SCHON Walter

Le récent besoin de connectivité dans le ferroviaire introduit de nouvelles menaces de l'ordre de la Security gérés séparément des risques Safety traditionnels. Nous établissons un état de l'art autour de la combinaison Safety/Security leurs interactions et les méthodes pour gérer ces risques de façon conjointe.

Le récent besoin de connectivité dans le ferroviaire introduit de nouvelles menaces de l'ordre de la Security gérés séparément des risques Safety traditionnels. Nous établissons un état de l'art autour de la combinaison Safety/Security leurs interactions et les méthodes pour gérer ces risques de façon conjointe.

Cet article explique pourquoi les techniques actuelles de sûreté de fonctionnement ne sont pas adaptées aux réseaux neuronaux (NN). Il montre également, à l'aide d'une expérience, que nous devons accorder une confiance justifiée à la modélisation des réseaux neuronaux avant que la vérification formelle puisse être utilisée pour les applications critiques.

La représentation graphique du système expert sous la forme d'un système basé sur l'évaluation permet une utilisation facile des variables et de leurs relations, et simplifie par conséquent leur utilisation pour les analystes et les non-experts. Ce chapitre commence par une présentation de la méthodologie PRELUDE (Performance shaping factor based human Reliability assEssment using vaLUation-baseD systEms). PRELUDE est une méthodologie d'analyse de la fiabilité humaine. Ce chapitre présente une étude de cas dans laquelle la méthodologie proposée est utilisée pour l'analyse rétrospective d'un scénario réel d'accident ferroviaire. La méthodologie complète est composée d'une section qualitative qui considère les facteurs humains spécifiquement liés à un type de domaine ou d'application, ainsi que d'une section quantitative qui construit un système expert, formalisant les connaissances des experts et fournissant un cadre pour la prise de décision formelle. L'analyse de la fiabilité humaine fournit des compétences en matière de prise de décision en présentant les résultats quantitatifs sous forme d'intervalles de probabilité - l'estimation de la probabilité d'une erreur humaine.

Les arguments de sécurité, également appelés cas de sécurité, sont couramment utilisés pour démontrer que des efforts adéquats ont été faits pour atteindre les objectifs de sécurité. L'évaluation de la confiance de ces arguments et de la prise de décision est généralement effectuée manuellement et dépend fortement de l'expertise subjective. Il existe donc un besoin urgent d'une approche permettant d'évaluer la confiance dans les arguments afin de soutenir la prise de décision. Nous proposons donc une approche quantitative, basée sur la théorie de Dempster-Shafer (D-S), pour formaliser et propager la confiance dans les cas de sécurité. La notation de structuration des objectifs est adoptée. L'approche proposée se concentre sur les questions suivantes concernant l'évaluation de l'argumentation : 1) les définitions formelles des mesures de confiance basées sur les fonctions de croyance de la théorie D-S. et 2) le développement de règles d'agrégation de confiance pour les arguments de sécurité structurés avec l'aide de la règle de Dempster. Les définitions des mesures de confiance et les règles d'agrégation sont déduites pour les arguments simples, doubles et à n nœuds. Enfin, une analyse de sensibilité des règles d'agrégation est utilisée pour valider de manière préliminaire cette approche.

Pas de résumé disponible.

Cet article présente un protocole expérimental original, qui vise à étudier la fiabilité humaine dans les systèmes ferroviaires en calculant la probabilité d'erreur humaine (HEP) des opérateurs humains. L'expérience est menée sur un système de gestion du trafic ferroviaire qui place les opérateurs dans des situations simulées de défaillances ferroviaires. Le résultat expérimental obtenu est d'abord analysé par deux méthodes classiques d'analyse de la fiabilité humaine afin d'estimer la PHE de chaque sujet. Ensuite, un modèle d'opérateurs humains utilisant un système basé sur l'évaluation est proposé. Enfin, une méthodologie alimente automatiquement le modèle proposé en permettant la vérification des propriétés temporelles sur la trace de la simulation.

Pas de résumé disponible.

Pas de résumé disponible.

Ces dernières années, le transport autonome a connu des avancées technologiques significatives. Le transport ferroviaire urbain présente un avantage significatif dans l'exploitation d'un transport commercial entièrement automatisé. Le transport ferroviaire de grandes lignes vise également à bénéficier des avantages de l'automatisation. Ce travail est réalisé dans le cadre du projet TAS à l'IRT SystemX, avec les partenaires SNCF, Alstom Systra et l'Université de Technologie de Compiègne. Ce papier présente le contexte de l'automatisation du transport ferroviaire pour les grandes lignes. Les défis de la démonstration de la sécurité principalement pour les logiciels applicatifs sont discutés. En complément, une analyse de risque de certaines fonctions d’une automatisation complète (GoA 3/4) est effectuée. L’objectif de cette analyse est d’identifier les défis de la détermination des objectifs de sécurité d’un tel système autonome les développements ultérieurs et l es démonstrations de la conformité.

Les réseaux neuronaux profonds connaissent un grand succès dans divers domaines. Cependant, leur utilisation reste limitée aux applications non critiques car leur comportement est imprévisible et peu sûr. Dans cet article, nous proposons des approches de tolérance aux fautes basées sur l'apprentissage diversifié afin d'améliorer la fiabilité et surtout la sécurité des DNN. Notre objectif principal est d'augmenter la confiance dans les résultats des mécanismes d'apprentissage profond en reconnaissant les entrées non apprises et en empêchant les erreurs de classification.

Pas de résumé disponible.

Les réseaux neuronaux profonds connaissent un grand succès dans divers domaines. Cependant, leur utilisation reste limitée aux applications non critiques car leur comportement est imprévisible et peu sûr. Dans cet article, nous proposons des approches de tolérance aux fautes basées sur l'apprentissage diversifié afin d'améliorer la fiabilité et surtout la sécurité des DNN. Notre objectif principal est d'augmenter la confiance dans les résultats des mécanismes d'apprentissage profond en reconnaissant les entrées non apprises et en empêchant les erreurs de classification.

Pas de résumé disponible.

Pas de résumé disponible.

La norme ferroviaire EN50129 clarifie les conditions d'acceptation de sécurité des systèmes électroniques de sécurité pour la signalisation. Elle exige l'utilisation d'une argumentation structurée, appelée Safety Case, pour présenter le respect de ces conditions. En tant que guide pour l'élaboration du Safety Case, cette norme fournit la structure des objectifs de sécurité de haut niveau et les recommandations des techniques de développement en fonction des différents niveaux d'intégrité de sécurité (SIL). Néanmoins, la logique qui relie ces techniques aux objectifs de sécurité de haut niveau n'est pas explicite. Les techniques proposées découlent de la conviction des experts quant à l'efficacité et l'efficience de ces techniques pour atteindre les objectifs de sécurité sous-jacents. Alors, comment devrait-on formaliser et évaluer cette conviction ? Et par conséquent, quelle confiance pouvons-nous avoir dans la sécurité des systèmes ferroviaires lorsque ces normes sont utilisées ? Pour répondre à ces questions, le document aborde successivement deux aspects : 1) rendre explicite la logique d'assurance de la sécurité en modélisant le Safety Case avec GSN (Goal Structuring Notation) selon les normes EN5012x . 2) proposer un cadre quantitatif basé sur la théorie de Dempster-Shafer pour formaliser et évaluer la confiance dans le Safety Case. Une enquête auprès des experts en sécurité est réalisée pour estimer les paramètres de confiance. Avec ces résultats, un guide d'application de ce cadre est fourni sur la base du système de protection contre le glissement des roues (WSP).

Les véhicules automobiles autonomes sont des systèmes critiques. En effet, suite à leurs défaillances, ils peuvent provoquer des dégâts catastrophiques sur l'humain et sur l'environnement dans lequel ils opèrent. Le contrôle des véhicules autonomes robotisés est une fonction complexe, qui comporte de très nombreux modes de défaillances potentiels. Dans le cas de plateformes expérimentales qui n'ont suivi ni les méthodes de développement ni le cycle de certification requis pour les systèmes industriels, les probabilités de défaillances sont beaucoup plus importantes. En effet, ces véhicules expérimentaux se heurtent à deux problèmes qui entravent leur sûreté de fonctionnement, c'est-à-dire la confiance justifiée que l'on peut avoir dans leur comportement correct. Tout d'abord, ils sont utilisés dans des environnements ouverts, au contexte d'exécution très large. Ceci rend leur validation très complexe, puisque de nombreuses heures de test seraient nécessaires, sans garantie que toutes les fautes du système soient détectées puis corrigées. De plus, leur comportement est souvent très difficile à prédire ou à modéliser. Cela peut être dû à l'utilisation des logiciels d'intelligence artificielle pour résoudre des problèmes complexes comme la navigation ou la perception, mais aussi à la multiplicité de systèmes ou composants interagissant et compliquant le comportement du système final, par exemple en générant des comportements émergents. Une technique permettant d'augmenter la sécurité-innocuité (safety) de ces systèmes autonomes est la mise en place d'un composant indépendant de sécurité, appelé « Safety-Bag ». Ce système est intégré entre l'application de contrôle-commande et les actionneurs du véhicule, ce qui lui permet de vérifier en ligne un ensemble de nécessités de sécurité, qui sont des propriétés nécessaires pour assurer la sécurité-innocuité du système. Chaque nécessité de sécurité est composée d'une condition de déclenchement et d'une intervention de sécurité appliquée quand la condition de déclenchement est violée. Cette intervention consiste soit en une inhibition de sécurité qui empêche le système d'évoluer vers un état à risques, soit en une action de sécurité afin de remettre le véhicule autonome dans un état sûr. La définition des nécessités de sécurité doit suivre une méthode rigoureuse pour être systématique. Pour ce faire, nous avons réalisé dans nos travaux une étude de sûreté de fonctionnement basée sur deux méthodes de prévision des fautes : AMDEC (Analyse des Modes de Défaillances, leurs Effets et leur Criticité) et HazOp-UML (Etude de dangers et d'opérabilité) qui mettent l'accent respectivement sur les composants internes matériels et logiciels du système et sur l'environnement routier et le processus de conduite. Le résultat de ces analyses de risques est un ensemble d'exigences de sécurité. Une partie de ces exigences de sécurité peut être traduite en nécessités de sécurité implémentables et vérifiables par le Safety-Bag. D'autres ne le peuvent pas pour que le système Safety-Bag reste un composant relativement simple et validable. Ensuite, nous avons effectué des expérimentations basées sur l'injection de fautes afin de valider certaines nécessités de sécurité et évaluer le comportement de notre Safety-Bag. Ces expériences ont été faites sur notre véhicule robotisé de type Fluence dans notre laboratoire dans deux cadres différents, sur la piste réelle SEVILLE dans un premier temps et ensuite sur la piste virtuelle simulée par le logiciel Scanner Studio sur le banc VILAD. Le Safety-Bag reste une solution prometteuse mais partielle pour des véhicules autonomes industriels. Par contre, il répond à l'essentiel des besoins pour assurer la sécurité-innocuité des véhicules autonomes expérimentaux.

Ce travail présente une étude visant à améliorer la sécurité des véhicules autonomes expérimentaux dans le laboratoire Heudiasyc. Ce travail présente des analyses de risques montrant que l'utilisation de nos véhicules comporte des risques significatifs pendant les expériences, et que l'intégration d'un composant de sécurité indépendant appelé Safety-Bag dans l'architecture du véhicule peut réduire significativement ces risques. Le Safety-Bag effectue la vérification en ligne des nécessités de sécurité en vérifiant l'état actuel du véhicule avec les règles de sécurité et en prenant ou désactivant des actions pour assurer un comportement sûr. Dans notre travail, nous présentons et appliquons deux méthodes d'analyse de risque (FMEA et HazOp-UML) pour concevoir ces besoins de sécurité dans le cas de véhicules autonomes expérimentaux. Nous présentons également la validation de deux nécessités de sécurité par des expériences d'injection de fautes avec un véhicule robotisé Fluence et un véhicule dans la boucle de test.

L'homme reste l'un des éléments essentiels des opérations de transport modernes. Les méthodes d'analyse de la fiabilité humaine (HRA) fournissent une approche multidisciplinaire pour évaluer l'interaction entre les humains et le système.

L'évaluation de la fiabilité humaine (EFRH) est un aspect de l'analyse des risques qui vise à identifier, analyser et quantifier les causes, les contributions et l'occurrence des défaillances humaines. Les applications des méthodes d'évaluation de la fiabilité humaine existantes sont souvent spécifiques à un domaine et difficiles à mettre en œuvre, même pour les experts. En outre, en raison du manque de données empiriques, la gestion de l'incertitude est importante, voire essentielle. Compte tenu de ces limitations, nous proposons une nouvelle méthodologie d'ERS complète, appelée "PRELUDE" (Performance shaping factor-based human REliability assessment using vaLUation-baseD systEms). Il s'agit d'une méthodologie d'ERS quantitative et qualitative, appliquée aux opérations ferroviaires. La partie qualitative caractérise une situation critique pour la sécurité en utilisant des facteurs de façonnage de la performance (PSF). Les PSF sont identifiés à partir de facteurs humains spécifiques au domaine et d'études basées sur les PSF. La proposition quantitative est un cadre d'un modèle graphique (système basé sur l'évaluation) et la théorie des fonctions de croyance. La représentation et le traitement appropriés de tous les types d'incertitudes et la combinaison d'avis d'experts contradictoires sont pris en compte dans ce cadre. Pour aider au choix de la méthode de combinaison appropriée, les données combinées des experts sont discutées et comparées en utilisant des mesures quantitatives. PRELUDE permet de quantifier un événement de défaillance humaine dans un contexte opérationnel. L'analyse de sensibilité est utilisée pour établir un classement des priorités parmi les FPS. Enfin, une application sur un scénario d'accident ferroviaire décrit l'utilisation et l'applicabilité de notre proposition.

Pas de résumé disponible.

Pas de résumé disponible.

Pas de résumé disponible.

Pas de résumé disponible.

Suite au progrès fulgurant que les réseaux de neurones artificiels connaissent actuellement, leur implémentation s'étend à plusieurs domaines. En revanche, leur utilisation n'est pas autorisée dans les applications critiques car leur compor-tement est considéré comme imprévisible et non sûr. Dans cet article, nous présentons deux approches visant à apporter de la tolérance aux fautes logicielles dans les réseaux de neurones afin d'améliorer leur sécurité-innocuité. Notre objectif est de développer des réseaux de neurones capables de détecter les situations inconnues qui diffèrent de celles apprises. L'une des approches consiste à utiliser une redondance diversifiée au niveau des réseaux, et la deuxième consiste à ajouter une nouvelle sortie au réseau capable de reconnaitre les entrées aberrantes.

Pas de résumé disponible.

Pas de résumé disponible.

Pas de résumé disponible.

Pas de résumé disponible.

Pas de résumé disponible.

Pas de résumé disponible.

Pas de résumé disponible.

Pas de résumé disponible.

Dans l'analyse de fiabilité, la comparaison de la fiabilité des systèmes est une tâche essentielle lors de la conception de systèmes sûrs. Lorsque les probabilités de défaillance des composants du système (supposés indépendants) sont connues avec précision, cette tâche est relativement simple à réaliser, car les fiabilités des systèmes sont des nombres précis. Lorsque les probabilités de défaillance sont mal connues (connues pour se situer dans un intervalle) et que nous voulons avoir des comparaisons garanties (c'est-à-dire déclarer un système plus fiable qu'un autre lorsqu'il l'est pour toute valeur de probabilité possible), il existe différentes façons de comparer les fiabilités des systèmes. Nous explorons les problèmes de calcul posés par ces extensions, en donnant un premier aperçu de leurs avantages et inconvénients.

Pas de résumé disponible.

Ce travail présente une étude concernant la sûreté de fonctionnement des véhicules autonomes expérimentaux du laboratoire Heudiasyc. Cette étude confirme que l'utilisation de ces véhicules comporte des risques importants lors des expérimentations, et que l'intégration d'un composant Safety-Bag dans l'architecture du véhicule peut réduire significativement ces risques. Dans cet article, nous définissons une échelle de gravité et proposons une AMDEC (Analyse des Modes de Défaillance et de leurs Effets) d'un véhicule autonome. Nous présentons également l'implémentation de notre composant Safety-Bag et comment il peut réduire les risques.

Ce travail présente une étude concernant la sûreté de fonctionnement des véhicules autonomes expérimentaux du laboratoire Heudiasyc. Cette étude confirme que l'utilisation de ces véhicules comporte des risques importants lors des expérimentations, et que l'intégration d'un composant Safety-Bag dans l'architecture du véhicule peut réduire significativement ces risques. Dans cet article, nous définissons une échelle de gravité et proposons une AMDEC (Analyse des Modes de Défaillance et de leurs Effets) d'un véhicule autonome. Nous présentons également l'implémentation de notre composant Safety-Bag et comment il peut réduire les risques.

Pas de résumé disponible.

Les arguments structurés sont couramment utilisés pour communiquer aux parties prenantes que la sûreté, la sécurité ou d'autres attributs d'un système sont atteints. En raison de la complexité croissante des systèmes, davantage d'incertitudes apparaissent et la confiance dans les arguments tend à être moins justifiable par l'examen. Dans cet article, nous proposons une méthode quantitative pour évaluer la confiance dans les arguments structurés, comme les cas de sécurité. Nous adoptons la Goal Structuring Notation (GSN) pour modéliser le cas de sécurité et proposons d'ajouter des annotations pour identifier les incertitudes dans ce modèle. Trois types d'inférence d'arguments sont proposés en fonction de leur impact sur la confiance. La définition et l'évaluation de la quantification de la confiance sont basées sur la théorie des fonctions de croyance. L'approche proposée est illustrée par plusieurs exemples de GSN.

L’objectif de cette thèse est de construire un framework qui représente les incertitudes aléatoires et épistémiques basé sur les approches probabilistes et des théories d’incertain, de comparer les méthodes et de trouver les propres applications sur les grands systèmes avec événement rares. Dans la thèse, une méthode de normalité asymptotique a été proposée avec simulation de Monte Carlo dans les cas binaires ainsi qu'un modèle semi-Markovien dans les cas de systèmes multi-états dynamiques. On a aussi appliqué la théorie d’ensemble aléatoire comme un modèle de base afin d’évaluer la fiabilité et les autres indicateurs de performance dans les systèmes binaires et multi-états avec technique bootstrap.

Une question importante dans l'évaluation des risques liés au transport de matières dangereuses (hazmat) est d'évaluer les limites de probabilité de l'occurrence des accidents, dont les valeurs sont difficiles à estimer en raison de leur faible fréquence et du manque connexe de données statistiques. Cet article présente une approche originale pour intégrer l'incertitude dans l'analyse quantitative des accidents de transport de matières dangereuses. L'approche proposée est basée sur l'utilisation des systèmes basés sur l'évaluation (VBS) et la théorie des fonctions de croyance. De plus, nous proposons d'identifier les facteurs pour lesquels la réduction de l'incertitude épistémique (imprécision) donne le plus grand impact sur l'incertitude des résultats finaux en utilisant certaines mesures proposées. L'applicabilité et la généralité de l'approche proposée sont démontrées sur une étude de cas.

L'être humain est et restera l'un des éléments essentiels d'un système technologique. L'étude des facteurs humains est un vaste domaine dont les applications sont tout aussi variées. En outre, avec l'arrivée de nouvelles technologies dans les systèmes critiques pour la sécurité, il est toujours nécessaire de garantir la sécurité et la fiabilité des systèmes conformément à des normes de certification de plus en plus exigeantes. La fiabilité humaine est une source d'inquiétude, car le matériel devient de plus en plus fiable et la part de l'erreur humaine dans la cause d'un accident augmente. L'analyse de la fiabilité humaine (HRA) fournit un moyen de quantifier le risque associé à un humain. Cet article présente une discussion sur le développement d'un modèle d'ARH pour le domaine des transports, le transport ferroviaire en particulier. Des études sur les facteurs humains spécifiques aux chemins de fer sont analysées pour identifier les facteurs pertinents en matière de sécurité afin de créer une liste de facteurs de façonnage des performances pertinente et relativement applicable. Cette liste de facteurs est comparée à des études spécifiques aux chemins de fer afin d'aborder les préoccupations spécifiques au domaine, en l'enrichissant de niveaux de quantification pour chacun d'entre eux. Une discussion sur notre proposition d'intégration de l'ERS pour obtenir le risque au niveau du système induit par l'homme en tenant compte de l'incertitude des données et du positionnement du travail actuel dans la méthodologie proposée est également incluse.

L'être humain est et restera l'un des éléments essentiels d'un système technologique. L'étude des facteurs humains est un vaste domaine dont les applications sont tout aussi variées. Leur quantification, à l'aide d'une analyse de fiabilité humaine (ARH), présente des défis et des avantages considérables. Dans les systèmes modernes de plus en plus complexes où des ressources importantes sont allouées pour assurer la sécurité opérationnelle du système, il devient nécessaire d'analyser les actions de l'opérateur humain qui influence directement ou indirectement la fiabilité du système. Cet article envisage d'établir une base pour un modèle d'ARH, afin de répondre aux problèmes existants. Les systèmes ferroviaires et les systèmes avancés d'assistance au conducteur pour les automobiles sont nos domaines d'application. Nous visons à identifier le besoin et la facilité d'utilisation dans les deux cas. L'homme, considéré comme un composant du système de systèmes pour l'évaluation des risques, nous permet d'étudier son impact sur la fiabilité du système et de fournir un retour d'information pour améliorer la sécurité du système.

Ce document a trois objectifs principaux. Le premier objectif est de résumer les exigences relatives aux paramètres RAM (Reliability, Availability, and Maintainability) du système européen de gestion du trafic ferroviaire (ERTMS) définies dans les normes ferroviaires. Le deuxième objectif est de souligner que les exigences RAM doivent être prises en compte au niveau du SoS ERTMS. Le troisième objectif est de mettre en évidence les problèmes majeurs, lors du traitement du SoS ERTMS, qui ne sont pas traités ou clairement définis dans les normes ferroviaires. En effet, les définitions des paramètres RAM ne prennent pas en compte tous les types d'incertitude dans les données de défaillance et les défaillances humaines, et ne proposent pas de méthodes spécifiques pour obtenir des données de défaillance à partir de l'avis d'experts. Dans ce travail, un certain nombre de méthodes ont été proposées pour traiter ces questions.

Cet article présente un protocole expérimental qui vise à étudier la fiabilité humaine dans les systèmes ferroviaires. L'expérience est menée sur un système de gestion du trafic ferroviaire qui place les opérateurs (sujets expérimentaux) dans des situations simulées impliquant des défaillances. Certains modèles classiques d'ARH (analyse de fiabilité humaine) sont utilisés pour interpréter les résultats expérimentaux et évaluer la probabilité d'une erreur humaine.

.

Pas de résumé disponible.

La technologie de contrôle de la distance entre deux trains est en train de passer des traditionnels signaux fixes rouge, jaune et vert sur les circuits de voie de l'infrastructure à des systèmes de plus en plus dynamiques, basés sur des blocs mobiles, où la distance est calculée en fonction du positionnement en temps réel, et le contrôle de la distance est calculé en ligne. C'est le cas, par exemple, du système européen de gestion du trafic ferroviaire (ERTMS), qui propose trois niveaux différents, de 1 à 3. Cet article aborde le problème classique de la programmation des trains sur une seule voie, à la lumière des résultats récents de la théorie de la décision en équipe robuste. Le modèle de contrôle peut être utilisé de deux manières : comme outil d'aide à la décision pour les répartiteurs de trains afin d'évaluer la distance entre les trains dans l'horaire en cours, et comme outil de planification pour évaluer les effets des changements d'horaire. La principale contribution de l'article est l'application d'un résultat récent de la théorie de la décision en équipe robuste pour contrôler les distances non critiques entre les trains dans les blocs mobiles, comme dans l'ERTMS niveau 3. L'étude de cas est liée à des données réelles provenant d'un outil logiciel de simulation et de contrôle ERTMS.

Nous présentons une méthode efficace basée sur le principe d'inclusion-exclusion pour calculer la fiabilité des systèmes en présence d'incertitude épistémique. Un inconvénient connu des fonctions de croyance et d'autres théories probabilistes imprécises est que leur manipulation est exigeante sur le plan informatique. Par conséquent, nous étudions certaines conditions sous lesquelles les mesures de la théorie des fonctions de croyance sont additives. Si cette propriété est satisfaite, l'application des fonctions de croyance est plus efficace sur le plan informatique. Nous montrons que ces conditions sont valables pour les coupes et les chemins minimaux dans la théorie de la fiabilité. Une implication directe de ce résultat est que l'état crédal (état des croyances) concernant le comportement défaillant (fonctionnel) des composants n'affecte pas l'état crédal concernant le comportement fonctionnel (défaillant) du système. Ce résultat est prouvé en utilisant une approche d'analyse de fiabilité basée sur la théorie de la fonction de croyance. Ce résultat implique que l'intervalle limite de la fiabilité du système peut être obtenu par deux calculs simples utilisant des méthodes similaires à celles des approches probabilistes classiques. Une discussion sur l'applicabilité des théorèmes discutés pour les systèmes non-cohérents est également proposée.

Cet article présente et compare deux approches basées sur des modèles pour assurer la fiabilité d'un système ferroviaire dans le contexte de l'ERTMS (European Rail Traffic Management System). Les activités de V&V par rapport aux propriétés de sécurité sont effectuées en simulant les opérations des trains sur des modèles de machines à états des infrastructures ferroviaires. Cet article présente cette approche au moyen d'une étude comparative entre deux outils qui analysent les modèles avec différentes stratégies de vérification. Les outils utilisés sont l'environnement Matlab Simulink et l'outil d'exécution symbolique DIVERSITY du CEA LIST.

Une question importante dans l'évaluation des risques liés au transport de matières dangereuses (hazmat) est d'évaluer les limites de probabilité de l'occurrence des accidents, dont les valeurs sont difficiles à estimer en raison de leur faible fréquence et du manque connexe de données statistiques. Cet article présente une approche originale pour intégrer l'incertitude dans l'analyse quantitative des accidents de transport de matières dangereuses. L'approche proposée est basée sur l'utilisation des systèmes basés sur l'évaluation (VBS) et la théorie des fonctions de croyance. De plus, nous proposons d'identifier les facteurs pour lesquels la réduction de l'incertitude épistémique (imprécision) donne le plus grand impact sur l'incertitude des résultats finaux en utilisant certaines mesures proposées. L'applicabilité et la généralité de l'approche proposée sont démontrées sur une étude de cas.

Pas de résumé disponible.

Dans ce papier, nous présentons une architecture de localisation pour les robots mobiles. Cette architecture est tolérante aux fautes matérielles dans les capteurs de perception et logicielles dans les mécanismes de fusion de données. Elle implémente deux systèmes de localisation indépendants utilisant deux filtres de Kalman diversifiés, et assure la détection d'erreur par la technique de comparaison et le rétablissement du système par la méthode de compensation. Un environnement d'évaluation de l'architecture proposée est mis en place, en utilisant l'acquisition de données réelles avec la plateforme de laboratoire Heudiasyc PACPUS, puis le rejeu de ces données avec injection de fautes sous Matlab.

.

La technologie de contrôle de la distance entre deux trains est en train de passer des traditionnels signaux fixes rouge, jaune et vert sur les circuits de voie de l'infrastructure à des systèmes de plus en plus dynamiques, basés sur des blocs mobiles, où la distance est calculée en fonction du positionnement en temps réel, et le contrôle de la distance est calculé en ligne. C'est le cas, par exemple, du système européen de gestion du trafic ferroviaire (ERTMS), qui propose trois niveaux différents, de 1 à 3. Cet article aborde le problème classique de la programmation des trains sur une seule voie, à la lumière des résultats récents de la théorie de la décision en équipe robuste. Le modèle de contrôle peut être utilisé de deux manières : comme outil d'aide à la décision pour les répartiteurs de trains afin d'évaluer la distance entre les trains dans l'horaire en cours, et comme outil de planification pour évaluer les effets des changements d'horaire. La principale contribution de l'article est l'application d'un résultat récent de la théorie de la décision en équipe robuste pour contrôler les distances non critiques entre les trains dans les blocs en mouvement, comme dans l'ERTMS niveau 3. L'étude de cas est liée à des données réelles provenant d'un outil logiciel de simulation et de contrôle ERTMS.

Ce travail de thèse a pour contexte la surveillance des systèmes homme-machine, où l'opérateur est le conducteur d'un système de transport ferroviaire. Notre objectif est d'améliorer la sécurité du système en prévenant et en évitant les facteurs pouvant augmenter le risque d'une erreur humaine. Deux verrous majeurs sont identifiés : l'aspect caractérisation, ou comment déterminer les phases indicatives et discernables de l'activité de conduite et l'aspect représentation, ou comment décrire et codifier les actions de conduite de l'opérateur et leurs répercussions sur le système ferroviaire dans un formalisme mathématique permettant une analyse sans équivoque. Pour solutionner ces verrous, nous proposons en premier lieu un modèle comportemental de l'opérateur humain permettant de représenter son comportement de contrôle en temps continu. Afin de tenir compte des différences inter- et intra-individuelles des opérateurs humains, ainsi des changements de situations, nous proposons une transformation du modèle comportemental initialement présenté, dans un nouveau espace de représentation. Cette transformation est basée sur la théorie des chaines cachées de Markov, et sur l'adaptation d'une technique particulière de reconnaissance de formes. Par la suite, nous définissons une modélisation comportementale en temps discret de l'opérateur humain, permettant en même temps de représenter ses actions et de tenir compte des erreurs et des évènements inattendus dans l'environnement de travail. Cette modélisation est inspirée des modèles cognitifs d’opérateur. Les deux aspects permettent d'interpréter les observables par rapport à des situations de référence. Afin de caractériser l'état global de l'opérateur humain, différentes informations sont prises en considération . ces informations sont hétérogènes et entachées d’incertitudes de mesure, nécessitant une procédure de fusion de données robuste qui est effectuée à l'aide d'un réseau Bayésien. Au final, les méthodologies de modélisation et de fusion proposées sont exploitées pour la conception d'un système de vigilance fiable et non-intrusif. Ce système permet d'interpréter les comportements de conduite et de détecter les états à risque du conducteur (ex. l'hypovigilance). L'étude théorique a été testée en simulation pour vérifier sa validité. Puis, une étude de faisabilité a été menée sur des données expérimentales obtenues lors des expériences sur la plate-forme de conduite ferroviaire COR&GEST du laboratoire LAMIH. Ces résultats ont permis de planifier et de mettre en place les expérimentations à mener sur le futur simulateur de conduite multimodal "PSCHITT-PMR".

Depuis une vingtaine d'années, les problématiques de transport public en région parisienne sont devenues une préoccupation majeure. Pour les usagers qui consacrent en moyenne environ deux heures quotidiennement à leurs déplacements domicile-travail, la qualité de l'offre de transport est un enjeu majeur.La société nationale des chemins de fer français qui exploitent la majeure partie du réseau ferré dans cette région joue un rôle central dans l'organisation des transports. Mais à l'opposé des attentes qui pèsent sur ce secteur, le trafic ferroviaire rencontrent un certain nombre de dysfonctionnements. En s'inscrivant dans une démarche globale de remise en question des principes d'exploitation ferroviaire en zone dense, cette thèse apporte un regard nouveau sur l'origine des retards qui affectent les trains.Un modèle simple qui permet d'étudier la congestion du trafic ferroviaire sous l'influence de perturbations aléatoires est proposé. En s'inspirant des outils du trafic routier et tout particulièrement du diagramme fondamental de réseau,on définit pour le ferroviaire, le diagramme fondamental de ligne ferroviaire qui permet de représenter le débit en fonction de la concentration sur une portion de ligne ferroviaire. Cet outil est ensuite utilisé pour comparer les résultats issus de notre modèle à un jeu de données mesuré sur deux lignes de chemin de fer de la région parisienne.Cette comparaison montre que notre modèle permet de reproduire qualitativement les phénomènes de congestion du trafic observés sur les cas réels.

Cet article présente une étude de sûreté de fonctionnement menée sur les véhicules autonomes robotisés de l'équipe ASER dans le laboratoire Heudiasyc. Cette étude confirme que l'utilisation de ces véhicules comporte des risques importants lors d'expérimentations, et que l'insertion dans l'architecture du véhicule d'un composant Safety-Bag permet de réduire considérablement la gravité de ces risques.

Dans cet article, nous proposons une architecture logicielle tolérante aux pannes pour les mécanismes de fusion de données. Notre travail est motivé par la difficulté de valider les mécanismes de fusion, que ce soit par des approches formelles ou par des tests. Le mécanisme proposé est basé sur la diversification fonctionnelle en utilisant l'approche bien connue de la programmation à N-versions, pour tolérer les fautes dans les modèles de fusion de données. Le principe général de notre approche est d'implémenter trois mécanismes de fusion de données diversifiés, chacun avec des modèles diversifiés de manière forcée et des entrées indépendantes. Grâce à cette diversification et à un mécanisme de vote, notre architecture fournit les services de tolérance aux fautes suivants : détection des erreurs logicielles, diagnostic des erreurs logicielles et récupération du système. Pour démontrer l'efficacité de notre approche, nous présentons un cas réel consistant à estimer l'angle de lacet d'un robot mobile à l'aide d'odomètres et de gyroscopes avec un filtre de Kalman. Nous présentons une évaluation de la tolérance aux fautes qui est basée sur l'acquisition de données réelles par un véhicule équipé de capteurs intelligents (Citroën C5), la relecture hors ligne de ces données réelles et des techniques d'injection de fautes. Selon nous, la principale contribution originale de cet article est de proposer des mécanismes de tolérance aux fautes logicielles dans la fusion de données, qui sont rarement considérés dans la littérature. En effet, nous pensons que ces fautes peuvent avoir un impact important sur le comportement du système, qu'elles sont difficiles à détecter et à éliminer par validation, et qu'elles sont susceptibles d'apparaître compte tenu du fait que des valeurs empiriques (telles que des gains ou des fonctions de masse de croyance) sont utilisées dans la fusion de données.

Pas de résumé disponible.

Les Systèmes de Systèmes (SdSs) sont des grands systèmes dont les composants sont eux-mêmes des systèmes qui interagissent en vue de la réalisation de certaines fonctions, et pour lesquels le dysfonctionnement d'un seul système peut avoir des conséquences graves sur le fonctionnement du SdS entier. Il est donc important que la conception de ces SdSs tienne compte des exigences de Sûreté de Fonctionnement (SdF) et notamment de leur fiabilité et leur disponibilité quand ils sont sollicités. Par ailleurs, il est nécessaire qu'elle s'assure, par le biais d'analyses quantitatives, du respect de ces exigences. L'incertitude est également une partie importante de la thèse, parce qu'il y a toujours des différences entre un système et sa représentation par un modèle. L’objectif de cette thèse est de proposer une méthodologie de conception sûre des SdSs. Il s'agit dans un premier temps de proposer un modèle dysfonctionnel du SdS global intégrant les aspects matériels, les aspects réseaux ainsi que le facteur humain. Dans un second temps, il s'agit d'évaluer des exigences de SdF. Dans un troisième temps, il s'agit de prendre en compte de différents types d'incertitudes dans les modèles. Concernant la partie applicative, le sujet s'articulerait autour de la conception sûre d'un système ferroviaire. La contribution principale de cette thèse réside dans trois aspects. Premièrement, on propose une méthodologie générale pour modéliser des SdSs. Deuxièmement, on considère l'ERTMS Niveau 2 comme un SdS et évalue ses exigences de SdF en tenant compte de l'indisponibilité du SdS comme une propriété émergente. Troisièmement, on modélise quantitativement différents types d'incertitudes dans les modèles proposés en utilisant les théories probabilistes et non probabilistes.

Le travail présenté dans cet article vise à modéliser une infrastructure ferroviaire composée de voies, d'aiguillages et de feux de signalisation afin de vérifier certaines propriétés de sécurité liées à l'exploitation de cette infrastructure. La modélisation sera réalisée à l'aide du formalisme statecharts. L'approche de vérification des propriétés de sécurité sera réalisée en simulant l'exploitation de l'infrastructure. Cette approche est basée sur une analyse d'atteignabilité des états dangereux liés à l'exploitation de l'infrastructure. L'analyse d'atteignabilité des états dangereux permet de détecter un quasi-accident. Enfin, le modèle Statechart est utilisé pour simuler un scénario de quasi-accident entre deux trains.

Cet article propose une approche basée sur UML pour la modélisation et la vérification des spécifications des systèmes de signalisation ferroviaire. En particulier, nous considérons les spécifications du système européen de gestion du trafic ferroviaire (ERTMS) et du système européen de contrôle des trains (ETCS). Tout d'abord, l'architecture de l'ERTMS/ETCS est décrite. La procédure de validation et de vérification est également introduite. Ensuite, les diagrammes de classes, de séquences et de cas d'utilisation liés aux spécifications techniques de l'ERTMS/ETCS sont présentés. Enfin, une étude de cas issue de la spécification technique de l'ERTMS/ETCS qui représente l'opération "Établir une session de communication" entre l'équipement embarqué de l'ERTMS/ETCS et le RBC (Radio Block Center) pour initier une session de communication est proposée.

Cet article décrit un système dynamique basé sur l'évaluation (VBS) pour l'évaluation de la fiabilité des systèmes sous incertitude. Les données de fiabilité et les dépendances entre les composants sont représentées à l'aide de variables, d'espaces échantillons de variables, d'un ensemble d'évaluations représentées par des probabilités et d'affectations de probabilités de base (bpas) qui mettent en correspondance les espaces échantillons des ensembles de variables avec l'ensemble des évaluations. Les incertitudes considérées ici sont liées aux états des composants et à leurs dépendances. La fiabilité imprécise des systèmes sous incertitude est estimée par un intervalle composé de bornes supérieures et inférieures. L'approche VBS dynamique proposée est finalement appliquée sur un système de vannes et comparée à l'approche classique du réseau bayésien.

Dans cet article, nous proposons une approche originale de simulation pour évaluer la disponibilité des systèmes en présence d'une incertitude d'état qui provient de l'incomplétude ou de l'imprécision des connaissances et des données. Cette approche est basée sur une méthode de simulation combinant la théorie des fonctions de croyance et les Statecharts. Nous proposons ensuite un modèle Statechart d'un système de signalisation ferroviaire, European Rail Traffic Management System (ERTMS) Level 2 en considérant l'incertitude d'état, et évaluons sa disponibilité selon les exigences RAMS définies dans les normes ferroviaires. Enfin, nous proposons une analyse de sensibilité pour estimer l'incertitude d'état du système constitutif qui a l'influence la plus significative sur l'incertitude d'état de l'ERTMS Level 2 entier.

Le travail présenté dans cet article a pour objectif la modélisation d'une infrastructure ferroviaire composée de voies, des aiguillages et des feux de signalisation afin de vérifier certaines propriétés de sécurité relatives à l'exploitation de cette infrastructure. La modélisation sera faite à l'aide du formalisme des Statecharts et de l'outil Stateflow. L'approche de vérification des propriétés de sécurité sera réalisée en simulant le fonctionnement de l'infrastructure. Cette approche est fondée sur une recherche d'atteignabilité des états dangereux liés au fonctionnement de l'infrastructure. L'analyse d'atteignabilité des états dangereux permet de détecter un presque-accident. Enfin, le modèle Statechart sera utilisé pour la simulation d'un scénario d'un presque accident entre deux trains.

Dans cet article, nous considérons le système européen de gestion du trafic ferroviaire (ERTMS) comme un système de systèmes (SoS) et proposons de le modéliser à l'aide de diagrammes d'états en langage de modélisation unifié. Nous définissons l'évaluation des performances du SoS en termes de paramètres de sûreté de fonctionnement et de temps moyen passé dans chaque état (état de fonctionnement, état dégradé et état d'échec). L'originalité de ce travail réside dans l'approche qui considère le niveau 2 de l'ERTMS comme un SdS et cherche à évaluer ses paramètres de dépendance en considérant l'indisponibilité de l'ensemble du SdS comme une propriété émergente. En outre, les facteurs humains, les défaillances du réseau, les défaillances de cause commune (CCF) et les taux de défaillance et de réparation imprécis sont pris en compte dans le modèle proposé.

Le déploiement du système européen de gestion du trafic ferroviaire (ERTMS) est obligatoire le long des corridors ferroviaires européens, mais il suivra un processus long et coûteux. Il est donc nécessaire d'accélérer le déploiement et de réduire le coût de la certification et de l'autorisation nécessaires à la mise en service des équipements. L'une des solutions pour accélérer le processus repose sur l'utilisation intensive des tests en laboratoire avant le déploiement réel. Le projet ANR VEGAS, labellisé par i-Trans va concevoir, développer et évaluer un laboratoire virtuel basé sur la co-simulation en connectant un simulateur fonctionnel ERTMS avec un simulateur dédié à l'évaluation des technologies de télécommunication. De cette manière, la co-simulation permettra d'évaluer le comportement du sous-système fonctionnel tout en prenant en compte les perturbations liées au sous-système de télécommunication (perturbations de la propagation radio telles que les mauvaises liaisons et coupures radio, les interférences ou attaques électromagnétiques). Ce document présente les travaux en cours sur ce laboratoire virtuel, les résultats préliminaires et les travaux prospectifs intéressants dans ce contexte.

Cet article présente une architecture de tolérance aux fautes pour les mécanismes de fusion de données qui tolère les fautes matérielles dans les capteurs et les fautes logicielles dans la fusion de données. Après avoir introduit les concepts de base de la tolérance aux pannes et de la fusion de données, nous présentons d'abord l'architecture générique avant de détailler une implémentation utilisant des filtres de Kalman pour la localisation de robots mobiles. Enfin, l'injection de fautes est utilisée sur des données réelles de cette implémentation pour valider notre architecture. Sous une hypothèse de faute unique, nous détectons les fautes matérielles et logicielles et récupérons les fautes matérielles. Avec plus de redondances, il serait possible de considérer plusieurs fautes et de récupérer les fautes logicielles.

La perception est une entrée fondamentale des systèmes robotiques, en particulier pour la localisation, la navigation et l'interaction avec l'environnement. Or les données perçues par les systèmes robotiques sont souvent complexes et sujettes à des imprécisions importantes. Pour remédier à ces problèmes, l'approche multi-capteurs utilise soit plusieurs capteurs de même type pour exploiter leur redondance, soit des capteurs de types différents pour exploiter leur complémentarité afin de réduire les imprécisions et les incertitudes sur les capteurs. La validation de cette approche de fusion de données pose deux problèmes majeurs.Tout d'abord, le comportement des algorithmes de fusion est difficile à prédire,ce qui les rend difficilement vérifiables par des approches formelles. De plus, l'environnement ouvert des systèmes robotiques engendre un contexte d'exécution très large, ce qui rend les tests difficiles et coûteux. L'objet de ces travaux de thèse est de proposer une alternative à la validation en mettant en place des mécanismes de tolérance aux fautes : puisqu'il est difficile d'éliminer toutes les fautes du système de perception, on va chercher à limiter leurs impacts sur son fonctionnement. Nous avons étudié la tolérance aux fautes intrinsèquement permise par la fusion de données en analysant formellement les algorithmes de fusion de données, et nous avons proposé des mécanismes de détection et de rétablissement adaptés à la perception multi-capteurs. Nous avons ensuite implémenté les mécanismes proposés pour une application de localisation de véhicules en utilisant la fusion de données par filtrage de Kalman. Nous avons finalement évalué les mécanismes proposés en utilisant le rejeu de données réelles et la technique d'injection de fautes, et démontré leur efficacité face à des fautes matérielles et logicielles.

De nos jours, afin de répondre aux exigences économiques et sociales, les systèmes de transport ferroviaire ont la nécessité d'être exploités avec un haut niveau de sécurité et de fiabilité. On constate notamment un besoin croissant en termes d'outils de surveillance et d'aide à la maintenance de manière à anticiper les défaillances des composants du matériel roulant ferroviaire. Pour mettre au point de tels outils, les trains commerciaux sont équipés de capteurs intelligents envoyant des informations en temps réel sur l'état de divers sous-systèmes. Ces informations se présentent sous la forme de longues séquences temporelles constituées d'une succession d'événements. Le développement d'outils d'analyse automatique de ces séquences permettra d'identifier des associations significatives entre événements dans un but de prédiction d'événement signant l'apparition de défaillance grave. Cette thèse aborde la problématique de la fouille de séquences temporelles pour la prédiction d'événements rares et s'inscrit dans un contexte global de développement d'outils d'aide à la décision. Nous visons à étudier et développer diverses méthodes pour découvrir les règles d'association entre événements d'une part et à construire des modèles de classification d'autre part. Ces règles et/ou ces classifieurs peuvent ensuite être exploités pour analyser en ligne un flux d'événements entrants dans le but de prédire l'apparition d'événements cibles correspondant à des défaillances. Deux méthodologies sont considérées dans ce travail de thèse: La première est basée sur la recherche des règles d'association, qui est une approche temporelle et une approche à base de reconnaissance de formes. Les principaux défis auxquels est confronté ce travail sont principalement liés à la rareté des événements cibles à prédire, la redondance importante de certains événements et à la présence très fréquente de "bursts". Les résultats obtenus sur des données réelles recueillies par des capteurs embarqués sur une flotte de trains commerciaux permettent de mettre en évidence l'efficacité des approches proposées.

La localisation précise est une fonctionnalité importante dans les robots autonomes et les véhicules intelligents. Elle utilise différents capteurs pour déterminer une position, ce qui est fondamental pour la navigation et le contrôle. Dans cet article, nous proposons une architecture de tolérance aux fautes adaptée à la fusion de données et les détails de son application pour la localisation d'un robot mobile. Nous utilisons deux types de capteurs pour percevoir l'état du robot et l'environnement: une unité de mesure inertielle (IMU) qui donne les accélérations et les vitesses angulaires du robot, et une caméra qui fournit des séquences d'images pour un algorithme d'odométrie visuelle. Un filtre de Kalman utilise ces entrées pour estimer la position du robot. La tolérance aux fautes est fournie dans cette application par une duplication / comparaison des algorithmes de diagnostic appropriés. La technique d'injection de fautes est utilisée pour évaluer les performances de notre architecture sur une étude de cas simulée.

Dans la littérature, différentes méthodes de classi- fication des incertitudes et de leurs sources sont proposées. La distinction la plus courante étant de diviser les incertitudes en deux types : incertitude aléatoire et incertitude épistémique. Le premier étant irréductible et dû à la variabilité naturelle des phénomènes aléatoires. Le deuxième est dû à un manque de connaissances qui peut être réduit en faisant davantage d'efforts (recueil de données, consultation d'experts, essais accélérés, etc.). Dans ce papier, nous proposerons une discussion sur la validité de cette distinction et nous montrerons que cela a des répercussions sur le choix de la théorie à utiliser pour représenter les différents types d'incertitudes.

Pas de résumé disponible.

Dans ce papier, on propose dans un premier temps la modélisation d'un système de signalisation ferroviaire ERTMS niveau 2 en utilisant les Statecharts. Ensuite, on propose l'évaluation de performances de ce système en termes de disponibilité et de temps moyen passé dans chaque état (mode de fonctionnement nominal, mode dégradé et mode de défaillance). L'originalité de ce travail réside dans la tentative de modélisation de tout le système de signalisation ERTMS niveau 2 en le considérant comme un Système de Systèmes. En outre, les facteurs humains ainsi que les défaillances réseaux sont aussi pris en compte dans le modèle proposé.

Actuellement, un pourcentage élevé d'accidents dans les systèmes ferroviaires est imputable à des facteurs humains. Par conséquent, les ingénieurs en sécurité tentent de prendre en compte ce facteur dans l'évaluation des risques. Cependant, les données relatives à la fiabilité humaine sont très difficiles à quantifier, c'est pourquoi des méthodes qualitatives sont souvent utilisées dans l'évaluation des risques des systèmes ferroviaires. La modélisation des erreurs humaines par des approches probabilistes a montré certaines limites concernant la quantification des aspects qualitatifs des facteurs humains. L'article proposé présente une méthode originale pour prendre en compte le facteur humain en utilisant les réseaux probabilistes et l'analyse par arbre de défaillance.

Au cours des dernières décennies, la communauté scientifique a fourni différents cadres pour classifier l'incertitude et ses sources. La distinction la plus courante - ou du moins, celle qui est largement acceptée dans la communauté de la fiabilité et de l'analyse des risques - est la distinction entre l'incertitude aléatoire et épistémique. La première est considérée comme irréductible car elle est due à la variabilité naturelle des phénomènes aléatoires. La seconde est attribuée au manque de connaissances, elle est donc réductible tant que nous sommes capables de rassembler plus d'informations. Dans cet article, nous proposons une discussion sur cette distinction d'un point de vue historique et nous introduisons quelques théories alternatives pour traiter l'incertitude.

Cet article présente des mesures d'importance de composants étendues (importance de Birnbaum, RAW, RRW et importance de la criticité) qui tiennent compte des incertitudes aléatoires et épistémiques. La théorie D-S, considérée comme une extension moins restreinte de la théorie des probabilités, est proposée comme cadre pour la prise en compte des incertitudes aléatoires et épistémiques. L'incertitude épistémique définie dans cet article est le manque total de connaissance de l'état du composant. L'objectif est de traduire cette incertitude épistémique en incertitude épistémique de l'état du système et en incertitude épistémique des mesures d'importance des composants. L'arithmétique affine nous permet de fournir des limites beaucoup plus étroites dans le processus de calcul des limites d'intervalle des mesures d'importance, en évitant le problème de l'explosion des erreurs. L'efficacité des mesures proposées est démontrée en utilisant un système de pont avec différents types de données de fiabilité (incertitude aléatoire, incertitude épistémique et jugements d'experts). L'influence de l'incertitude épistémique sur le classement des composants est décrite. Enfin, une étude de cas d'un système de détection d'incendie situé dans une salle de production est fournie. Une comparaison entre les mesures proposées et les mesures d'importance probabilistes à l'aide de simulations Monte Carlo à deux étapes est également effectuée.

Cet article présente une méthode originale pour évaluer les indices de fiabilité des systèmes multi-états (MSS) en présence d'incertitudes aléatoires et épistémiques. Dans de nombreux MSS du monde réel, l'insuffisance de données rend difficile l'estimation de valeurs précises pour les probabilités d'état des composants. L'approche proposée applique l'interprétation du modèle de croyances transférables (TBM) de la théorie de Dempster-Shafer pour représenter les croyances d'état des composants et pour évaluer les indices de fiabilité des MSS. Nous utilisons l'exemple d'un système de transmission d'huile pour démontrer l'approche proposée et nous la comparons avec la méthode de la fonction génératrice universelle. La valeur de la théorie de Dempster-Shafer réside dans sa capacité à utiliser plusieurs règles de combinaison afin d'évaluer les indices de fiabilité des MSS qui dépendent de la fiabilité des opinions des experts ainsi que de leur indépendance.

Pas de résumé disponible.

Pas de résumé disponible.

Dans cet article nous allons estimer la fiabilité d'un système binaire et obtenir son intervalle de confiance par l'approximation normale asymptotique. Cette méthode peut s'appliquer aux systèmes complexes et de grande taille réduisant la largeur de l'intervalle de confiance.

Dans cet article, nous proposons tout d'abord une modélisation d'un système de signalisation ferroviaire en Statechart et le comportement dynamique du système est analysé dans ce modèle. Ce système est le ERTMS/ETCS (European Rail Traffic Management System/European Train Control System) niveau 2 dont la performance est évaluée en termes de disponibilité. Deuxièmement, les incertitudes épistémiques (imprécision) sont introduites dans les taux de transition du système et traitées par une méthodologie basée sur la simulation Monte Carlo à deux phases. Dans la simulation de Monte Carlo à deux phases, les variables épistémiques sont échantillonnées dans la boucle externe et le modèle du système est exécuté dans la boucle interne. L'originalité de ce travail réside dans la modélisation du comportement dynamique de l'ERTMS/ETCS Niveau 2 et dans la proposition d'une méthodologie basée sur la simulation de Monte Carlo biphasée pour évaluer la disponibilité du système en tenant compte des incertitudes paramétriques épistémiques.

Pas de résumé disponible.

Pas de résumé disponible.

Les systèmes de perception multi-capteurs commencent à apparaître en applications critiques, comme les systèmes ADAS dans l'automobile. Ces systèmes, complexes et basés sur des méthodes d'intelligence artificielle, sont difficiles et coûteux à valider. Dans cet article, nous étudions une méthode alternative de la sûreté de fonctionnement : la tolérance aux fautes. Nous étudions la tolérance aux fautes telle qu'elle est directement permise par la fusion de données, puis nous proposons des mécanismes de détection et de recouvrement adaptés à la perception multi-capteurs. Par analyse de certains paramètres liés à la fusion de données, nous proposons différents services de sûreté de fonctionnement des systèmes de perception, tels que la détection, le rétablissement par compensation, et le masquage de fautes.

Il existe différentes façons de classifier l’incertitude ou ses sources. La distinction la plus courante est de diviser l’incertitude en deux types : Incertitude aléatoire et incertitude épistémique. Le premier type est irréductible et dû à la variabilité naturelle des phénomènes aléatoires. Le deuxième est réductible et dû à un manque de connaissances qui peut être réduit en faisant d’avantage d’efforts (recueil de plus de données, consultation d’experts, essais accélérés. . . ). Récemment, plusieurs auteurs ont commencé à contester l’usage de probabilités classiques pour traiter ces deux types d’incertitudes. Des nouvelles théories qui traitent les différents types d’incertitudes sont apparues. Ces théories sont capables de représenter et propager, à la fois, l’incertitude aléatoire et épistémique. Parmi ces théories, la théorie des fonctions de croyance est exploitée dans ce manuscrit pour gérer les incertitudes dans les études de fiabilité des systèmes. Les différentes questions relatives aux études de fiabilité en présence d’incertitudes épistémiques, ainsi que les raisons pour lesquelles la théorie des probabilités ne doit pas être utilisée dans ce cas, sont traitées. Le manuscrit introduit des méthodes pour représenter les données de fiabilité et combiner les avis d’experts. Puis, il présente plusieurs méthodes pour propager l’incertitude concernant la fiabilité des composants à l’échelle du système. Un résultat important de ces méthodes est que la borne inférieure (supérieure) de fiabilité du système ne dépend que des bornes inférieures (supérieures) de fiabilité des composants, et que les fonctions de croyance et de plausibilité sont additives pour la collection des chemins minimaux et coupes minimales.

Le développement rapide des systèmes embarqués et les exigences croissantes auxquelles ils sont soumis créent un besoin de techniques innovantes en terme de conception, de vérification et de validation. Les méthodes formelles fournissent des approches intéressantes à la conception de ces systèmes, notamment pour des études de sûreté de fonctionnement (SdF). Le formalisme choisi est basé sur les Réseaux de Petri Colorés (RdPC). L'avantage de ces modèles, en plus d'être très expressifs et formels, est qu'ils permettent d'exprimer le double caractère des systèmes étudiés : statique et dynamique. Le défi relevé par cette thèse est d'utiliser des modèles établis, décrivant l'architecture et/ou le comportement de systèmes, pour en extraire des informations de SdF en général et de diagnostic de défaillances en particulier. L'approche proposée est une analyse structurelle par accessibilité arrière de RdPC. Elle peut être décomposée en deux parties. La première consiste en la proposition d'un outil pour réaliser cette analyse : le RdPC inverse. Il est obtenu grâce à l'application de transformations structurelles sur le RdPC original. La seconde partie est la mise en oeuvre de l'analyse. Cette partie requiert des mécanismes complémentaires dont le plus important est l'enrichissement du marquage. L'approche proposée est étudiée de deux points de vue complémentaires : algorithmique et théorique. Le point de vue algorithmique consiste à proposer des modèles de transformations pour l'inversion des RdPC et la mise en oeuvre de l'analyse. L'aspect théorique vise à offrir une base formelle à l'approche en appliquant deux méthodes (l'algèbre linéaire et la logique linéaire) pour prouver notre approche.

La présente thèse se situe dans le cadre du projet d'automatisation intégrale de la ligne 1 du métro de Paris. C'est un projet qui consiste à transformer la ligne 1 (ligne avec conducteurs) en une ligne en conduite automatique intégrale (sans conducteur ni personnel à bord des trains) et ceci sans arrêter l'exploitation. Il résulte une phase mixte de cohabitation entre des trains en conduite manuelle et des trains en conduite automatique intégrale. Dans ce contexte, mon travail de recherche consiste dans un premier temps à continuer le développement d'un logiciel permettant d'étudier et d'analyser la phase mixte d'exploitation sur la ligne 1. Une fois opérationnel, le modèle a servi à la réalisation de deux études que j'ai menées dans un second temps. Ces deux études répondent à des problématiques touchant la gestion mixte des circulations des trains avec et sans conducteurs dans les terminus. Elles prennent en compte deux contraintes opposées : la sécurité des agents et des passagers d'un côté et la qualité de service offerte aux voyageurs d'un autre côté. L'analyse et les résultats de ces deux études seront présentés dans le présent rapport de thèse.

Bien qu'actuellement considérés comme non sécuritaires (les fonctions de sécurité étant assurées par d'autres sous-systèmes) les systèmes de supervision du trafic ferroviaire peuvent contribuer à la sécurité dans certains scénarios de crise où une décision adaptée d'un opérateur de supervision pourrait réduire notablement la gravité des scénarios d'accident. Il est donc de toute première importance d'identifier ce type de scénarios afin d'envisager les systèmes de supervision du futur dans la perspective d'améliorer encore la sécurité des circulations. La supervision impliquant des décisons prises par l'homme, le prise en compte du facteur humain est indispensable. L'étude se focalise sur l'évaluation de l'interaction opérateurs humains-machines et son impact sur la sécurité. Des études spécifiques du facteur humain ont été réalisées sur une plateforme de supervision de trafic ferroviaire installée dans les locaux de l'UTC. L'objectif des expérimentations est d'obtenir des informations sur les processus cognitifs généraux impliqués dans la gestion d'un environnement dynamique de circulation de mobiles et de contribuer ainsi à l'évaluation du système de supervision en situation d'utilisation par des opérateurs confrontés à la gestion d'une situation nominale, normale et dégradée. Une approche interdisciplinaire a été proposée afin de disposer d'un modèle commun entre spécialistes des sciences humaines et sociales et spécialistes de la sûreté de fonctionnement. Ce référentiel a été puisé dans une perspective systémique de l'étude de la sécurité grâce à la méthode Functional Resonance Accident Model. Deux cas d'études illustrent la démarche proposée.

Dans le cadre de nos activités de recherche, nous nous sommes intéressés à la mise en sécurité des systèmes dits critiques (pouvant en cas de défaillance causer des dommages sérieux aux personnes ou aux biens). La mise en sécurité de tels systèmes passe par l'expression de recommandations liées à la sécurité. Ces recommandations peuvent provenir d'une demande du client (clauses du cahier des charges), de l'état de l'art, d'un référentiel légal (normes, décrets, arrêtés,. . ) ou d'études sur les conséquences des défaillances du système sur l'environnement, les personnes, l'image de marque de l'entreprise, etc. À partir des recommandations introduites dans le cahier des charges du client, il est donc possible d'identifier des "exigences". Il faudra alors démontrer que ces exigences sont prises en compte sur l'ensemble du cycle de réalisation du système. Dans le cadre de cette thèse, nous proposons une méthode et des exemples de mise en œuvre qui se basent sur l'identification, l'expression et la vérification des exigences liées à la sécurité.

Afin de minimiser les risques sanitaires et financiers dus à la distribution d'une eau potable nonconforme à la législation, il est nécessaire de définir une filière de traitement efficace, sans augmenter le coût de production. Cette thèse propose donc une approche d'aide à la conception de filière, basée sur la quantification du risque de production d'une eau non conforme. Dans un premier temps, des méthodes classiques de sûreté de fonctionnement (AMDEC, Arbres de défaillances,. . . ) sont utilisées pour calculer la probabilité de non-conformité de l'eau en sortie de station. Cette approche prend en compte la qualité de l'eau brute à traiter, les caractéristiques techniques de la filière de traitement envisagée ainsi que les défaillances possibles. Dans un deuxième temps et afin de pallier les incertitudes et le manque de données de ce modèle, la théorie des fonctions de croyance est appliquée, et permet de définir le degré de crédibilité dans le respect de la législation.