditions spécifiées
sont violées ;
– permettre à un processus d’évoluer de manière sûre lorsque
les conditions spécifiées le permettent (fonctions permissives).
3.2 Modèle de Purdue ou PERA
Un SIS peut par exemple arrêter un système si une tempéra-
ture est trop élevée. Il est prioritaire par rapport au système de
Le modèle de Purdue (figure 4) [1] est utilisé comme modèle de
régulation (BPCS), en principe indépendant de ce dernier et
référence par la norme IEC 62443 présentée dans la suite. Il intro-
d’un niveau de fiabilité garanti.
duit cinq niveaux :
ＱＳＷ
ｓＸＲＵＷ
• niveau 0 (processus physique) : ce niveau correspond aux Les équipements de ce niveau sont généralement associés à
systèmes physiques utilisés pour la production. Les capteurs la zone de production ;
et les actionneurs se situent à ce niveau ;
• niveau 3 (gestion des opérations) : on y trouve les systèmes
• niveau 1 (contrôle local ou de base) : ce niveau inclut les
de gestion des lots ou les systèmes gestion de fabrication
fonctions impliquées dans la détection, l’observation et le
MES (Manufacturing Execution System), ainsi que les ges-
contrôle du processus physique. Elles sont réalisées par les
tionnaires de données d’historiques, les systèmes d’optimisa-
systèmes de traitement de l’information que sont les PLC,
tion et de gestion de qualité à l’échelle du site. Une partie du
RTU, etc. Ces derniers lisent les données provenant des cap-
système de supervision peut aussi se trouver à ce niveau ;
teurs, exécutent des algorithmes si nécessaire, et mémorisent
l’état du système physique. Le SIS se situe aussi à ce niveau ; • niveau 4 (Enterprise Business Systems) : ce niveau inclut les
• niveau 2 (contrôle de supervision) : on y trouve les interfaces fonctions impliquées dans la gestion des opérations de fabri-
homme-machine (HMI) des systèmes de contrôle et d’acquisi- cation et de transformation. L’ERP (Enterprise resource plan-
tion des données (SCADA) et des systèmes distribués (DCS). ning) est le principal système utilisé à ce niveau.
MODBUS Premier protocole industriel de communication développé par Modicon

MODBUS TCP/IP Encapsule les paquets du protocole MODBUS sur TCP/IP
Protocole pour la communication par bus de terrain promu en 1989 par le BMBF (ministère allemand
PROFIBUS
de l’Éducation et de la Recherche), puis utilisé par Siemens.
Ｔ PROFINET La version IO peut être vue comme un port de Profibus sur Ethernet
Protocole de communication pour les systèmes distribués utilisés par les distributeurs
DNP3
d’eau et énergie en Amérique du Nord
IEC 61580 Similaire à DNP3 qu’il tend à remplacer, notamment en Europe

Ethernet/IP (Industrial Protocole développé par l’Open DeviceNets Vendors (ODVA), orienté objet, le protocole
Protocol) fournit une interopérabilité entre Ethernet et les bus de terrain
Figure 3 – Principaux protocoles industriels
ERP … Web server, Enterprise Systems (Engineering,

E-Commerce Level 4
Business Planning and Logistics)
Historian
Operations / Systems
Level 3 Management
MES
Supervisory Control
Supervision Engineering station SCADA server
Site Monitoring &
Level 2 Local Display
Control Network Basic Control

BPCS
Level 1
SIS Safety and Protection
Level 0
TI TI
Figure 4 – Modèle de Purdue de l’architecture d’un ICS
ＱＳＸ
ｓＸＲＶＰ
La sécurité des systèmes

d’information –
Garantir la maı̂trise du risque
par Jean-Marc CHARTRES
Ingénieur CNAM
Consultant Sécurité chez TELINDUS ICT Belgacom
1. Modélisation du système d’information .................................... S 8 260v2 – 2

1.1 L’entreprise en réseau ........................................................................ — 2
1.2 Virtualisation et mutualisation des ressources ................................. — 2
1.3 Catalogue de services informatiques ................................................ — 2
1.4 Risques et menaces informatiques ................................................... — 2
2.
2.1
2.2
Identification des menaces...........................................................
Vulnérabilités logicielles ....................................................................
Ingénierie sociale ...............................................................................
—
—
—
3
3
3
Ｔ
2.3 Nouvelles menaces liées aux modes de communication ................. — 3
2.4 Cybercriminalité ................................................................................. — 3
2.5 Répercutions pour l’entreprise .......................................................... — 3
3. La gouvernance du système d’information ............................... — 4
3.1 Principes de Gouvernance ................................................................. — 4
3.2 La législation ...................................................................................... — 4
4. Définir un processus de sécurité ................................................. — 4
4.1 Principes de sécurité informatique .................................................... — 4
4.2 Normes et référentiels ....................................................................... — 5
4.3 Analyse des risques et menaces ....................................................... — 5
4.4 Composantes du processus de sécurité ............................................ — 7
4.5 Gestion de la sécurité ........................................................................ — 8
4.6 Qualité et sécurité .............................................................................. — 8
5. Solutions de sécurité informatique............................................. — 9
5.1 Les fonctions fondamentales de sécurité .......................................... — 9
5.2 Concepts de sécurité .......................................................................... — 9
5.3 Tendances du marché ........................................................................ — 9
6. Conclusion........................................................................................ — 10
a mutation de nos méthodes de travail a induit une évolution fantastique

L des moyens de communication et d’échanges d’information. Nos usages
informatiques sont constants, et la dépendance à la connexion aux systèmes
d’information ne cesse d’augmenter. Parallèlement, nous assistons sur ce nou-
vel espace d’échanges à des phénomènes parasitaires inquiétants ; l’ouverture
à Internet pour tous les modes de communication, qu’ils soient privés ou
publics, génère de nouvelles menaces.
Il y a une nécessité de protéger les systèmes d’information afin de pouvoir
librement communiquer, stocker et traiter les données.
Notre temps est marqué par un paradoxe : les risques se multiplient, et nous
voudrions les ignorer ; pire, nous ne tolérons pas les conséquences de nos
imprévisions.
L’ensemble informatique et télécommunications, de plus en plus miniaturisé,
disséminé et individualisé, est exposé à des menaces qui proviennent de
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｭ｡ｲｳ＠ＲＰＱＱ

est strictement interdite. – © Editions T.I. S 8 260v2 – 1
ＱＳＹ
ｓＸＲＶＰ
LA SÉCURITÉ DES SYSTÈMES D’INFORMATION – GARANTIR LA MAÎTRISE DU RISQUE –––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
l’homme, de l’organisation, des procédures et des dispositifs à travers les

erreurs, les pannes, les accidents et surtout, de façon majoritaire, à travers la
malveillance.
Les contraintes techniques s’évanouissent ; les services prennent le pas sur
les infrastructures. Le réseau est désormais « virtuel » et mondial ; le client
redevient actif.
La cybercriminalité est devenue l’un des principaux fléaux de nos économies.
La sécurité des usages informatiques est un objectif majeur pour nos sociétés.
2. Par abonnement à un ensemble de services disponibles sur le

1. Modélisation du système Web
d’information L’entreprise utilise de plus en plus des services informatiques dis-
ponibles sur le Web. Elle trouve ainsi un catalogue des services lui
permettant de choisir des applications de communication, de
bureautique, de connexions à distance, mais aussi tout un éventail
1.1 L’entreprise en réseau de solutions à la carte, ainsi que des solutions d’infrastructure vir-
tualisée afin d’étendre ses besoins en capacité informatique. Cette
Ｔ L’infrastructure du réseau de l’entreprise repose sur une partie

locale (LAN) privée, et une partie distante (MAN et WAN) plutôt
publique, dont la gestion est assurée par des services mutualisés,
offre repose sur un contrat entre l’entreprise et le fournisseur de
services ; la sécurité est l’une des clauses de ce contrat.
3. Par son réseau privé et ou public
proposés le plus souvent par des opérateurs. L’entreprise gère l’ensemble de ses communications par une
Le passage d’une informatique « propriétaire » et « locale », à un offre réseau proposée principalement par les grands opérateurs.
système global interconnecté oblige l’entreprise à s’interroger sur Ces offres répondent bien sûr aux exigences de bande passante,
la sécurité de l’information face à de nouvelles vulnérabilités inter- et intègrent le plus souvent des caractéristiques importantes de
nes et externes. qualité de service, voire de sécurité.
Les tendances de nomadisme et d’informatique en services
L’ensemble informatique relie des applications et des données
externes (cloud computing) permettent non seulement aux utilisa-
très différentes. La structuration du système, voire son urbanisa-
teurs d’avoir accès aux ressources, mais aussi de transporter une
tion, est capitale pour aborder sa sécurisation.
partie du système d’information en dehors de l’infrastructure sécu-
risée de l’entreprise, d’où la nécessité de mettre en place des
démarches et des mesures pour évaluer les risques et définir les
1.2 Virtualisation et mutualisation objectifs de sécurité à atteindre.
des ressources
L’urbanisation des systèmes informatiques se développe autour 1.4 Risques et menaces informatiques
des réseaux. La mutualisation des moyens matériels et logiciels Le risque est un événement aléatoire issu de la combinaison
conduit à des solutions virtuelles. d’une menace (ou d’un accident) qui utilise une vulnérabilité
Les ressources que sont le matériel, le logiciel et les unités de (erreur). Son incidence (ou impact) pourrait être mineure, impor-
stockage, peuvent être mutualisées ou virtualisées ; ce sont des ins- tante, catastrophique, voire chaotique…
tances du réseau. Cette urbanisation des systèmes d’information La menace est la cause potentielle d’incident ; elle représente
rend l’entreprise agile, car il est possible de répondre rapidement l’élément à surveiller, à contrôler afin d’éviter qu’elle porte atteinte
à un besoin de capacité informatique. La standardisation des objets au bien qui doit être protégé. En termes de sécurité informatique,
informatiques disponibles sur le réseau est une alternative écono- les menaces peuvent être le résultat de diverses actions d’origine
mique pour l’informatique. Des dépenses d’exploitation (OPEX : opérationnelle, environnementale et humaine.
Operationnal Expenditures) remplacent des dépenses d’investisse- La notion du risque lié aux systèmes d’information devient une
ment de capital (CAPEX : Capital Expenditures), transformant les source d’inquiétude et une donnée importante à prendre en compte.
coûts fixes de l’informatique en coûts variables.
Devant les menaces qui risquent d’impacter les activités informa-
La sécurité sur les biens que l’on possède s’étend aux biens que tiques, nous devons définir et mettre en place des moyens de pré-
l’on utilise. vention destinés à contenir la menace, et prévoir des mesures pallia-
tives ou de protection pour limiter les impacts éventuels du risque.
Les mesures de sécurité ainsi mises en œuvre permettent de
1.3 Catalogue de services informatiques limiter le risque identifié ; on parle alors de risque résiduel. C’est
cette notion qui détermine le seuil du risque assurable et qui traduit
L’informatique s’oriente vers un catalogue de services informati- les efforts réalisés face aux problèmes d’insécurité.
ques à la carte. Chaque entreprise peut désormais bâtir son sys-
tème d’information selon trois axes. Le risque zéro étant illusoire, l’entreprise devra examiner la
dépendance informatique de chaque processus métier, envisager
1. En développant sa propre infrastructure les menaces qui pèsent sur ses activités afin d’établir une échelle
L’entreprise développe son système d’information pour ses appli- de risques, et envisager les solutions les plus efficientes, y compris
cations et ses utilisateurs. Elle souhaite garantir l’autonomie de son en termes de coûts, de prévention et de précaution.
informatique et de ses communications par le développement et le Cette phase est importante et devra être réitérée ; elle nécessite
maintien de ses serveurs, postes de travail, réseaux et Datacenter. la mobilisation de l’entreprise pour quantifier et qualifier ses ris-
L’entreprise gère et assure sa propre sécurité. ques métiers.

S 8 260v2 – 2 est strictement interdite. – © Editions T.I.
ＱＴＰ
ｓＸＲＶＰ
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– LA SÉCURITÉ DES SYSTÈMES D’INFORMATION – GARANTIR LA MAÎTRISE DU RISQUE
2. Identification des menaces des données personnelles, sans contrôle, est une réelle menace
avec de lourdes conséquences sur la vie privée.
Il y a une volonté de partager notre intimité et notre besoin
d’« estimité » (mise en valeur de soi) avec nos amis, mais sans ren-
2.1 Vulnérabilités logicielles seigner nos ennemis.
Elles regroupent les « bugs » ou failles des systèmes d’exploita- Aujourd’hui, dès que nous sommes connectés au monde infor-
tion, des applications, des protocoles réseaux utilisés, des systè- matique, nous sommes reconnus et géolocalisés, et nous dispo-
mes de sécurité, ou des matériels actifs. sons dans notre environnement de services logiciels. L’utilisateur
L’interopérabilité des protocoles présente beaucoup d’avantages, redevient très actif dans cet espace qui ressemble de plus en plus
notamment celui de fournir des points d’accès réseau économi- à un terrain de jeu, où il peut exercer librement sa créativité.
ques sur de nombreux matériels informatiques, téléphoniques ou Chaque fois que le progrès technique augmente, des menaces
industriels. Si la solution est attrayante, puisqu’elle élimine les tra- nouvelles apparaissent que la sécurité devra traiter.
vaux d’interconnexion, elle est propice à plus de vulnérabilités logi-
cielles du fait de la juxtaposition de couches matérielles et logiciel-
les de plusieurs constructeurs en constante évolution. La 2.4 Cybercriminalité
découverte d’une faille touche désormais de nombreux utilisateurs La cybercriminalité désigne l’ensemble des infractions commises
et permet à un pirate un champ d’attaque important. via les réseaux informatiques ou les réseaux de communication
Les vulnérabilités logicielles sont des faiblesses informatiques ; (télécommunication, radiodiffusion, etc.). Le terme désigne les
l’ouverture des systèmes et leur complexité multiplient les scéna- atteintes aux personnes (diffamation, pédopornographie, incitation
rios d’attaque et exigent une attention permanente des équipes en à la haine, atteintes à la vie privée) et aux biens (piratage d’ordina-
charge de l’exploitation des systèmes. teur, destruction de données, contrefaçon ou escroqueries en tout
genre) commises via les réseaux.
La prévention consiste à corriger les vulnérabilités connues et
Ｔ
couvrir le « zero day » (annonce de la vulnérabilité) par des solu- Les technologies de communication sont à l’origine des technolo-
tions de contournement. gies de relation au niveau mondial. Nos économies ont adopté large-
ment ces modes de relation pour favoriser les échanges planétaires.
2.2 Ingénierie sociale Nos économies se mondialisent et se développent grâce aux
nouvelles technologies. La dépendance de l’outil informatique est
C’est une manipulation consistant à obtenir un bien ou une infor- un facteur clé de performance.
mation en exploitant la confiance, l’ignorance ou la crédulité de Ce nouvel Eldorado fragile est convoité par les cybercriminels qui
tierces personnes. exploitent les failles et les vulnérabilités du système. Les cybercrimi-
Les systèmes d’information sont un terrain de jeu fantastique pour nels mobilisent des quantités énormes de ressources sur le Net, et
ce type de menaces, et les règles sont difficiles à faire appliquer. ciblent des entreprises désarmées par la puissance de l’attaque.
Est-il possible, y compris avec beaucoup de moyens, de faire Cette nouvelle guerre est inégale et les parades sont complexes.
l’impasse sur une sensibilisation des utilisateurs ?
La problématique est importante car la sécurité était limitée à la 2.5 Répercutions pour l’entreprise
surface de l’entreprise. L’ensemble des flux était sous contrôle Les entreprises doivent sécuriser leur patrimoine applicatif et
d’une structure propriétaire où les accès et les échanges étaient assurer la confidentialité de leurs données ainsi que celles de
limités bien souvent à la géographie locale. Cette sensibilisation leurs employés. Elles sont confrontées à de grands types de mena-
nouvelle aux aspects de la sécurité s’applique sans exception, à ces comme la perte de données, les attaques informatiques, les
l’intégralité du personnel, car la réussite d’un comportement règles défaillantes en matière de sécurité.
passe par l’adhésion de tous les acteurs.
Les usages privés ou publics des technologies de l’information
À ce titre, par exemple, les services de courrier électronique ne cessent d’augmenter et de se diversifier, multipliant ainsi les ris-
représentent des flux importants d’échanges et de vulnérabilités. ques et leurs impacts.
L’utilisation des moyens de communication se banalise et L’entreprise poursuit inlassablement l’urbanisation de son infor-
accompagne tous nos instants de vie. Les solutions sont en temps matique ; si elle conserve des ressources locales, elle étend son
réel, collaboratives et de plus en plus sophistiquées. La sensibilisa- informatique, et notamment son réseau, à travers des solutions
tion aux techniques et aux modes de communication informatique externes avec des partenaires publics et privés.
est indispensable ; nous devons en connaı̂tre les possibilités mais
aussi les dangers. La surveillance et le contrôle du système global est complexe,
mais doit s’appuyer sur une politique de sécurité et une organisa-
tion sans faille.
2.3 Nouvelles menaces liées aux modes L’espace à protéger ne se cantonne plus à l’entreprise, et est dif-
de communication ficile à contrôler totalement.
Nos outils de communication sont en temps réel et d’amplitude Si les attaques sont principalement des atteintes au fonctionnement
planétaire ; ils ont créé de nouvelles formes d’interaction entre les du réseau, il faut craindre aussi le cyber terrorisme qui peut endom-
médias, les acteurs économiques et la société civile. Les usages mager les matériels interconnectés et provoquer de plus gros dégâts.
sont d’ordre privé et (ou) professionnel, le plus souvent collaboratif Les attaques à profil mercenaire se multiplient car elles bénéficient
et peu confidentiel. Les technologies de l’information traitent, com- d’un Eldorado d’informations leur permettant d’atteindre leur cible.
muniquent, mémorisent, diffusent, tracent les données sans se L’ouverture des systèmes d’information, y compris à leurs systè-
soucier du cycle de vie lié à toute information. La sécurité de l’infor- mes de commande et de pilotage, transforment ces attaques en
mation devra garantir ce cycle de vie afin que le droit à l’oubli véritables sinistres pour les procédés automatisés ou SCADA
puisse être une exigence. (Supervisory Control And Data Acquisition).
De nouvelles menaces apparaissent car derrière tous ces échan- Une menace importante, car elle touche l’individu, est l’usurpa-
ges et partages, il y a toujours un modèle économique pouvant être tion d’identité ; elle consiste à voler l’identité d’une autre personne
déviant, soucieux de valoriser toute information. à son insu et sans son consentement, en vue de commettre une
Il est inconcevable que nos technologies entament notre capital fraude, d’acheter des biens et des services, ou de perpétrer d’autres
humain, à savoir notre identité et notre intimité. La prolifération délits en son nom (ce sont des vols d’informations).

est strictement interdite. – © Editions T.I. S 8 260v2 – 3
ＱＴＱ
Ｔ
ＱＴＲ
ｓＸＲＶＱ
Sécurité des systèmes d’information

Retour d’expérience
par Jean-Marc CHARTRES
Ingénieur CNAM
Consultant Sécurité chez TELINDUS France
1. L’informatique au service d’une civilisation de partage ......... S 8 261 – 2

1.1 Enjeux du système d’information...................................................... — 2
1.2 Usages et comportements des utilisateurs ....................................... — 2
2. La circulation du savoir n’est pas sans dommage ................... — 2
2.1 Les opportunités................................................................................. — 2
2.2 Les menaces ....................................................................................... — 3
2.3 Les contre-mesures ............................................................................ — 4
3.
3.1
La sécurité informatique n’est qu’un moyen pour aboutir
à une sécurité de l’information....................................................
Les impacts redoutés par l’entreprise ...............................................
—
—
4
4
Ｔ
3.2 Les manquements à la gouvernance ................................................. — 5
4. Partir de ses craintes pour protéger l’essentiel ....................... — 5
4.1 Focaliser sur les objectifs du contrôle interne de l’entreprise ......... — 5
4.2 Établir la dépendance des services informatiques ........................... — 6
4.3 Inventaire classifié des périmètres fonctionnels ............................... — 6
4.4 Définition des politiques de défense en profondeur ........................ — 6
4.5 Approche PDCA pour l’ensemble des périmètres ............................. — 6
5. Intégrer la menace comme variable du système ...................... — 7
5.1 Prévenir pour protéger ....................................................................... — 7
5.2 Détecter pour agir .............................................................................. — 7
6. Maı̂triser ses risques par la réduction des menaces................ — 7
6.1 Impacts redoutés ................................................................................ — 7
6.2 Pilotage et surveillance ...................................................................... — 8
6.3 Efficience du processus sécurité ....................................................... — 9
7. L’évitement du risque comme ROI ............................................... — 9
7.1 Tableau de bord sécurité.................................................................... — 9
7.2 Modèle qualité et boucle d’amélioration .......................................... — 11
8. Conclusion........................................................................................ — 11
travers un cas concret de projet sécurité d’une entreprise, ce retour

À d’expérience permet d’illustrer l’importance d’une adaptation de la sécu-
rité informatique afin de répondre aux nouvelles menaces qui pèsent sur nos
systèmes d’information et de communication.
L’ouverture excessive des systèmes d’information a conduit les entreprises à
contrôler les accès aux services de communication ; mais les nouvelles mena-
ces informatiques ciblent désormais l’information, car une fois franchie la bar-
rière d’accès, les données non structurées sont peu protégées. Il faut reprendre
le processus de sécurité car il semble que nous ayons renoncé au contrôle sur
les données, et nous devons, à partir d’une analyse des risques, définir une
sécurité pour les données au repos, et assurer les fonctions d’usages sur les
données en mouvement.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＱＱ
La mutation de nos systèmes d’information doit aboutir à une stratégie de

sécurité sur les données sensibles en adéquation avec une stratégie de sécurité
sur les échanges.

ＱＴＳ
ｓＸＲＶＱ
SÉCURITÉ DES SYSTÈMES D’INFORMATION ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
1. L’informatique au service Les technologies ont permis d’étendre ce modèle à la mobilité

des utilisateurs, si bien que les frontières entre le professionnel et
d’une civilisation le privé s’estompent.
Les informations se numérisent, s’échangent, se dupliquent sans
de partage contrôle, et deviennent intemporelles.
La connaissance s’acquiert par l’expérience, tout le reste n’est
que de l’information (Albert Einstein). Si l’expérience reste le fruit
1.1 Enjeux du système d’information de l’apprentissage, une confusion s’installe du fait du traitement
immédiat de l’information.
Les services informatiques rythment les activités de l’entreprise. L’adoption de technologies apporte de gros avantages aux entre-
Les moyens de communication permettent à l’information de circu- prises ; ainsi, les risques qu’elles représentent pour la sécurité
ler et d’être traitée dans l’instant. Ce progrès s’est fait très rapide- deviennent acceptables. D’ailleurs plus de 85 % des personnes
ment et globalement, et a transformé radicalement nos usages de interrogées dans l’entreprise estiment qu’elles ne sont pas directe-
communication. ment concernées si l’entreprise est victime d’une violation de
Cette avancée s’est faite simultanément dans les milieux publics données.
et professionnels, avec une adoption rapide de tous les groupes À ce titre, après les craintes d’intrusion dans les systèmes et
sociaux. d’altération des services ou des données, la fuite d’informations
L’entreprise intègre les nouveaux modes de communication, et (intentionnelle ou pas) est l’une des préoccupations majeures des
organise ses métiers pour profiter pleinement des nouveaux entreprises.
apports de ces technologies. La focalisation sur la protection périmétrique des infrastructures
Le monde de l’IT vit un changement spectaculaire avec l’évolu- et l’absence de contrôle sur les informations ne permettent pas
d’assurer une vision cohérente pour le processus de sécurité.
Ｔ
tion des nouvelles technologies et une augmentation exponentielle
des solutions de mobilité, de virtualisation et de Cloud Computing. C’est le constat de notre entreprise ; elle pratique une politique
Les concepts de nuages informatiques traduisent les futurs services de sécurité sérieuse en se référant au modèle du référentiel
informatiques des opérateurs numériques qui permettront de bâtir ISO 27002, mais vérifie que compte tenu des différents usages,
un système d’information virtuel. contrôlés ou pas, la potentialité de fuite d’informations, y compris
préjudiciables pour l’entreprise, n’est pas maı̂trisée. Le constat est
L’informatique connaı̂t son heure d’industrialisation, qui lui
sans détour : il n’existe pas de contrôle sur les données lors des
confère globalisation et standardisation. Des solutions existent ;
échanges ; elles ne sont pas classifiées par leur niveau de
elles sont économiquement accessibles et fiables.
sensibilité.
Le système d’information est devenu l’un des actifs principaux
Toutes données de l’entreprise qui, par un manque ou une perte
de toute entreprise ; il détermine l’activité passée, présente et à de disponibilité, de confidentialité, d’intégrité ou de preuve provo-
venir. L’espace « informationnel » ignore le temps et la distance. querait un préjudice grave, sont considérées comme des données
Cette mutation rapide, sans contrainte apparente, engendre son sensibles. Celles-ci doivent être identifiées et classifiées selon le
lot de nouvelles menaces. Les systèmes d’information font partie niveau de criticité qu’elles représentent dès leur création ; il est
intégrante de notre quotidien ; ils sont parvenus à être fiables et important de vérifier leurs cycles de vie jusqu’à leur destruction.
performants. Les enjeux portent désormais sur leurs capacités à Si cette classification est du rôle des propriétaires « métiers », les
être et rester conformes, c’est-à-dire intègres, notamment pour politiques d’accès et d’usages sont du ressort de l’informatique. Il
leurs données. doit s’instaurer un contrat de service entre les métiers et le service
informatique sur la valorisation des données de l’entreprise et leurs
échanges. Si ce contrat existe, alors des contrôles seront élaborés
1.2 Usages et comportements sur le ou les périmètres.
des utilisateurs Les progiciels et bases de données ont généré des données
structurées avec un niveau de sécurité adapté ; mais les nombreu-
Le besoin de communiquer est naturel, et répond à la nécessité ses extractions bureautiques ont donné naissance à un ensemble
du lien social de la personne. de données non structurées qui échappent à tout contrôle perdant,
L’entreprise cultive largement ce vecteur de croissance, et et ainsi à toute sécurité. Ces données non structurées représentent
n’hésite pas à porter ses valeurs à travers les différentes formes une menace de fuite d’information ou de compromission pour
de médias, y compris les non-institutionnels. l’entreprise. Celles-ci ne devraient pas recouvrir de données classi-
fiées sensibles.
2. La circulation du savoir
n’est pas sans dommage
2.1 Les opportunités

Partager information et connaissance en temps réel est un outil
fantastique de progrès et de performance. L’informatique s’est
développée pour atteindre cet objectif, et force est de constater
que les technologies se mettent en place. Le phénomène Smart-
phone par exemple, en est une belle illustration. Si le dialogue
Homme-Machine était la clé de toute application, alors le Smart-
phone semble apporter une nouvelle réponse à la fois simple,
Figure 1 – Technologies d’échanges conviviale et extrêmement puissante. Par une orientation de cet

ＱＴＴ
ｓＸＲＶＱ
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– SÉCURITÉ DES SYSTÈMES D’INFORMATION
œil numérique et un simple clic, toute application reconnaı̂t votre mais aussi pour leurs fonctions d’administration jusqu’à leur cycle
clone numérique et répond de manière immédiate à toutes vos d’auto-destruction.
attentes « numériques »…
La protection des accès par une reconnaissance des identités
Ce concept est fondamental, car il donne naissance à une infor- et profils et un contrôle « comportemental » des usages, afin d’anti-
matique axée sur le développement d’objets informationnels parta- ciper par contrôles toute déviance de ces usages.
geables en réseau. L’application ne ressemble plus à un pro-
La stratégie de la sécurité informatique consiste à rendre opéra-
gramme figé mais à un dialogue permanent entre une base de
tionnel les deux processus et à assurer un pilotage afin de garantir
connaissances et un utilisateur.
un maintien dans le temps et une surveillance des menaces
La capacité de stockage informatique et les algorithmes d’intelli- éventuelles.
gence artificielle transforment nos systèmes d’information en vas-
tes terrains de jeux.
2.2 Les menaces
L’utilisation des systèmes requiert la mise en place de stratégies
de communication et d’échanges ; l’utilisateur retrouve toute sa Plus le progrès se généralise à un grand nombre d’utilisateurs,
créativité, et rompt avec les contraintes procédurales. plus la réduction des risques est difficile, car les menaces augmen-
tent et tout impact devient important.
Les réseaux sociaux, au-delà de leurs concepts communautaires,
définissent l’outil informatique idéal pour travailler en groupe. Les Le sinistre grave est toujours consécutif à une séquence impré-
outils du réseau social permettent au groupe toutes les formes de vue de faits que nous avons exclus de nos raisonnements, soit par
communication, d’échanges de documents, de partage, de collabo- improbabilité forte, soit par incapacité financière de la traiter.
ration et bien sûr d’évolution du groupe sur ces objectifs sans la L’ouverture des systèmes d’information a été pour l’entreprise
nécessité d’une lourdeur administrative. une stratégie de conquête de marchés par la communication. Les
menaces visibles étaient alors principalement liées aux phénomè-
Ｔ
Imaginons le département Recherche et Développement de notre
nes d’intrusion, et la sécurité périmétrique des infrastructures a
entreprise organisé en réseau social. La plate-forme de travail est
permis d’assurer disponibilité et confidentialité des solutions
idéale pour favoriser échange et créativité. Le groupe est privé,
déployées.
homogène et restreint, et répond parfaitement aux objectifs fixés
par l’entreprise. Si les résultats du département aboutissent, il Les tendances actuelles de solutions de communication unifiées
conviendra de classifier les données comme sensibles et garantir et collaboratives favorisent l’échange d’informations immédiat.
le cycle de vie du projet. La sécurité de l’information doit s’adapter L’information existe sous toutes ses formes (texte, image, son,
au cycle de vie des données des métiers. vidéo) et sa numérisation la libère de tout support ; nous sommes
entrés dans l’ère de la dématérialisation. L’exigence se focalise
La nouvelle donne informatique oriente la sécurité vers deux alors sur l’intégrité de la donnée numérique, c’est-à-dire son
processus complémentaires (figure 2) : exactitude.
La protection native des données : si elles sont sensibles, alors La dématérialisation consiste à transformer l’information conte-
dès leur création et pendant leur cycle de vie, elles doivent embar- nue sur un support physique (typiquement du papier) en un fichier
quer leur sécurité ; c’est déjà le cas pour des données chiffrées, informatique indépendant d’un quelconque support.
w-z
401-k Payrcil
VB Source
Code
Java Source
Code
Internal
Network
Medical
History
Background
Investigation
Board Meeting
Figure 2 – Protection des données et des accès

ＱＴＵ
Ｔ
ＱＴＶ
ｓＸＲＶＲ
des systèmes de commande
Principes et méthodes
par Jean-François AUBRY

Professeur à l’Institut national polytechnique de Lorraine (INPL)
et Éric CHATELET
Professeur à l’université de technologie de Troyes (UTT)
1. Méthodes d’analyse qualitatives ......................................................... S 8 262 - 2 Ｔ

1.1 Analyse fonctionnelle .................................................................................. — 2
1.2 Analyse préliminaire de risques (APR)....................................................... — 2
1.3 Analyse des modes de défaillance et de leurs effets (AMDE/AMDEC).... — 2
2. Étude quantitative de la sûreté de fonctionnement
des systèmes ............................................................................................. — 3
2.1 Modèles à représentation binaire ............................................................... — 3
2.2 Méthodes basées sur l’espace des états .................................................... — 7
2.3 Méthodes basées sur l’espace des événements ....................................... — 8
3. Application à la conception des systèmes de commande ........... — 13
3.1 Spécification sûre d’un système de commande ....................................... — 13
3.2 Analyse qualitative de la SdF...................................................................... — 14
3.3 Analyse quantitative .................................................................................... — 14
3.4 Exemple d’application ................................................................................. — 16
4. Conclusion.................................................................................................. — 18
es systèmes de commande jouent un rôle majeur dans le pilotage des sys-

L tèmes technologiques modernes. Ils sont présents notamment dans de
nombreux systèmes industriels et de transport dans lesquels ils contribuent à
la réalisation de missions complexes. Pour cette raison, il est important d’anti-
ciper ou de maîtriser leurs dysfonctionnements dont les conséquences peuvent
être graves tant du point de vue économique qu’humain. Les méthodes de la
sûreté de fonctionnement (SdF) peuvent être exploitées pour analyser et
trouver des solutions à ce problème, que cela soit en phases de conception ou
de reconception de systèmes de commande.
Cet article présente les principales méthodes de sûreté de fonctionnement
qui peuvent être utilisées pour concevoir des systèmes de commande sûrs en
prenant en compte les comportements des systèmes avec lesquels ils sont en
relation. Le lecteur non averti pourra consulter les articles [S 8 250], [AG 4 670]
et [R 7 595] pour acquérir les connaissances de base de la sûreté de
fonctionnement, comme les notions de fiabilité, taux de défaillance, MTTF
(mean time to failure), maintenabilité, taux de réparation, MTTR (mean time to
repair), disponibilité, MUT (mean up time), etc.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＰＸ
L’étude de la sûreté de fonctionnement des systèmes de commande ne peut

pas s’appuyer sur des méthodes « classiques » qui présentent plusieurs limita-
tions (cf. [S 8 250]) dont les principales sont : l’indépendance « physique »

ＱＴＷ
ｓＸＲＶＲ
SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES DE COMMANDE _____________________________________________________________________________
(non-interaction) et probabiliste (aléas induits par interactions) des composants

entre eux et l’environnement du système, les comportements binaires des
composants (fonctionnement/panne), l’exclusion de comportements non
« cohérents » de certains systèmes et la notion de pannes « masquées » (une
panne peut en masquer une autre, voire la compenser, etc.) ou encore les
comportements dynamiques et aspects temporels (systèmes dont des gran-
deurs physiques influencent notablement leurs caractéristiques de défaillance
et réciproquement, l’ordre d’apparition des séquences d’événements change
l’état final du système, influence des conditions d’exploitation, de la mainte-
nance). Pour tenir compte de ces comportements, des méthodes avancées
doivent être utilisées. Ainsi, cet article traite successivement des méthodes
qualitatives et quantitatives de sûreté de fonctionnement en apportant des
détails sur celles qui sont les plus utiles à l’étude des systèmes de commande.
En particulier, on distingue, pour répondre aux limitations évoquées ci-dessus,
les méthodes basées sur l’espace des états et les méthodes basées sur
l’espace des événements. Une dernière partie présente les différentes
contributions des méthodes de sûreté de fonctionnement permettant de réa-
liser une conception sûre des systèmes de commande. Des problèmes liés à la
mise en application de ces méthodes sont mis en évidence, ils conduisent à
Ｔ
des limites en termes de mode de représentation des comportements e/ ou
des structures et de mode de représentation e/ ou d’évaluation des grandeurs
de sûreté de fonctionnement.
Ont également contribué à cet article Didier Jampi et Raphaël Schoenig.
1. Méthodes d’analyse En se basant sur des listes guides élaborées par des experts, on
identifiera les accidents potentiels susceptibles d’affecter le sys-
qualitatives tème. On cherchera ensuite à mettre en évidence les causes de ces
accidents potentiels et on évaluera selon une grille leur probabilité
d’occurrence, ainsi que la gravité des dommages qu’ils pourraient
Nous donnons ici quelques rappels, le lecteur peut également se causer.
référer aux références [1] et [2] pour plus de détails.
Enfin, on détermine les mesures de prévention propres à la
réduction de la probabilité et les mesures de protection visant à
1.1 Analyse fonctionnelle réduire le dommage ainsi que des modalités de leur mise en
œuvre.
L’analyse fonctionnelle n’est pas une activité spécifique de la Les résultats de l’analyse sont résumés dans des tableaux qui
sûreté de fonctionnement, mais elle en est un préalable. C’est sont généralement personnalisés dans chaque entreprise.
une méthode d’analyse qui consiste à raisonner en termes de
besoin à satisfaire, exprimé sous forme de fonctions à remplir
avec ses critères de valeur, dans un environnement donné.
1.3 Analyse des modes de défaillance
Son objectif est de construire un produit qui satisfait le juste et de leurs effets (AMDE/AMDEC)
besoin. Elle favorise la créativité, l’objectivité et l’exhaustivité. Elle
procède par décomposition hiérarchique du problème, ce qui
permet de traiter l’analyse des grands systèmes. Elle aboutit géné- L’analyse des modes de défaillance et de leurs effets est une
ralement à proposer différentes solutions en énonçant les critères méthode inductive qui suppose que l’on a au préalable
à prendre en compte dans le choix définitif. décomposé le système en éléments dont on sait caractériser
Elle devrait, normalement, intégrer systématiquement l’analyse les modes de défaillance. Un mode de défaillance est la
de risques. manière par laquelle se manifeste une défaillance. Le principe
de l’AMDE est la recherche de tous les modes de défaillance
De nombreux outils informatisés sont disponibles pour assister possibles des éléments identifiés ; puis on recherche les causes
l’analyste dans sa démarche. Pour les systèmes de commande, on immédiates de ces défaillances et on analyse leurs
peut citer par exemple SADT ou sa version « temps réel » SART conséquences sur le système. Comme dans l’analyse prélimi-
(ou leurs dérivées). naire de risques, on propose des actions correctives. Cepen-
dant, il conviendra de mettre à jour l’analyse après le choix et
la mise en œuvre de ces actions.
1.2 Analyse préliminaire de risques (APR)
L’analyse préliminaire de risques a pour objectif d’établir
Comme dans l’APR, on présente les résultats de l’étude sous
aussi exhaustivement que possible la liste des risques inhé-
forme de tableaux. Il faut noter que ce travail est souvent très fas-
rents à un système donné, afin de pouvoir les réduire à un
tidieux, qu’il doit être mené par une équipe pluridisciplinaire afin
niveau acceptable.
de rassembler toute la connaissance possible du système étudié.

ＱＴＸ
ｓＸＲＶＲ
_____________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES DE COMMANDE
2. Étude quantitative de la 111 Pas de zéro

sûreté de fonctionnement
des systèmes 011 101 110 1 zéro
2.1 Modèles à représentation binaire

2.1.1 Notion de structure d’un système 001 010 100 2 zéros
Supposons un système S à état binaire, il fonctionne (état de

marche) ou ne fonctionne pas (état de panne). Supposons égale-
ment qu’il soit constitué de composants ei (à état binaire égale- 000 3 zéros
ment) et que son état ne dépende que de l’état de ses composants.
Utilisons la notation suivante [4] pour représenter ces états : Figure 1 – Diagramme de Hasse
soit ei un composant et e = {e1 , e2 , ..., er } l’ensemble des
composants ;
r nombre des composants, i ∈ {1, 2, 3, ..., r } ;
111 Pas de zéro
xi variable état du composant ei :
• xi = 1 si ei fonctionne ; xi = 0 si ei est défaillant,
• x = {x1 , x2 , ..., xr } est le r-uple état de l’ensemble des
composants (x ∈ {0,1}r) x peut prendre 2r valeurs différentes ;
y variable état du système S
011 101 110 1 zéro
Ｔ
• y = 1 si le système est en état de fonctionnement ; y = 0 si le
système est en panne. 001 010 100 2 zéros
Établissons une relation d’ordre sur la variable x.

Considérons deux valeurs distinctes a et b de x :
000 3 zéros
a = (a1 , a2 , ... , ar ) et b = (b1 , b2 , ..., br ) avec donc : ai , bj ∈ {0,1}
On dira que :
Figure 2 – Diagramme de Hasse d’une fonction monotone
1) a = b
si et seulement si ∀ i ∈ {1, 2, ..., r } ; ai = bi
2) a majore b que l’on note a C= b (ou a majore strictement b de structure du système. On peut alors définir la notion de mono-
tonie de cette fonction :
a C b)
si et seulement si ∀ i ∈ {1, 2, ..., r } ; ai 5 bi (et ∃ i tel que ai > bi ) Une fonction de structure est monotone si elle possède la
3) a minore b que l’on note a D= b (ou a minore strictement b : propriété suivante :
a D b)
x (2) C = x (1) ⇒ ϕ (x (2)) > = ϕ (x (1))
si et seulement si ∀ i ∈ {1, 2, ..., r } ; ai 4 bi (et ∃ i tel que ai < bi )
où x(1) et x(2) sont deux états de l’ensemble des états des
Donnons quelques exemples : composants du système (r-uples).
(1, 0, 0,1, 0) D (1,1, 0,1, 0) D (1,1, 0,1,1)

On peut matérialiser la monotonie de la fonction de structure
(1,0,1,1,0) n’est pas c omparable à (1,1,0,1,0)
sur le diagramme de Hasse si l’on connaît toutes les valeurs de
ϕ (x). Supposons que ce soit le cas dans l’exemple précédent, on
On peut donner une représentation de cette relation par un dia- visualisera cela par exemple en encadrant les triplets pour lesquels
gramme de Hasse (figure 1) dans le cas d’un système à trois la fonction vaut 1 (le système fonctionne).
composants) dans lequel un arc entre deux valeurs de x montre
l’existence de cette relation. On voit sur ce diagramme que les tri-
plets 101 et 010 ne sont pas comparables, le premier ne majore Un système est dit cohérent si sa fonction de structure est
pas le second. monotone, s’il est défaillant lorsque tous ses composants sont
Nota : un diagramme de Hasse est un graphe dans lequel les sommets sont les
défaillants et s’il fonctionne lorsque tous ses composants fonc-
valeurs de x et les arcs matérialisent la relation d’ordre. tionnent.
L’intérêt de ce diagramme pour l’étude de nos systèmes est que

chaque arc du graphe peut être interprété comme la défaillance ou Le système représenté par la figure 2 est donc cohérent.
la réparation d’un composant lorsqu’on parcourt le graphe de haut Un système non cohérent serait tel que, fonctionnant avec n
en bas ou de bas en haut. Si on admet que deux événements de composants en état de marche, il tomberait en panne à la répara-
défaillance ou de réparation ou un événement de défaillance et un tion d’un des r – n composants défaillants ou encore tel que, en
événement de réparation ne peuvent être simultanés (ce qui physi- panne avec m composants défaillants, il fonctionnerait à nouveau
quement est admissible), alors les chemins de ce graphe repré- à la défaillance d’un des r – m composants en état de marche !
sentent toutes les successions possibles de ces événements. De tels systèmes existent, notamment dans le domaine des sys-
Notons ϕ la fonction qui, à chaque valeur de x (états des tèmes automatisés qui nous intéresse. Ainsi, le système repré-
composants représentés par les sommets du graphe), associe une senté par le diagramme de Hasse de la figure 3 est non cohérent.
valeur y = ϕ (x) de l’état du système S. Nous l’appellerons fonction En effet, partant du sommet 111 où le système fonctionne, on voit

ＱＴＹ
ｓＸＲＶＲ
composants dont les variables états valent 0. Sur le diagramme de

111 Pas de zéro la figure 2, les coupes correspondent aux triplets non encadrés,
elles sont donc : {e1 , e2}, {e1 , e3}, {e1 , e2 , e3}.
Parmi ces sous-ensembles, certains sont minimaux. Pour les
liens, le fonctionnement de leurs composants suffit à assurer le
011 101 110 1 zéro fonctionnement du système. Pour les coupes, la défaillance de ces
composants suffit à assurer la défaillance du système.
001 010 100 2 zéros Un lien minimal est tel qu’il n’existe aucun sous-ensemble de
composants strictement inclus en lui qui soit aussi un lien.
Dans notre exemple, {e2 , e3} et {e1} sont les liens minimaux.
000 3 zéros
Figure 3 – Diagramme de Hasse d’un système non cohérent Une coupe minimale est une coupe telle qu’il n’existe aucun
sous-ensemble de composants strictement inclus en elle et qui
soit aussi une coupe.
que la défaillance du composant e2 entraîne la panne du système.
De cet état de panne (101), on voit que la défaillance de e1 ou celle Dans notre exemple, {e1 , e2} et {e1 , e3} sont les coupes minimales.
de e3 ramène le système à un état de fonctionnement (états 001 ou
100) ! On voit facilement sur le diagramme de Hasse d’un système
Ｔ
Le but de la fiabilité prévisionnelle est de trouver la fiabilité des cohérent où sont les coupes et les liens minimaux : un lien
systèmes à partir de la connaissance de celle de ses composants. minimal est tel qu’en dessous de lui (en suivant la relation
Pour cela, il faut savoir comment ces derniers agissent dans le sys- d’ordre), il n’y a que des coupes ; une coupe minimale est telle
tème pour que celui-ci fonctionne ou pas. C’est donc en fait définir qu’au-dessus d’elle, il n’y a que des liens.
la fonction y = φ (x ). Cette relation connue, il suffira alors de la
transposer dans le domaine des probabilités en introduisant le
temps par les variables aléatoires représentatives de l’état de bon 2.1.2 Forme analytique de la fonction de structure
fonctionnement du système et des composants.
Revenons maintenant à la fonction de structure y = ϕ (x ) d’un
Pour construire la structure d’un système, plusieurs méthodes système. A. Kaufmann [4] a donné une formalisation à cette fonc-
ont vu le jour et les plus anciennes, historiquement, sont : tion en considérant y et x, définis dans le sous-ensemble {0, 1}, des
– la méthode des diagrammes de fiabilité ; nombres entiers munis des opérations addition, soustraction et
– la méthode de l’arbre des causes. multiplication. Pour un système cohérent, si on connaît au moins
Nous les rappellerons brièvement un peu plus loin mais aupara- tous les liens minimaux ou toutes les coupes minimales, il donne
vant, nous souhaitons introduire les notions tout à fait générales l’expression de la fonction de structure par les formules suivantes :
de « coupes » et de « liens » d’un système [4] :
k
■Lien d’un système ϕ (x ) = 1 − ∏ 1 − ∏ xi 
j =1  i 
Soit y = ϕ (x1 , x2 , ..., xr) la fonction de structure d’un système  ei ∈ a j 
constitué par un ensemble de composants e = {e1 , e2 , ..., er}.
Soit un sous-ensemble de composants a ⊂ e, a = {ei , i ∈ I} avec pour un système ayant k liens minimaux aj (j ∈ {1, 2, ..., k }), l’indice
I ⊂ {1, 2, ..., r }. i se référant au nombre de composant de chaque lien,
xi = 1, ∀i ∈ I  et :
Si  ⇒ y = 1, alors a est un lien. k
xi = 0, ∀i ∉ I 
En d’autres termes, c’est un sous-ensemble de composants tels
ϕ (x ) = ∏  1 − ∏ (1 − x )
j =1 i
i
que s’ils sont tous en état de fonctionnement et que tous les autres  ei ∈ b j 
sont défaillants, le système (dont y = ϕ (x ) est la fonction de struc-
ture) est en état de fonctionnement. pour un système ayant k coupes minimales bj (j ∈ {1, 2, ..., k }),
l’indice i se référant au nombre de composant de chaque coupe.
■Coupe d’un système
Soit un sous-ensemble de composants b ⊂ e, b = {ej , j ∈ I} avec Ainsi, reprenant l’exemple de la figure 2, avec les liens mini-
I ⊂ {1, 2, ..., r }. maux {e2 , e3} et {e1}, on obtient :
x j = 0, ∀j ∈ I  y = ϕ (x) = 1 − [(1 − x 2 ⋅ x 3 )(1 − x1)]

Si  ⇒ y = 0 alors b est une coupe.
x j = 1, ∀j ∉ I  Avec les coupes minimales {e1 , e2} et {e1 , e3}, on obtient :
C’est-à-dire un sous-ensemble de composants dont la défaillance
entraîne la défaillance du système (dont y = ϕ (x ) est la fonction de y = ϕ (x) = [(1 − (1 − x1) (1 − x 2 )] [1 − (1 − x1) (1 − x 3 )]
structure), les autres composants étant en état de marche.
Sur le diagramme de Hasse, chaque combinaison des états des Ces deux expressions semblent différentes mais, en fait, si on
composants pour laquelle le système fonctionne correspond donc développe ces produits, on peut obtenir un polynôme du premier
à un lien, le sous-ensemble des composants dont les variables degré selon toutes les variables en tenant compte de la propriété :
états valent 1. Sur la figure 2, les liens correspondent aux triplets xin = xi ∀i puisque xi ∈ {0, 1}. Les deux formules mènent alors au
encadrés et sont donc : {e1 , e2 , e3}, {e2 , e3}, {e1 , e3}, {e1 , e2} et {e1}. même résultat qu’on appellera expression réduite de la fonction
De même, chaque combinaison d’états pour laquelle le système de structure.
ne fonctionne pas correspond à une coupe, le sous-ensemble des Dans notre exemple, y = ϕ (x ) = x1 + x2 · x3 – x1 · x2 · x3 .

ＱＵＰ
ｓＸＲＶＳ
des systèmes de commande
Exemple d’application et rappels sur les RdP
par Jean-François AUBRY

Professeur à l’Institut national polytechnique de Lorraine (INPL)
et Éric CHATELET
Professeur à l’université de technologie de Troyes (UTT) Ｔ
1. Exemple d’application............................................................................. S 8 263 - 2
2. Réseaux de Petri autonomes................................................................. — 4
3. Extensions des réseaux de Petri .......................................................... — 5
ans cet article, qui fait suite à l’article [S 8 262], nous donnons un exemple
D d’application décliné sur les différentes méthodes d’analyse de la sûreté
de fonctionnement. Nous présentons ensuite un certain nombre de rappels
concernant les réseaux de Petri (RdP).
Introduits au début des années 1960 par Carl Adam Petri, les réseaux de Petri
(RdP) sont des modèles de description des systèmes à événements discrets.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｳ･ｰｴ･ｭ｢ｲ･＠ＲＰＰＸ

ＱＵＱ
ｓＸＲＶＳ
1. Exemple d’application La modélisation fonctionnelle ou dysfonctionnelle de ce système

peut devenir complexe selon le niveau de détail pris en compte.
Afin de conserver un caractère didactique à l’exemple, nous pre-
nons quelques hypothèses simplificatrices. Nous montrerons
Cet exemple, présenté figure 1 sera décliné dans la suite sur les ensuite quels problèmes posent la prise en compte d’hypothèses
différentes méthodes. supplémentaires plus réalistes.
Il s’agit d’un système de régulation de température d’un four Le four muni de ses capteurs de température est un ensemble
électrique constitué d’un régulateur continu (proportionnel et inté- que nous considérerons comme un composant unique, noté F.
gral par exemple), noté C, qui compare la température de réfé- Si le composant diagnostic, noté D, est défaillant, il donne tou-
rence à la température mesurée dans le four (figure 1). En fonction jours la position régulateur PI. On suppose, de plus, que ce dia-
de l’écart, il élabore une commande qui détermine la puissance gnostic est instantané : il identifie les défaillances dès leur
électrique de chauffe propre à réduire au mieux cet écart pour apparition et donne aussitôt l’ordre de commuter (passage en
compenser les pertes thermiques, les perturbations éventuelles mode de secours si le régulateur continu défaille et coupure totale
dans le four ou pour suivre au plus près un cycle thermique d’alimentation après défaillance du régulateur tout ou rien).
imposé par la consigne. Au cas où ce régulateur viendrait à
Le commutateur est supposé parfait et donc sans défaillance.
défaillir, il est possible de reconfigurer le système en substituant
un régulateur de secours, noté T, fonctionnant en mode dégradé, On note xF , xC , xT , xD , les variables états des composants four
en l’occurrence en tout ou rien (pleine puissance ou puissance (F ), régulateur continu (C ), régulateur tout ou rien (T ), et diagnos-
nulle), de manière à maintenir la température entre deux limites tic (D). On convient que xI vaut 1 si le composant I fonctionne, 0
minimale et maximale autour de la consigne. Un commutateur dans le cas contraire.
permet de sélectionner la source de puissance provenant de l’un Appelons y la variable valant 1 si la température du système (S)
ou l’autre des régulateurs ou interrompt l’alimentation en énergie est contrôlée ou 0 si elle n’est pas contrôlée.
Ｔ
si les deux régulateurs sont défaillants. Ce commutateur est piloté
Le diagramme de Hasse de la figure 2 représente le
par un système de diagnostic qui, à partir de l’observation de la
comportement de ce système, avec la convention de représenter
température, en déduit l’état de marche ou de panne du régulateur
les variables dans l’ordre xF , xC , xT , xD . Les quadruplets encadrés
qui a le contrôle.
en traits pleins correspondent aux cas où le système fonctionne,
ceux encadrés en traits pointillés aux cas où il ne fonctionne pas.
En grisé apparaissent les combinaisons d’états correspondant aux
deux liens minimaux et aux trois coupes minimales.
Diagnostic Les liens minimaux identifiés sur le diagramme de Hasse sont :
{F,T,D } et {F,C }. On obtient donc pour l’expression de la fonction
Consigne Énergie de structure :
température Régulateur y = ϕ (x) = 1 − [(1 − xF ⋅ xT ⋅ xD ) (1 − xF ⋅ xC )]
PI
Énergie Four Avec la méthode les coupes minimales {F } {C,T } et {C,D}, on

obtient :
Régulateur
TOR
y = ϕ (x) = [1 − (1 − xF )] [1 − (1 − xC ) (1 − xT )] [1 − (1 − xC ) (1 − xD )]
Température mesurée en effectuant les produits et simplifiant (xin = xi ) , on obtient :
Figure 1 – Exemple de la régulation de température d’un four y = ϕ (x) = xF ⋅ xC + xF ⋅ xT ⋅ xD − xF ⋅ xC ⋅ xT ⋅ xD

avec reconfiguration du régulateur
ce qui donne pour la fiabilité du système :
RS = RF ⋅ RC + RF ⋅ RT ⋅ RD − RF ⋅ RC ⋅ RT ⋅ RD
Toujours sur ce même exemple, on peut représenter la fiabilité
1111 du système (probabilité de fournir de l’énergie) par le diagramme
de fiabilité de la figure 3.
On a donc :
RS = RF ⋅ [1 − (1 − RC ) ⋅ (1 − RT ⋅ RD )]
0111 1011 1101 1110
soit :
RS = RF ⋅ RC + RF ⋅ RT ⋅ RD − RF ⋅ RC ⋅ RT ⋅ RD
0011 0101 1001 0110 1010 1100
Régulateur
0001 0010 0100 1000 continu
Four
Régulateur Diagnostic
TOR
0000
Figure 3 – Diagramme de fiabilité du système de régulation

Figure 2 – Diagramme de Hasse de température

ＱＵＲ
ｓＸＲＷＰ
Équipements de travail :
sécurité des systèmes programmés
par Philippe CHARPENTIER

Docteur-ingénieur
Chef du laboratoire Sûreté des systèmes automatisés, Institut national de recherche
et de sécurité (INRS)
et Joseph CICCOTELLI
Docteur ès sciences
Adjoint au chef du département Ingénierie des équipements de travail, INRS
1. Sécurité intégrée à la conception des machines........................ S 8 270 - 2
Ｔ
1.1 Notion de machine ...................................................................................... — 2
1.2 Principe de sécurité intégrée ...................................................................... — 2
1.3 Caractéristiques du dispositif normatif...................................................... — 3
2. Notions fondamentales et principes généraux
de conception sûre .................................................................................. — 5
2.1 De l’entité dangereuse à l’accident : approche normative
du processus accidentel.............................................................................. — 5
2.2 Processus d’appréciation des risques........................................................ — 5
2.3 Évaluation et réduction du risque .............................................................. — 6
3. Prescriptions applicables à la sécurité des systèmes
de commande de machines................................................................... — 9
3.1 Généralités ................................................................................................... — 9
3.2 Prescription selon la norme EN 954-1/ISO 13849-1 .................................. — 9
3.3 Prescription selon la norme CEI 61508 ...................................................... — 13
3.4 Prescription selon la norme CEI 62061 ...................................................... — 15
4. Conclusion ................................................................................................. — 16
e document s’appuie largement sur l’état de la normalisation qui désor-

C mais couvre en grande partie le domaine de la sécurité des systèmes
programmés dans les équipements de travail, et au sein de laquelle les points
de vue, méthodes et outils sont discutés et partagés.
On rappelle tout d’abord les principales caractéristiques de l’approche
normative mise en place dans le cadre de la sécurité intégrée à la conception
d’une machine. Les normes applicables à la sécurité des systèmes de
commande des machines sont ensuite décrites : la norme EN 954-1 dédiée aux
parties relatives à la sécurité des systèmes de commande de machines, la norme
CEI 61508, qui traite de la sécurité fonctionnelle des systèmes de commande à
technologies électriques, électroniques, électroniques programmables et la
norme CEI 62061, déclinaison de la norme CEI 61508 pour la sécurité fonction-
nelle des systèmes de commande de machines. Les évolutions à venir de ces
référentiels sont exposées.
Le dossier se conclut sur une proposition argumentée de l’INRS pour la
détermination du référentiel à utiliser, en fonction des choix de conception,
pour la réalisation des fonctions de sécurité d’une machine.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｪｵｩｮ＠ＲＰＰＶ
ＱＵＳ
ｓＸＲＷＰ
ÉQUIPEMENTS DE TRAVAIL : SÉCURITÉ DES SYSTÈMES PROGRAMMÉS __________________________________________________________________________
1. Sécurité intégrée
à la conception Signalisation, Organes de service
des machines affichage,
avertissements
Appareils de
commande
Parallèlement à l’évolution du progrès technique et de l’indus- Système

trialisation, la prévention des risques professionnels [1] [2] s’est de Mémorisation et traitement
considérablement développée tout au long du XXe siècle [3]. La commande logique ou analogique des informations
normalisation associée à ce domaine relève d’un programme
intitulé « Hygiène et sécurité au travail » ; celui-ci couvre un large
champ puisqu’il intéresse la quasi-totalité des équipements utilisés Capteurs
au travail dans les diverses branches professionnelles de la vie Dispositifs de
économique. De fait, les travaux normatifs font appel à des protection
Préactionneurs
domaines scientifiques et techniques multiples – sciences pour (contacteurs, distributeurs,
l’ingénieur, sciences humaines et sociales, sciences de la vie. Nous variateurs de vitesse...)
limitons ici notre propos au domaine technique des machines et
systèmes de production automatisés.
Protecteurs
Actionneurs
Les notions fondamentales, les principes généraux et les métho- (moteurs, vérins)
dologies découlant du concept de « sécurité intégrée » ont fait Partie
Ｔ
l’objet depuis les années 1980 de multiples débats, réflexions et opérative
études. Ces travaux, issus d’un large consensus européen, ont
abouti à l’adoption de nombreux textes qui non seulement ne Éléments de transmission
peuvent être ignorés, mais qui doivent avantageusement guider Éléments de travail
les développements des concepteurs.
Nous rappelons ici ces notions et principes généraux de pré-

Interface opérateur-machine
vention dans leur contexte normatif.
Figure 1 – Représentation schématique d’une machine

(d’après EN ISO 12100-1)
1.1 Notion de machine
Selon son métier, sa formation de base, son expérience, le terme 1.2 Principe de sécurité intégrée
« machine » n’a pas le même sens pour chaque individu (ou
groupe d’individus). Sa définition « normalisée » est donnée dans
le texte de la directive 98/37/CE, dite directive « Machines ». Il est 1.2.1 Genèse
repris par la norme EN ISO 12100-1 où une machine est définie
comme étant « un ensemble de pièces ou d’organes liés entre eux C’est au début des années 1980 que le principe d’intégration de
dont au moins un est mobile et, le cas échéant, d’actionneurs, de la sécurité à la conception des machines fut formellement édicté –
circuits de commande et de puissance, etc., réunis de façon soli- dans des dispositions législatives nationales (loi 76-1106 du
daire en vue d’une application définie, notamment pour la trans- 6 décembre 1976 et décrets 80-542, 543 et 544 du 15 juillet 1980 [4])
formation, le traitement, le déplacement et le conditionnement – et prit réellement place en France. Auparavant, les situations
d’un matériau ». jugées dangereuses étaient plutôt corrigées chez (et par) l’uti-
lisateur après réception de l’équipement. Pour limiter les risques
Un « ensemble de machines » qui, afin de concourir à un même d’accidents graves constatés sur des machines considérées comme
résultat, sont disposées et commandées de manière à être soli- extrêmement dangereuses, les autorités instaurèrent pour les
daires dans leur fonctionnement, est également considéré comme concepteurs et fabricants l’obligation de rendre celles-ci conformes
étant une machine. C’est par exemple le cas d’une ligne à certaines règles de sécurité, avant même leur mise sur le marché.
d’imprimerie. Le principe de sécurité intégrée était né ; tout en imaginant les
solutions techniques permettant à l’équipement d’assurer sa
La représentation schématique générale d’une machine laisse fonction première, il était demandé au concepteur de se soucier
apparaître de nombreux flux d’informations et trois parties prin- des risques inhérents à sa future utilisation. S’il paraît simple à
cipales que sont la partie commande, la partie opérative et l’inter- énoncer et compréhensible pour tout un chacun, on verra plus loin
face opérateur-machine (figure 1). qu’un tel objectif n’est pas sans influencer le métier même du
concepteur et s’inscrit dans une problématique plus large d’ingé-
On remarque que cette définition renvoie à la fois à une vue nierie intégrée.
physique ou technologique de la machine (elle est faite de pièces,
d’actionneurs...), à une vue fonctionnelle (elle transforme, traite, À la fin des années 1980, ce principe de sécurité intégrée
déplace...) et à des éléments structurels (elle comprend une partie largement éprouvé en France pendant une dizaine d’années sur
commande pour « commander », opérative pour « opérer »). certaines catégories de machines (presses, machines à bois) est
étendu et constitue le fondement de la législation européenne en
La composante humaine qui n’est pas explicitement représentée matière de conception des machines ; une directive européenne
sur la figure 1 intervient dans les éléments d’interface ; la machine, dite directive « Machines » est adoptée en 1989, elle est suivie de
dans sa vue exclusivement technique, comprend des parties modifications et d’amendements, intégrés et regroupés depuis
« interface opérateur-machine » représentant à différents niveaux 1998 dans un seul et unique texte : la directive européenne
(organes de commande, capteurs...) les interactions possibles 98/37/CE codifiée (transposée en droit national dans chacun des
entre l’Homme et la machine. pays de l’Union européenne).
ＱＵＴ
ｓＸＲＷＰ
__________________________________________________________________________ ÉQUIPEMENTS DE TRAVAIL : SÉCURITÉ DES SYSTÈMES PROGRAMMÉS
La directive Machines entre dans le cadre des principes de la mobiles automatiques pour la protection des machines). La défi-
« Nouvelle Approche » en matière d’harmonisation technique et de nition qui en est donnée est plus large puisqu’il est question de
normalisation adoptée en 1985. Ce principe, peu connu des acteurs « composant mis sur le marché dans le but d’assurer, par son
concernés, mérite d’être rappelé. Les directives Nouvelle Approche utilisation, une fonction de sécurité, et dont la défaillance ou le
constituent en effet un élément fondamental de la libre circulation mauvais fonctionnement met en cause la sécurité ou la santé des
des produits au sein de l’Union européenne. Élaborées dans le personnes exposées ».
cadre du processus de codécision entre la CE et le Parlement
Dans son annexe I, la directive Machines décline les principes
européen, elles sont obligatoirement transposées par les États
d’intégration de la sécurité et stipule notamment que :
membres dans leur droit national. Elles permettent donc un
rapprochement et une harmonisation entre ces États. Elles ont « Les machines doivent par construction être aptes à assurer leur
pour objectifs de faciliter les échanges intracommunautaires et de fonction, à être réglées, entretenues sans que les personnes soient
renforcer le principe de reconnaissance mutuelle. Toutes les entre- exposées à un risque lorsque ces opérations sont effectuées dans
prises qui souhaitent mettre en service ou échanger des produits les conditions prévues par le fabricant.
en Europe sont donc tenues de respecter ces directives.
Les mesures prises doivent avoir pour objectif de supprimer les
Les directives Nouvelle Approche ont nécessité un travail risques d’accidents durant la durée d’existence prévisible de la
conséquent d’harmonisation des textes législatifs et réglementai- machine, y compris les phases de montage et de démontage,
res. La rédaction de normes européennes (CEN et CENELEC) et nor- même dans le cas où les risques d’accidents résultent de situations
mes internationales (ISO et CEI) a été entreprise, guidée par les anormales prévisibles ».
considérations suivantes :
CEN : Comité européen de normalisation (pour les aspects à dominante mécanique)
Elle définit des exigences essentielles de sécurité et de santé
CENELEC : Comité européen de normalisation électrotechnique relatives à la conception et à la construction des machines et des
ISO : Organisation internationale de normalisation (pour les aspects à dominante composants de sécurité, qui portent sur les commandes et sur les
mécanique) mesures de protection à prendre contre les risques mécaniques,
Ｔ
CEI : Commission électrotechnique internationale
mais aussi tous les autres risques (explosion, bruit, vibrations,
— les directives contiennent des exigences essentielles ; dans le rayonnements extérieurs...). Elle exige du fabricant qu’il effectue
cas de la directive Machines, des « exigences très générales appli- une analyse des risques afin de rechercher ceux qui s’appliquent à
cables à de nombreuses catégories de machines » ; sa machine ; il doit ensuite concevoir et construire la machine en
— des normes harmonisées établissent des dispositions tech- prenant en compte son analyse.
niques permettant de concevoir et de fabriquer des équipements
conformes aux exigences (« les normes harmonisées servent de Pour les systèmes de commande, sujet traité ici, la directive
guide pour l’application des directives européennes et de référence définit les exigences essentielles suivantes :
pour la conception des produits »). Ces dispositions techniques ne « Les systèmes de commande doivent être conçus et construits
sont pas obligatoires, « elles sont une aide au fabricant mais pour être sûrs et fiables, de manière à éviter toute situation
celui-ci peut choisir tout autre moyen de mise en œuvre pour dangereuse. Ils doivent notamment être conçus et construits de
assurer la conformité » ; manière à résister aux contraintes normales de service et aux
— un équipement conforme aux dispositions d’une norme influences extérieures, et à ce qu’il ne se produise pas de situations
harmonisée est présumé conforme aux exigences réglementaires dangereuses en cas d’erreur de logique dans les manœuvres
qui lui sont applicables, pour autant que ces exigences soient (directive 98/37/CE, annexe I, paragraphe 1.2.1. : Sécurité et fiabilité
couvertes par le champ d’application de cette norme. des systèmes de commande).
L’énoncé d’exigences essentielles de santé et de sécurité à satis- Un défaut affectant la logique du circuit de commande ou une
faire dans les directives montre clairement l’objectif (en termes défaillance ou une détérioration du circuit de commande, ne doit
d’obligation de résultat) fixé au concepteur. Dans la Nouvelle pas créer de situations dangereuses (directive 98/37/CE, annexe I,
Approche, la réglementation prend appui sur la normalisation qui paragraphe 1.2.7. : Défaillance du circuit de commande) ».
de fait occupe une place importante dans l’atteinte de cet objectif.
La conception des machines, systèmes et dispositifs de pro-
Comme le soulignait M. Van Gheluwe, administrateur principal à tection doit donc se préoccuper non seulement de leur aptitude
la Commission des communautés européennes – DG III, reconnu fonctionnelle à assurer la sécurité, mais encore de leur compor-
comme un des principaux fondateurs de la directive Machines, tement en environnement industriel (mécano-climatique et élec-
dans un séminaire sur les nouvelles règles techniques organisé en trique) et en présence de défauts de composants.
1993 par le Centre technique des industries mécaniques
(Cetim) [5] : « ... la Directive énonce les objectifs sans donner les
moyens de les atteindre...... pas de défaitisme, il y a des solutions,
mais il faut les trouver... ». 1.3 Caractéristiques du dispositif normatif
Le dispositif normatif a donc pour objectif de contribuer à
La directive Machines stipule des obligations de résultats ; les
trouver ces solutions. Il s’appuie sur un vaste programme, sans
normes européennes qui lui viennent en appui sont développées
précédent en matière de normalisation technique, non encore
par consensus entre toutes les parties intéressées pour aider les
achevé à ce jour.
différents acteurs (concepteurs, utilisateurs, préventeurs) à
atteindre les objectifs visés.
1.2.2 Directive Machines
La directive Machines 98/37/CE s’applique aux machines telles 1.3.1 Définition d’une norme
que définies au paragraphe 1.1. Elle s’applique également aux
composants de sécurité lorsqu’ils sont mis isolément sur le Une norme est « un document établi par consensus et approuvé
marché. par un organisme reconnu qui fournit, pour des usages communs
et répétés, des règles, des lignes directrices ou des caractéris-
Il est important de noter que le terme de composant de sécurité
tiques, pour des activités ou leurs résultats, garantissant un niveau
ne caractérise pas uniquement les composants listés à l’annexe IV
d’ordre optimal dans un contexte donné » (EN 45020).
de la directive (dispositifs électrosensibles conçus pour la détection
des personnes, notamment barrages immatériels, tapis sensibles, Les dispositions contenues dans une norme peuvent prendre la
détecteurs électromagnétiques ; blocs logiques assurant des forme d’un énoncé, d’une instruction, d’une recommandation ou
fonctions de sécurité pour commandes bimanuelles ; protecteurs d’une exigence ; elles indiquent des prescriptions.
ＱＵＵ
ｓＸＲＷＰ
ÉQUIPEMENTS DE TRAVAIL : SÉCURITÉ DES SYSTÈMES PROGRAMMÉS __________________________________________________________________________
1.3.2 Classification des normes

Tableau 1 – Exemples de normes représentatives
Les normes relatives à la conception des machines présentent des types A, B1, B2 et C
une architecture originale reposant sur des degrés d’imbrication.
Elles sont classées selon trois types (EN 414) : Type Norme représentative
— normes de type A : elles précisent les notions fondamentales,
les principes de conception et les aspects généraux valables pour EN ISO 12100-1 – Sécurité des machines : Notions
tous les types de machines ; A fondamentales, principes généraux de conception
— normes de type B : – Partie 1 : terminologie de base, méthodologie.
• les normes de type B1 traitent d’un « aspect particulier de la EN 954-1 (ISO 13849-1) – Sécurité des machines :
sécurité » (par exemple, distances de sécurité, température super- Parties des systèmes de commande relatives à la
B1 sécurité. Partie 1 : principes généraux de
ficielle, bruit). Elles définissent les principes de base du sujet de
sécurité traité et comment ces principes peuvent être appliqués conception.
B
aux normes de type C,
CEI 61496-1 – Sécurité des machines – Équi-
• les normes de type B2 traitent d’un «type de dispositif B2 pements de protection électrosensibles – Partie 1 :
conditionnant la sécurité » (par exemple, commandes bimanuel- prescriptions générales et essais.
les, dispositifs de verrouillage, dispositifs sensibles à la pression,
protecteurs) valable pour une large gamme de machines. Elles EN 693 – Machines-outils – Sécurité – Presses
donnent les prescriptions de performance pour la conception et la C hydrauliques.
fabrication du moyen de protection considéré ;
— normes de type C : elles indiquent des prescriptions de
Ｔ
sécurité détaillées s’appliquant à une machine particulière ou à un
groupe de machines. Elles traitent de tous les phénomènes
dangereux significatifs concernant la machine considérée, en
s’appuyant notamment sur les normes de type B pertinentes. EN ISO 12100
Principes généraux EN 294
Dans le but de fixer les idées, le tableau 1 met en regard de ces EN 349
de conception
différents types une norme « machine » caractéristique. EN 547
EN 999 EN 61496-1/2/3/4
EN 982
EN 614 EN 983 EN 811
Remarques : Principes EN 1760-1/2/3
ergonomiques
■ Certaines normes, développées initialement dans un de conception EN 954-1
contexte européen comme la norme EN 954-1, ont été reprises Parties des
au niveau international de l’ISO pour devenir ISO 13849-1. Nous systèmes de
utilisons ici les références initiales, en donnant la correspon- commande relatives
dance en cas de reprise par l’ISO. à la sécurité
EN 574
■ On note que certaines normes ont été développées dans le
EN 418 EN 1010
cadre du CEN (EN 954-1/ISO 13849-1), mais aussi dans le cadre EN 953
du Cenelec /CEI lorsqu’il s’agissait de prendre en compte des Machines d'impression
ISO TR et de transformation du
aspects électriques ou électroniques. C’est le cas par exemple 11688-1 papier
de la norme CEI 61496, développée initialement dans le cadre du ISO EN 1088
7960 EN 1050
Cenelec, puis reconnue et harmonisée dans le contexte de la
directive Machines. EN 60204 Principes pour
Équipement électrique l'appréciation
des machines des risques
La représentation « planétaire » [6] du dispositif normatif (figure 2)
donne un aperçu de l’interrelation entre normes ; faire graviter des
normes « produit » de type C comme EN 1010 (« Machines d’impres- Figure 2 – Représentation « planétaire » du dispositif normatif
sion et de transformation du papier ») autour de normes de type A et (non exhaustive)
B plus génériques illustre le fait que ces dernières exercent une cer-
taine influence en propageant les principes et concepts de base sur
lesquels doivent s’appuyer les normes de type C.
Ces travaux de normalisation sont menés au sein de comités
techniques (TC) comprenant des groupes de travail composés des
acteurs rappelés sur la figure 3. « Préventeurs » :
Constructeurs/fabricants : - organismes de prévention ;
Pour mieux visualiser les différents champs techniques et généralement les concepteurs - autorités publiques
disciplines couverts par la normalisation machines, on peut éga- des produits objets de la nationales ;
norme - organismes de contrôle
lement utiliser une représentation en matrice (figure 4) faisant technique.
apparaître les notions de « norme horizontale » et de « norme
verticale » :
— les normes horizontales (de type A ou B) traitant d’aspects Utilisateurs :
communs applicables à presque toutes les machines comme représentants des salariés,
l’ergonomie, le bruit... ; consommateurs,
employeurs...
— les normes verticales (de type C) déterminant les dispositions
spécifiques d’une catégorie de machines en faisant référence aux
dispositions des normes horizontales, évitant ainsi la duplication
du travail réalisé et donnant une certaine cohérence à l’ensemble
des normes. (0) Figure 3 – Acteurs des comités techniques
ＱＵＶ
ｍｔＹＲＰＲ
Maintenance, sûreté
de fonctionnement et management
des actifs de production
par Antoine DESPUJOLS

Ingénieur-chercheur à EDF Recherche et Développement
1 Maintenance et sûreté de fonctionnement....................................... MT 9 202 - 2

1.1 Sûreté de fonctionnement.......................................................................... — 2
1.2
1.3
1.4
Processus maintenance ..............................................................................
Maintenance et fiabilité opérationnelle.....................................................
Maintenance et maintenabilité opérationnelle .........................................
—
—
—
3
4
6
Ｔ
1.5 Maintenance et innocuité ........................................................................... — 7
1.6 Effets de la maintenance sur la sûreté de fonctionnement ..................... — 8
2 Maintenance, risques et performances.............................................. — 8
2.1 Maintenance face aux dangers et aux opportunités ................................ — 8
2.2 Maintenance face à l’occurrence des événements .................................. — 8
2.3 Stratégies de maintenance et criticité des défaillances ........................... — 9
2.4 Stratégies offensives .................................................................................. — 10
2.5 Stratégies défensives.................................................................................. — 10
2.6 Exemples de méthodes de management de processus de maintenance — 11
3 Maintenance et management des actifs de production................ — 11
3.1 Maintenance, performances et patrimoine............................................... — 11
3.2 Maintenance et durée d’exploitation......................................................... — 12
3.3 Management des actifs de production (Asset Management) ................. — 12
3.4 Principes de l’Asset Management ............................................................. — 13
4 Conclusion.................................................................................................. — 14
Pour en savoir plus ........................................................................................... Doc. MT 9 202
elon les défaillances auxquelles elle s’oppose, la maintenance peut appa-

S raître de deux manières différentes : soit comme une parade contre des
événements redoutés, soit comme un levier pour accroître les performances et
la compétitivité d’un équipement ou d’une installation. Dans certains cas, elle
est un moyen de défense contre des pannes aux conséquences graves vis-à-vis
des personnes, des biens ou de l’environnement. Mais elle est aussi un instru-
ment privilégié et essentiel pour améliorer la disponibilité, le rendement, la
qualité, la maîtrise des coûts et la durée d’exploitation d’un équipement ou
d’une installation. Son implication, à la fois dans la gestion des risques et dans
l’optimisation des performances, fait qu’elle entretient des rapports étroits
avec deux autres domaines, chacun plus particulièrement concerné par l’un de
ces aspects : la sûreté de fonctionnement qui s’intéresse aux risques et le
management des actifs de production (ou Asset Management) qui vise à opti-
miser les performances.
Ces domaines font appel à différentes compétences : les métiers de la mainte-
nance, la fiabilité, et l’aide à la décision en lien avec les sciences économiques.
ｐ｡ｲｵｴｩｯｮ＠Ｚ＠ｯ｣ｴｯ｢ｲ･＠ＲＰＰＹ

est strictement interdite. – © Editions T.I. M T 9 2 0 2 –1
ＱＵＷ
ｍｔＹＲＰＲ
MAINTENANCE, SÛRETÉ DE FONCTIONNEMENT ET MANAGEMENT DES ACTIFS DE PRODUCTION __________________________________________________
Bien qu’ayant les mêmes buts, leurs points de vue et leurs préoccupations pré-
sentent des différences. Les fiabilistes perçoivent généralement la maintenance
comme une composante de la sûreté de fonctionnement ; le management des
actifs de production, pour sa part, apparaît comme un élargissement des problé-
matiques de maintenance ; enfin, les responsables de maintenance, en prise
directe avec le terrain, réclament des approches pragmatiques et efficaces
parfois éloignées des considérations plus conceptuelles et théoriques des deux
autres domaines. Où sont les différences ? Quels sont les périmètres, les
influences et les objectifs communs ? Nous tâcherons de répondre à ces ques-
tions en distinguant les deux facettes de la maintenance : bouclier et fer de
lance. Nous montrerons ainsi que, selon les situations, les responsables de
maintenance adoptent une attitude « défensive » pour s’opposer à des risques
graves et rares, ou une attitude que l’on pourra qualifier « d’offensive » pour
créer de la valeur en améliorant la compétitivité de leur installation.
L’horizon d’exploitation considéré constitue une dimension supplémentaire,
source de différents enjeux. Il peut en effet conduire à séparer les responsabi-
lités entre, d’une part, la gestion des performances à court terme qui est le rôle
de l’exploitant, et d’autre part, la gestion des actifs de production sur le long
terme qui incombe au propriétaire.
Ｔ Nous nous intéresserons ainsi aux missions des acteurs de la maintenance

qui sont amenés à gérer les compromis nécessaires entre la protection et la
création de valeur et entre le court et le long terme.
1. Maintenance et sûreté la sûreté de fonctionnement est la traduction du terme anglais

« dependability », synonyme dans le langage courant de disponibi-
de fonctionnement lité. Le TC 56 change de nom en 1989 pour s’appeler « sûreté de
fonctionnement (dependability) » et entériner ainsi la naissance de
ce nouveau concept (figure 1a ).
Dans cette première partie, nous commencerons par rappeler Malgré ses dénominations dans certaines langues (seguridad de
succinctement ce que recouvre le concept de sûreté de fonction- funcionamiento en espagnol, segurança de funcionamento en por-
nement (SdF), puis nous préciserons le contenu du processus tuguais, Funktionssicherheit en allemand...), rien dans la définition
maintenance et montrerons comment il influe sur la fiabilité, la ne fait référence à la sûreté ou à la sécurité. Cela préserve le TC56
maintenabilité et l’innocuité des équipements, et permet ainsi d’empiéter sur les compétences d’autres comités ou instances
d’agir sur les objectifs de la SdF. internationales en charge de ces domaines, mais ce n’est pas satis-
faisant car la confiance que l’on peut avoir dans un bien repose
bien entendu pour beaucoup sur sa sûreté et sa sécurité.
1.1 Sûreté de fonctionnement Les débats récents au sein du groupe de normalisation du TC56
de la CEI qui révise la terminologie conduisent à élargir encore le
Bien qu’il soit possible d’en trouver des prémices dans l’histoire concept pour traduire la capacité à satisfaire un ensemble de
à différentes époques [1], la sûreté de fonctionnement est une caractéristiques générales que l’on attend d’un bien. La définition
science jeune dont les concepts continuent à évoluer. en voie d’être adoptée est maintenant la suivante : « aptitude à
Les années 1950 ont vu apparaître la fiabilité en tant que disci- fonctionner comme, et lorsque, cela est requis ». Interprétation
pline de l’ingénieur pour formuler les chances de bon fonction- très large précisée par des notes qui indiquent que les caractéristi-
nement d’un bien sur un intervalle de temps donné [AG 4 670], ques de la sûreté de fonctionnement peuvent inclure (figure 1b ) :
[S 8 250] [2]. On se préoccupe alors de calculer la probabilité de – l’aptitude à la récupération, c'est-à-dire la capacité à être remis
non-défaillance d’un équipement complexe et ainsi les chances de en service après une défaillance (généralement à la suite d’une
succès de la mission qu’il remplit. réparation en tenant compte des actions d’exploitation éventuel-
Au cours de la décennie suivante vient s’ajouter le besoin d’éva- lement nécessaires au redémarrage) ;
luer la durée d’indisponibilité du bien lorsqu’une défaillance sur- – la durabilité qui désigne la capacité à fonctionner aussi long-
vient et que du bien peut être remis en service après réparation. Le temps que l’utilisateur le demande dans un contexte technico-éco-
concept de maintenabilité est alors officiellement défini et le nomique donné ;
Comité Technique « Fiabilité et Maintenabilité » (TC 56) de la – l’intégrité qui assure que les informations sont complètes et
Commission électrotechnique internationale (CEI) est créé en 1965. non altérées, en particulier par des actions externes malveillantes ;
– la sûreté et la sécurité ; deux termes qui désignent l’aptitude
Il faut attendre les années 1980 pour voir émerger la sûreté de
d’une entité à éviter la survenue d’événements critiques, voire
fonctionnement comme discipline scientifique ainsi qu’une notion
catastrophiques ;
plus large que la fiabilité afin de traduire la confiance qu’un utilisa-
teur peut avoir dans un bien (matériel, logiciel, système – des exigences d'efficacité et d'économie durant tout le cycle de
complexe...). Définie alors comme « l’ensemble des propriétés qui vie, autrement dit la maîtrise des coûts.
décrivent la disponibilité et les facteurs qui la conditionnent : fiabi- Il manque encore à ce panel de propriétés le maintien de la qua-
lité, maintenabilité et logistique de maintenance » [CEI 60050-191], lité dans le temps [AG 4 670], mais on voit à travers l’évolution de

MT 9 202 − 2 est strictement interdite. − © Editions T.I.
ＱＵＸ
ｍｔＹＲＰＲ
__________________________________________________ MAINTENANCE, SÛRETÉ DE FONCTIONNEMENT ET MANAGEMENT DES ACTIFS DE PRODUCTION
Disponibilité
Fiabilité Maintenabilité Soutien logistique
a représentation de la sûreté de fonctionnement selon CEI 60050-191:1999
Disponibilité Durabilité Intégrité Sûreté Sécurité Économie Efficacité
Fiabilité Maintenabilité Soutien Remise

logistique en service
Ｔ
b représentation de la sûreté de fonctionnement selon la révision en cours CEI 60050-191 (2009)
Figure 1 – Évolution du concept de sûreté de fonctionnement
Disponibilité, Sûreté, Sécurité, Qualité, Coûts, Patrimoine, Environnement
Fiabilité opérationnelle Maintenabilité opérationnelle
Maintenance « en exploitation » Soutien logistique
Processus
Fiabilité intrinsèque Maintenabilité intrinsèque
Maintenance
Prise en compte de la maintenance en conception
Figure 2 – Représentation du processus maintenance
la terminologie que le concept s’élargit. Si la SdF reste « la science cours des différentes phases de cycle de vie de l’installation
des défaillances » [S 8 250], elle se définit davantage par les effets (étude, préparation, planification, gestion des ressources, réalisa-
de ces défaillances sur les objectifs attendus par l’utilisateur que tion des interventions correctives et préventives, collecte et ana-
par leur probabilité d’apparition (fiabilité) et la durée des états lyse du retour d’expérience, calcul d’indicateurs, etc.).
d’indisponibilité (maintenabilité).
Pour mettre en évidence les effets du processus maintenance
sur les caractéristiques de sûreté de fonctionnement des équipe-
ments, nous pouvons le décomposer en trois sous-processus
1.2 Processus maintenance (figure 2) :
La maintenance est un processus au sens de la norme ISO 9000 • la prise en compte de la maintenance en phase de conception
puisqu’elle est constituée d’un ensemble d'activités corrélées et (et lors de modifications ou d’améliorations) qui permet de
coordonnées, qui utilisent des ressources et sont réalisées par des déterminer au mieux la fiabilité et la maintenabilité intrinsè-
acteurs pour obtenir un résultat (« ... actions techniques, adminis- que d’un bien ;
tratives et de management [...], destinées à maintenir [un bien] ou
à le rétablir dans un état dans lequel il peut accomplir la fonction • la maintenance en phase d’exploitation qui produit la fiabilité
requise » [EN 13306]). opérationnelle ;
Ce processus, qui peut être représenté de multiples • le soutien logistique qui conduit à la maintenabilité opéra-
façons [MT 9 020], comprend l’ensemble des activités menées au tionnelle.

est strictement interdite. – © Editions T.I. MT 9 202 – 3
ＱＵＹ
ｍｔＹＲＰＲ
MAINTENANCE, SÛRETÉ DE FONCTIONNEMENT ET MANAGEMENT DES ACTIFS DE PRODUCTION __________________________________________________
Maintenance conditionnelle Maintenance systématique Maintenance corrective
Temps calendaire, Temps calendaire, Défaillance

nombre d’unités d’usage, nombre d’unités d’usage
ou en continu
Observations
Analyse, diagnostic, Analyse, localisation

pronostic de panne
Action de remise Pas Action de remise Action

en état d’action en état de réparation
Essai Essai Essai

de requalification de requalification de requalification
Ｔ Figure 3 – Comparaison des différents types de maintenance
Pour caractériser les interventions de maintenance réalisées sur défaillance s’accroît au cours du temps (ceux qui ne vieillissent pas
les matériels, nous pouvons de nouveau nous référer à la norme n’ont bien sûr pas besoin d’être rajeunis). La figure 4 représente
européenne [EN 13306] et distinguer : l’allure de λ (t ) pour un matériel qui vieillit lorsque des remplace-
• la maintenance préventive systématique : « exécutée à des ments sont effectués avec une période T aux dates R 1 , R 2 ...
intervalles de temps préétablis ou selon un nombre défini On constate que si la période est bien choisie, le taux reste pra-
d’unités d’usage mais sans contrôle préalable de l’état du tiquement constant ce qui revient à dire que le matériel ne se
bien » ; dégrade plus (ou plus lentement si le remplacement ne concerne
• la maintenance préventive conditionnelle « consistant en une que certains composants et ne conduit pas à une remise à neuf).
surveillance du fonctionnement du bien et/ou des paramètres L’inconvénient de ces tâches est qu’elles obligent généralement à
significatifs de ce fonctionnement intégrant les actions qui en arrêter le matériel et à effectuer des démontages, ce qui crée de
découlent » ; l'indisponibilité :
• la maintenance corrective « exécutée après détection d’une – le graissage et certaines tâches simples de petit entretien (par
panne et destinée à remettre un bien dans un état dans exemple : dépoussiérage, purges) qui ont pour effet de préserver
lequel il peut accomplir une fonction requise ». le matériel contre une dégradation trop rapide. Elles ne le rajeu-
nissent pas et se limitent à ralentir l’accroissement de leur taux de
La figure 3 illustre la distinction entre ces différents types de
défaillance au cours du temps. L’allure de λ (t ) lorsque ces tâches
maintenance dont nous allons montrer les effets sur la fiabilité
sont effectuées avec une période T est représentée sur la figure 5.
opérationnelle des équipements [MT 9 310].
1.3 Maintenance et fiabilité (t)

λ
opérationnelle
Nous pouvons regrouper les activités de maintenance en deux
types différents (figure 3) :
– les observations suivies d’analyses qui servent à :
• évaluer les niveaux de dégradation des matériels, t
T R1 R2
• pronostiquer l’évolution de ces dégradations,
• prendre des décisions quant aux actions éventuelles à entre- Figure 4 – Effet des remplacements systématiques sur le taux
prendre sur le matériel ; de défaillance
– les interventions de remise en état préventive et de réparation
corrective.
Ce second type d’actions agit sur l’état physique des matériels et
sert à améliorer leur niveau de fiabilité opérationnelle. On y trouve (t)
λ
les tâches de maintenance préventive systématique suivantes :
– le remplacement systématique de composants qui a pour but
de rajeunir tout ou partie du matériel et de réduire ainsi son taux
de défaillance instantanée λ (t ) (pour les fiabilistes, il conviendrait
de parler d’intensité instantanée de défaillance, la notion de taux
étant réservée aux matériels non réparables ou pour lesquels on t
T G1 G2
ne considère pas la réparation (voir encadré). Ces tâches ne
concernent que les matériels qui vieillissent et dont le taux de Figure 5 – Effet du graissage sur le taux de défaillance

MT 9 202 – 4 est strictement interdite. – © Editions T.I.
ＱＶＰ
GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE
Techniques de l’Ingénieur propose la plus importante

collection documentaire technique et scientifique
en français !
Grâce à vos droits d’accès, retrouvez l’ensemble
des articles et fiches pratiques de votre offre,
leurs compléments et mises à jour,
et bénéficiez des services inclus.
   
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES
 + de 350 000 utilisateurs

 + de 10 000 articles de référence
 + de 80 offres
 15 domaines d’expertise
Automatique - Robotique Innovation
Biomédical - Pharma Matériaux
Construction et travaux publics Mécanique
Électronique - Photonique Mesures - Analyses
Énergies Procédés chimie - Bio - Agro
Environnement - Sécurité Sciences fondamentales
Génie industriel Technologies de l’information
Ingénierie des transports
Pour des offres toujours plus adaptées à votre métier,

découvrez les offres dédiées à votre secteur d’activité
Depuis plus de 70 ans, Techniques de l’Ingénieur est la source

d’informations de référence des bureaux d’études,
de la R&D et de l’innovation.
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de l’Ingénieur
  
ACCÈS
Accès illimité Téléchargement des articles Consultation sur tous

aux articles en HTML au format PDF les supports numériques
Enrichis et mis à jour pendant Pour un usage en toute liberté Des contenus optimisés
toute la durée de la souscription pour ordinateurs, tablettes et mobiles
 
SERVICES ET OUTILS PRATIQUES
Questions aux experts* Articles Découverte Dictionnaire technique multilingue

Les meilleurs experts techniques La possibilité de consulter des articles 45 000 termes en français, anglais,
et scientifiques vous répondent en dehors de votre offre espagnol et allemand
 
Archives Impression à la demande Alertes actualisations
Technologies anciennes et versions Commandez les éditions papier Recevez par email toutes les nouveautés
antérieures des articles de vos ressources documentaires de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
ILS NOUS FONT CONFIANCE
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com

Extrait 42397210 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Extrait 42397210 PDF

Transféré par

Droits d'auteur :

Formats disponibles

AU TO M AT I Q U E - R O B OT I Q U E

Ti660 - Automatique et ingénierie système

Réf. Internet : 42397

Actualisation permanente sur

Une information fiable, claire et actualisée

Les meilleurs experts techniques et scientifiques

Une collection 100 % en ligne

Des services associés

 Des services associés

Modélisation et analyse de systèmes asservis Réf. Internet : 42391

Régulation et commande des systèmes asservis Réf. Internet : 42394

Automatique avancée Réf. Internet : 42393

Automatique séquentielle Réf. Internet : 42395

Supervision des systèmes industriels Réf. Internet : 42396

Systèmes d'information et de communication Réf. Internet : 42397

dont les exper ts scientifiques sont :

Khaldoun AL AGHA Joseph CICCOTELLI Philippe LECLERE

Jean-François AUBRY Laurent CLAVIER Christophe LOYEZ

Eddy BAJIC Frédéric COLLET Nathalie MITTON

Mireille BAYART Blaise CONRARD Ahmed RACHID

Ali BENFATTOUM Christian COUWENBERGH Michel ROBERT

Bruno BOUARD Philippe DALLEMAGNE Olivier SÉNÉCHAL

Fabrice BRUEL Antoine DESPUJOLS Claude TÉTELIN

Philippe CHARPENTIER Ethmane EL MOUSTAINE Jean-Pierre THOMESSE

Jean-Marc CHARTRES Jean-Marie FLAUS Jacques TICHON

Eric CHATELET Salvador GARCIA ACEVEDO Damien TRENTESAUX

André CHOVIN Rudi GIOT Gilles ZWINGELSTEIN

1– Technologie sans contact Réf. Internet page

Systèmes et techniques RFID E1470 11

Systèmes et techniques RFID . Risques et solutions de sécurité H5325 17

La technologie NFC : principes de fonctionnement et applications S8650 21

Réseaux de capteurs H8500 25

Réseaux de capteurs sans il. De nouveaux déis S7510 29

Réseaux de capteurs autonomes. Couche physique et architectures matérielles S7511 33

Capteurs et actionneurs intelligents S7520 39

2– Réseaux industriels Réf. Internet page

Réseaux locaux industriels. Concepts, typologie, caractéristiques S7574 45

Caractéristiques temporelles des réseaux industriels S8120 49

Choix du réseau ATM pour le tramway de Strasbourg S8130 55

Réseau ATM du tramway de Strasbourg. Intégration des services S8131 59

Conduite des systèmes de production manufacturière S7598 63

3– Communication temps réel Réf. Internet page

Bus CAN S8140 71

Universal Serial Bus USB S8150 81

Bus IEEE 1394 Firewire S8152 85

Réseau Proibus S8160 89

Ethernet en tant que réseau de terrain : standard PROFINET S8162 93

Virtualisation des réseaux locaux. Switch, hyperviseur et pare-feu IN147 107

4– Sûreté de fonctionnement Réf. Internet page

Sûreté de fonctionnement. Principaux concepts S8250 111

Sûreté de fonctionnement. Analyse et bases de données de iabilité S8251 119

Sûreté de fonctionnement des systèmes industriels complexes. Exemples S8253 127

La sécurité des systèmes d'information - Garantir la maîtrise du risque S8260 139

Sécurité des systèmes d'information. Retour d'expérience S8261 143

Sûreté de fonctionnement des systèmes de commande. Principes et méthodes S8262 147

Sûreté de fonctionnement des systèmes de commande. Exemple d'application et S8263 151

Maintenance, sûreté de fonctionnement et management des actifs de production MT9202 157

Systèmes et techniques RFID E1470 11

Systèmes et techniques RFID . Risques et solutions de sécurité H5325 17

La technologie NFC : principes de fonctionnement et applications S8650 21

Réseaux de capteurs H8500 25

Réseaux de capteurs sans il. De nouveaux déis S7510 29

Réseaux de capteurs autonomes. Couche physique et architectures matérielles S7511 33