EVOLUTION DES TRANSPORTS COLLECTIFS URBAINS Le système d'automatisation de l'exploitation des trains (SAET) de METEOR E Transports automatiques, METEOR, SAET, Sécurité. par MM. HUERTAS, DESFORGES, BERHAULT, RATP Les éléments techniques sont fournis par Matra Transport International Météor constitue la première ligne de métro parisien entièrement automatique sans conducteur. La qualité de service constatée au cours des 8 premiers mois d'exploitation est très encourageante.. Introduction Avec le projet Météor, la RATP a saisi l'opportunité de réaliser une ligne " exemplaire " dont les objectifs étaient de répondre à un besoin de transport pour Paris et sa région et d'apporter une qualité de service en adéquation avec les attentes des voyageurs du XXIe siècle. Avec la ligne 4, le pas a été franchi. Le service aux voyageurs, avec l'automatisation intégrale du mouvement des trains, mais également avec un personnel plus proche du voyageur, offre un service de très grande qualité. La ligne 4 permet à la fois de soulager la ligne A du RER, saturée, de desservir le 0 arrondissement et de favoriser la desserte des nouveaux quartiers est de Paris. Aujourd'hui, Météor transporte plus de 30 000 voyageurs par jour ; demain, avec en fin 2000 l'ouverture de la correspondance avec le RER C à Bibliothèque, en 2003 son prolongement à Saint-Lazare et en 2005 à Olympiades, Météor transportera 96 millions de voyageurs par an. Météor : ligne 4 Madeleine-Bibliothèque Longueur de la ligne : 8 kilomètres Nombre de stations : 7 Lignes de métro en correspondance : Lignes de RER en correspondance : 5 Longueur d'un train (6 voitures) : 90 mètres Capacité d'un train (six voitures) : 722 voyageurs Intervalle minimal : 85 secondes Temps de parcours : 2 minutes Trafic annuel : 96 millions de voyages à terme. Cette quatorzième ligne du métro parisien fonctionne entièrement en automatique et est dotée du nouveau matériel sur pneu sans conducteur. La sécurité des voyageurs, la régularité et la fiabilité de la ligne sont assurées par le Système d'automatisation de l'exploitation des Trains (SAET) : l'automatisme intégral. $VNOPS'IS. Dans le métro tout automatique météor, le Système d'automatisation de l'exploitation des Trains (SAET) assure à la fois la sécurité des voyageurs, la régularité et la fiabilité de la ligne.. Le SAET se compose d'un poste de commande centralisé et d'une logique de traction, d'un ensemble " pilotage automatique-signalisation ", de moyens audiovisuels pour le dialogue avec les voyageurs et la surveillance, et de façades de quai.. La définition et la réalisation du SAET ont été effectuées selon une démarche rigoureuse de maîtrise des risques. En particulier, la sécurité des équipements du pilotage automatique repose sur le processeur sécuritaire codé et la mise en oeuvre de la méthode B pour le développement et la validation des logiciels.. The automatic train operating system at the heart of the fully automated Meteor metro system controls all aspects of passenger safety, train timing and the reliable operation of the line.. The automatic train operating system consists of a central controller and systems for traction control, automatic signalling, audio-visual passenger communication and monitoring, and platform edge barrier control.. The design and implementation of the automatic train operating system was based on a rigorous risk assessment and management procedure. Ali the control systems are monitored by a central safety processor and the software was developed and checked using Method B protocols. REE N'6./uin 2000
L'automatisme intégral de Météor apporte :. un service de très grande qualité : une offre de transport exceptionnelle, par - un intervalle entre les trains réduit (20 s aux heures de pointe avec la possibilité d'un intervalle pratique de 85 s), - un service attractif en heures creuses (4 mn 30), - une grande régularité ; 'un haut niveau de sécurité, par : - des automatismes de sécurité éprouvés, - des portes palières en station, - une télésurveillance et les liaisons interphoniques des trains et des stations depuis le poste de commande centralisée (PCC) ;. un haut niveau de disponibilité ; une souplesse d'exploitation, grâce à : - une adaptation rapide de l'offre de transport à des situations exceptionnelles, - la possibilité de faire circuler sur la ligne automatique, sans perturber le trafic, des trains avec conducteur en provenance du réseau existant, - la possibilité d'exploitation réduite sur une partie de la ligne ; une bonne adaptabilité, en raison : - d'une facilité d'adaptation à l'environnement (matériels roulant sur pneus ou sur fer, différentes configurations de lignes), - de la possibilité de transformer les lignes existantes en lignes automatiques sans arrêter l'exploitation. 2. Spécificités de Météor Jusqu'ici les métros automatiques français étaient prisonniers de la ligne sur laquelle ils évoluaient et fonctionnaient donc complètement isolés du reste des autres lignes du réseau. Tout le caractère innovant de Météor repose sur son aptitude, unique au monde, à prendre en compte deux contraintes d'exploitation particulières : " la mixité de circulation " et la " non-polarisation des rames ". Toute rame du réseau parisien avec conducteur peut circuler sur la ligne Météor, en s'intercalant en toute sécurité dans le trafic automatique. La manière dont une rame automatique, provenant du reste du réseau, entre sur la ligne Météor, est indépendante du sens dans lequel elle se présente. Météor se veut donc un système ouvert, interconnecté au reste du réseau via le raccord de la ligne 6. Un train classique, conduit manuellement, peut s'insérer entre deux circulations automatiques espacées de 4 minutes 30. Inversement, les rames Météor peuvent circuler sur les autres lignes du réseau en conduite manuelle. Ce premier principe, dit de mixité, permet notamment de résoudre le problème d'un train dont les automatismes tombent en panne. Le second principe permet aux exploitants de travailler sans se préoccuper de la polarisation des rames. 3. Le Système d'automatisation de l'exploitation des Trains : le SAET 77 - - -- mz : m MIE METEOR.. Les sous-systèmes du SAET (source RATP). Le SAET est composé de plusieurs équipements et est représenté par un ensemble de quatre sous-systèmes : - Le Poste de Commande Centralisé et la Logique Traction (CC-LT) gèrent et contrôlent le mouvement des trains en ligne et la distribution de l'énergie électrique de traction ; - Le Pilotage Automatique et la Signalisation (PA-SIG) permettent la conduite automatique et l'espacement des trains suivant la mission définie par le PCC en garantissant la sécurité des voyageurs et des biens ; - Les Moyens Audiovisuels (MAV) permettent à l'opérateur du PCC de dialoguer avec les voyageurs, de les informer et de surveiller ; ils permettent aussi aux agents d'intervention de communiquer entre eux ; - Les Façades de Quai (FO) isolent le quai de la voie. Le SAET est une composante de Météor en interface avec les autres composantes que sont les infrastructures (voies et stations), le train (matériel roulant), les appareils de distribution de l'énergie électrique de traction. 4. Le Pilotage Automatique et la signalisation 4. Principe fonctionnel Le pilotage automatique du SAET commande la marche des trains, gère les arrêts en station en contrôlant l'ouverture et la fermeture de leurs portes et des portes palières ; il assure en sécurité le contrôle de la vitesse des trains, le contrôle de l'alimentation en énergie électrique de traction, la commande des itinéraires, le contrôle des portes et le suivi des alarmes " voyageurs ". Pour permettre la mixité de circulation avec des trains non automatisés en conduite manuelle, le SAET utilise le principe du cantonnement fixe fondé sur deux types de " suivi " : - le suivi des trains automatisés par " train émissif ", qui transmet aux équipements fixes d'automatismes sa position sur la voie (cantonnement dit " virtuel ") ; - REE
J EVOLUTION DES TRANSPORTS COLLECTIFS URBAINS -...J..'. J..--»" ',,i,...- " " " - " T I :_ " "'>'<; Yf'.'.../--- --, h, I ;/J ; Y/,//t/..i./ :. J :.J.lr;.3 J : : -- : : 4 I i I II I I r (I'j[I'ifl - :\ d... " Jt. [/5 Il rbg 0!/' -- - i I 2.Ai-chilectui-e générale dusaet (source MTI). - Vidéo-surveillance de train (transmission par hyperfréquence) 2- Interphone dans le train 3- Vidéo-surveillance sur le quai 4- Interphone sur le quai 5- Porte palières 6- Pilotage automatiqu embarqué 7- Tapis de transmission de données 8- Transmmission de données sol-bord 9- Signalisation 0- Pilotage automatique sol - Poste de contrôle-commande. - le suivi des trains non automatisés par circuits de voie (cantonnement dit " matériel "). À partir de ce double suivi, le SAET autorise ou non la progression des trains sur la voie : - les automatismes fixes transmettent aux trains automatisés l'état (libre, occupé) des cantons ; les trains contrôlent ainsi leur mouvement, par rapport à une enveloppe de vitesse (dite de sécurité), en fonction de leur vitesse et de leur position, en agissant sur les organes de traction-freinage du train par l'intermédiaire de son réseau informatique ; - les équipements de signalisation gèrent les enclenchements d'itinéraires pour les trains automatisés ou non, commandent l'allumage des signaux à l'intention des conducteurs des trains non automatisés. Ce principe permet : - de minimiser l'investissement en circuits de voie en l'adaptant au seul besoin de suivi des trains non automatisés et aux zones de manoeuvre, - de faire cohabiter aisément l'automatisme intégral et la signalisation d'une ligne existante. 4.2 Principe de réalisation Les équipements du pilotage automatique disposent d'une architecture informatique à multiprocesseurs, conçue au standard informatique VME et à la norme EUROFER. L'architecture matérielle est distribuée en locaux techniques situés en stations, en tunnel et à bord des trains ; elle est très modulaire, de façon à assurer aisément les extensions de ligne, les adaptations à divers matériels roulants et aux réseaux existants, les adaptations à différentes techniques (notamment de transmission voiemachine). La plupart des équipements sont prévus en redondance afin d'atteindre une très haute disponibilité. Les équipements installés en station (PA section/signalisation) assurent les différentes logiques de commande liées en particulier aux contrôles d'espacement et de manoeuvre, et les transmissions des messages codés avec les trains. E VITESSE Automatique Automatique Manuel i CRCUiT CIRCUIT DE VOIE voie.. s a. i ` i!'b 'YY y a, t, IV i j k, i : ns,... TRANSMISSION CONTINUE détection détettiondes. des PA PA _ trains automatisés section 3. Principe de cantonnement fixe (source MTl). REE
Le système d'automatisation de l'exploitation des trains (SAET) de METEOR Ils communiquent réseau informatique avec les équipements du PCC par un de transmission à haut débit. Un équipement centralisé (PA ligne) gère l'envoi par l'opérateur Les équipements du PCC des télécommandes de sécurité. PA en tunnel sont constitués : du support de transmission voie-machine continue à tapis, des balises ponctuelles de localisation des trains, des dispositifs de détection matérielle (circuits de voie, détecteurs négatifs de passage). PA section.\' /, PA PA embarques transmission PA section PCC PA ligne continue i eriibarques etiibarque, PA sfttion PA 4. A-chitectui-, du pilot (ige tilitoiiiatiqiie (Soiti-ce MTI). Les équipements PA embarqués assurent les transmissions de messages codés avec les équipements contrôle de vitesse et la surveillance des alarmes " voyageurs ". Ils utilisent, fixes, le pour localiser le train sur la voie, un dispositif d'interrogation et de détection des messages codés émis par les balises ponctuelles en voie, ainsi que des roues phoniques montées sur un essieu du train.,4.3 La transmission Sol-Bord L'ensemble des équipements fixes communique par le réseau de transmission de données à haut débit sur fibre optique. L'échange d'informations entre les automa- tismes des trains et les calculateurs des PAS (pilotage automatique sol), est une fonction vitale du système, réalisée par des transmissions numériques à 4800 bauds dans le sens sol-bord, à 2400 bauds dans le sens bordsol ; le sol est en mode maître : il cadence avec les trains un cycle interrogation-réponse. La transmission Sol-Train est constituée par :. un ensemble de neuf équipements (chacun composé de deux unités en redondance) situé dans les locaux techniques en station,. le tapis de transmission fixé entre les voies, d'une longueur totale de 7 km, divisé en tronçons de 200 m maximum,. dans chaque train, une baie (constituée de deux unités en redondance) associée à deux antennes émission et deux antennes réception. Le changement de tronçon de transmission est géré par l'équipement de pilotage automatique sol qui connaît la position de chaque train circulant sur la ligne. Les messages échangés véhiculent les informations de sécurité et de non-sécurité.,4.4 La localisation des trains Dans les automatismes intégraux - où le train connaît la description de la ligne et des missions qui lui sont confiées -, il doit de plus connaître sa vitesse et sa position à chaque instant ; le besoin de précision de sa position est encore accru par le fait qu'il doit s'arrêter devant des portes palières en station avec une tolérance de ±25 cm. Enfin, lorsque le train est " dépréparé ", il doit, lors de son " réveil ", connaître sa position avant d'effectuer tout déplacement. Pour répondre à cette demande, on a développé un système à balise comprenant : - une balise courte (20 cm environ), lue lors de son survol, qui fournit au train un message codé sécuritairement, représentatif du point kilométrique (PK) où elle est fixée ; - une balise longue (,60 m environ), qui transmet l'information de PK en déplacement et à l'arrêt ; - un système d'interrogateur embarqué, qui lit indifféremment les deux. La précision fonctionnelle est de 5 cm, la précision sécuritaire, de 50 cm. 5. E (liiil) eiiieiits dit pllotage auto» mtigue (sourcc Mn). Balise ponctttelle de localis (ilioii. : : -''**** :? -??''.<<t : '' :'\ -''''''' ;... * "'! Il.- --------------- -,,..-.-... ; :.,,yay SESESh J/. x (b) Rolie pholliquc sur essieu. «-) Tii-oii- dit pilotage aiitoiiiatiqtie eiiibtii-- qué.
EVOLUTION DES TRANSPORTS COLLECTIFS URBAINS Le nombre important de balises courtes procure une très forte fiabilité de la localisation ; ce nombre important est compensé par le MTBF 0 heures. unitaire de la balise supérieur à 4.6 Choix techniques de réalisation du PA Pour la réalisation du recalage de la localisation par des balises, on a utilisé le couplage inductif en champ proche utilisant deux fréquences : - 28 khz pour la téléalimentation en énergie de la balise, ainsi que pour le cadencement de la lecture de la mémoire morte dans laquelle est inscrit le point kilométrique ; - 0 MHz pour le couplage de mutuelle, qui s'établit entre la boucle de l'antenne interrogatrice du train et la boucle de la balise (modulée en amplitude à 64 khz). Le message est transmis à la vitesse de 28 kbit/s et le transfert demande environ ms. La sécurité de fonctionnement est démontrée par la géométrie du couplage en champ proche ; la non-démodulation hors balise est garantie par une résistance de bruit insérée en tête du démodulateur embarqué. 4.7 Les principes de sécurité : le codage des données La protection contre les erreurs susceptibles d'affecter les données, au cours des échanges et des traitements, repose sur l'association d'un code arithmétique séparable et d'un contrôle de signatures ; chaque donnée vitale est ainsi constituée de deux champs : - le champ " information ", qui constitue la partie utile de la donnée ; sa taille varie d'un bit, pour une donnée de type BOOLEAN, à quelques milliers de bits, dans le cas des messages de transmission ou des structures de données de type ARRAY ; - le champ " contrôle " de longueur fixe (48 bits), comportant la somme arithmétique de trois termes :. le reste de la division entière du champ précédent par la clé du code ; plus rigoureusement, si on note A la clé du code, x la donnée utile et k un nombre arbitraire que 2k > A, on utilise le reste r kxl de la division tel de 2 k x par A ; ce codage constitue le mécanisme fondamental de détection d'erreurs du processeur sécuritaire codé (PSC) ;. une signature statique B, qui caractérise l'identité de la donnée. Pour tout opérateur codé (opérateurs arithmétiques et logiques, branchement conditionnel...), la signature statique du résultat dépend de celles des opérandes et de l'opérateur lui-même, prédéterminable (puisqu'elle ne dépend pas des valeurs prises par les données) ; elle constitue une trace de leurs antécédents ;. une signature dynamique D, commune à toutes les données, garantissant la validité temporelle des informations ; elle s'incrémente d'une valeur constante à chaque cycle de l'application, boucles internes. ainsi qu'à chaque itération dans ses La donnée est donc finalement codée sous la forme X = 2'x- rkx +B,+D que l'on matérialise par le couple (x, - rkx + Bx + D), où x représente le champ " information " et -r, +B.+D le champ " contrôle ". Grâce à ce codage, on montre que la probabilité de nondétection des erreurs peut être majorée par /A quelles qu'en soient les origines matérielles : en d'autres termes, la technique de réalisation du PSC n'intervient pas - au moins au premier ordre - dans la démonstration de sécurité ; cette caractéristique fondamentale a été largement mise à profit pour atteindre les objectifs fixés. 4.7.. Le Contrôle des résultats Il consiste à vérifier que les signatures statiques sont égales aux valeurs prédéterminées, et que la signature dynamique évolue correctement à chaque itération. La vérification est précédée d'une opération de compactage, de façon à ne contrôler à chaque cycle qu'une signature finale, qui porte alors la trace de toutes les opérations effectuées et des erreurs éventuelles. Structure des trames En-tôteEtat des Eis Exemple de petite configuration 32 à 64 bts 32 à 64 b,ts 32 bts -46-- c c 2048 bits max. dans une trame.0,.,., 0... El/ FI/S2 22..., Configutation physique El/! F2 S,/ S22 Contrôle A En-téte 0 0 0 0 0-- - 89 Fn-tète En-tdte 0 -_t-_.. 0 J0 SO,S $p+st+$2 S2 RO RO RD Contenu des trames 6. Structaire de trame (source MTI). 4.7.2. Accroître la capacité de traitement Controle des nies CRC Sauf à adopter une architecture fortement parallèle, mal adaptée aux types d'algorithmes utilisés, gagner un facteur 0 sur les temps d'exécution des opérateurs codés Microprocesseur MC 68020 32 bits 32-bits-- - I Dnonéeg - ; U7 Adresses 32 bits EPROM instructions rt 3? bits RAM Données Banc mémoire du microprocesseur accélérateur càblë 3, bits32 bits 32 b,ts36 bits 4>.4> Il À -s QÉ 36 bits RAM Charnps contrôle et tables Banc mémoire privé 7. Ai-chitecttii-e du pi-ocesseiii- séciii-itaii-e codé (soui-ce MTI). REF
passait par une réalisation câblée de leurs algorithmes internes. Dès lors, l'idée d'utiliser un ASIC associé à un microprocesseur-maître s'imposait naturellement, cette architecture permettant de conserver un environnement de développement et d'aide à la mise au point standard. 4.7.3. Fonctionnement et résultats L'ASIC, couplé au reste de la carte CPU par les BUS d'adresses et de données du microprocesseur, dispose d'un banc mémoire privé où sont stockés les champs " contrôle " des variables codées - les champs " information " étant rangés - aux mêmes adresses - dans le banc mémoire principal. Vu du microprocesseur, tout se passe - presque! - comme si les calculs portaient sur des variables non codées : son travail consiste à élaborer les adresses des opérandes, à " réveiller " l'asic en lui fournissant le " code " de l'opérateur à exécuter, puis à calculer et ranger le champ utile du résultat (équivalant à une variable non codée). Dès son " réveil ", l'asic saisit les données codées - à la volée - sur les BUS (champ utile et champ contrôle), puis calcule le résultat et en range le champ contrôle dans son banc-mémoire privé ; parallèlement, le microprocesseur peut commencer l'exécution de l'opérateur suivant. Une première réalisation, couplée à un 68020 et traitant un code 32 bits, dispose des opérateurs de base (arithmétiques et logiques, tests simples, boucles, accès aux tableaux de variables...), mais nécessite d'enchaîner des appels pour les opérateurs complexes. La version adaptée au code 2 x 24 bits (deux ASIC identiques travaillant en parallèle) intègre l'ensemble des opérateurs codés. Celles-ci isolent complètement les quais des voies, tout en permettant les échanges avec les trains au moyen de portes palières disposées en regard de leurs portes. Le pilotage automatique du SAET commande en sécurité l'ouverture des portes palières lorsqu'un train est correctement positionné à quai. Des portes de secours permettent aux voyageurs, à bord d'un train mal positionné à quai, de le quitter. Des portillons, disposés à chaque extrémité de quai, permettent aux agents d'accéder à la voie. Un pupitre, installé sur chaque quai, permet à un agent de commander à pied d'oeuvre les portes palières. 6. Le Poste de commande centralisé Les opérateurs d'exploitation du PCC ont à leur disposition l'ensemble des moyens d'action les mettant en mesure de superviser et de réguler à distance la circulation des trains, de contrôler toutes les fonctions essentielles d'un réseau. L'interface homme-machine est constituée d'un tableau de contrôle optique (TCO) à LED, de terminaux informatiques et de platines de commande, de moniteurs vidéo fournissant les images des quais des stations et de l'intérieur des trains, des moyens de communication phoniques avec les voyageurs sur les quais et dans les trains. II iil lïn,., : : Déjà, avec cette version, la vitesse de l'unité de calculs codés - 2 à 7 ms de temps de calcul interne suivant les opérateurs - est telle que les performances sont encore limitées par le microprocesseur : cette marge permet, dès r J., ".L Î -- que le besoin s'en fera sentir, d'utiliser un microprocesseur plus puissant sans avoir à reconcevoir le circuit. 5. Les Façades de quai La protection des voyageurs sur les quais vis-à-vis de tout risque de chute sur la voie est assurée par les " façades de quai "... " fffl-.m Wni 8. Façade de qliai (soiil-ce RATP). 9. Le poste de cornrnande centralisé. 6. Les opérateurs : l'interface Homme Machine (IHM) En matière d'analyse ergonomique, la complexité de ce type de poste, entraînant quantité d'informations utiles à l'ergonome mais difficiles à gérer, nécessite l'emploi de techniques d'enregistrement vidéo, pour le recueil et l'analyse a posteriori, des éléments de comportement observables au travers des outils méthodologiques et techniques. L'évaluation des IHM se décompose en trois phases : - les recueils des données et la mise en place des tests au plan logiciel, phase fondamentale qui définit la maille d'analyse, donc la finesse du rendu ; - l'évaluation et les recommandations opérationnelles, dont l'itération pérennité des résultats ; proposée est garante de la fiabilité et de la RHF
2 EVOLUTION DES TRANSPORTS COLLECTIFS URBAINS - la définition de l'adéquation ergonomique des outils logiciels avec le futur poste de travail, dans ses aspects physiques. Cette dernière phase est consolidée par un retour aux résultats de l'analyse de l'activité. L'étude systémique s'appuie sur la méthode " ergonomie des logiciels par banc d'essai " (ELBE), et sur le laboratoire d'observation du travail informatisé (OTI) de Innovation logiciel et systèmes (ILS), organisme qui dépend de la chambre de commerce et d'industrie de Bayonne-Pays basque. Au PCC, un calculateur redondé, interfacé avec les équipements fixes du pilotage automatique et des moyens audiovisuels, assure la gestion d'ensemble de la commande centralisée. Il prend en charge, notamment, le suivi du mouvement des trains, la régulation de trafic, le garage et le dégarage automatiques des trains en fonction du programme d'exploitation de la journée, la surveillance des installations et leur télécommande, la gestion des incidents techniques, sous le contrôle des opérateurs. Un autre calculateur assure la gestion de la maintenance du SAET. Il met à la disposition des opérateurs de maintenance - via des terminaux spécialisés au PCC ou dans les centres spécifiques - les diagnostics effectués par le système d'aide à la maintenance du SAET, qui permettent les échanges standards de premier niveau. À cet effet, chaque équipement du SAET effectue son propre diagnostic de défaillance ( " Built In Test Equipment "). Z U..Z z 09 z... ---------- analyne du bes (in M FP %,I,ction FC ul) F) ntrtinie,incipile F-c py'p c. : >< i-tj FP?.,n p,,wce que ; : e qt.c- F'd'ce qur chaîn (s fotwtionnelleç logiqlw- i fmrgie, Ci rcgf,) I : Kllleni, 0. Synoptique de la démanche de spécification et de coiiceptioii foiictioiiiielles (sotii-ce PATP). 6.2 Les Moyens audiovisuels Le contact avec les voyageurs dense de caméras et d'interphones, est assuré par un réseau dans les stations et dans les trains, permettant une surveillance efficace et une communication directe des voyageurs avec les opérateurs du PCC. Par ailleurs, les agents d'intervention ligne disposent de radiotéléphones portatifs pour communiquer entre eux et avec les dits opérateurs. à, T < i ;, Il. La siti-veillaiice tidéo (soiti-ce RATP). Pour cela, le SAET dispose d'un réseau de radiocommunications de haute disponibilité (redondance massive, canaux multiples, indépendance de fonctionnement du reste du système) ; la transmission par un câble rayonnant. Les images vidéo de l'intérieur.,., en en tunnel est assurée des trains sont transmises par liaison hyperfréquence (propagation libre) entre ceuxci et les bases-relais au sol, qui les rapatrient vers le PCC. 6.3 Propagation libre en tunnel MTI a utilisé une modulation analogique, ainsi qu'une diversité d'espace de l'ordre de 4 : 2 à l'émission, au moins 2 à la réception. Le train émet simultanément, ses extrémités par avant et arrière ; les bases-relais au sol sont équipées de récepteurs doubles traitant le signal radio reçu en deux points de l'espace. Chaque récepteur choisit la - meilleure - image, puis la transmet par paire torsadée au local technique de la station la plus proche. Ensuite, le réseau de distribution des caméras vidéo de station rapatrie, par fibre optique, les signaux de toutes les bases-relais jusqu'à un équipement du PCC. La couverture radio est telle qu'il y a toujours au moins un récepteur actif. Le suivi des trains est effectué naturellement par la sélection de la base-relais proposant la meilleure image : pour ce faire, un module d'analyse multicritère a été étudié et intégré ; en effet, la mesure du niveau reçue, et la valeur du rapport " signal sur bruit " qui en résulte, sont insuffisantes pour garantir la qualité
Le système d'automatisation de l'exploitation des trains (SAET) de METEOR de l'image. Des phénomènes complexes en champ proche peuvent amener à choisir un récepteur plus lointain, mais qualitativement plus favorable. Un réseau d'antennes embarquées, définissant quatre lobes séparés avec des gains différents, optimise le couplage pour la quasi-totalité des situations : champ lointain, champ proche, guide d'onde, etc. Enfin, un dispositif d'atténuation de la puissance émise permet de s'adapter à l'environncment d'un tunnel ou d'un site aérien. 7. Le dossier de sécurité Pour tenir compte des risques que le SAET de METEOR peut entraîner sur les personnes, sur le système de transport et/ou sur l'environnement, que ce soit en mode de fonctionnement normal ou en mode dégradé (suite à un dysfonctionnement du système), la définition, la conception et la réalisation du SAET ont été effectuées selon une démarche rigoureuse de maîtrise des risques, propre à emporter la conviction de toutes les parties concernées que le niveau de sûreté est acceptable. Ainsi, dès le début du projet METEOR, des engagements ont été pris par la RATP vis-à-vis des tutelles pour que l'organisation, les méthodes, les moyens techniques et humains soient mis en oeuvre tout au long du cycle de vie du système pour garantir, in fine, l'atteinte des objectifs FDMS. Des dispositions contractuelles ont donc été prises entre la RATP et MTI (le constructeur du SAET), pour parvenir à la conviction de sécurité du système, et ce, en articulant les cfforts de chacun autour des principes fondamentaux suivants : - un management de la SdF renforcé, notamment au travers d'une coordination des activités relatives à la SdF s'appuyant sur les compétences " métiers " des 2 entreprises : " systèmes et automatismes ", " logiciel " et " matériel et mécanique " ; - une construction programmée de la SdF et une démonstration instruite au fur et à mesure de l'avancement du projet par le biais d'analyses et d'études associant concepteurs, réalisateurs et responsables sécurité ; - une double vérification/validation indépendante du produit SAET sur les aspects sécurité. 7. L'architecture générale du système et la démarche globale de maîtrise des risques Le niveau de sécurité du système repose sur celui de ses sous-systèmes et de leurs interfaces. Chacun de ces sous-systèmes réalise des fonctions de sécurité en s'appuyant sur des équipements physiques dédiés. Par exemple, les fonctions de sécurité du pilotage automatique sont réparties entre 3 équipements : lc pilotage automatique ligne (PAL), le pilotage automatique section (PAS) et le pilotage automatique embarqué (PAE). De même, à ce niveau de décomposition, le niveau de sécurité du sous-système repose sur celui des équipements qui le constituent (interfaces internes et externes comprises). Ces équipements sont eux-mêmes constitués de matériels et de logiciels divers. Certains d'entre eux réalisent des tâches de sécurité qui concourent au fonctionnement en sécurité de l'équipement. Ainsi, à chaque niveau de décomposition, des exigences de sécurité sont déclinées au niveau inférieur. La maîtrise globale de la sécurité du système passe donc par la réalisation d'analyses de sécurité et la mise en oeuvre de méthodes de conception et de validation performante eu égard au haut niveau de sûreté requis. Outre la définition et la mise en oeuvre de plans de sécurité à chaque niveau de décomposition du système, la démarche de maîtrise des risques du SAET de METEOR se caractérise par la mise en oeuvre des principales actions de sécurité suivantes : niveau système : - Analyse préliminaire des dangers, - AMDE système, - Classification des fonctions système en termes de criticité (et justification), - Détermination des invariants généraux de sécurité du CI système, - Analyse Opérationnelle des risques. niveau sous-système : - Analyse préliminaire des dangers sous-système, - AMDE sous-systèmes, - Classification des fonctions sous-système en termes de gravité, - Justification de la classification et de l'indépendance des fonctions sous-systèmes, - Démonstration du respect de l'amde sous-système. niveau équipement : - AMDEC, - Classification des fonctions équipements en terme de gravité, - Justification de la classification et de l'indépendance des fonctions équipements, - Analyse sécurité de la spécification technique (identification des matériels et logiciels de sécurité), - Démonstration du respect de l'amdec, - Définition des exigences de sécurité qu'ils doivent respecter, - Allocations de sécurité aux matériels, - Démonstration du respect de l'amdec matériel de l'équipement. niveau matériel : - Recherche de scénarios et des analyses de défaillances des matériels, - Analyse de sécurité (synthèse des analyses et des conclusions des documents amont sur le matériel),
EVDLUTION DES TRANSPORTS COLLECTIFS URBAINS Etudes Développement Préqualification Fabrication Qualification Cahier des charges Réception mise en service _-_ ; fi t :.-= k.a.., "'-.e :.,. ï,..,' :. Spécifications équipements Validations équipement i Validations équipement / Conception. Réalisation,Validation des matériels et des logiciels du prototype Réalisation etvalidation des matériels et des logiciels de la série 2. Le cycle de développement du SAET. - Justifications sur le respect des exigences de sécurité. niveau logiciel : - Conception formelle (et preuve), - Analyse de la Conception formelle (respect de la spécification littérale), - Analyse des activités de preuve formelle, - Sécurisation du codage (modèle formel - langage de programmation). La démonstration de sécurité est compilée dans un document appelé Dossier de sécurité présenté aux tutelles pour obtenir l'accord sur la mise en service du système METEOR. Ce document synthétise l'ensemble des activités d'étude, d'analyse, de contrôle et d'essai réalisées par le constructeur et par la RATP et fournit la preuve de la couverture de tous les dangers identifiés du système au travers de son cycle de vie, incluant la vie opérationnelle (c'est-àdire la phase d'exploitation après mise en service). 7.2 La sécurité des équipements de pilotage automatique du SAET La sécurité des équipements du PA du SAET repose sur la complémentarité de 2 techniques : le processeur sécuritaire codé (PSC) et la méthode B : - le PSC permet le développement et la validation d'applications de sécurité sans préjuger de l'environnement matériel et logiciel dans lequel elles sont implémentées ; - la mise en oeuvre de la méthode B pour le développement et la validation des logiciels applicatifs de sécurité garantit l'adéquation du code ADA aux spécifications logicielles amont. Cette méthode formelle s'appuie, en partie, sur la théorie des ensembles et sur la logique des prédicats. Ces 2 techniques ont efficacement été couplées au sein du projet SAET ; elles ont permis un allégement significatif des phases de validation des applications logicielles de sécurité. En effet, la preuve formelle réalisée en phase de conception des logiciels et la sécurisation du codage B vers ADA, d'une part, la sécurisation de la compilation du code par le PSC, d'autre part, ont permis de s'affranchir de l'étape de tests unitaires et d'une grande partie des tests d'intégration (rendue inutile sur les modules développés en B). 7.3 Retour d'expérience de la mise en oeuvre de la méthode B Globalement, l'approche novatrice proposée et mise en oeuvre pour le projet METEOR a non seulement accru la confiance de MTI et de la RATP dans la maîtrise de la sécurité dès la phase de conception mais elle a également contribué à augmenter la qualité de la démarche de conception-validation des logiciels de sécurité des applications ferroviaires. De plus, exploitants et constructeurs s'accordent également sur les résultats suivants : l'application de B au processus global de développement et de validation des logiciels permet :
Spécifications Preuvre atestsede validahon I r Réexpression Ré-expressioni formelle en a i a ner tests Pr "" B non 8 ' I conception validation des formelle fo' en 8 en I a activitèsde ;! activités preuve de i! -'' '.\ ' Oénération de I [ (automatique) I J 3. Cycle de vie des logiciels de sécurité de METEOR (source RATP). - un meilleur passage entre les phases systèmes et logicielles, - une meilleure maîtrise des spécifications, - l'amélioration de l'intégration des logiciels. Le projet METEOR a été le vecteur d'une forte évolution des outils de preuve formelle associés à la méthode B : en effet, pour permettre la pratique de la preuve de façon industrielle et venir à bout de plus de 27 000 preuves formelles à réaliser, ces outils ont été affinés et optimisés pour réduire drastiquement les temps de résolution des preuves et pour assurer une couverture automatique de preuve supérieur à 90 % Forts des excellents résultats constatés sur METEOR, acteurs du ferroviaire tentent de renforcer l'utilisation de B notamment autour des thèmes suivants : - définition d'une méthodologie d'application de B en amont des phases de développement logiciel, - réutilisation de parties formellement prouvées, - rétro-conception d'applications non développées formellement, - modélisation des phénomènes événementiels et temps réel, - gestion sécurisée des bases de données, - couplage entre B et d'autres techniques (Lustre, UML,...). Ces travaux non spécifiques au monde ferroviaire devraient intéresser d'autres secteurs industriels et permettre ainsi d'étendre le champ d'application de la méthode B. 3. Les résultats après 8 mois d'exploitation Outre les bons résultats constatés en matière d'exploitation et de qualité de service opérationnelle les grâce aux innovations apportées au plan organisationnel par l'unité Ces travaux ont été menés en partenariat avec la SNCF, l'inrets et le distributeur de l'atelier de Génie Logiciel dédié à la méthode B avec le soutien des ministères chargés de la recherch et des transports. opérationnelle U04, on peut citer aussi les bons résultats constatés en matière de qualité de service technique. Sur le plan de l'exploitation, le bilan de l'année 999 donne un " standard d'attente des trains par les voyageurs " de 99,2%, bien meilleur sur le reste du réseau Métro. que la moyenne observée Sur le plan technique et après 8 mois d'exploitation, qualité de service mesurée, qui intègre les retards et les tours perdus dus au système, est de 0,998 en valeur calculée sur les 6 derniers mois. 8. L'après METEOR Les réflexions sur les renouvellements des futurs systèmes de contrôle-commande la des trains sont menées en intégrant différents paramètres issus des expériences des dernières années, notamment de SACEM et de METEOR. Les objectifs fixés aux futurs systèmes prendront en compte ces résultats. 8.2 L'approche globale de la conception L'approche globale envisagée pour les futurs systèmes de contrôle-commande est basée sur l'optimisation de l'architecture du système (réseaux de transmission, calculateurs) ; une politique " produit " basée sur les standards du marché ; une politique de maintenance avec la supervision des équipements ; une politique achats avec des produits génériques ; une politique de recherche avec la participation à un programme européen de standardisation de systèmes nouveaux de contrôle-commande. Ces renouvellements sont pensés avec le maintien ou l'augmentation des performances ; le souci d'obtenir des réalisations modulaires permettant de réaliser le juste nécessaire ; et enfin par un renouvellement des installations. 8.3 Laccroissement de la performance progressif L'exemple de la ligne 3 du Métro est représentatif de cette démarche dans la mesure où il est nécessaire dans ce cas d'augmenter le cadre du prolongement la capacité de transport offerte, dans vers le port de Gennevilliers, REE N, 6 Juin 2000
l ) EVOLUTION DES TRANSPORTS COLLECTIFS URBAINS en portant l'intervalle minimum possible à 90 secondes pour un temps de stationnement de 40 s à la station Saint-Lazare, avec des trains de type MF 77 formés à 5 voitures. Cela implique de reprendre la quasi-totalité des équipements de la ligne ou pour le moins de les modifier très significativement. 8.4 Lamélioration de la qualité de service Un des résultats les plus spectaculaires de 8 mois d'exploitation de Météor est le progrès significatif fait en qualité de service purement technique (système fixe et embarqué, hors influence voyageurs, actes de malveillance...) ; elle s'exprime par un chiffre de l'ordre à 0,998, alors que pour une ligne courante actuelle, elle est plus faible. Cela s'explique aisément par les redondances systématiques qui font qu'une panne simple est normalement insuffisante pour perturber le service voyageurs. 8.5 Lamélioration des coûts De la même manière, pour ce qui concerne la maintenance de METEOR, on peut constater aujourd'hui que le coût d'entretien du système d'automatisme intégral est inférieur de 0 à 5% au coût d'entretien du système contrôle-commande d'une ligne traditionnelle ; et encore s'agit-il d'une ligne courte, dont l'armement est essentiellement dimensionné par des impératifs de continuité du service et non de production. Le résultat devrait s'améliorer avec les divers prolongements en cours de réalisation ou envisagés. 2 La QS techniquest celle du SAET qu comprend : le Pilotage automatique, les Moyens Audiovisuels, Le PCC, Les Façades de quais, La Signalisation et la Logique traction. Elle prend en compte les tours perdus et les retards. 8.6 L'obligation de modernité Il est à remarquer que le changement radical de conception du système permet d'intégrer, à coût pratiquement nul, des améliorations sensibles de la sécurité telles que le contrôle continu de vitesse en conduite manuelle, le traitement des limitations temporaires de vitesse, le retournement automatique des trains en terminus. Cela est en parfaite cohérence avec le principe d'operega c'est-à-dire l'obligation de Progrès Economiquement Raisonnable En regard du Gain Attendu. Le s a u te u Marcel HUERTAS, responsable de l'entité Mouvement des trains au sein de l'unité d'ingénierie de Conception Transport département des Equipements et Systèmes Electriques. Délégué du maître du d'oeuvre SAET de 990 à 998. Pierre DESFORGES, responsable SdF au sein de l'unité d'ingénierie de Conception Transport du département des Equipements et Systèmes Electriques. Chef de projet " Industrialisation de la méthode formelle B " et Responsable des travaux de vérification des logiciels de sécurité du SAET de METEOR de 993 à 999, Christian BERHAULT. ingénieur système au sein de l'unité d'ingénierie de Conception Transport du département des Equipements et Systèmes Electriques. Dans le cadre du projet SAET de la ligne METEOR, responsable des études de conception du SAET responsable des essais " système " et de la qualification du SAET. REE