Soutenance mémoire
La sécurité
La sécurité est l’aptitude d’une entité à éviter de faire apparaître, dans des conditions données, des événements critiques ou catastrophiques. L’aptitude contraire sera dénommée « insécurité ». La sécurité est mesurée par le temps moyen entre défaillances catastrophiques (MTBUF). Les états d’insécurité sont généralement les pannes non déclarées et les commandes intempestives. Les attributs de la sûreté de fonctionnement peuvent être groupés en trois classes /LAPRIE 87/ :
• les entraves à la sûreté de fonctionnement qui sont des circonstances indésirables, causes ou résultats de la non-sûreté de fonctionnement,
• les moyens pour la sûreté de fonctionnement qui sont les méthodes, outils et solutions permettant de procurer au système l’aptitude à délivrer un service de confiance,
• les mesures de la sûreté de fonctionnement qui permettent d’apprécier la qualité du service délivré.
Une vision plus complète de la sûreté de fonctionnement est décrite dans /LAPRIE 88, 89/. L’auteur considère la sûreté de fonctionnement selon différents points de vue :
• par rapport à la continuité du service, la sûreté de fonctionnement est perçue comme la fiabilité,
• par rapport à la non-occurrence de défaillances catastrophiques, la sûreté de fonctionnement est perçue comme la sécurité,
• par rapport à la préservation de la confidentialité et de l’intégrité des informations, la sûreté de fonctionnement est perçue aussi comme la sécurité.
Cette analyse révèle que la sécurité est un facteur fondamental de la sûreté de fonctionnement des systèmes qui oblige le constructeur d’un nouveau système de transport à conduite automatique (STA) à respecter l’ensemble des concepts relatifs à la sûreté de fonctionnement (fiabilité, maintenabilité, disponibilité et sécurité). De plus, dans le domaine du transport, la certification doit s’effectuer compte tenu du caractère automatique d’un véhicule qui constitue un facteur supplémentaire influant sur la sécurité des voyageurs. Le constat suivant relatif au Métro de Lille, tiré de /MARCOVICI 82/, illustre bien l’importance accordée à la notion de sécurité : « L’analyse critique de la conception sous l’angle de la sécurité et la démonstration de cette sécurité ont représenté, aussi bien chez le Maître d’Œuvre que chez ses coopérants un volume de travail dépassant 10% du coût total en recherche et développement « . Le paragraphe suivant est consacré à la présentation des objectifs de sécurité pour les transports terrestres automatisés.
Evaluation de la sécurité dans les transports terrestres automatisés
La sécurité est une notion souvent utilisée de manière subjective. Pour la traduire en termes opératoires d’aide à la décision, des approches quantitatives pour la mesure et l’évaluation du risque encouru ont été développées. De nos jours, le progrès technique va dans le sens de l’accroissement de la complexité et donc des risques potentiels de dangers et il n’est plus concevable d’attendre que les accidents surviennent pour en tirer des enseignements. L’évaluation prévisionnelle du risque encouru devient indispensable dès la conception d’un système et pose le problème du niveau ou seuil d’acceptabilité du risque. Le risque est défini comme la mesure d’un danger associant une mesure de l’occurrence d’un événement indésirable et une mesure de ses effets ou conséquences. Un danger est une situation pouvant nuire à l’homme, à la société ou à l’environnement. L’occurrence de l’événement indésirable est généralement mesurée par sa probabilité d’occurrence sur une période donnée. Les conséquences ou effets de l’événement indésirable peuvent être de nature humaine, économique ou porter sur l’environnement. Le risque est exprimé, par exemple, en unité monétaire par unité de temps, en nombre de morts par unité de temps ou en probabilité de mort par unité de temps. De nombreux objectifs quantifiés de sécurité ont été proposés dans /VILLEMEUR 88/ et /BARANOWSKI 90/ pour aider à des prises de décision tant pour la conception que pour l’exploitation des systèmes industriels. Trois approches ont été distinguées pour définir ces objectifs quantifiés de sécurité :
• fixation d’un objectif à partir du constat statistique : on part d’un constat statistique d’accidents pour telle activité et on souhaite faire mieux à l’avenir,
• fixation d’un objectif à partir d’un raisonnement économique : on compare le risque encouru et le bénéfice qu’en retire l’individu ou la collectivité,
• fixation d’un objectif à partir de considérations sur les risques individuels et collectifs acceptables : l’étude des risques individuels et collectifs encourus dans la société permet de situer des niveaux d’acceptabilité du risque.
Ces objectifs de sécurité sont généralement employés dans la conception des systèmes qui n’est reconnue satisfaisante que lorsque l’objectif de sécurité est atteint. Dans les paragraphes suivants, nous abordons la présentation de l’étude de sécurité des systèmes par la définition d’objectifs quantifiés visant à assurer la sécurité des systèmes de transports terrestres automatisés ainsi que les approches et moyens utilisés à cette fin.
Méthode des Combinaisons de Pannes Résumées (MCPR)
La Méthode des Combinaisons des Pannes Résumées (MCPR), issue du domaine de l’aéronautique, a été formalisée conjointement par la Société Nationale des Industries Aéronautiques et Spatiales (SNIAS) et les Autorités de certification du Ministère de l’Air français, pour l’analyse de la sécurité des avions Concorde et Airbus /LIEVENS 76/. L’analyse des Modes de Défaillance et de leurs Effets (AMDE), qui metgénéralement en évidence les défaillances simples, doit être complétée par l’étude des combinaisons de défaillances qui aboutissent à des événements indésirables. La MCPR, utilisée dans le prolongement de l’AMDE, détermine de manière inductive de telles combinaisons de défaillances. L’utilisation de la MCPR nécessite la mise en oeuvre de 4 étapes /VILLEMEUR 88/ :
1. décomposition du système et élaboration d’une AMDE : pour chaque composant du système, on étudie principalement les modes de défaillance et leurs effets sur le système considéré ainsi que sur les autres systèmes.
2. Elaboration des Pannes Résumées Internes (PRI) : on constate pour un mode de défaillance ou pour plusieurs combinés entre eux, que les effets ou les conséquences sur le ou les systèmes considérés sont identiques. Ces modes de défaillance sont alors regroupés en des ensembles de pannes appelés « Pannes Résumées internes ».
3. Elaboration des Pannes Résumées Externes (PRE) : suite au déroulement des étapes précédentes, tous les systèmes (par exemples s1, s2, … sn) sont analysés. Les Pannes Résumées Internes (ou leurs combinaisons) d’autres systèmes peuvent affecter le fonctionnement du système étudié (s1 par exemple) : on les appelle les « Pannes Résumées Externes » de s1.
4. Elaboration des pannes résumées globales (PRG) : une PRG englobe les pannes résumées internes, externes et/ou leurs combinaisons ayant les mêmes effets sur le système étudié que sur les autres systèmes.
Des relations très étroites existent entre le concept de panne résumée (interne, externe ou globale) et celui de Mode de Défaillance :
• les PRI d’un système correspondent aux modes de défaillance dus à des causes uniquement internes,
• les PRE d’un système correspondent aux modes de défaillance dus à des causes uniquement externes,
• les PRG d’un système correspondent aux modes de défaillance dus à des causes internes et/ou externes.
La MCPR, méthode purement inductive, analyse en premier lieu les effets des modes de défaillance des composants puis étudie les combinaisons de ces modes de défaillance afin de définir des ensembles de pannes correspondant à des fonctionnements anormaux ou à des événements indésirables pour les systèmes à analyser. La MCPR s’attache donc à extraire seulement les combinaisons significatives sur le plan de la sécurité et se présente alors comme une extension de l’AMDE. La MCPR est employée par les experts certifieurs de l’INRETS-CRESTA sous le nom de méthode de « Recherche de Combinaison de Pannes Significatives » (RCPS). On distingue trois types de pannes en fonction de leurs conséquences sur la sécurité du système de transport : PE : Panne Elémentaire, PR : Panne Résumée, PG : Panne Globale. Sont regroupées sous le terme de Pannes Elémentaires (PE) les pannes dont les conséquences sont identiques sur le comportement du système de transport. Leur nombre habituellement important rend pénible leur exploitation. Il est d’usage de regrouper en une panne unique dite Panne Résumée (PR) les PE dont la ou les conséquences sur le système sont généralement bénignes. Combinées entre elles, les PR peuvent aggraver les conséquences sur le système; leur association constitue une Panne Globale (PG). Les PG sont souvent dangereuses et résultent d’une combinaison de PR prises dans un ordre d’occurrence bien déterminé. Dans la suite, pour la formalisation et la structuration des connaissances de sécurité, nous nous intéressons essentiellement aux PR qui ont un caractère universel de par leur indépendance vis à vis de la technologie.
Acteurs impliqués dans le développement d’un SBC
Traditionnellement, on distingue six groupes d’acteurs autour d’un projet SBC : un comité directeur, les experts, les cogniticiens, le groupe de développement, les utilisateurs et le groupe de maintenance. Les trois principaux groupes sont le groupe expert, le groupe cogniticien et l’utilisateur.
• Le groupe des experts humains détient une grande partie de la connaissance spécifique à un domaine et possède le savoir-faire lié à la résolution du problème. Par nature les connaissances sont vagues, ambiguës et évolutives. Leur organisation dans la mémoire de l’expert est complexe, ce qui rend difficile leur extraction.
• Le groupe des cogniticiens est chargé d’identifier, recueillir, expliciter, analyser et formaliser les connaissances et modes de raisonnement de l’expert pour élaborer la base de connaissance du SBC. Le cogniticien joue un rôle primordial dans le transfert d’expertise, malgré le biais ou la distorsion que peut provoquer son intervention.
• Le groupe des utilisateurs exploite finalement les connaissances expertes emmagasinées dans le SBC.
L’évocation du rôle de ces acteurs nous amène à mettre en évidence des problèmes majeurs liés à l’élaboration de la base de connaissances d’un SBC. La conception d’une base de connaissances nécessite l’extraction, l’analyse, la structuration et la formalisation du savoir-faire d’un domaine auquel on accède à travers un ou plusieurs individus, qualifiés d’experts. Dès lors, le transfert de cette expertise soulève les questions délicates suivantes : qui détient réellement l’expertise ?, comment peut-on y accéder ?, comment l’extraire ?, comment la formaliser sans la déformer ?, quelle représentation choisir ?, comment valider et maintenir les connaissances recueillies ? Diverses recherches sont menées pour mieux cerner ces problèmes inhérents à l’acquisition de connaissances et à la conception d’un SBC. Des moyens (méthodes, techniques, outils) pour l’acquisition des connaissances sont aujourd’hui accessibles au cogniticien et à l’expert et offrent un cadre méthodologique pour le développement d’un SBC.
Domaine de compétence du système d’aide à la certification
La plupart des connaissances relatives au domaine de certification sont liées à la sécurité des systèmes de transport et découlent pour l’essentiel de l’analyse des risques d’insécurité représentés sous forme de scénarios d’accidents potentiels. Ces derniers sont conçus par les Ingénieurs concepteurs et les experts de certification de l’INRETS-CRESTA. L’élaboration d’un scénario d’accident s’inspire notamment des historiques relatifs aux systèmes de transport déjà certifiés et/ou homologués. L’extraction et la formalisation de l’ensemble des scénarios éprouvés à ce jour est un travail conséquent. En effet, la sûreté de fonctionnement des systèmes de transport automatisés requiert la prise en compte de tous les risques (collision, déraillement, électrocution …) auxquels peuvent être associés de nombreux scénarios. Dans le cadre d’une étude de faisabilité, nous avons volontairement limité les développements à un seul risque : la collision. Néanmoins, l’architecture du système réalisé est ouverte et pourra donc accueillir d’autres risques.
|
Table des matières
CHAPITRE 1 : CERTIFICATION ET SECURITE DES SYSTEMES DE TRANSPORT TERRESTRES AUTOMATISES (STA)
INTRODUCTION
1. SURETE DE FONCTIONNEMENT DANS LES TRANSPORTS TERRESTRES AUTOMATISES
1.1. Le concept de base de la sûreté de fonctionnement
1.1.1. La fiabilité
1.1.2. La maintenabilité
1.1.3. La disponibilité
1.1.4. La sécurité
1.2. Evaluation de la sécurité dans les transports terrestres automatisés
1.3. Les objectifs quantifiés de sécurité des systèmes de transport terrestres automatisés
1.4. La sécurité dans les transports terrestres automatisés
1.4.1. Sécurité « intrinsèque »
1.4.2. Sécurité « probabiliste »
1.4.3. Conclusion sur les deux approches de sécurité
2. CYCLE DE VIE ET CERTIFICATION DES SYSTEMES DE TRANSPORT TERRESTRES AUTOMATISES (STA)
2.1. Cycle de vie d’un STA
2.1.1. Méthodologie de développement d’un STA
2.1.2. Procédure d’agrément d’un STA
2.1.3. Exemple d’échéancier d’un projet de STA
2.2. La certification des STA
2.2.1. But de la certification des STA
2.2.2. Démarche générale de certification
3. METHODES, OUTILS ET TECHNIQUES UTILISES POUR LA CERTIFICATION
3.1. Analyse technique et fonctionnelle du système de transport
3.2. Analyse qualitative de la sécurité du système de transport
3.2.1. Analyse préliminaire des dangers
3.2.2. Méthode de l’Arbre des Causes
3.2.3. Analyse des Modes de Défaillances et de leurs Effets
3.2.4. Méthode des Combinaisons de Pannes Résumées
3.3. Limites des méthodes prévisionnelles d’analyse de sécurité pour la certification
4. SPECIFICATION DES BESOINS EN MATIERE DE CERTIFICATION
4.1. Trois objectifs pour un système d’aide à l’analyse de sécurité
4.2. Le recours aux techniques d’Intelligence Artificielle
4.3. Approche retenue pour l’aide à l’analyse de sécurité et à la certification
CONCLUSION
CHAPITRE 2 : L’ACQUISITION DE CONNAISSANCES POUR L’ELABORATION D’UNE BASE DE CONNAISSANCES DE CERTIFICATION
INTRODUCTION
1. BUT DE L’ACQUISITION DE CONNAISSANCES
2. SYSTEMES A BASE DE CONNAISSANCES (SBC)
2.1. Caractéristiques d’un SBC
2.2. Acteurs impliqués dans le développement d’un SBC
3. MOYENS DE L’ACQUISITION DE CONNAISSANCES
3.1. Méthodologie de développement d’un SBC
3.1.1. Le prototypage rapide
3.1.2. L’acquisition structurée des connaissances
3.2. Techniques de recueil de connaissances
3.3. Outils d’extraction des connaissances
3.4. Méthodes d’acquisition des connaissances
4. MODELE CONCEPTUEL DES SYSTEMES D’INGENIERIE DE CONNAISSANCES POUR L’ACQUISITION DES CONNAISSANCES DE CERTIFICATION
4.1. Modèle conceptuel des systèmes d’ingénierie de connaissances de BENKIRANE
4.1.1. Etapes d’extraction de connaissances
4.1.2. Environnement du problème
4.1.3. Phases de développement du SBC
4.1.4. Facteurs humains
4.2. Application du modèle conceptuel de BENKIRANE pour l’acquisition des connaissances de certification
4.2.1. Spécification du problème de certification
4.2.2. Identification du domaine de certification
4.2.2.1. Structure de conduite du projet SBC
4.2.2.2. Les sources de connaissances de certification
4.2.2.3. Les types de connaissances employées pour la certification
4.2.2.4. Caractéristiques des connaissances de certification et mode de raisonnement des experts certifieurs
4.2.2.5. Récapitulatif des propriétés essentielles d’un système d’aide à la certification
4.2.2.6. Domaine de compétence du système d’aide à la certification
4.2.2.7. Bilan de la phase d’identification
4.2.3. Macro-extraction des connaissances
4.2.4. Structuration des connaissances
4.2.5. Micro-extraction des connaissances
4.2.5.1. Caractérisation d’un scénario d’accident
4.2.5.2. Définition des paramètres descriptifs d’un scénario
4.2.6. Formalisation des connaissances
4.2.6.1. Description statique d’un scénario d’accident
4.2.6.2. Description dynamique d’un scénario d’accident
4.2.6.3. Exemple de scénario d’accident formalisé
4.3. Limites des moyens d’acquisition de connaissances appliqués au domaine de la certification des STA
CONCLUSION
CHAPITRE 3 : APPORT DE L’APPRENTISSAGE AUTOMATIQUE POUR LE DEVELOPPEMENT D’UN SBC D’AIDE A LA CERTIFICATION DES SYSTEMES DE TRANSPORT TERRESTRES AUTOMATISES
INTRODUCTION
1. GENERALITES SUR L’APPRENTISSAGE
1. 1. Apprentissage humain et apprentissage automatique
1. 2. Objectifs de l’apprentissage automatique
1. 3. Historique de l’apprentissage automatique
1.4. Problématique de l’apprentissage automatique
2. CARACTERISATION D’UN PROCESSUS D’APPRENTISSAGE
2.1. Présentation générale
2.2. Données d’entrée d’un processus d’apprentissage
2.2.1. Théorie du domaine
2.2.2. Exemples d’apprentissage
2.2.3. Classes d’objets
2.2.4. Connaissances d’évaluation des résultats produits
2.2.5. Connaissances pour le traitement des données bruitées
2.3. Les contraintes pour un apprentissage efficace
2.3.1. Bruit et résistance au « bruit »
2.3.2. Incrémentalité, circularité ou itérativité de l’apprentissage
2.3.2.1. Apprentissage monotone
2.3.2.2. Apprentissage non monotone
2.4. Les mécanismes nécessaires pour apprendre
2.4.1. Raisonnement ou mode d’inférence
2.4.2. Nature du traitement
2.4.2.1. Traitement numérique
2.4.2.2. Traitement symbolique
2.4.2.3. Traitement symbolique-numérique
2.4.3. Méthodes d’apprentissage
2.4.3.1. Apprentissage par recherche d’explications EBL
2.4.3.2. Apprentissage par détection de similarités SBL
2.4.4. Stratégies d’apprentissage
2.4.4.1. Apprentissage par l’action ou apprentissage par essais et erreurs
2.4.4.2. Méthode de l’espace des versions
2.4.4.3. Apprentissage par classification conceptuelle
2.4.4.4. Apprentissage par détection de régularités empiriques pour la construction des bases de connaissances
2.4.5. Principe de généralisation
2.4.5.1. Approche ascendante et approche descendante
2.4.5.2. Techniques de généralisation
2.5. Données de sortie d’un processus d’apprentissage
2.5.1. Arbres de décision
2.5.2. Règles de production
2.5.3. Hiérarchies de concepts
2.6. Intérêt de l’approche proposée pour caractériser un processus d’apprentissage
3. CHOIX DES SYSTEMES D’APPRENTISSAGE
3.1. Propriétés du système d’aide à la certification
3.2. Justification du choix du système CHARADE
3.3. Nécessité de développer un nouveau système d’apprentissage par classification CLASCA
3.4. Approche de classification proposée
CONCLUSION
CHAPITRE 4 : CONCEPTION ET REALISATION DU SYSTEME « ACASYA » D’AIDE A LA CERTIFICATION PAR APPRENTISSAGE DES SYSTEMES DE TRANSPORT TERRESTRES AUTOMATISES
INTRODUCTION
1. CONCEPTION DU SYSTEME ACASYA (Aide à la Certification par Apprentissage des Systèmes de transport Automatisés)
1.1. Principe général d’ACASYA
1.2. Organisation fonctionnelle d’ACASYA
1.2 1. Classification des scénarios d’accidents : CLASCA
1.2.2. Evaluation des scénarios d’accidents : EVALSCA
1.2.3. Génération des scénarios d’accidents : GENESCA
2. CONCEPTION DU SYSTEME CLASCA
2.1. Principales propriétés de CLASCA
2.2. Principe général de CLASCA
2.3. Le traitement du bruit dans CLASCA
2.3.1. Approche catégorielle de résolution du problème
2.3.2. Langage de description des exemples
2.3.3. Traitement de l’incohérence des données
2.4. Organisation de CLASCA
2.4.1. Etape d’agrégation
2.4.2. Induction des descriptions conjonctives des classes d’exemples
2.4.2.1. Calcul des fréquences d’apparition des descripteurs
2.4.2.2. Discrimination : recherche de la description courante d’une classe
2.4.3. Classification d’un nouvel exemple
2.4.3.1. Critère de classification d’un nouvel exemple
2.4.3.2. Recherche des exemples les plus similaires
2.4.4. Evaluation des connaissances apprises
2.4.5. Evolution et amélioration des connaissances produites
2.4.6. Etude de convergence et de stabilité des connaissances
2.4.6.1. Convergence « interne » d’une classe
2.4.6.2. Convergence « globale » du système
2.4.6.3. Convergence « interne améliorée »
2.5. Architecture générale de CLASCA
3. CONCEPTION DU SYSTEME EVALSCA
3.1. Principe général d’EVALSCA
3.2. Différents modules constituant EVALSCA
3.2.1. Base d’exemples d’apprentissage
3.2.2. Système d’apprentissage de règles : CHARADE
3.2.3. Générateur de systèmes experts : IS2
3.2.4. Base de connaissances d’évaluation des scénarios d’accidents
4. IMPLEMENTATION DU SYSTEME ACASYA
4.1. Outils et langages de développement
4.2. Architecture de la maquette du système ACASYA
4.2.1. L’interface Homme-Machine
4.2.2. Le système CLASCA
4.2.3. Le système EVALSCA
CONCLUSION
CHAPITRE 5 : EVALUATION DU SYSTEME « ACASYA » ET PERSPECTIVES
INTRODUCTION
1. EVALUATION DE LA MAQUETTE DE FAISABILITE DU SYSTEME ACASYA
1.1. Exemple d’application du système ACASYA
1.1.1. Préconception
1.1.2. Acquisition des scénarios d’accidents
1.1.3. Apprentissage des descriptions conjonctives de classes de scénarios
1.1.4. Classification d’un nouveau scénario
1.1.5. Constitution de la base d’apprentissage centrée sur les PR impliquées dans la description de la classe d’appartenance du nouveau scénario
1.1.6. Apprentissage des fonctions de reconnaissance des PR
1.1.7. Déduction des PR à considérer dans le scénario à évaluer
1.1.8. Evaluation de la complétude du scénario sur la base des PR
1.1.9. Mise à jour des connaissances produites antérieurement
1.2. Intérêts et extensions du système ACASYA
1.2.1. Intérêts d’ACASYA
1.2.2. Améliorations et extensions d’ACASYA
1.3. Perspective d’évolution d’ACASYA : une approche d’aide à la génération des scénarios d’accidents
2. EVALUATION DU SYSTEME D’APPRENTISSAGE CLASCA ET PERSPECTIVES
2.1. Protocole d’évaluation du système CLASCA
2.2. Limites et perspectives du système CLASCA
2.2.1. Sensibilité du système à l’ordre de prise en compte des exemples
2.2.2. L’apprentissage par recherche d’explications pour trancher en cas de conflit entre l’expert et le système
2.2.3. Génération des règles de classification dans l’hypothèse de convergence du système CLASCA
3. COMPLEMENTARITE DE L’ACQUISITION DE CONNAISSANCES ET DE L’APPRENTISSAGE AUTOMATIQUE POUR AMELIORER LE PROCESSUS DE TRANSFERT DES CONNAISSANCES
3.1. Obstacles à l’acquisition des connaissances
3.2. Complémentarité de l’acquisition des connaissances et de l’apprentissage automatique
3.3. Processus itératif d’acquisition des connaissances
CONCLUSION
CONCLUSION GENERALE
BIBLIOGRAPHIE
Télécharger le rapport complet
