Figure 3.16 – Exemple simple du calcul de l’estimation de IR´etendu en fonction defS(t).
IRetendu_moy´ =
card(situation 1 OU situation 2 OU situation 3)
int(T mT e) (3.39)
P F H est une fréquence moyenne sur une heure. Par conséquent, l’équation 3.40 permet d’estimer
P F H en fonction de IR´etendu_moy en considérant que T m est exprimé en seconde et P F H est en
h−1.
P F H = IRetendu_moy´
3600 ·T m (3.40)
Dans le cas oùIR´etendu(ti) (cf équation 3.39) est connu et que l’on cherche à exprimerfS(ti), il est possible d’inverser l’équation 3.39 (cf équation 3.41). C’est une notation retrouvée dans [Faurie,
2011] avec T T A utilisé à la place de tmarge_s´ecu. Cependant, ceci n’est valable que si fS(ti) est
constant soit fS(ti) =fS. Soita = int(
tmarge_s´ecu
T e ), alors :
fS(ti) = (IRetendu´ (ti)) 1
a (3.41)
Cette mise en relation permet d’exprimer le risque d’intégrité et les probabilités de défaillances
dangereuses (fS(t) et P F H). Il est à présent possible d’évaluer quantitativement la sécurité en
passant par l’intégrité (et inversement).
3.8
Conclusion
Dans ce chapitre, les concepts d’intégrité ont été présentés. Ils ont d’abord été introduits dans le domaine aéronautique puis explicités pour le domaine ferroviaire. Dans un premier temps, nous avons décrit les mécanismes de contrôle d’intégrité, qui visent à maintenir ce paramètre de perfor- mance des GNSS autour d’une valeur de risque d’intégrité tolérée, selon le contexte d’utilisation,
3.8 Conclusion
les moyens utilisés, les méthodes employées et le type snapshot ou récursif. Après avoir répertorié les algorithmes les plus connus, nous avons proposé un algorithme de contrôle d’intégrité pour un système avec GNSS en considérant la détection de deux types d’erreur : les biais instantanés pour la partie GNSS et les erreurs à croissance lente pour les capteurs proprioceptifs.
Dans un système multicapteurs, ces capteurs proprioceptifs sont souvent considérés comme exempts de pannes. La validité de leurs données proprioceptives est déjà garantie en amont. Dans des applications automobiles, telles que le système ADAS (Advanced Driver Assistance Systems), la panne d’une centrale inertielle n’est pas considérée [Le Marchand, 2010]. Cependant, cette hypothèse n’a jamais été discutée dans le domaine ferroviaire. Dans le système ferroviaire, les capteurs proprio- ceptifs comme l’odomètre, sont recalés lorsque le train passe sur une balise. Nous avons montré, dans le chapitre 1, que les GNSS pourraient avoir ce rôle et alléger ainsi l’équipement de l’infrastructure. Cependant, l’indisponibilité des solutions satellitaires et leur imprécision dans les environnements contraints restent des obstacles d’importance qui ne permettent pas toujours de garantir le recalage. Les solutions développées reposent donc sur des systèmes multicapteurs, bénéficiant ainsi de la com- plémentarité des capteurs embarqués.
Par conséquent, afin de se rapprocher d’un cas applicatif, nous avons considéré un algorithme de contrôle d’intégrité applicable à un système composé d’un récepteur GNSS et d’un autre système proprioceptif comme l’INS. Cet algorithme considère les erreurs générées par la partie GNSS (biais instantanés) mais également par la partie proprioceptive (erreurs à croissance lente). Ces algorithmes existent déjà dans le domaine aéronautique et ils sont de plus en plus courants dans les domaines automobile et ferroviaire. Les erreurs à croissance lente sont de type rampe en cas de recalage non fréquent dont le profil peut être détecté au plus tôt par un test statistique particulier [Ochieng et al., 2008]. Ce test particulier, conçu initialement pour des SGEs sur les données GNSS, est adapté pour les données proprioceptives. La détection des erreurs n’est pas l’unique étape du contrôle d’intégrité.
Le calcul d’un niveau de protection est indispensable. Différents calculs de P L sont proposés dans
ce chapitre selon les hypothèses sur l’impact des bruits de mesure sur l’erreur de position et sur les résidus. Nous avons retenu l’hypothèse que l’impact des bruits de mesure sur l’erreur de position est négligeable par rapport au résidus. Ce choix est expliqué dans le sous-section 3.6.3.
L’objectif de la thèse étant d’apporter un moyen pour évaluer la sécurité des systèmes de loca- lisation, nous avons proposé une passerelle entre le concept d’intégrité et celui de la sécurité. Leurs définitions sont très proches puisqu’elles font référence à un risque inacceptable. Ce risque est associé au danger suivant : "l’utilisateur n’est pas prévenu de l’occurrence d’une erreur dépassant un seuil maximal toléré". Cette passerelle est présentée de manière à évaluer la sécurité d’un système fondé sur les GNSS au travers de l’intégrité de celui-ci, intégrité étendue aux systèmes avec GNSS. La
probabilité liée au risque sur l’intégritéIR est mise en relation avec les probabilités de défaillances
dangereuses fS(t) et P F H. P F H nous permet d’allouer un niveau de SIL défini dans la norme
générique [IEC 61508, 2010] valable quel que soit le secteur industriel.
Le chapitre suivant propose d’évaluer quantitativement, avec la méthode développée dans ce chapitre 3, la sécurité d’un exemple de système GNSS/INS grâce notamment à des données GNSS réelles issues de compagnes expérimentales sur automobile [Ortiz, 2012] et des données inertielles simulées.
Chapitre
4
Cas d’étude : détermination de la sécurité d’un
système ferroviaire GNSS/INS au travers de
l’intégrité de la localisation
Sommaire
4.1 Introduction . . . 103 4.2 Justifications des exigences sur l’intégrité de la localisation pour ERTMS104 4.2.1 Cas d’utilisation ERTMS : la gestion de l’espacement entre trains . . . 105 4.2.2 Dimensionnement de la limite d’alerteAL . . . 106 4.2.3 Dimensionnement du temps d’alerteT T A . . . 108 4.2.4 Exigence sur le risque d’intégrité de la localisationIR . . . 110 4.3 Simulation de l’architecture GNSS/INS à base de données réelles . . . 111 4.3.1 Description de l’architecture . . . 111 4.3.2 Application . . . 117 4.3.3 Simulation du fonctionnement du système GNSS/INS . . . 123 4.4 Application du contrôle d’intégrité et évaluation quantitative de la
sécurité . . . 125 4.4.1 Détection des erreurs GNSS et INS . . . 126 4.4.2 Qualité de la détection des erreurs GNSS et INS . . . 133 4.4.3 Détermination du niveau de protection . . . 135 4.4.4 Risque sur l’intégrité de la localisation atteint par le système considéré . . . 136 4.4.5 Application de la mise en relation de l’intégrité et de la sécurité . . . 138 4.4.6 Discussions sur les résultats et sur la pertinence des hypothèses prises sur
l’application . . . 139 4.5 Synthèse . . . 141
4.1
Introduction
Dans le chapitre précédent, nous nous sommes concentrés sur l’intégrité de la localisation fournie par un système fondé sur les GNSS pour évaluer quantitativement la sécurité de ce type de système. La relation entre l’intégrité de la localisation, attribut de performances des GNSS, et l’attribut de