Démarche d’analyse MBSA dynamique pour la

réalisation d’études FMD sur une ligne de transport

ferroviaire complète
Roland Donat, Anthony Legendre, Loïc Perez

To cite this version:

Roland Donat, Anthony Legendre, Loïc Perez. Démarche d’analyse MBSA dynamique pour la réal-
isation d’études FMD sur une ligne de transport ferroviaire complète. Congrès Lambda Mu 23 “
Innovations et maîtrise des risques pour un avenir durable ” - 23e Congrès de Maîtrise des Risques et
de Sûreté de Fonctionnement, Institut pour la Maîtrise des Risques, Oct 2022, Paris Saclay, France.
�hal-03878356�

HAL Id: hal-03878356

https://hal.science/hal-03878356
Submitted on 29 Nov 2022

HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est

archive for the deposit and dissemination of sci-
entific research documents, whether they are pub-
lished or not. The documents may come from
teaching and research institutions in France or
abroad, or from public or private research centers.
destinée au dépôt et à la diffusion de documents
scientifiques de niveau recherche, publiés ou non,
émanant des établissements d’enseignement et de
recherche français ou étrangers, des laboratoires
publics ou privés.
 Démarche d’analyse MBSA dynamique pour la
réalisation d’études FMD sur une ligne de transport
ferroviaire complète
Roland Donat Anthony Legendre
EdgeMind Fractus
Paris, France Épinay sur Orge, France
roland.donat@edgemind.net anthony.legendre@fractus.fr
Résumé—Dans cet article, nous proposons une méthodolo-
gie reposant sur l’application de la démarche MBSA dans le
domaine ferroviaire. Notre démarche consiste à formaliser le
comportement dynamique et aléatoire des systèmes techniques
et environnementaux impliqués dans l’étude du Système Global
d’Exploitation (SGE) d’une ligne de métro. L’objectif est de
construire des modèles possédant plusieurs niveaux d’abstraction,
proches de l’architecture et du comportement des systèmes tech-
niques étudiés, de manière à favoriser leur interprétabilité et leur
maintenabilité. La méthodologie proposée répond aux nouveaux
besoins d’analyses FMD engendrés par la complexification des
systèmes ferroviaires. L’utilisation du langage Altarica 3.0, de
par son caractère hiérarchique et modulaire, permet de faciliter
l’évolutivité des modèles développés de manière à suivre le cycle
de vie des systèmes physiques étudiés et maintenir l’adéquation
avec les enjeux métiers associés.
Index Terms—MBSA, FMD, Modélisation dynamique à évé-
nements discrets, Simulation, Système de transport ferroviaire
Abstract—This article describes the application of a specific
MBSA approach dedicated to rail transportation systems. Our
methodology consists in modelling the probabilistic dynamic
behavior of technical and environmental systems involved in
the Global Operating System of a metro line. The objective
is to build high-level models close to both architecture and
behavior of the target systems, so as to ease their interpretabil-
ity and maintainability. Our approach meets the new RAMS
requirements generated by the increasing complexity of railway
systems. From a technical point of view, our solution relies on the
Altarica framework to write and simulate systems models. The
hierarchical and modular properties of the Altarica 3.0 language
ensure model scalability and synchronization with the physical
system life cycle.
Index Terms—MBSA, RAMS, Dynamic discret-event mod-
elling, Simulation, Railway transportation system
I. I NTRODUCTION
Les systèmes de transport ferroviaires jouent un rôle impor-
tant face aux défis socio-économiques et environnementaux
liés à la croissance de l’urbanisation des populations et au
changement climatique. Dans le même temps, les exploitants
se doivent de proposer des offres de transport toujours plus
innovantes afin de garantir un service de haute qualité, fiable et
résilient, tout en intégrant des contraintes de rigueur budgétaire
et un contexte concurrentiel fort.
Loïc Perez
EdgeMind
Paris, France
loic.perez@edgemind.net
Un des leviers pour atteindre ces objectifs est
l’augmentation du niveau d’automatisation des lignes.
La norme [28] définit quatre niveaux d’automatisation,
appelés GOA (Grade Of Automation), allant de GOA1 pour
une ligne en conduite manuelle avec contrôle des survitesses
à GOA4 pour une ligne totalement automatisée sans personnel
à bord (e.g. ligne 1 ou 14 du métro parisien).
L’automatisation d’une ligne a pour vocation d’apporter
une amélioration générale du service offert aux voyageurs
en augmentant la fréquence et la régularité des navettes
(notamment aux heures de pointe), et ce, en limitant les risques
organisationnels et humains.
Cette modernisation des systèmes ferroviaires
s’accompagne d’une augmentation de la complexité du
contrôle-commande gérant l’exploitation des lignes et le
pilotage du matériel roulant [1]. Ces évolutions techniques
majeures font émerger de nouveaux risques et poussent,
équipementiers et exploitants, a progressé dans leurs approches
d’analyses des risques. En conséquence, certaines entreprises
mettent en place une démarche de maîtrise des risques
reposant sur une analyse FMDS (fiabilité, maintenabilité,
disponibilité et sécurité) basée sur des modèles (MBSA, Model
Based Safety Assessment) afin d’obtenir une représentation
du système issue d’une compréhension commune entre les
ingénieurs FMDS et les ingénieurs systèmes.
Les approches MBSA modernes mettent l’accent sur les
principes de modélisation suivants :
• Représenter les comportements fonctionnels et dysfonc-
tionnels des différents composants participants aux mis-
sions du système étudié.
• Représenter explicitement l’architecture organique du
système réel à partir des composants modélisés, à
l’inverse des formalismes abstraits classiques tels que les
arbres de défaillances ou encore les réseaux de Petri.
• Exploiter le modèle système obtenu grâce à des outils
de quantification permettant de réaliser diverses analyses
(FMD ou autres).
Cette démarche est conçue pour apporter de nombreux
avantages, tels que :
 • une capitalisation transversale de l’expertise métier au
sein d’un même modèle tout au long du cycle de vie
du système ;
• une gestion maîtrisée de la complexité (contrairement aux
approches FMD classiques) permettant de modéliser et
d’analyser des systèmes de taille industrielle ;
• un gain de maintenabilité des modèles et des études de
par la modularité de l’approche.

Les travaux de cet article décrivent le déploiement d’une dé-

marche MBSA avancée pour l’étude de toutes les composantes
d’une ligne de transport ferroviaire urbain, que l’on désignera
dans la suite par système global d’exploitation (SGE) [16],
[17].
L’approche proposée s’adresse plus particulièrement aux
équipes d’ingénierie système et aux equipes FMD. Le but
est d’apporter un appui méthodologique pour la réalisa-
tion d’analyses de risques à un niveau global en capturant
les interactions entre les différents systèmes cruciaux pour
l’exploitation. La méthodologie appliquée repose en outre
sur une stratégie de modélisation hiérarchique descendante et
itérative. Autrement dit, la formalisation du système est initiée
à un niveau d’abstraction élevé et se précise progressivement
afin de représenter le comportement des composants du sys-
tème physique, l’objectif étant in fine d’aboutir à un niveau de
modélisation cohérent selon le besoin d’analyse considéré.
Plusieurs langages et outils de modélisation supportent
l’approche MBSA. Citons par exemple AltaRica [3], Fi-
garo [4], SAML [6], HiP-HOPS [7], AADL EMV2 [8],
SOPHIA [24]. Une première famille de langages repose sur
l’intégration de propriétés de sécurité en étendant un formal-
isme d’ingénierie système, e.g. notion de profil pour SYSML,
d’annexe d’erreur pour AADL ou EAST-ADL. La seconde
famille de langages propose quant à elle d’utiliser deux
formalismes spécifiques : le premier dédié à la description
de l’architecture système et le second dédié à la description
des comportements. Dans le domaine ferroviaire, des appli-
cations de l’approche MBSA ont été réalisées en utilisant le
framework AltaRica, en particulier S2ML [13] et ScOLA [14]
pour le système d’automatisme de conduite CBTC.
La démarche MBSA proposée dans cet article est illustrée
sur le cas d’étude présenté dans la Section II. La méthodologie
générale de déploiement de l’approche MBSA est résumée
dans la Section III. Par la suite, chaque étape du déploiement
est décrite dans une section spécifique. La Section IV est
dédiée à la phase d’analyse fonctionnelle. Le développement
de la librairie de composants génériques est abordé dans la
Section V. La construction du modèle SGE à partir de la
librairie est présentée dans Section VI. La dernière étape de
la démarche consistant à exploiter le modèle pour réaliser des
analyses FMD est abordée dans la Section VII illustrée par
un exemple synthétique en Section VIII. Enfin, la Section IX
présente notre retour d’expérience, les principaux avantages et
limites de ce travail en concluant avec quelques perspectives.
Figure 1. Aperçu macroscopique du SGE centré sur des systèmes critiques
pour l’exploitation.
II. L E SYSTÈME GLOBAL D ’ EXPLOITATION FERROVIAIRE
Dans cet article, nous nous plaçons dans le cadre de
l’étude du système global d’exploitation (SGE) d’une ligne de
transport urbain ferroviaire de manière analogue aux travaux
[16], [17]. Le SGE correspond au système général couvrant
toutes les fonctions contribuant à la réalisation de l’offre d’une
ligne de transport. Le SGE est donc l’ensemble des sys-
tèmes techniques, humains et organisationnels (e.g. procédures
d’exploitation et de maintenance) participant à l’exploitation
d’une ligne en assurant un niveau de sécurité et de disponibilité
optimal.
Les principaux systèmes du SGE critiques pour
l’exploitation sont : le matériel roulant (MR) ; les
automatismes de conduite ; les équipements de supervision
; la signalisation ferroviaire ; l’énergie (de traction et
d’alimentation des systèmes supports) ; la voie ; les échanges
voyageurs.
Notre étude se focalise sur la modélisation des systèmes
précédents. La Figure 1 illustre le périmètre du SGE sur une
ligne simplifiée composée de trois stations et deux interstations
en mettant en évidence les interdépendances fonctionnelles
entre systèmes via l’utilisation de liens orientés (énergie en
jaune, communication en orange, circulation en violet). En
effet, le système d’alimentation en énergie distribue l’énergie
aux autres systèmes du SGE, e.g. le matériel roulant, la
signalisation, les automatismes, etc. D’autre part, la circulation
du matériel roulant et l’échange voyageurs sont orchestrés
par les automatismes, articulés eux-mêmes autour d’une entité
centrale (automatisme ligne) communiquant avec des entités
en station (automatisme sol).
Notons également que le SGE possède certains systèmes
physiquement inclus dans des entités géographiques spéci-
fiques qui se répètent. Par exemple, les automatismes sol et
l’échange voyageur sont situés en station. Par conséquent, ces
systèmes sont présents autant de fois que de stations sur la
ligne. Certains équipements sont embarqués à bord du matériel
roulant qui se déplace sur la ligne et dont le nombre peut varier
au cours du temps (heures creuses/de pointe). Le SGE est donc

Figure 2. Méthodologie de déploiement de la démarche MBSA proposée.
un système intrinsèquement dynamique ayant une architecture
complexe articulée sur deux composantes en interaction :
1) une structure en réseau constituée de stations et
d’interstations, abritant elles-mêmes différents com-
posants techniques (e.g. échanges voyageurs, matériel
roulant, signalisation, voie, etc).
2) un ensemble de systèmes centraux agissant sur le réseau
précédent (e.g. énergie, automatismes, supervision, etc).
III. D ÉPLOIEMENT DE LA DÉMARCHE MBSA
L’objectif principal des travaux présentés est l’élaboration
d’un outil de modélisation capable de représenter le comporte-
ment fonctionnel et dysfonctionnel de l’ensemble des systèmes
du SGE afin de vérifier et de valider des exigences FMD à
partir d’une description unique du système.
Pour ce faire, nous choisissons d’appliquer une démarche
MBSA dite de haut niveau (appelée également approche
“composants intelligents” [18]). Cette démarche consiste à
formaliser le comportement probabiliste dynamique des sys-
tèmes techniques et environnementaux du SGE. Contrairement
à l’utilisation d’un formalisme de modélisation dynamique
abstrait (e.g. chaînes de Markov, réseaux de Petri, BDMP [21],
etc), la démarche haut niveau permet de construire des modèles
proches de l’architecture des systèmes techniques réels en
favorisant la lisibilité et la maintenabilité des modèles.
Le déploiement de la démarche s’articule autour des étapes
suivantes (cf. Figure 2) :
• Identification et spécifications fonctionnelles et dysfonc-
tionnelles des composants élémentaires du SGE.
• Modélisation des logiques comportementales des com-
posants élémentaires du SGE sous la forme d’une librairie
modulaire et réutilisable désignée dans la suite par “li-
brairie SGE”.
• Développement de modèles de ligne à partir de la librairie
SGE.
• Réalisation d’études FMD sur différentes lignes à partir
de leur modèle respectif.
Les sections suivantes détaillent chacune des étapes de
l’approche proposée.
Figure 3. Principes de la méthode d’architecture système CESAM.
IV. I DENTIFICATION ET SPÉCIFICATION DES COMPOSANTS
SGE ÉLÉMENTAIRES
Afin d’effectuer le développement de la librairie SGE et
des modèles associés, il est essentiel de réaliser une phase de
spécifications des composants à intégrer à la librairie.
Pour élaborer les spécifications des composants SGE élé-
mentaires, nous appliquons la méthodologie CESAM [29]
couramment utilisée en ingénierie système. Cette méthode
permet de décrire les architectures et les comportements de
systèmes complexes afin de les retranscrire dans un formalisme
d’analyse donné.
La méthode consiste principalement à concevoir des mod-
èles d’architecture système selon trois points de vue archi-
tecturaux différents et complémentaires : opérationnel, fonc-
tionnel et constructif. Nous proposons de compléter cette
méthodologie en y ajoutant une vision dysfonctionnelle (cf.
Figure 3). Chaque perspective regroupe différents types de
modèles systémiques :
1) Vision opérationnelle. Cette vision se focalise sur la
description de l’environnement du système - et non du
système lui-même. Ces modèles opérationnels décrivent
ainsi les interactions du système avec son environ-
nement.
2) Vision fonctionnelle. Cette vision décrit essentiellement
les fonctions et leurs interactions. Elle décrit la dy-
namique entrée / sortie du système, sans faire référence
à ses composants concrets. Ces modèles fonctionnels
représentent donc de manière abstraite les comporte-
ments du système.
3) Vision constructive/physique. Cette vision présente les
composants matériels, logiciels, humains ainsi que leurs
interactions permettant la réalisation des fonctions du
système.
4) Vision dysfonctionnelle. Cette vision reprend les mod-
èles issus des visions précédentes. Ces modèles sont
construits par annotation, ils permettent d’associer les
concepts dysfonctionnels aux architectures précédem-
ment construites. Cette vision n’existe pas initialement
dans la méthode CESAM.
Ces visions architecturales sont construites itérativement
dans cet ordre. Pour chaque vision d’architecture, les modèles
et leurs représentations graphiques sont dans un premier temps
élaborés à partir des modèles et spécifications fournis par
les ingénieurs systèmes du SGE étudié. Puis, des ateliers
collaboratifs entre ingénieurs systèmes et ingénieurs FMD
sont réalisés pour partager une compréhension commune du
système et converger in fine à la spécification des composants
élémentaires du SGE.
V. D ÉVELOPPEMENT DE LA LIBRAIRIE SGE
Le développement de la librairie SGE est réalisé à partir du
langage de modélisation Altarica 3.0 [2], [25]. Rappelons que
ce langage a été élaboré dans le but de représenter et d’évaluer
les systèmes complexes en modélisant leurs différents com-
portements dynamiques de manière modulaire et hiérarchique.
Les caractéristiques et comportements de chaque composant
SGE identifié dans la phase de spécification (cf. Section IV)
sont traduits dans les concepts Altarica 3.0 suivants :
• Variables d’état : ces variables représentent l’état de
l’élément, e.g. “en panne”, “en cours de réparation”, etc.
• Variables de flux : ces variables représentent l’état des
flux physiques ou abstraits circulant dans l’élément, e.g.
“alimentation électrique ok”, “sollicitation du contrôle
commande”, etc.
• Assertions : il s’agit de règles déterministes de propaga-
tion des flux, e.g. si un flux arrive en entrée de l’élément
et que ce dernier est opérationnel, le flux est transmis
en sortie de l’élément. Les assertions permettent donc
de modéliser la propagation d’effets engendrée par l’état
courant de l’élément sur les éléments avec lesquels il est
en interaction.
• Transitions : il s’agit de règles permettant de mod-
ifier l’état d’un élément suite à un événement dont
l’occurrence peut être aléatoire au cours du temps, e.g. si
le système façade de quai est en refus de fermeture, sa
réparation durera en moyenne 10 min pendant lesquelles
le contrôle commande sera dans un état empêchant le
démarrage de la rame à quai. Les transitions permettent
donc de représenter le comportement aléatoire (souvent
dysfonctionnel) d’un élément.
Les composants de la librairie SGE sont organisés selon une
structure hiérarchique arborescente reposant sur l’utilisation
de classes abstraites réutilisables permettant de modéliser les
caractéristiques ou comportements génériques communs. Par
exemple, nous pouvons définir une classe Station qui permettra
de modéliser toutes les caractéristiques et comportements
communs à toutes les stations du réseau. Les composants SGE,
dit concrets ou instanciables pour construire un modèle de
ligne, sont donc définis en héritant leurs propriétés des classes
abstraites ou par composition avec ces dernières (cf. Figure
4).
Cette notion d’abstraction est également utilisée pour définir
les flux propagés dans le modèle et décrire le comportement
des composants qui les produisent et/ou consomment. Dans
les travaux présentés dans cet article, la librairie SGE définit
les trois flux suivants :
Figure 4. Structure de la librairie SGE.
• Flux énergie pour représenter la propagation et les dépen-
dances électriques.
• Flux signal afin de modéliser les interactions de type
contrôle-commande.
• Flux exploitation afin de représenter la circulation des
rames sur la ligne.
Les modes de défaillance sont quant à eux modélisés
grâce à des automates stochastiques. Une classe définissant
un automate générique à deux états "Présent/Absent" est
introduit dans la libraire SGE. Cette classe permet d’instancier
des modes de défaillance en spécifiant une loi d’occurrence
contrôlant la survenue de la défaillance et une loi d’occurrence
contrôlant sa réparation. Chaque composant SGE possède ainsi
une liste d’automates caractérisant ses modes de défaillance.
De manière générale, une attention particulière est portée
sur la conception de l’architecture de la librairie SGE. En
effet, la modularité et les relations de dépendances entre
éléments abstraits (e.g. modes de défaillance, systèmes élec-
triques) et éléments concrets (e.g. façades de quai alimentées
électriquement et impactées par le mode de défaillance refus
de fermeture) jouent un rôle important dans la maintenabilité
et les capacités d’évolution de la librairie.
VI. M ODÉLISATION DU SYSTÈME SGE
Le modèle SGE d’une ligne donnée est construit en assem-
blant des composants issus de la librairie SGE générique. La
démarche de modélisation est de type hiérarchique descen-
dante (top-down). La propriété de composition du langage
Altarica 3.0 permet en effet de détailler chaque système du
SGE de manière itérative, et ce, sans altérer l’architecture
générale de la librairie SGE ni celle du modèle SGE considéré.
La figure 5 illustre le principe de production de modèles SGE
de lignes différentes à partir de la librairie SGE générique.
En pratique, les spécifications d’un modèle de ligne provi-
ennent de la phase d’analyse fonctionnelle et dysfonctionnelle
préliminaire décrite en Section IV, permettant en particulier
de :
• Filtrer les systèmes et sous-systèmes non pertinents pour
la réalisation d’études FMD orientées sur la disponi-

Figure 5. Principe de construction de différents modèles de ligne à partir de
la librairie SGE.
bilité des fonctions critiques associées au transport
des voyageurs. Par exemple, les systèmes relatifs aux
équipements en station (e.g. escaliers mécaniques, dis-
tributeurs de billets) n’ont pas été considérés dans cette
étude.
• Identifier les différentes interactions entre les composants
SGE. Par exemple, de nombreux systèmes sont poten-
tiellement impactés par l’état du système “Énergie” ou
du système "Automatisme".
• Identifier des architectures communes à toutes les lignes
afin de faciliter le déploiement de la méthodologie de
modélisation d’une ligne à une autre, e.g. une ligne
est une suite de stations et d’interstations traversée par
des voies ; les lignes automatiques et semi-automatiques
partagent certains modes de fonctionnement.
D’un point de vue technique, les grandes hypothèses de
modélisation suivantes sont considérées :
• Les modèles sont dynamiques. Le terme dynamique fait
ici référence à la possibilité de tenir compte de dépen-
dances temporelles entre l’état des différents composants.
Plus concrètement, une modélisation dynamique est ca-
pable de représenter les réparations, les basculements
normal/secours ou encore les sollicitations de certains
systèmes en fonction de l’occurrence d’événements dans
le temps.
• Les modèles de ligne tiennent compte de chaque sta-
tion individuellement. Cette hypothèse, fidèle à la réalité
physique du système, accroît de manière significative la
complexité de modélisation. En revanche, ce degré de
précision ouvre la possibilité de réaliser des analyses
FMD avancées tenant compte des spécificités spatiales
d’une ligne. Par exemple, certaines stations peuvent pos-
séder des équipements critiques pour assurer le guidage
des trains ; certaines interstations dont le tracé de la voie
comporte des courbes sont plus sujettes au phénomène
Figure 6. Structure macroscopique d’un exemple de modèle SGE d’une ligne
à trois stations.
de rail cassé ; le réseau de distribution électrique peut
ne pas être homogène sur toute la ligne, engendrant ainsi
des zones potentiellement plus critiques au risque de perte
d’alimentation.
• La circulation des rames sur une ligne est représentée
sous la forme d’un flux d’exploitation permettant de
propager à chaque instant sur la ligne des informations
sur l’état de circulation des rames, e.g. nombre de rames
en exploitation, fonctionnement en mode dégradé, etc.
À titre d’illustration, la Figure 6 présente un exemple de
modèle SGE pour une ligne simplifiée à deux stations et une
interstation types. Les liens orientés permettent d’identifier
les dépendances fonctionnelles entre deux systèmes. Par ex-
emple, le lien orange allant du bloc "Auto Ligne" (i.e.
Automatismes centraux de la ligne) vers "Énergie traction"
signifie que lorsque la fonction de transmission des signaux
des automatismes de ligne est indisponible, alors la fonc-
tion d’alimentation de la voie par l’énergie de traction est
également indisponible. De même, les liens jaunes entre le
système "BT" (i.e. alimentation basse tension) vers les stations
et l’interstation signifient que tous les systèmes électriques
en station ou interstation sont dépendants de l’alimentation
provenant de cette source.
Par la suite, la modélisation de chaque système peut être
affinée de manière itérative en fonction des besoins d’analyses
à réaliser. La Figure 7 montre un exemple de précision de la
représentation des systèmes liés aux automatismes du SGE. Ce
diagramme précise le découpage organique des automatismes
en distinguant les composants centraux (i.e. "Auto Ligne") ou
bien ceux situés en stations ou à bord du matériel roulant.
Cette approche de modélisation imbriquée est prévue par le
langage Altarica 3.0 permettant ainsi de faciliter l’évolution
des modèles au cours du temps tout en garantissant une
maîtrise de leur maintenabilité.
VII. R ÉALISATION DES ANALYSES FMD
Dans cette section, nous décrivons la démarche de réalisa-
tion d’études FMD à partir d’un modèle SGE qui s’articule
autour des étapes suivantes :

Figure 7. Exemple de modélisation détaillée des systèmes liés aux automa-
tismes du SGE.
1) Définir les indicateurs clés (KPI, key performance in-
dicator) à évaluer afin de répondre aux probléma-
tiques considérées. Un indicateur permet de mesurer
une caractéristique associée à certains points d’intérêts
du système. Par exemple, il est possible de définir
un indicateur afin d’estimer le retard cumulé sur une
journée d’exploitation ou bien d’estimer la contribution
de chacun des composants du SGE à l’indisponibilité
d’une ligne. Il est à noter qu’un indicateur peut être
évalué à différents instants afin d’apprécier l’évolution
temporelle de ce dernier.
2) Définir les paramètres généraux de l’étude, e.g. planning
d’exploitation ; temps de mission ; nombre de stations ;
longueur des voies, etc.
3) Renseigner les paramètres de fiabilité des modes de
défaillance considérés pour chacun des composants in-
tégrés au modèle SGE utilisé. Dans la plupart des cas,
cela revient à fournir un taux de défaillance et un
taux de réparation pour chaque mode de défaillance.
L’estimation de ces paramètres est traditionnellement
obtenue à partir d’une analyse statistique des données
de retour d’expérience, e.g. données GMAO (gestion
de la maintenance assistée par ordinateur) lorsque ces
dernières sont disponibles, ou à défaut par expertise.
4) Simuler le modèle afin d’estimer des statistiques
(moyenne, écart-type, médiane, quantiles, etc.) sur les
indicateurs considérés dans l’étude. Il est important de
noter que les hypothèses de modélisation présentées
dans la Section VI sortent du cadre de l’analyse par
arbres de défaillances ou bien de l’analyse markovi-
enne. Les analyses quantitatives effectuées reposent
donc nécessairement sur la simulation de Monte Carlo,
permettant ainsi de limiter l’introduction d’hypothèses
simplificatrices dans les modèles SGE développés.
5) Les résultats de simulation permettent in fine de véri-
fier les critères d’acceptabilité sur la ligne étudiée et
Figure 8. Processus de réalisation d’études dans le cadre de la démarche
MBSA proposée.
d’identifier les systèmes et composants critiques pénal-
isant l’atteinte des objectifs FMD fixés.
Afin de faciliter la mise en œuvre d’étude FMD, la dé-
marche précédente est implémentée sous la forme d’une
solution logicielle sur-mesure représentée dans la Figure 8.
Cette solution apporte les fonctionnalités suivantes :
• Saisie des paramètres de fiabilité de chaque mode défail-
lance.
• Configuration des indicateurs.
• Paramétrage des paramètres d’étude et de simulation.
• Génération automatique du modèle SGE dans le langage
Altarica 3.0.
• Lancement du simulateur stochastique de la plateforme
Open Altarica.
• Post-traitement des résultats de simulation.
• Visualisation des indicateurs sous la forme de tableaux
de bord interactifs.
Notons enfin que la solution logicielle élaborée prend la
forme d’un applicatif de type tableur possédant l’avantage de
s’intégrer aux outils usuels des ingénieurs dans l’industrie.
VIII. A PPLICATION
La démarche présentée dans cet article couvre de nom-
breuses applications FMD. En effet, un même modèle SGE
peut par exemple servir à la fois à estimer le taux de
disponibilité d’une ligne, le retard cumulé moyen sur une
journée d’exploitation type ou encore une cartographie des
systèmes en fonction de leur criticité selon divers indicateurs
de performance.
Cet article décrit une méthodologie générale et n’a par
conséquent pas vocation de présenter les résultats d’une étude
sur un réseau de transport réel. Toutefois, plusieurs expéri-
mentations ont été réalisées sur différents modèles de ligne
générique. En termes de complexité, l’approche a été évaluée
sur un modèle comportant au plus 30 stations, autrement dit
du même ordre de grandeur que la ligne 4 du métro parisien.
Du point de vue fonctionnel, chaque modèle possède une
structure générale analogue à celle présentée en Figure 6.
Chaque système de niveau 1 (e.g. Énergie, Automatismes

Figure 9. Cartographie sous forme de nuage de points du nombre de
défaillances en fonction du retard engendré pour chaque système modélisé.
Ligne, EV, SIG, etc.) est détaillé en systèmes de niveau 2
comme illustré en Figure 7 dans le cas des automatismes.
Concernant les aspects dysfonctionnels, chaque système
modélisé possède un ou plusieurs modes de défaillances
représentés chacun par un automate binaire (présence/absence
de la défaillance) ayant des lois de transition exponentielle.
Dans les premières expérimentations réalisées, les hypothèses
suivantes sont utilisées :
• l’occurrence d’une défaillance sur un système stoppe la
propagation de tous les flux en aval ;
• les modes dégradés ne sont pas représentés ;
• chaque portion de voie (en station et en interstation)
possède un mode de défaillance des rails paramétré par
un taux de défaillance exprimé par unité de temps et par
mètre linéaire ;
• l’occurrence temporelle et spatiale d’une défaillance du
matériel roulant dépend du nombre de matériels roulants
en exploitation considéré.
Au final, le modèle SGE à 30 stations comportent de l’ordre
de 2000 objets instanciés et 5000 automates binaires. Une
modélisation d’une telle dimension est rendu possible grâce
aux techniques par génération de code Altarica développées
dans le cadre de notre démarche MBSA.
Ce modèle SGE est ensuite simulé en utilisant des don-
nées de fiabilité arbitraire sur un temps de mission de 19
heures correspondant à la durée de la journée d’exploitation
considérée. La Figure 9 présente un exemple de résultat
issu de la simulation du modèle SGE permettant d’identifier
les systèmes critiques en termes de retard et d’occurrences
de défaillance. Sur ce graphique, nous pouvons lire que le
système façade de quai est sujet à plus de défaillances que
les autres systèmes et contribue significativement au retard de
la ligne. La Figure 10 montre quant à elle l’estimation de
l’indisponibilité opérationnelle de chaque système de niveau
1 modélisé.
Les résultats précédents sont issus d’analyses reposant sur
des données de fiabilité choisies arbitrairement. Toutefois,
Figure 10. Indisponibilité opérationnelle de chacun des systèmes du SGE de
niveau 1 modélisé.
l’étude d’une ligne réelle (ou en conception) est réalisable
en ajustant la structure du modèle (nombre de stations,
longueur des interstations, dépendances fonctionnelles), les
paramètres de fiabilité (taux de défaillance et de réparation)
et les paramètres d’exploitation (périodes de circulation et
nombre de rames associé, durée d’exploitation, etc) relatifs
à la ligne considérée. Par la suite, des tableaux de bord sur-
mesure sont construits afin d’agréger le résultat des analyses
qui permettront de répondre aux différentes problématiques
posées.
IX. C ONCLUSION
Les travaux présentés dans cet article représentent, à notre
connaissance, la première tentative de déploiement d’une
méthodologie MBSA dynamique de haut niveau permettant de
modéliser le SGE d’une ligne de transport dans sa globalité.
La mise en œuvre pratique de cette méthodologie a nécessité
la constitution d’une équipe projet composé des quatre profils
suivants :
1) Pilote MBSA. Le pilote MBSA est responsable de la
coordination entre les différentes parties prenantes tech-
niques impliquées dans le déploiement de la démarche
MBSA, à savoir les experts systèmes, les ingénieurs
FDMS et les ingénieurs MBSA. Son rôle consiste
également à assurer l’intégration des différentes parties
du système et maintenir une vision commune sur les
spécifications des différents systèmes à modéliser via
l’organisation d’ateliers de travail collaboratifs entre les
parties prenantes.
2) Ingénieur MBSA. L’ingénieur MBSA est le gestion-
naire des modèles MBSA (Model Manager). Il assure
la cohérence entre les librairies de composants et les
modèles (i.e. niveau d’abstraction et la profondeur de
modélisation). Son rôle est également de maintenir en
conditions opérationnelles les modèles et les études au
cours du temps. Son travail se traduit par exemple par
l’ajout de nouveaux composants dans la librairie, la mise
à jour d’hypothèses comportementales, l’évolution des
 modèles, etc. Il accompagne enfin l’ingénieur FMD dans
la réalisation de ses analyses.
3) Experts systèmes. Les experts systèmes apportent leurs
connaissances techniques sur le fonctionnement et le
dysfonctionnement des composants intégrés dans les
modèles. Ils ont également un rôle dans la vérification
des hypothèses de modélisation et contribuent à la
validation des résultats de simulation.
4) Ingénieurs FMD. Les ingénieurs FMD exploitent les
modèles développés afin de réaliser des études quan-
titatives permettant de répondre à différentes probléma-
tiques métiers. De ce fait, ils contribuent naturellement
à la validation des résultats issus de la simulation des
modèles. Les ingénieurs FMD sont également chargés
de la collecte et de la mise à jour des paramètres
dysfonctionnelles (données de fiabilité) intégrés dans les
modèles.
Du point de vue technique, l’approche proposée apporte
deux avantages majeurs aux exploitants de la ligne :
1) La solution MBSA proposée permet d’analyser le sys-
tème SGE de manière globale, ce qui consiste en un
changement de pratique important pour les équipes FMD
dans la plupart des industries. En effet, ces équipes
travaillent généralement en silo via des approches as-
cendantes se traduisant par la réalisation d’AMDEC
sur chaque système pris isolément et aboutissant à des
conclusions FMD déduites au niveau ligne. À l’inverse,
notre approche encourage les parties prenantes à colla-
borer afin de construire des modèles fidèles aux réalités
fonctionnelles et dysfonctionnelles d’une ligne, en par-
ticulier au niveau des interfaces entre les systèmes.
2) Le maintien de notre solution repose sur l’ingénieur(e)
MBSA qui doit disposer de compétences en mod-
élisation AltaRica 3.0 (ou autres langages ayant des
propriétés analogues). Les utilisateurs de la solution
MBSA (ingénieur FMD, experts systèmes) ont ainsi
la possibilité de réaliser différentes études sans besoin
d’interagir avec le cœur des modélisations réalisées.
Enfin, ces travaux ouvrent des perspectives prometteuses
dans le domaine des jumeaux numériques [26], [27]. En effet,
une des préoccupations majeures dans le processus de concep-
tion d’un jumeau concerne la représentation comportementale
des systèmes et la capacité de simuler ces dernières afin de
prévoir leurs états futurs. L’approche MBSA présentée offre
à la fois une méthodologie de modélisation formelle pour
représenter le comportement d’un système ainsi que des outils
d’analyses probabilistes permettant de prédire différentes car-
actéristiques sur le système. En connectant le modèle MBSA
avec les données opérationnelles du système (capteurs, usages,
GMAO), il devient alors possible d’automatiser la synchroni-
sation des paramètres de modélisation avec l’état opérationnel
courant du système. De nouvelles applications, centrées sur
l’exploitation d’un même modèle MBSA polyvalent, devien-
nent ainsi envisageables : optimisation des processus de sup-
port logistique intégré, maintenance prévisionnelle ou encore
analyse des interactions entre sûreté et cybersécurité [5], [23].
R EFERENCES
[1] Keevill, D. & Eng, P. Implications of Increasing Grade of Automation.
[2] Aupetit, B., Batteux, M., Rauzy, A. & Roussel, J. Improving per-
formances of the AltaRica 3.0 stochastic simulator. Safety And Re-
liability Of Complex Engineered Systems: ESREL 2015. (2015,9),
https://hal.archives-ouvertes.fr/hal-01239379
[3] T. Prosvirnova, M. Batteux, P.-A. Brameret, A. Cherfi, T. Friedlhuber,
J.-M. Roussel & A. Rauzy The AltaRica 3.0 project for Model-Based
Safety Assessment. Proceedings Of 4th IFAC Workshop On Dependable
Control Of Discrete Systems, DCDS 2013. (2013,9)
[4] Bouissou, M., Bouhadana, H., Bannelier, M. & Villatte, N. Knowledge
modelling and reliability processing: Presentation of the FIGARO lan-
guage and associated tools. IFAC/IFIP/EWICS/SRE Symposium. pp. 69-
75 (1991)
[5] Kriaa, S., Bouissou, M. & Laarouchi, Y. A new safety and security risk
analysis framework for industrial control systems. Journal Of Risk And
Reliability. 233 (2018)
[6] Gudemann, M. & Ortmeier, F. A Framework for Qualitative and
Quantitative Formal Model-Based Safety Analysis. 2010 IEEE 12th
International Symposium On High Assurance Systems Engineering. pp.
132-141 (2010,11), ISSN: 1530-2059
[7] Adachi, M., Papadopoulos, Y., Sharvia, S., Parker, D. & Tohdo, T. An
approach to optimization of fault tolerant architectures using HiP-HOPS.
Software: Practice And Experience. 41, 1303-1327 (2011)
[8] Feiler, P., Gluch, D. & Hudak, J. The Architecture Analysis
& Design Language (AADL): An Introduction. (Carnegie-Mellon
University of Pittsburgh PA Software engineering Institute,2006),
https://apps.dtic.mil/sti/citations/ADA455842, Section: Technical Re-
ports
[9] Bozzano, M., Cimatti, A., Katoen, J., Nguyen, V., Noll, T. & Roveri,
M. Model-Based Codesign of Critical Embedded Systems. 2nd Inter-
national Workshop On Model Based Architecting And Construction Of
Embedded Systems. 507 pp. 87-91 (2009)
[10] Prosvirnova, T., Saez, E., Seguin, C. & Virelizier, P. Handling Con-
sistency Between Safety and System Models. Model-Based Safety And
Assessment. pp. 19-34 (2017)
[11] Legendre, A., Lanusse, A. & Rauzy, A. Toward Model Synchronization
Between Safety Analysis and System Architecture Design in Industrial
Contexts. Model-Based Safety And Assessment. pp. 35-49 (2017)
[12] Batteux, M., Choley, J., Mhenni, F., Palladino, L., Prosvirnova, T.,
Rauzy, A. & Theobald, M. Synchronization of System Architecture,
Multi-physics and Safety Models. Complex Systems Design & Manage-
ment. pp. 37-48 (2020)
[13] Batteux, M., Prosvirnova, T. & Rauzy, A. System Structure Modeling
Language (S2ML). (2015), https://hal.archives-ouvertes.fr/hal-01234903
[14] Issad, M., Kloul, L., Rauzy, A. & Berkani, K. Modeling the CBTC
railway system with ScOLA. ITS World Congress. (2015), https://hal-
centralesupelec.archives-ouvertes.fr/hal-01259451
[15] Sun, P. Model based system engineering for safety of railway critical sys-
tems. (Ecole Centrale de Lille,2015), https://tel.archives-ouvertes.fr/tel-
01293395
[16] Vauquier, D. Modeling Transportation Systems: A Case Study with the
Open Method Praxeme. Complex Systems Design & Management. pp.
73-89 (2013)
[17] Zing, C., Ikhlef, S., Dufresne, M. & Iningoue, V. Méthodologie permet-
tant de réaliser une étude FMD au niveau d’une ligne de métro complète.
22ème Congrès De Maîtrise Des Risques Et Sûreté De Fonctionnement
λµ22. (2020)
[18] Yanar, D. System structuring for risk analysis using object oriented
methodology. Proceedings Of The Fourth International Conference On
Probabilistic Safety Assessment And Management (PSAM IV), New York.
1 pp. 227-32 (1998)
[19] Rauzy, A. Guarded transition systems: A new states/events formalism
for reliability studies. Proceedings Of The Institution Of Mechanical
Engineers, Part O: Journal Of Risk And Reliability. 222, 495-505
(2008,12), https://doi.org/10.1243/1748006XJRR177, Publisher: SAGE
Publications
[20] Batteux, M., Prosvirnova, T. & Rauzy, A. Altarica Wizard: An Inte-
grated Modeling and Simulation Environment for Altarica 3.0. Con-
grés Lambda Mu 21 “ Maîtrise Des Risques Et Transformation
Numérique : Opportunités Et Menaces ”. (2018,10), https://hal.archives-
ouvertes.fr/hal-01945932
[21] Bouissou, M. BDMP (Boolean logic Driven Markov Processes), as an
alternative to Event Trees. ESREL 2008. (2008,9), event-place: Valencia,
Spain
[22] Kriaa, S., Bouissou, M. & Piétre-Cambacédès, L. Modeling the Stuxnet
Attack with BDMP: Towards More Formal Risk Assessments. Proceed-
ings Of The Seventh International Conference On Risks And Security Of
Internet And Systems. (2012,10)
[23] Caire, J. Vers un cycle de vie de sécurité globale pour les systèmes infor-
matiques industriels. Congrès Lambda Mu 19 De Maîtrise Des Risques
Et Sûreté De Fonctionnement. (2015,1), http://hdl.handle.net/2042/56195
[24] Cancila, D., Terrier, F., Belmonte, F., Dubois, H., Espinoza, H., Gérard,
S. & Cuccuru, A. SOPHIA: a Modeling Language for Model-Based
Safety Engineering. MoDELS’09 ACES-MB Workshop. (2009)
[25] Batteux, M., Prosvirnova, T. & Rauzy, A. AltaRica 3.0 assertions:
The whys and wherefores. Proceedings Of The Institution Of Mechan-
ical Engineers, Part O: Journal Of Risk And Reliability. 231, 691-
700 (2017,12), https://doi.org/10.1177/1748006X17728209, Publisher:
SAGE Publications
[26] Julien, N. & Martin, É. Le jumeau numérique: De l’intelligence
artificielle à l’industrie agile. (Dunod,2020,6), Google-Books-ID:
JozgDwAAQBAJ
[27] Tao, F., Qi, Q., Wang, L. & Nee, A. Digital Twins and Cy-
ber–Physical Systems toward Smart Manufacturing and Industry
4.0: Correlation and Comparison. Engineering. 5, 653-661 (2019,8),
https://www.sciencedirect.com/science/article/pii/S209580991830612X
[28] International Electrotechnical Commission, International Electrotechni-
cal Commission & Technical Committee 9 Railway applications: urban
guided transport management and command/control systems. Part 1, Part
1,. (2014), OCLC: 957247844
[29] Krob, D. CESAM: CESAMES Systems Architecting Method - A Pocket
Guide. (2017), https://hal.archives-ouvertes.fr/hal-02561111