COSYSESTASThèmes de recherche Approche Système de la Sécurité Afficher le menu principal

Approche Système de la Sécurité

Les activités de recherche pour l’amélioration de la sécurité des systèmes de transport ferroviaire reposent en grande partie sur l’utilisation conjointe des méthodes et techniques classiques de l’automatique et de la sûreté de fonctionnement ainsi que sur l’emploi des approches issues de l’intelligence artificielle.

Les actions de recherches qui composent cette thématique sont décrites par la suite.

Harmonisation et formalisation des études de sécurité

L’harmonisation des études de sécurité est un élément clé pour améliorer l’interopérabilité ferroviaire. Ces travaux de recherche traitent des méthodes de développement et de validation des systèmes critiques en s’intéressant tout d’abord au management de la sécurité ferroviaire, à la définition des objectifs de sécurité en intégrant les éléments incertains et en prenant en compte les exigences de sécurité – SIL (Safety Integrity Level).

Ces travaux ont abouti à des recommandations méthodologiques d’affectations d’objectifs de sécurité. On retrouve ces recommandations dans les livrables du projet Deufrako ANR-ROSA (Railway Optimisation Safety Analysis), du projet européen MODSAFE (Modular urban transport safety and security analysis) et plus récemment dans un projet commandité par l’EPSF (Etablissement Public de Sécurité Ferroviaire).

Interaction sécurité et sûreté

Cette problématique traite de l’interface entre la sécurité et la sûreté avec pour champs d’application l’intersection Route/Rail et les transports guidés urbains. En effet, les analyses et les évaluations de la sûreté/sécurité sont fondamentales dans le cycle de vie d’un système. Il s’agit de développer les approches globales pour conduire les études sécurité en intégrant les dimensions sûreté.

Les transports guidés sont des systèmes ouverts et présentent un risque important d’insécurité lié aux actes de malveillance. Il devient de plus en plus évident à l’échelle européenne et mondiale qu’il faut prendre en compte la dimension sûreté dans la conception et la gestion de la sécurité des systèmes de transport. ESTAS possède les atouts et l’expérience dans les analyses de sécurité pour intégrer les exigences de sûreté.

ESTAS a contribué dans le cadre de projets européens à l’amélioration de la sécurité/sureté au niveau de différentes sources de dangers : SECUREMETRO pour les expositions et incendies ; RESTRAIL pour les intrusions et suicides, SECRET pour les attaques électromagnétiques. La thématique particulière liée à la sécurité des passages à niveau constitue un champ d’expérimentation privilégié de plusieurs thèmes de recherche. ESTAS a été fortement impliquée dans le projet européen SELCAT, qui est une étape préliminaire pour des projets plus ambitieux. Cette problématique peut fédérer des thèmes différents depuis les télécommunications jusqu’aux facteurs humains, et bien entendu les aspects liés à l’ERTMS et elle est à l’évidence un enjeu majeur de sécurité publique.

Formalisation du processus de validation du système ERTMS

Afin de lever les obstacles à la circulation des trains à travers le réseau ferroviaire européen, la commission Européenne a encouragé la mise au point d’un système de contrôle commande et de signalisation qui soit commun à tous les réseaux des états membres : le système ERTMS. Bien que l’ERTMS ait fait l’objet de nombreuses recherches durant les dix dernières années, il reste encore des sujets critiques qui nécessitent des recherches. Pour n’en citer que quelques-uns : L’interprétation des spécifications fonctionnelles et système, la réduction de la durée et des coûts de certification des composants, la cohabitation de différentes versions du système ou la cohabitation avec d’autres systèmes, l’utilisation de nouvelles technologies pour les transmissions sol-véhicule, la modification des règles d’exploitation et leurs impacts sur la sécurité.

L’objectif de cette activité est de proposer une formalisation issue de l’ingénierie des systèmes à base de modèles afin de mieux maîtriser la traçabilité des exigences et de fournir une base rigoureuse pour les étapes de conception et vérification/validation. En particulier, la disposition de spécifications formelles permet de mettre en jeu des techniques de vérification automatiques comme la vérification à base de modèle (par model-checking) ou la génération automatique de scénarios de test. Le déploiement de telles techniques est à même d’accélérer et rendre plus performante aussi bien la phase de développement et la phase de qualification des modules ERTMS. En outre, ces spécifications formalisées offrent un support à la capitalisation des connaissances sur le système ERTMS.

Les premiers résultats issus des thèses de F. Defossez, S. Jabri , A. Mekki montrent l’utilité des modèles à base de réseaux de Petri et des notations graphiques SysML pour la traçabilité et l’analyse des tests de validation. Dans ces travaux, la formalisation proposée a été appliquée dans certains contextes comme la commande des passages à niveau. Ces résultats vont être poursuivis dans les thèses de N. Darragi, R. Yangui P. Sun, ils seront consolidés dans le projet ANR PERFECT en cours.


Plateforme de simulation ERTMS/ETCS ERSA.


Ingénierie système de contrôle/commande complexe critique

Cette action de recherche vise à développer de nouveaux moyens (modèles, techniques, outils, etc.) pour mieux traiter la gestion de la sécurité selon plusieurs points de vue et à différentes étapes du cycle de vie d’un système de contrôle/commande complexe critique.

Pour l’étape de spécification, une classification générique des propriétés temporelles communément rencontrées dans les spécifications des systèmes complexes à contraintes de temps. Cette classification a permis la définition de motifs (patterns) dont les mécanismes simples d’assemblage établis en langage naturel peuvent être exprimés par une grammaire formelle. Les moyens développés pour le raffinement/formalisation des exigences reposent sur des processus ad-hoc à base de patterns de raffinement, des grammaires de spécification qui tentent de couvrir les principales catégories d’exigences comportementales ou des techniques de transformation de modèles. Des applications de cette approche ont été réalisées pour les spécifications ERTMS, des dispositifs de contrôle/commande ferroviaire embarqué, et des cas d’études autour de la sécurité des passages à niveau.

En plus de la formulation des spécifications à proprement parlé, notre contribution porte également sur la vérification de la cohérence globale de la spécification. Deux types de techniques ont été développés pour traiter la question de la consistance de spécifications : La première, assez originale développe une reformulation du problème de cohérence d’un ensemble d’exigences en un problème d’analyse sur un graphe orienté pondéré. Par la suite, les incohérences sur un ensemble d’exigences sont définies comme des motifs/propriétés sur le graphe. La recherche de telles incohérences peut ensuite être réalisée par l’adoption d’algorithmes standard d’analyse de graphes. La deuxième technique consiste à reformuler la question de la cohérence des exigences en un problème de satisfaisabilité (SAT). En d’autres termes, au lieu de chercher si l’ensemble des exigences temporelles autour d’un système présentent des contradictions, la question duale est posée, à savoir : est-il possible de satisfaire l’ensemble de ces exigences. L’idée sous-jacente à l’utilisation des techniques SAT est qu’il est impossible de satisfaire un ensemble de prédicats comportant des contradictions. Pour ce fait, un ensemble de règles de transformation ont été développées pour permettre la reformulation des différentes catégories des exigences temporelles sous formes de contraintes logiques enrichies.

Pour l’étape de vérification, la classification de l’étape de spécification est utilisée pour constituer une base de patterns d’observation génériques. Le processus de vérification est réduit à une recherche d’accessibilité des états qui montre l’incohérence entre spécifications et observations. De cette façon, le processus de vérification est considérablement simplifié, permettant par la même occasion de contourner les limites de plusieurs outils de vérification existants.

Dans l’étape de vérification, des travaux sont aussi menés sur la génération de tests « efficaces » qui permettent d’identifier autant que possible les éventuelles erreurs de conception, d’implémentation ou d’interprétation des spécifications.

Pour la phase d’exploitation, des travaux sur l’analyse de la diagnosticabilité permettent de mieux guider le placement des capteurs et de guider la procédure de reconfiguration en ligne quand des dysfonctionnements sont détectés. Les modèles utilisés sont des modèles discrets, et principalement des automates à états finis (AEF) et des réseaux de Petri (RdP) avec des variantes temporisées (RdP T-Temporels).

Analyse et évaluation de sûreté de fonctionnement de systèmes sans fil

Les systèmes sans fil considérés sont les systèmes satellitaires (fondés sur les GNSS – Global Navigation Satellite Systems) et les systèmes cellulaires pour la communication.


Systèmes de communication sol/bord.


Ces systèmes présentent de nombreux avantages qui incitent les constructeurs et exploitants ferroviaires à souhaiter leur utilisation pour fournir des services de localisation et de communication. Cependant leur mise en service reste freinée par des questions de certification ayant trait à leur sûreté de fonctionnement (SdF), c’est-à-dire à la confiance qui peut être accordée au service rendu malgré les défauts du système.

D’une part, les constructeurs sont en quête de méthodes standardisées leur permettant de prouver les exigences de SdF de ces systèmes sans fil au regard des normes ferroviaires. Les études sont en fait confrontées aux problèmes de la prévision des dysfonctionnements (ex : retard ou perte des messages, problèmes d’intégrité des données). Elles requièrent l’analyse de comportements dynamiques complexes qui nécessitent de repenser les méthodes d’analyse de défaillances. D’autre part, les opérateurs ont des difficultés à exprimer et définir précisément auprès des constructeurs ce qui constitue pour eux des preuves de satisfaction de ces exigences, i.e. les éléments les rendant confiants envers le système et envers la décision d’acceptation des autorités de sécurité ferroviaire.

Cette thématique de recherche a pour objectif de répondre à ces questions de sûreté de fonctionnement sur les systèmes sans fil en menant, en particulier, des travaux pour l’évaluation et la validation d’objectifs exprimés en termes de performances opérationnelles FDM et de Sécurité sur ces systèmes. Notre contribution porte sur le développement de modèles de comportement spécifiques pouvant être traités de manière analytique ou par simulation pour obtenir des indicateurs relatifs aux FDMS. Pour les systèmes embarqués s’appuyant sur les GNSS, une méthodologie fondée sur le traitement d’arbres de défaillance étendus a permis de prendre en compte les aspects suivants : l’aspect dynamique des défaillances de l’unité de localisation en fonction de l’environnement local de propagation, l’aspect multi-états du service de localisation et les dépendances temporelles entre défaillances.