La présente invention se rapporte à des moyens de pilotage de processus de contrôle-commande déployés dans un site industriel. Elle concerne plus particulièrement des moyens aptes à piloter des processus de contrôle-commande à partir d'informations contextuelles, tenant compte des interactions avec les opérateurs de conduite, et aptes à permettre des prises de décision appropriées dans un contexte donné. La présente invention peut notamment être appliquée à la gestion d'alarmes, à l'amélioration de l'efficacité de procédés industriels, à la gestion des crises, ou encore au suivi des phases transitoires ou particulières dans un site industriel aux cours desquelles les indicateurs usuels de pilotage ne se sont plus applicables, tels que des périodes de travaux ou de conduite d'activités à risques.

Une infrastructure industrielle comporte typiquement de nombreux équipements supervisés, pilotés, et/ou interconnectés par des systèmes de télésurveillance et d'acquisition de données— généralement désigné par l'acronyme anglais «SCADA» pour «supervisory control and data acquisition» ou encore « ICS » pour « Industrial Control Systems ». Les systèmes de télésurveillance et d'acquisition de données sont typiquement configurés pour permettre le pilotage de l'infrastructure industrielle en fonction d'un ensemble d'indicateurs, représentatifs d'un contexte de l'exploitation de l'infrastructure industrielle à un instant donné. Ces indicateurs sont par exemple des mesures physiques, des mesures chimiques, des présentations graphiques, des seuils appliqués aux valeurs représentatives du procédé— seuils en niveau, en nombre d'occurrences, en durée, avec hystérésis, etc. Or, quel que soit le contexte, l'ensemble des indicateurs pris en compte et présenté à l'utilisateur est figé, tout comme les limites ou niveaux d'alerte associés. Or, en fonction du contexte d'exploitation à un instant donné, certains indicateurs de l'ensemble peuvent avoir une importance prépondérante ou à l'inverse insignifiante.

C'est pourquoi il existe un besoin pour des moyens de pilotage de procédés de contrôle-commande déployés dans un site industriel, aptes à prendre en compte, de manière adaptative et automatisée, le contexte d'exploitation et ses évolutions au cours du temps. Un des objets de l'invention est de fournir des moyens de pilotage de procédés de contrôle-commande déployés dans un site industriel, aptes à prendre en compte, de manière adaptative et automatisée, le contexte d'exploitation et ses évolutions au cours du temps. Un autre objet de l'invention est de fournir des moyens de pilotage de procédés de contrôle-commande déployés dans un site industriel, aptes à permettre la prise en compte prioritaire d'informations ayant une importance prépondérante, dans un contexte d'exploitation à un instant donné, et/ou de produire une représentation de ces informations à destination des utilisateurs de manière valorisée et adaptés à mettre en avant leur caractère important. Un autre objet de l'invention est de fournir des moyens de pilotage de procédés de contrôle-commande déployés dans un site industriel, aptes à permettre, en situation inhabituelle ou de crise, de filtrer les informations présentées aux opérateurs pour ne conserver que celles pertinentes et/ou importantes dans le contexte d'exploitation, de sorte à ne pas submerger les opérateurs avec une trop grande quantité d'informations perturbantes, difficiles à traiter. Un autre objet de l'invention est de doter des moyens de pilotage de procédés de contrôle-commande d'une capacité de gestion d'états transitoires— mise en service d'un nouvel équipement, arrêt partiel, etc. -, et/ou des opérations exceptionnelles - dépotage de produit dangereux, migration de matériels ou de logiciels, intervention de maintenance sur une partie critique de l'installation, etc.

Un ou plusieurs de ces objets sont remplis par le module et le procédé selon les revendications indépendantes. Les revendications dépendantes fournissent en outre des solutions à ces objets et/ou d'autres avantages.

Plus particulièrement, selon un premier aspect, l'invention se rapporte à un module de pilotage adapté à être déployé dans un système industriel comportant des éléments fonctionnels destinés à mettre en œuvre des processus, au moins un des éléments fonctionnels étant un système de télésurveillance et d'acquisition de données. Le module de pilotage comporte un module de détermination d'un contexte élaboré configuré pour:

• obtenir un premier ensemble de contextes d'exploitation du système industriel;

• collecter des informations relatives :

o au mode de marche de chaque élément fonctionnel du système industriel à un instant t; et/ou, o à l'état fonctionnel de chaque élément fonctionnel du système industriel à un instant t; et/ou,

o aux personnes susceptibles d'entrer en interaction avec chaque élément fonctionnel du système industriel à un instant t; et/ou, o aux états de fonctionnement d'éléments constitutifs dudit au moins un système de télésurveillance et d'acquisition de données à un instant t ;

• déterminer, en fonction des informations collectées et du premier ensemble, un contexte élaboré d'exploitation pour l'instant t;

• transmettre le contexte élaboré d'exploitation pour l'instant t à:

o un module de traitement apte à détecter une anomalie en fonction dudit contexte élaboré; et/ou,

o une interface utilisateur adaptée à générer une représentation dudit contexte élaboré.

Le système industriel comporte typiquement en outre un réseau de communication pour permettre l'échange d'informations entre les éléments fonctionnels du système industriel. Le contexte élaboré CTXe(t) d'exploitation pour l'instant t peut en particulier comporter:

• différents modes de marche des éléments fonctionnels du système industriel, à l'instant t; et,

• différents états fonctionnels des éléments fonctionnels du système industriel, à l'instant t; et,

• des personnes susceptibles d'être actives, sur un site où le système industriel est déployé, et en interaction avec les éléments fonctionnels du système industriel, à l'instant t; et,

• différents états de fonctionnement des différents modules compris dans le système de télésurveillance et d'acquisition de données, et dans le réseau de communication , à l'instant t.

Le module de pilotage peut encore comporter un module de configuration adapté pour • collecter un ensemble informations relatives à:

o un ensemble de mode de marche pour chaque élément fonctionnel du système industriel ; et/ou,

o un ensemble d'états fonctionnels pour chaque élément fonctionnel du système industriel ; et/ou,

o un ensemble de personnes susceptibles d'entrer en interaction pour chaque élément fonctionnel du système industriel ; et/ou,

o un ensemble d'états de fonctionnement pour chacun des éléments constitutifs dudit au moins un système de télésurveillance et d'acquisition de données;

• déterminer, à partir de l'ensemble des informations collectées, le premier ensemble de contextes d'exploitation du système industriel.

Le module de configuration peut comporter une interface utilisateur adaptée à recevoir et représenter le contexte élaboré d'exploitation de manière graphique, symbolique, temporelle. Le module de pilotage peut aussi comporter un module d'apprentissage adapté pour permettre à un exploitant de modifier et/ou corriger le contexte élaboré et/ou la représentation du contexte élaboré. Le module d'apprentissage peut être configuré pour fournir à un exploitant des informations relatives au système industriel.

Le module de pilotage peut aussi comporter un module de traitement configuré pour:

• collecter un deuxième ensemble d'informations relatives au système industriel;

• identifier, à partir du deuxième ensemble d'informations, en fonction du contexte élaboré, un ensemble d'éventuelles anomalies.

Le module de traitement peut alors être configuré pour:

- vérifier une cohérence du contexte élaboré; et/ou,

vérifier qu'un enchaînement de fonctions d'au moins un des éléments fonctionnels correspond à une conduite nominale d'un des processus; et/ou, vérifier la validité de valeurs et de paramètres d'au moins un des processus; et/ou,

- vérifier la légitimité d'accès à au moins un des éléments fonctionnels; et/ou, vérifier la cohérence ou la validité d'indicateurs relatifs aux ressources utilisés par au moins un des éléments fonctionnels.

Le module de traitement peut en outre être configuré pour vérifier un comportement d'au moins un des éléments fonctionnels du système industriel par rapport à celui observé pour un contexte similaire du premier ensemble de contextes d'exploitation au contexte élaboré. Le module de traitement peut comporter une interface utilisateur adaptée à produire et représenter l'ensemble d'éventuelles anomalies. L'interface utilisateur adaptée à produire et représenter l'ensemble d'éventuelles anomalies peut comporter des moyens pour indiquer la ou les éventuelles anomalies de l'ensemble pour lesquelles une action doit être entreprise en priorité.

Selon un deuxième aspect, l'invention se rapporte à un procédé de pilotage pour un système industriel comportant des éléments fonctionnels destinés à mettre en œuvre des processus, au moins un des éléments fonctionnels étant un système de télésurveillance et d'acquisition de données. Le procédé comporte les étapes suivantes:

• obtenir un premier ensemble de contextes d'exploitation du système industriel;

• collecter des informations relatives :

o au mode de marche de chaque élément fonctionnel du système industriel à un instant t; et/ou,

o à l'état fonctionnel de chaque élément fonctionnel du système industriel à un instant t; et/ou,

o aux personnes susceptibles d'entrer en interaction avec chaque élément fonctionnel du système industriel à un instant t; et/ou, o aux états de fonctionnement d'éléments constitutifs dudit au moins un système de télésurveillance et d'acquisition de données à un instant t ;

• déterminer, en fonction des informations collectées et du premier ensemble, un contexte élaboré d'exploitation pour l'instant t;

· transmettre le contexte élaboré d'exploitation pour l'instant t à:

o un module de traitement apte à détecter une anomalie en fonction dudit contexte élaboré; et/ou,

o une interface utilisateur adaptée à générer une représentation dudit contexte élaboré.

Le système industriel comporte typiquement en outre un réseau de communication pour permettre l'échange d'informations entre les éléments fonctionnels du système industriel. Le contexte élaboré (CTXe(t)) d'exploitation déterminé, en fonction des informations collectées et du premier ensemble, pour l'instant t, peut notamment comporter: différents modes de marche des éléments fonctionnels du système industriel, à l'instant t; et, différents états fonctionnels des éléments fonctionnels du système industriel, à l'instant t; et, des personnes susceptibles d'être actives, sur un site où le système industriel est déployé, et en interaction avec les éléments fonctionnels du système industriel, à l'instant t; et, différents états de fonctionnement des différents modules compris dans le système de télésurveillance et d'acquisition de données, et dans le réseau de communication, à l'instant t.

Le premier ensemble de contextes d'exploitation peut être obtenu en:

• collectant un ensemble informations relatives à:

o un ensemble de mode de marche pour chaque élément fonctionnel du système industriel; et/ou,

o un ensemble d'états fonctionnels pour chaque élément fonctionnel du système industriel; et/ou,

o un ensemble de personnes susceptibles d'entrer en interaction pour chaque élément fonctionnel du système industriel; et/ou,

o un ensemble d'états de fonctionnement pour chacun des éléments constitutifs dudit au moins un système de télésurveillance et d'acquisition de données;

• déterminant, à partir de l'ensemble des informations collectées, le premier ensemble de contextes d'exploitation du système industriel.

Le procédé peut encore comporter les étapes suivantes:

• collecter un deuxième ensemble d'informations relatives au système industriel;

• identifier, à partir du deuxième ensemble d'informations, en fonction du contexte élaboré, un ensemble d'éventuelles anomalies.

L'ensemble d'éventuelles anomalies peut être identifié en:

vérifiant une cohérence du contexte élaboré; et/ou, vérifiant qu'un enchaînement de fonctions d'au moins un des éléments fonctionnels correspond à une conduite nominale d'un des processus; et/ou, vérifiant la validité de valeurs et de paramètres d'au moins un des processus; et/ou,

- vérifiant la légitimité d'accès à au moins un des éléments fonctionnels; et/ou, vérifiant la cohérence ou la validité d'indicateurs relatifs aux ressources utilisés par au moins un des éléments fonctionnels.

L'ensemble d'éventuelles anomalies peut être identifié en vérifiant un comportement d'au moins un des éléments fonctionnels du système industriel par rapport à celui observé pour un contexte similaire du premier ensemble de contextes d'exploitation au contexte élaboré.

Selon un troisième aspect, l'invention se rapporte à un programme d'ordinateur comportant des instructions pour l'exécution des étapes du procédé selon le deuxième aspect, lorsque ledit programme est exécuté par un processeur.

Chacun de ces programmes peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable. En particulier, il est possible d'utiliser des langages de script, tels que notament tel, javascript, python, perl qui permettent une génération de code « à la demande » et ne nécessitent pas de surcharge significative pour leur génération ou leur modification.

Selon un quatrième aspect, l'invention se rapporte à un support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes du procédé selon le deuxième aspect.

Le support d'informations peut être n'importe quelle entité ou n'importe quel dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD-ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette ou un disque dur. D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé par un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau Internet ou Intranet. Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.

Brève description des figures

D'autres particularités et avantages de la présente invention apparaîtront, dans la description ci-après de modes de réalisation, en référence aux dessins annexés, dans lesquels:

• la figure 1 est un schéma bloc illustrant un système industriel, selon un mode de réalisation de l'invention;

« la figure 2 est un schéma bloc d'un module de configuration selon un mode de réalisation de l'invention;

• la figure 3 est un schéma bloc d'un module de détermination du contexte élaboré, selon un mode de réalisation de l'invention;

• la figure 4a montre un exemple de représentation, pour le contexte élaboré, des différents modes de marche des éléments fonctionnels et états fonctionnels des éléments fonctionnels du système industriel;

• la figure 4b montre un exemple de représentation, pour le contexte élaboré, des personnes susceptibles d'être actives, sur le site où le système industriel est déployé, et en interaction avec les équipements, et/ou les systèmes de télésurveillance et d'acquisition de données 16, du contexte élaboré.

• la figure 5 montre, par un schéma bloc, un module de traitement selon un mode de réalisation de l'invention;

• la figure 6 montre par un synoptique, les étapes d'un procédé de pilotage adapté à être déployé dans le système industriel 10, selon un mode de réalisation de l'invention;

• la figure 7 montre un exemple de représentation, pour le contexte élaboré, des différents modes de marches pour une ligne de fîltration.

La figure 1 illustre schématiquement un système industriel 10, selon un mode de réalisation de l'invention. Le système industriel 10 est par exemple déployé dans une infrastructure industrielle, comme une usine ou un centre de gestion d'un réseau énergétique. Il est typiquement employé pour interconnecter, contrôler et automatiser la gestion d'éléments fonctionnels permettant à l'infrastructure industrielle d'assurer sa mission. Typiquement, les éléments fonctionnels sont destinés à mettre en œuvre les processus permettant d'assurer la production de produits, de gérer des flux, et/ou de fournir des services, etc. Les éléments fonctionnels sont par exemple des équipements 14— par exemple des automates, des dispositifs de production, des installations, etc. -, et/ou des systèmes de télésurveillance et d'acquisition de données 16 - généralement désigné par l'acronyme anglais «SCADA» pour «supervisory control and data acquisition» ou encore « ICS » pour « Industrial Control Systems ». Le système industriel comporte en outre un réseau de communication 18, par exemple un réseau de type «Ethernet», pour permettre l'échange d'informations entre les éléments fonctionnels de l'infrastructure industrielle. Le système industriel 10 comporte encore un module de pilotage pourvu d'un module de configuration 100, d'un module de détermination 200 de contexte élaboré et d'un module de traitement 300, couplé au réseau de communication 18. Dans l'exemple représenté sur la figure 1, les modules de configuration 100, de détermination 200 de contexte élaboré et de traitement 300 sont représentés séparément. Toutefois, les modules de configuration 100, d'élaboration 200 et de traitement 300 peuvent être regroupés selon diverses topologies, en particulier au sein d'un même module de pilotage, ou encore intégré au système de télésurveillance et d'acquisition de données 16.

La figure 2 illustre, par un schéma bloc, le module de configuration 100 selon un mode de réalisation de l'invention. Le module de configuration 100 comporte une interface d'entrée 110, pour permettre la collecte d'informations relatives à des opérations de contrôle et de commande des éléments fonctionnels de l'infrastructure industrielle, échangés dans le système industriel 10. L'interface d'entrée 110 comprend par exemple une interface réseau apte à être couplée au réseau de communication 18. L'interface d'entrée 110 peut aussi comporter des moyens supplémentaires de couplage à des équipements ou systèmes par l'intermédiaire d'une interface dédiée utilisant un protocole de communication partagé avec ces systèmes, en particulier lorsque ces derniers ne sont pas directement couplés au système industriel 10. Le module de configuration 100 comporte une interface de sortie 112 pour permettre l'envoi d'informations au module d'élaboration 200. L'interface de sortie 112 comprend par exemple une interface réseau apte à être couplée au réseau de communication 18. Le module de configuration 100 comporte un module de collecte 114 d'informations, couplé à l'interface d'entrée 110. Le module de configuration 100 comporte un module de détermination de contextes 116, couplé au module de collecte 1 14 et à l'interface de sortie 112. Le module de collecte 114 est configuré de manière à obtenir des informations relatives au système industriel 10 pour permettre, au module de détermination de contextes 116, de déterminer un ensemble E _CTX de contextes d'exploitation CTX du système industriel 10. Le module de détermination de contextes 116 est configuré pour déterminer, à partir des informations obtenues du module de collecte 1 14, l'ensemble E _CTX de contextes d'exploitation CTX du système industriel 10. Chaque contexte d'exploitation CTX comporte:

• les différents modes de marche des éléments fonctionnels du système industriel 10, en particulier des équipements 14;

· les différents états fonctionnels des éléments fonctionnels du système industriel 10, en particulier des équipements 14;

• les personnes susceptibles d'être actives, sur le site où le système industriel 10 est déployé, et en interaction avec les équipements 14, et/ou les systèmes de télésurveillance et d'acquisition de données 16 ;

· les différents états de fonctionnement des différents modules compris dans le système de télésurveillance et d'acquisition de données 16, et dans le réseau 18. Plus particulièrement, les modes de marche des éléments fonctionnels du système industriel 10 peuvent être par exemple : fonctionnement en mode automatique, fonctionnement en mode manuel, maintenance en cours, essais en cours, fonctionnement dans un mode dégradé. Chaque mode de marche des éléments fonctionnels est propre à un état particulier de l'élément fonctionnel concerné : aussi, à chaque mode de marche correspond un ensemble de fonctions que l'élément fonctionnel concerné peut exécuté, les autres fonctions usuellement disponibles étant alors indisponible pour ledit mode de marche. À titre d'exemple, dans un mode fonctionnement automatique, l'ensemble des fonctions relatives à la prise en compte de commandes saisies par un opérateur ne sont pas disponibles. De même, l'ensemble des fonctions relatives à la prise en compte des valeurs émises par un équipement en mode essai en cours ne sont pas traitées par le système de télésurveillance et d'acquisition de données 16, car lesdites valeurs ne représentent pas la réalité du processus industriel.

Les états fonctionnels associés aux éléments fonctionnels du système industriel 10, en particulier des équipements 14, correspondent à une représentation de l'état d'activation de fonctions contrôle-commande. Les états fonctionnels représentent les fonctions actives des éléments fonctionnels, toutes les fonctions n'étant pas actives à un instant donné. Les états fonctionnels sont typiquement regroupés en fonctions principales, fonctions secondaires et fonctions de repli, et peuvent prendre par exemple les valeurs « marche » ou « arrêt ».

Les personnes actives, sur le site où le système industriel 10 est déployé, et en interaction avec les équipements 14, et/ou les systèmes de télésurveillance et d'acquisition de données 16, peuvent avoir différents rôles, fonctions et privilèges. Il s'agit par exemple :

d'exploitants du système industriel 10; de personnes effectuant une opération de maintenance des équipements du système industriel 10;

de personnes effectuant une opération de maintenance du système de télésurveillance et d'acquisition de données— en général, le fabricant du système de télésurveillance et d'acquisition de données;

un administrateur informatique du système industriel 10;

un administrateur du réseau 18;

un responsable sécurité informatique du système industriel 10.

Les états de fonctionnement des différents modules compris dans le système de télésurveillance et d'acquisition de données 16, et dans le réseau 18, correspondent par exemple aux états « en service » ou « hors service » pour chacun desdits modules — automates programmables, automates de sécurité, stations d'exploitation, station d'ingénierie, station d'administration, équipements de communication tels que commutateurs, routeurs, pare-feu, passerelles, etc. Ces états de fonctionnement peuvent de plus être caractérisés qualitativement, par exemple avec un numéro de version des programmes ou des éléments décrivant une base de données de configuration.

Le module de collecte 1 14 peut être configuré pour collecter les informations relatives contextes d'exploitation du système industriel 10 selon un mode dit en ligne et/ou selon un mode dit hors ligne. Lorsque le module de collecte 1 14 est en mode hors ligne, les informations collectées peuvent être obtenues par analyse des programmes des automates programmables des équipements 14 et du système de télésurveillance et d'acquisition de données 16. Lorsque le module de collecte 1 14 est en mode en ligne, les informations collectées peuvent être obtenues par apprentissage, c'est-à-dire lorsque les interfaces d'entrée 1 10 et de sortie 1 12 sont couplées au réseau 18, en collectant des informations sur le réseau 18, de manière partiellement ou totalement automatisée, notamment .

Lorsque de nouvelles informations sont obtenues du module de collecte 1 14, le module de détermination de contextes 1 16 peut être configuré pour mettre à jour l'ensemble E _C TX de contextes d'exploitation CTX du système industriel 10, par exemple en mettant à jour les contextes d'exploitation CTX existant de l'ensemble ECTX OU en créant un ou plusieurs nouveaux contextes d'exploitation CTX, à la suite par exemple d'une modification dans le système industriel 10. La figure 3 illustre, par un schéma bloc, le module de détermination 200 du contexte élaboré CTXe(t) selon un mode de réalisation de l'invention. Le module de détermination 200 du contexte élaboré CTXe(t) comporte une interface d'entrée 210, destiné à être couplé au système de télésurveillance et d'acquisition de données 16 et au module de configuration 100. L'interface d'entrée 210 comprend par exemple une interface réseau apte à être couplée au réseau de communication 18. L'interface d'entrée 210 peut aussi comporter des moyens supplémentaires de couplage, au système de télésurveillance et d'acquisition de données 16 et/ou au module de configuration 100, par l'intermédiaire d'une interface dédiée utilisant un protocole de communication partagé avec le module de configuration 100. Le module d'élaboration 200 comporte une interface de sortie 212 pour permettre l'envoi d'informations au module de traitement 300. L'interface de sortie 212 comprend par exemple une interface réseau apte à être couplée au réseau de communication 18. Le module de détermination 200 du contexte élaboré CTXe(t) comporte un module de collecte 214 d'informations courantes, couplé à l'interface d'entrée 210. Le module de détermination 200 du contexte élaboré CTXe(t) comporte un module de calcul 216 du contexte élaboré CTXe(t), couplé au module de collecte 214 d'informations courantes et à l'interface de sortie 212. Le module de collecte 214 d'informations courantes est configuré de manière à obtenir des informations relatives au système industriel 10, à un instant t, pour permettre, au module de calcul 216, de déterminer le contexte élaboré CTXe(t) d'exploitation du système industriel 10. Le module de calcul est configuré pour déterminer, à partir des informations obtenues du module de collecte 214 d'informations courantes et de l'ensemble E _CTX de contextes d'exploitation CTX, le contexte élaboré CTXe(t) à l'instant t du système industriel 10, parmi l'ensemble E _CTX de contextes d'exploitation CTX. Le contexte d'exploitation élaboré CTXe(t) pour l'instant t comporte:

· les différents modes de marche des éléments fonctionnels du système industriel 10, à l'instant t, en particulier des équipements 14;

• les différents états fonctionnels des éléments fonctionnels du système industriel 10, à l'instant t, en particulier des équipements 14;

• les personnes susceptibles d'être actives, sur le site où le système industriel 10 est déployé, et en interaction avec les équipements 14, et/ou les systèmes de télésurveillance et d'acquisition de données 16, à l'instant t;

• les différents états de fonctionnement des différents modules compris dans le système de télésurveillance et d'acquisition de données 16, et dans le réseau 18, à l'instant t. Le module de détermination 200 du contexte élaboré CTXe(t) collecte, à chaque instant, l'ensemble des informations nécessaire et détermine le contexte élaboré CTXe(t), à l'instant t, parmi l'ensemble E _CTX de contextes d'exploitation CTX.

Dans un mode de réalisation avantageux, le module de détermination 200 du contexte élaboré CTXe(t) comporte une interface utilisateur 218 adaptée à permettre une représentation du contexte élaboré CTXe(t). La représentation du contexte élaboré CTXe(t) peut être présentée, via l'interface utilisateur 218, à un exploitant, de manière graphique, symbolique, temporelle et argumentée avec des valeurs pertinentes, de manière à lui donner l'information et à ce qu'il puisse aussi la vérifier au moyen d'un mécanisme d'interaction de type levée de doute.

La figure 4a montre en particulier un exemple de représentation des différents modes de marche des éléments fonctionnels et états fonctionnels des éléments fonctionnels du système industriel 10 du contexte élaboré CTXe(t). La figure 4b montre en particulier un exemple de représentation des personnes susceptibles d'être actives, sur le site où le système industriel 10 est déployé, et en interaction avec les équipements 14, et/ou les systèmes de télésurveillance et d'acquisition de données 16, du contexte élaboré CTXe(t). L'acronyme « SG » utilisé sur la figure 4b correspond aux termes « Supervision Générale », l'acronyme « SL », « Supervision Locale ».

Le module de détermination 200 du contexte élaboré CTXe(t) peut en outre comporter un module d'apprentissage 220 adapté pour permettre à un exploitant de modifier et/ou corriger le contexte élaboré CTXe(t) et/ou la représentation du contexte élaboré CTXe(t). Le module d'apprentissage 220 peut en outre être configuré pour fournir à un exploitant des informations relatives au système industriel 10. Ainsi, l'exploitant peut valider un comportement du système industriel 10 conforme à, d'une part, ses attentes, d'autre part, son fonctionnement tel qu'il est possible de l'observer au moyen d'écrans de supervision dans le système de télésurveillance et d'acquisition de données 16. Ainsi, l'invention permet à ce niveau de détecter d'éventuels écarts qui pourraient survenir lors de pannes, d'erreurs de communication ou de piratage informatique du système de télésurveillance et d'acquisition de données 16

La figure 5 illustre, par un schéma bloc, le module de traitement 300 selon un mode de réalisation de l'invention. Le module de traitement 300 comporte une interface d'entrée 310, par exemple une interface réseau apte à être couplée au réseau de communication 18. L'interface d'entrée 310 peut aussi comporter des moyens supplémentaires de couplage à des équipements ou systèmes par l'intermédiaire d'une interface dédiée utilisant un protocole de communication partagé avec ces systèmes, en particulier lorsque ces derniers ne sont pas directement couplés au système industriel 10. Le module de traitement 300 comporte un module de collecte 314 d'informations, couplé à l'interface d'entrée 310. Le module de traitement 300 comporte un module de détection 316 d'anomalies, couplé au module de collecte 314 d'informations. Le module de collecte 314 d'informations est configuré de manière à obtenir des informations relatives au système industriel 10 pour permettre, au module de détection 316 d'identifier une ou plusieurs anomalies. Le module de détection 316 d'anomalies est configuré pour identifier, à partir des informations obtenues du module de collecte 314, en fonction du contexte élaboré CTXe(t) et en fonction optionnellement de l'ensemble E _CTX de contextes d'exploitation CTX du système industriel 10, un ensemble E _A d'éventuelles anomalies. Pour cela, le module de traitement 300 peut être configuré pour mettre en œuvre un ou plusieurs algorithmes de type Intelligence Artificielle, notamment un algorithme heuristique, un algorithme évolutionnaire, un moteur de règles, un arbre de comportement, etc. Plus particulièrement, le module de traitement 300 peut être configuré pour analyser les données transitant sur le réseau de communication 18 en fonction du contexte élaboré CTXe(t), et notamment :

en vérifiant la cohérence du contexte élaboré CTXe(t)— par exemple en cherchant une fonction active dans un mode où elle ne doit pas l'être, caractéristique d'une erreur de programmation ou d'une compromission informatique; et/ou,

en vérifiant la cohérence globale du contexte élaboré CTXe(t)— par exemple en recherchant les incohérences entre modes manuels et la présence d'exploitant aux lieux de conduite induits par ce mode manuel, ou entre l'état fonctionnel du système de télésurveillance et d'acquisition de données 16 et d'un état fonctionnel nominal pour la conduite du process, etc; et/ou, en vérifiant la dynamique fonctionnelle, c'est-à-dire que l'enchaînement des fonctions est logique et correspond à une conduite nominale du procédé, une fonction s'exécutant trop lentement n'étant pas une conduite nominale; et/ou, en s'assurant de la validité des valeurs et paramètres du process ; et/ou, - en vérifiant la légitimité des accès aux équipements; et/ou,

en vérifiant les comportements des éléments du système industriel par rapport à ceux observés pour un contexte similaire de l'ensemble E _CTX — ce qui doit être le cas pour des opérations de contrôle-commande ; dans la négative c'est le symptôme d'une défaillance logiciel, ou d'un mauvais paramétrage, ou d'une dérive à analyser; et/ou, en vérifiant la cohérence ou la validité d'indicateurs relatifs aux ressources utilisées - par exemple, si un équipement a une activité faible et que ses ressources CPU et mémoire sont fortement sollicités, une anomalie qui peut révéler l'activation d'un logiciel suspect est détecter.

Dans un mode de réalisation avantageux, le module de traitement 300 comporte une interface utilisateur 318 adaptée à permettre une représentation des éventuelles anomalies de l'ensemble E _A . La représentation des éventuelles anomalies de l'ensemble E _A peut être présentée, via l'interface utilisateur 318, à un exploitant, de manière graphique, et peut comporter des indications relatives aux éventuelles anomalies pour lesquelles une action doit être entreprise en priorité. Ces anomalies ne sont en générales pas détecter par le système de télésurveillance et d'acquisition de données 16.

La figure 6 illustre, par un synoptique, les étapes d'un procédé de pilotage adapté à être déployé dans le système industriel 10. Les étapes décrites ci-après du procédé de pilotage sont notamment adaptées à être mise en œuvre par le module de détermination 200 du contexte élaboré du module de pilotage. Des étapes optionnelles peuvent également être mises en œuvre par le module de configuration et/ou par le module de traitement 300. Le procédé comporte:

· une première étape S510 d'obtention d'un premier ensemble E _CTX de contextes d'exploitation du système industriel 10;

• une deuxième étape S520 de collecte des informations relatives :

o au mode de marche de chaque élément fonctionnel du système industriel 10 à un instant t; et/ou,

o à l'état fonctionnel de chaque élément fonctionnel du système industriel 10 à un instant t; et/ou,

o aux personnes susceptibles d'entrer en interaction avec chaque élément fonctionnel du système industriel 10 à un instant t; et/ou, o aux états de fonctionnement d'éléments constitutifs dudit au moins un système de télésurveillance et d'acquisition de données à un instant t ;

• une troisième étape S530 de détermination, en fonction des informations collectées et du premier ensemble, d'un contexte élaboré CTXe(t) d'exploitation pour l'instant t;

· une quatrième étape de transmission du contexte élaboré CTXe(t) d'exploitation pour l'instant t o au module de traitement 300 apte à détecter une anomalie en fonction dudit contexte élaboré; et/ou,

o une interface utilisateur adaptée à générer une représentation dudit contexte élaboré à un opérateur.

La figure 7 montre en particulier un exemple de représentation, pour le contexte élaboré, des différents modes de marche (aussi désigné par le terme de "processus") pour une ligne de fïltration.

Les index - représentés par un losange pour le périmètre visualisé - marquent respectivement:

· pour le mode de marche "En fïltration", le début/fin de la fonction fïltration, individualisé par filtre, la fonction lavage ne comportant qu'une seule étape;

• pour le mode de marche "En lavage", les débuts et les fins de la fonction lavage et les débuts et les fins des étapes des lavages, le lavage étant composé de plusieurs étapes : vidange, décolmatage, remplissage, etc.

• pour le mode de marche "Hors production", les débuts et les fins de période Hors production des filtres, individualisé par filtre.

Sur la représentation illustrée sur la figure 7,

• pour le mode de marche "En fïltration", une barre verte est présente si au moins un filtre est en fïltration pour le périmètre et la période visualisée;

• pour le mode de marche "En lavage", une barre orange est présente quand au moins un filtre est en lavage, pour le périmètre observé;

• pour le mode de marche "Hors production", une barre orange est présente quand au moins un filtre est Hors production, pour le périmètre observé. Sur la représentation illustrée sur la figure 7, le fond du repère est uni lorsque tous les filtres du périmètre observé sont en fïltration.