TITRE : Procédé de contrôle d’un élément

La présente invention concerne un procédé de contrôle d’un élément. La présente invention se rapporte aussi à un produit programme d’ordinateur associé.

Dans le domaine de l’avionique, le bon fonctionnement des équipements faisant partie d’un aéronef permet d’assurer la sécurité de l’aéronef.

Comme chaque équipement est susceptible de tomber en panne, il est souhaitable d’instaurer une maintenance de tels équipements avant la survenue d’une panne. Pour cela, des opérateurs effectuent des contrôles à intervalles de temps réguliers sur les équipements afin de procéder à une maintenance des équipements avant la survenue d’une panne.

Néanmoins, de tels contrôles ne sont pas optimaux puisque les opérateurs sont mobilisés même lorsqu’aucune maintenance de l’équipement n’est requise.

Il existe donc un besoin pour un procédé de contrôle d’un élément, tel qu’un équipement, qui permette de mieux contrôler l’élément tout en optimisant les contrôles effectués sur l’élément.

Pour cela, la présente description porte sur un procédé de contrôle d’un élément, le procédé comprenant :

- une phase de collection d’un ensemble de premières données relatives à des éléments et d’un ensemble de deuxièmes données relatives au contrôle des éléments pour former une base d’entraînement, chaque deuxième donnée étant associée à au moins une première donnée, la phase de collection étant mise en oeuvre par ordinateur,

- une phase d’optimisation d’un modèle de prédiction d’au moins une deuxième donnée en fonction de premières données selon une technique d’apprentissage appliquée à la base d’entraînement pour obtenir un modèle de prédiction, la technique d’apprentissage étant mise en oeuvre selon une contrainte imposant que le modèle de prédiction obtenu soit différent d’un modèle de référence, le modèle de référence étant le modèle de prédiction obtenu après optimisation selon la même technique d’apprentissage appliquée à la même base d’entraînement, la phase d’optimisation étant mise en oeuvre par ordinateur, - une phase d’exploitation du modèle de prédiction, la phase d’exploitation étant mise en oeuvre par ordinateur et comportant :

- une étape de fourniture de premières données relatives à un élément à contrôler,

- une étape de prédiction, par le modèle de prédiction obtenu, d’au moins une deuxième donnée relative au contrôle de l’élément,

- une phase de mise en oeuvre d’une action sur l’élément en fonction de la deuxième donnée prédite.

Suivant des modes de réalisation particuliers, le procédé de contrôle comprend une ou plusieurs des caractéristiques suivantes, prise(s) isolément ou suivant toutes les combinaisons techniquement possibles :

- la base d’entraînement comprend un sous-ensemble de premières données, dites données à protéger, la contrainte imposant également que l’image de chaque deuxième donnée obtenue par un modèle inverse du modèle de prédiction soit différente des données à protéger ;

- la phase d’optimisation comprend une étape d’affectation d’une pondération pénalisante à chaque donnée à protéger de la base d’entraînement, la contrainte imposant également que chaque donnée à protéger soit affectée de la pondération pénalisante correspondante ;

- le modèle de prédiction obtenu comprend des entrées et au moins une sortie, la contrainte imposant également que la technique d’apprentissage appliquée à la ou aux sortie(s) du modèle de prédiction obtenu conduise à un modèle adverse tel que l’image des deuxièmes données par le modèle adverse ne comporte pas de premières données à protéger ;

- le ou chaque modèle est un réseau de neurones ;

- il est défini un niveau de sécurité du modèle de prédiction obtenu, la phase d’exploitation comprenant :

- une étape de réception d’un niveau de sécurité relatif à un utilisateur, et

- une étape de transmission de la deuxième donnée prédite à l’utilisateur lorsque le niveau de sécurité reçu est supérieur ou égal au niveau de sécurité du modèle de prédiction obtenu ;

- au moins une première donnée est issue de mesures effectuées par au moins un capteur ;

- chaque élément est un équipement, au moins une première donnée collectée étant relative à l’environnement des équipements, à l’origine des équipements, à l’historique des équipements ou aux dysfonctionnements observés sur les équipements, au moins une deuxième donnée collectée étant relative à une action de maintenance sur des équipements ou à une panne détectée sur des équipements ;

- chaque élément est un message en provenance d’une entité, au moins une première donnée étant relative à une caractéristique de l’entité, au moins une deuxième donnée étant relative à une anomalie relative à l’entité ou au message.

La présente description se rapporte également à un produit programme d’ordinateur comportant un support lisible d’informations, sur lequel est mémorisé un programme d’ordinateur comprenant des instructions de programme, le programme d’ordinateur étant chargeable sur une unité de traitement de données et adapté pour entraîner la mise en oeuvre d’un procédé tel que précédemment décrit lorsque le programme d’ordinateur est mis en oeuvre sur l’unité de traitement des données.

La présente description concerne aussi un support lisible d’informations sur lequel est mémorisé un produit programme d’ordinateur tel que précédemment décrit.

D’autres caractéristiques et avantages de l’invention apparaîtront à la lecture de la description qui suit de modes de réalisation de l’invention, donnés à titre d’exemple uniquement et en référence aux dessins qui sont :

[Fig 1] une vue schématique d’un exemple d’ordinateur permettant la mise en oeuvre d’un procédé de contrôle d’un élément, et

[Fig 2] un organigramme d’un exemple de mise en oeuvre d’un procédé de contrôle d’un élément.

Un calculateur 10 et un produit programme d’ordinateur 12 sont illustrés par la figure 1.

Le calculateur 10, est de préférence, un ordinateur.

Plus généralement, le calculateur 10 est un calculateur électronique propre à manipuler et/ou transformer des données représentées comme des quantités électroniques ou physiques dans des registres de calculateur 10 et/ou des mémoires en d’autres données similaires correspondant à des données physiques dans des mémoires, des registres ou d’autres types de dispositifs d’affichage, de transmission ou de mémorisation.

Le calculateur 10 est en interaction avec le produit programme d’ordinateur 12.

Comme illustré par la figure 1 , le calculateur 10 comporte un processeur 14 comprenant une unité de traitement de données 16, des mémoires 18 et un lecteur 20 de support d’informations. Dans l’exemple illustré par la figure 1 , le calculateur 10 comprend un clavier 22 et une unité d’affichage 24.

Le produit programme d’ordinateur 12 comporte un support d’informations 26. Le support d’information 26 est un support lisible par le calculateur 10, usuellement par l’unité de traitement de données 16. Le support lisible d’informations 26 est un médium adapté à mémoriser des instructions électroniques et capable d’être couplé à un bus d’un système informatique.

A titre d’exemple, le support d’informations 26 est une disquette ou disque souple (de la dénomination anglaise « Floppy dise »), un disque optique, un CD-ROM, un disque magnéto-optique, une mémoire ROM, une mémoire RAM, une mémoire EPROM, une mémoire EEPROM, une carte magnétique ou une carte optique.

Sur le support d’informations 26 est mémorisé le programme d’ordinateur 12 comprenant des instructions de programme.

Le programme d’ordinateur 12 est chargeable sur l’unité de traitement de données 16 et est adapté pour entraîner la mise en oeuvre d’un procédé de contrôle d’un élément lorsque le programme d’ordinateur 12 est mis en oeuvre sur l’unité de traitement 16 du calculateur 10.

Le fonctionnement du calculateur 10 en interaction avec le produit programme d’ordinateur 12 va maintenant être décrit en référence à la figure 2, qui illustre schématiquement un exemple de mise en oeuvre d’un procédé de contrôle d’un élément.

L’élément est, par exemple, un équipement, tel qu’un équipement d’un aéronef. Dans ce cas, un tel équipement est, par exemple, un ventilateur, un moteur ou des ailes de l’aéronef. L’équipement comprend, par exemple, des pièces. Il est entendu par le terme « pièces », les différents composants de l’équipement.

Dans un autre exemple, l’élément est un message en provenance d’une entité, par exemple, un message AIS (de l’anglais Automatic Identification System, traduit en français par Système d’identification automatique) en provenance d’un navire.

Le procédé de contrôle comprend une phase 100 de collection d’un ensemble de premières données relatives à des éléments et d’un ensemble de deuxièmes données relatives au contrôle des éléments pour former une base d’entraînement. Chaque deuxième donnée de la base d’entraînement est associée à au moins une première donnée. La phase de collection 100 est mise en oeuvre par le calculateur 10 en interaction avec le produit programme d’ordinateur 12, c’est-à-dire est mise en oeuvre par ordinateur.

Par exemple, les données sont collectées par une première entité (telle qu’un calculateur ou une personne physique) et sont envoyées à une deuxième entité comprenant le calculateur 10 et le produit programme d’ordinateur 12 en vue d’être traité par la deuxième entité. La deuxième entité comprend alors avantageusement une unité de réception des données collectées. Avantageusement, au moins une première donnée est issue de mesures effectuées par au moins un capteur.

La base d’entraînement obtenue est, par exemple, mémorisée dans une mémoire 18 du calculateur 10.

La base d’entraînement comprend un sous-ensemble de premières données, dites données à protéger. Les données à protéger sont, par exemple, déterminées en fonction d’un niveau de sécurité souhaité pour les données de la base d’entraînement. Optionnellement, les données à protéger comprennent, également, des deuxièmes données de la base d’entraînement. Les données à protéger sont aussi appelées attributs.

L’homme du métier comprendra que les premières et deuxièmes données collectées de la base d’entraînement sont des valeurs. Ainsi, il est collecté plusieurs valeurs pour un premier type de premières données de la base d’entraînement, plusieurs autres valeurs pour un deuxième type de premières données de la base d’entraînement, etc. De même, il est collecté plusieurs valeurs pour un premier type de deuxièmes données de la base d’entraînement, et éventuellement plusieurs autres valeurs pour un deuxième type de deuxièmes données de la base d’entraînement, etc.

Par exemple, lorsque chaque élément est un équipement, les premières données sont relatives à des équipements et les deuxièmes données sont relatives à la maintenance des équipements. Les données relatives à la maintenance couvrent, avantageusement, les données relatives à la réparation des équipements.

Plus précisément, dans cet exemple, les premières données collectées sont des données relatives à l’environnement des équipements, à l’origine des équipements, à l'historique des équipements et/ou aux dysfonctionnements observés sur les équipements.

Les données relatives à l’environnement des équipements sont, par exemple, les températures ou les pressions de l’atmosphère auxquelles les équipements ont été soumis.

Les données portant sur l’origine des équipements sont, par exemple, le fabricant des équipements ou l’avion dans lequel l’équipement a été installé.

L’historique des équipements peut comporter des données relatives à la durée d’exploitation des équipements ou au nombre de maintenances effectuées sur les équipements.

Les données de dysfonctionnements observés sur les équipements comportent à titre d’illustration l’ensemble des mesures anormales obtenues lors des tests des équipements. Par l’expression « dysfonctionnement », il est entendu une panne, une absence de fonctionnement ou encore un fonctionnement non conforme au fonctionnement attendu de l’équipement.

De préférence, dans cet exemple, au moins un ensemble de premières et deuxièmes données collectées sont relatives à un équipement de même nature que l’équipement à surveiller.

Avantageusement, dans l’exemple des équipements, au moins une première donnée est choisie dans le groupe constitué de :

- le modèle de l’équipement,

- le fournisseur d’au moins une pièce de l’équipement, dite première pièce,

- la date de mise en place d’au moins la première pièce de l’équipement,

- une probabilité d’occurrence d’un dysfonctionnement d’au moins la première pièce de l’équipement,

- la cause d’un dysfonctionnement d’au moins la première pièce de l’équipement, Avantageusement, dans cet exemple, au moins une première donnée est issue de mesures effectuées par au moins un capteur, que ce soient des mesures de l’environnement de l’équipement 36 ou des mesures sur l’équipement lui-même. Les mesures sur l’équipement à surveiller lui-même sont, par exemples, des mesures relatives à la résistance mécanique de l’équipement ou à des valeurs électriques de référence de l’équipement.

De manière générique, dans l’exemple des équipements, les deuxièmes données collectées sont des données relatives à des actions de maintenance sur des équipements ou à des pannes détectées sur des équipements.

Avantageusement, dans l’exemple des équipements, la ou chaque deuxième donnée est choisie dans le groupe constitué de :

- la durée restante avant la mise en oeuvre d’une action de maintenance sur au moins une pièce de l’équipement,

- la ou les actions de maintenance (ou actions correctrices) à mettre en oeuvre sur l’équipement ou sur au moins une pièce de l’équipement,

- la probabilité de succès de ou des actions de maintenance ou correctrices en cas de dysfonctionnement de l’équipement ou d’au moins une pièce de l’équipement. Par exemple, pour un équipement d’aéronef, les données à protéger sont le ou les fournisseurs des pièces de l’équipement ou encore la probabilité d’occurrence d’un dysfonctionnement des pièces de l’équipement.

Dans un autre exemple, lorsque chaque élément est un message en provenance d’une entité, au moins une première donnée est relative à une caractéristique de l’entité et au moins une deuxième donnée est relative à une anomalie relative à l’entité ou au message.

Plus précisément, dans le domaine naval, lorsque le message est un message AIS, au moins une première donnée est choisie dans le groupe constitué de :

- la vitesse du navire,

- le cap du navire,

- la latitude du navire,

- la longitude du navire,

- le type du navire (cargo, navire pétrolier, etc),

- le statut de navigation du navire (en marche, amarré, etc),

- les données temporelles du message, telles que la date et l’heure de délivrance du message AIS, et

- des données relatives à la nature du message AIS telles que la destination du message AIS.

Les données à protéger sont, par exemple, les données relatives à la nature du message AIS.

Le procédé de contrôle comprend une phase 1 10 d’optimisation d’un modèle de prédiction d’au moins une deuxième donnée en fonction de premières données selon une technique d’apprentissage appliquée à la base d’entraînement pour obtenir un modèle de prédiction, aussi appelé modèle de prédiction optimisé. La phase d’optimisation 1 10 est mise en oeuvre par le calculateur 10 en interaction avec le produit programme d’ordinateur 12, c’est-à-dire est mise en oeuvre par ordinateur.

Le modèle de prédiction obtenu est un modèle ayant des entrées (autant d’entrées que de type de premières données) et au moins une sortie (autant de sorties que de type de deuxièmes données).

Pour l’obtention du modèle de prédiction, la technique d’apprentissage est mise en oeuvre selon une contrainte imposant que le modèle de prédiction obtenu soit différent d’un modèle de référence. Le modèle de référence est le modèle de prédiction obtenu après optimisation selon la même technique d’apprentissage appliquée à la même base d’entraînement mais sans la contrainte imposée pour l’obtention du modèle de prédiction.

Avantageusement, la contrainte impose également que l’image de chaque deuxième donnée obtenue par un modèle inverse du modèle de prédiction soit différente des données à protéger. Ainsi, les sorties du modèle de prédiction obtenues ne permettent pas de remonter aux données à protéger (qui sont des valeurs) de la base d’entraînement ayant servi à obtenir le modèle de prédiction. Le modèle de prédiction obtenu est alors affecté d’un niveau de sécurité. Le niveau de sécurité dépend notamment des données à protéger prises en compte lors de l’optimisation du modèle de prédiction.

Avantageusement, la technique d’apprentissage a pour point de départ un réseau de neurones défini par une architecture et un paramétrage.

Dans un exemple de mise en oeuvre, la phase d’optimisation 1 10 consiste à modifier le paramétrage du réseau de neurones de sorte que le paramétrage ne dépende pas des données à protéger de la base d’apprentissage.

Dans un autre exemple de mise en oeuvre, la phase d’optimisation 1 10 comprend une étape d’affectation d’une pondération pénalisante à chaque donnée à protéger de la base d’entraînement. La contrainte impose alors, également, que chaque donnée à protéger soit affectée de la pondération pénalisante correspondante. Ainsi, les données à protéger de la base d’entraînement seront moins utilisées lors de l’optimisation que les données non affectées d’une pondération pénalisante. Par exemple, lorsque le point de départ de la phase d’optimisation 1 10 est un réseau de neurones défini par une architecture et un paramétrage, du fait de la pondération pénalisante, l’utilisation de valeurs de la base d’entraînement directement ou indirectement liées aux données à protéger est pénalisée dans le paramétrage du réseau de neurones. En variante ou en complément, l’affectation d’une pondération pénalisante est mise en oeuvre au moyen d’un algorithme de type « forêt aléatoire » (en anglais random forest).

Dans encore un autre exemple de mise en oeuvre, la contrainte impose également que la technique d’apprentissage appliquée à la ou aux sortie(s) du modèle de prédiction obtenu conduise à un modèle adverse tel que l’image des deuxièmes données par le modèle adverse ne comporte pas de premières données à protéger. Dans ce cas, par exemple, la phase d’optimisation 1 10 comprend une étape d’optimisation du modèle de prédiction pour cacher, dans la ou chaque sortie du modèle de prédiction, les données à protéger de la base d’entraînement. La phase d’optimisation 1 10 comprend, aussi, une étape d’entraînement du modèle adverse pour retrouver, à partir des sorties du modèle de de prédiction, les données à protéger de la base d’entraînement. Le modèle de prédiction obtenu est le modèle de prédiction optimisé de sorte que le modèle adverse ne retrouve plus, à partir des sorties du modèle de prédiction, les données à protéger de la base d’entraînement.

Le procédé de contrôle comprend une phase 120 d’exploitation du modèle de prédiction optimisé. La phase d’exploitation 120 est mise en oeuvre par le calculateur 10 en interaction avec le produit programme d’ordinateur 12, c’est-à-dire est mise en oeuvre par ordinateur. La phase d’exploitation 120 comprend une étape de fourniture de premières données relatives à un élément à contrôler.

La phase d’exploitation 120 comprend une étape de prédiction par le modèle de prédiction obtenu d’au moins une deuxième donnée relative au contrôle de l’élément.

Dans l’exemple des équipements, les premières données fournies sont des données relatives à la nature de l’équipement et aux différentes pièces de l’équipement, telles que la date de mise en place des pièces. La deuxième donnée prédite est, par exemple, la probabilité d’occurrence d’un dysfonctionnement d’une ou de pièces de l’équipement, ce qui permet de déterminer des actions de maintenance à mettre en oeuvre.

Optionnellement, la phase d’exploitation 120 comprend une étape de réception d’un niveau de sécurité relatif à un utilisateur et une étape de transmission de la deuxième donnée prédite à l’utilisateur lorsque le niveau de sécurité reçu est supérieur ou égal au niveau de sécurité du modèle de prédiction obtenu. Le niveau de sécurité de l’utilisateur est fixé en fonction de données dont l’accès est non autorisé pour l’utilisateur. Le modèle de prédiction obtenu ayant été optimisé pour protéger des données à protéger, l’utilisateur a accès aux sorties du modèle de prédiction seulement si les données non autorisées pour l’utilisateur sont inclues dans les données à protéger. Si des données non autorisées pour l’utilisateur ne sont pas inclues dans les données à protéger, cela signifie que l’utilisateur pourrait via les sorties du modèle de prédiction remonter à de telles données, c’est pourquoi les sorties du modèle de prédiction ne sont pas fournies à un tel utilisateur.

Le procédé de contrôle comprend une phase 130 de mise en oeuvre d’une action sur l’élément en fonction de la deuxième donnée prédite.

Dans l’exemple des équipements, lorsque la deuxième donnée indique qu’une action de maintenance est à effectuer sur l’équipement, tel que le remplacement d’une pièce de l’équipement, un utilisateur effectue une telle action de maintenance.

Avantageusement, le procédé comprend une étape d’envoi de la deuxième donnée prédite à une troisième entité, par exemple, en vue de sa mémorisation ou d’une analyse ultérieure par la troisième entité. Pour cela, la deuxième entité comprend avantageusement une unité d’émission de données. La première et la troisième entité sont, par exemple, identiques.

Ainsi, le procédé décrit constitue un outil d’aide à la décision pour optimiser le contrôle d’un élément. Dans l’exemple de la maintenance d’un équipement à surveiller, un tel procédé permet d’éviter les pannes de l’équipement tout en optimisant les contrôles effectués par les opérateurs sur l’équipement. Un tel procédé est donc particulièrement utile dans le cadre de la maintenance prédictive d’équipements à surveiller. Dans l’exemple des messages à contrôler, un tel procédé permet de détecter des anomalies dans les messages.

En outre, un tel procédé permet d’empêcher de retrouver, à partir des sorties du modèle de prédiction optimisé, certaines données (données à protéger) de la base d’entraînement utilisées pour obtenir le modèle de prédiction. Cela est particulièrement utile dans le cas d’un partage de données entre plusieurs utilisateurs ne disposant pas du même niveau de sécurité (par exemple, des clients ou des fournisseurs) ou dans le cas de données classifiées multi-niveaux. Le procédé permet, en outre, de minimiser ou cacher les interactions entre les données à protéger et les données non protégées de la base d’entraînement, ce qui permet d’améliorer la fiabilité du modèle de prédiction.

En particulier, le modèle de prédiction est optimisé pour qu’un changement des données à protéger de la base d’entraînement n’influence pas les sorties du modèle de prédiction, que les erreurs du modèle de prédiction optimisé soient les mêmes selon les valeurs des données à protéger de la base d’entraînement et/ou que le modèle de prédiction optimisé génère des sorties similaires pour deux utilisateurs ayant le même niveau de sécurité.

Le procédé décrit permet donc d’assurer la pertinence des sorties du modèle de prédiction obtenu tout en protégeant les valeurs des données à protéger de la base d’entraînement.

Le présent procédé a été présenté dans le cadre spécifique de la maintenance d’équipements ou le contrôle de messages. Toutefois, le présent procédé s’applique également pour le contrôle d’autres éléments, tel que la détection d’anomalies dans des données échangées entre des entités (attaques cyber) ou encore la détection d’anomalies dans le transport maritime, terrestre ou aérien.

L’homme du métier comprendra que les modes de réalisation précédemment décrits peuvent être combinés pour former de nouveaux modes de réalisation pourvu qu’ils soient compatibles techniquement.