L’équipement avionique est constitué d’unités remplaçables que l’on appelle des LRU (Line Replaceable Unit ). Un LRU est donc un composant matériel ou logiciel qui peut être déposé et remplacé à une escale par un opérateur de maintenance.
L’objectif du diagnostic est de faciliter les opérations de maintenance sur l’avion après l’occurrence d’une ou plusieurs fautes. Il s’agit donc dans un premier temps d’isoler et d’identifier les LRU en faute. Il faut ensuite relier ces LRU en faute avec les effets qu’il peuvent avoir sur le comportement du système global. Cette section présente les différentes entités impliquées dans la construction d’un diagnostic de faute pour un système aéronautique.
6.2.1 Agents de surveillance
L’architecture modulaire (IMA, Integrated Modular Avionics) dans les avions per- met à un module d’héberger plusieurs applications (fonctions) qui ne sont pas forcément mises en œuvre par le même système ou LRU. La plateforme IMA assure le partage des ressources des différents LRU ou sous-systèmes (ensemble de LRU). Cette architec- ture est constituée, entre autres, de CPIOM (Core Processing Input/Output Module) qui sont des modules capables d’exécuter des applications indépendantes et de gérer les entrées-sorties spécifiques de ces applications. Un CPIOM est donc un calculateur qui peut héberger plusieurs applications d’autres LRU du système. Chaque CPIOM pos-
6.2. Diagnostic de faute dans un système aéronautique
sède un agent de surveillance et de diagnostic que l’on appelle un agent HMon (Health Monitoring ).
Un HMon envoie pendant le vol des messages en temps réel concernant le statut fonctionnel des applications des LRU qu’il héberge et un message concernant le sta- tut fonctionnel propre au CPIOM à un système de maintenance centralisé que l’on appelle le CMS (Centralized Maintenance System). Ces messages de statut fonctionnel (ou messages de faute) provenant des différents HMon du système correspondent à des diagnostics locaux réalisés au niveau d’un ensemble de LRU.
6.2.2 Prise en compte de la chaîne de sécurité
Lorsqu’une défaillance dans le système est détectée par des agents HMon, une alarme se déclenche au niveau du FWS (Flight Warning System). Les alarmes affichées par le FWS alertent le pilote de l’occurrence d’une condition de fonctionnement anormale de l’avion. Lorsqu’une alarme est émise, un RFDCE (Reported Flight Deck and Cockpit Effet ) est automatiquement produit. Ce RFDCE est une information standardisée asso- ciée à l’alarme qui vient de se déclencher. Il est envoyé au CMS et utilisé pour calculer le diagnostic (voir la figure 6.1). Le pilote et l’équipage rapportent tous les symptômes qu’ils observent (entre autres les alarmes affichées par le FWS) dans le logbook. Le logbook contient alors toutes les plaintes du pilote.
Le diagnostic doit prendre en compte la chaîne de sécurité de l’avion en expliquant toutes les plaintes du pilote rapportées dans le logbook et en indiquant à l’opérateur de maintenance les actions à réaliser pour "éteindre" les alarmes du FWS.
6.2.3 Diagnostic pour la maintenance d’un avion
Lorsqu’une défaillance est détectée par un HMon, une ou plusieurs alarmes du FWS sont déclenchées et les RFDCEs correspondants sont envoyés au CMS. Ces alarmes sont donc considérées au niveau du CMS comme des symptômes qui représentent l’effet visible d’une condition anormale du système. Le diagnostic doit expliquer les symptômes observés en identifiant les éléments du système (LRU) qui sont en faute. Il doit également expliquer les plaintes du pilote rassemblées dans le logbook et permettre une corrélation des alarmes des RFDCE avec les diagnostics calculés pour l’avion au niveau des différents HMon.
Un message de faute envoyé par un HMon est associé à la perte d’une application (une fonction). Un message contient un ensemble de données expliquant un ou plusieurs symptômes (une ou plusieurs défaillances détectées) avec des assertions logiques sur l’état de santé d’objets accusés dans le système. Pour chaque défaillance, un seul message est envoyé au CMS.
E-Logbook RFDCE FWS CMS PFR Opérateur de maintenance Pilote – Equipage Messages de faute (Diagnostics locaux) HMon 2 LRU C LRU D HMon 1 LRU A LRU B maintenance (Diagnostics locaux)
Fig. 6.1 – Diagnostic pour la maintenance d’un avion
Ces assertions logiques contenues dans un message de faute proviennent généra- lement d’une AMDE. Une AMDE se présente sous la forme d’une table donnant les relations entre les fautes/défaillances et les moyens de détection dans le système. Les HMon utilisent une AMDE étendue pour établir leur diagnostic, c’est-à-dire associer une liste d’objets accusés à une défaillance détectée. Un objet accusé peut être un can- didat de faute, une condition opérationnelle, un RIM (Regular Inoperative Mode) ou une PFC (Predefined Fonctional Condition).
- Un candidat de faute est une accusation d’un unique élément structurel (logiciel, matériel) qui peut être remplacé.
- Une condition opérationnelle correspond à une accusation d’un mode de fonction- nement spécifique d’un LRU (ou de son HMon) qui peut être observée.
- Un RIM est un mode inopérant générique correspondant à un candidat de faute (par exemple un reset).
- Une PFC désigne la condition d’une défaillance dans une interface fonctionnelle avec un système externe. Certaines conditions de faute sont prédéfinies dans la base de données du CMS, de telle sorte que les agents HMon peuvent s’y référer pour envoyer leur message de faute sans avoir à transmettre tout leur contenu.
Le CMS construit ensuite un diagnostic avion qui s’appuie sur les diagnostics locaux fournis par les différents agents HMon, qui seuls, n’ont pas forcément la connaissance suffisante pour isoler les LRU qui sont en faute. Le CMS utilise les messages de faute envoyés par les HMon pour expliquer également chaque RFDCE reçu en terme de liste