Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
METHOD AND SYSTEM FOR ASSISTING TROUBLESHOOTING OF A COMPLEX SYSTEM
Document Type and Number:
WIPO Patent Application WO/2019/122747
Kind Code:
A1
Abstract:
The invention concerns a system and method for assisting troubleshooting of a complex system. The general principle of the invention starts from the fact that troubleshooting procedures are carried out on entities for which no information is available concerning the operating state. Thus, a maintenance operator is often led to test potentially faulty entities of the complex system one by one in an arbitrary order. The inventors have identified that the troubleshooting procedure can be modelled by a Markov decision process. The invention proposes combining the fault tree technique with a Markov decision process, in order to optimally determine the sequence of troubleshooting actions for quickly addressing the consequences of a fault and for ensuring the maintainability of the complex system.

Inventors:
MARTY JEAN-LUC (FR)
CANU DAVID (FR)
ARNOLD ALEXANDRE (FR)
Application Number:
PCT/FR2018/053454
Publication Date:
June 27, 2019
Filing Date:
December 20, 2018
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
AIRBUS DEFENCE & SPACE SAS (FR)
AIRBUS (FR)
International Classes:
G06F17/50
Foreign References:
US20170312614A12017-11-02
US20170323481A12017-11-09
Other References:
HENDERSON S J ET AL: "Augmented Reality for Maintenance and Repair (ARMAR)", INTERNET CITATION, 1 August 2007 (2007-08-01), pages 1 - 62, XP002571033, Retrieved from the Internet [retrieved on 20100302]
M. BOUISSOU: "Gestion de la complexité dans les études quantitatives de sûreté de fonctionnement de systèmes", EYROLLES, 2008
M. BOUISSOU: "Deux méthodes originales pour calculer les performances d'un système possédant des états de fonctionnement dégradé", 12ÈME CONGRÈS DE FIABILITÉ ET MAINTENABILITÉ, 2000
A. BOBBIO, L.; PORTINALE, M.; MINICHINO, E.; CIANCAMERLA: "Improving the analysis of dependable systems by mapping fault trees into Bayesian networks", RELIABILITY ENGINEERING & SYSTEM SAFETY, vol. 71, no. 3, March 2001 (2001-03-01), pages 249 - 260
Attorney, Agent or Firm:
CABINET PLASSERAUD (FR)
Download PDF:
Claims:
Revendications

1. Procédé (200) d’aide au diagnostic d’un système complexe comprenant une pluralité de composants reliés en eux, chacun parmi une partie des composants étant associé à un ou plusieurs capteurs de défaillances, le procédé, mis en œuvre par un processeur, comprenant :

- la réception d’un fichier contenant une modélisation de tout ou partie du système complexe par un arbre de défaillance (300) définissant tout ou partie des combinaisons d’évènements provoquant un évènement-sommet (310) associé à une défaillance du système complexe, l’arbre de défaillance comprenant une pluralité d’évènements intermédiaires (320) et une pluralité d’événements de base (330),

- l’attribution (210) d’une valeur de probabilité d’occurrence a priori, à chacun des évènements de base de l’arbre de défaillance, afin de générer un arbre de défaillance augmenté,

- l’attribution (220) d’une information de défaillance à chacun des évènements de base et chacun des évènements intermédiaires de l’arbre de défaillance augmenté qui sont associés à un composant sous surveillance automatique, l’information de défaillance étant obtenue à partir des capteurs de défaillances et décrivant une observation de l’état de fonctionnement du composant associé à l’évènement de l’arbre de défaillance augmenté,

- le calcul (230) d’une valeur de probabilité d’occurrence a posteriori, pour chacun des évènements de l’arbre de défaillance augmenté, à partir des valeurs de probabilité d’occurrence a priori attribuées et des informations de défaillance attribuées,

- l’attribution (240) d’un coût de dépannage à chacun des évènements de l’arbre de défaillance augmenté qui sont associés à un composant qui n’est pas sous surveillance automatique et qui est dépannable, le coût de dépannage définissant la difficulté d’identification de la défaillance par l’opérateur de maintenance, du composant associé à l’évènement de l’arbre de défaillance augmenté,

- la modélisation (250), par un processus de décision markovien, PDM, à partir de l’arbre de défaillance augmenté, une ou plusieurs évolutions possibles du système complexe, en réponse à au moins une action de dépannage par l’opérateur de maintenance, d’au moins un composant, l’action de dépannage correspondant à une procédure d’identification de la défaillance ou la confirmation du bon fonctionnement du composant,

- la détermination (260) d’une séquence optimale d’actions de dépannage du système complexe, selon une politique de décision qui minimise l’espérance de la somme des coûts de dépannage et qui est déterminée par l’application d’un algorithme de résolution de PDM.

2. Procédé selon a revendication 1 , dans lequel l’étape de calcul d’une valeur de probabilité d’occurrence a posteriori comprend les étapes de :

- construction d’un réseau bayésien à partir de l’arbre de défaillance augmenté, le réseau bayésien étant prévu pour réaliser des prédictions concernant des relations entre des évènements de l’arbre de défaillance augmenté à partir des informations de défaillances et des valeurs de probabilité a priori, et

- calcul de la valeur de probabilité à partir du réseau bayésien.

3. Procédé selon la revendication 2, dans lequel les noeuds du réseau bayésien représentent des composants correspondants du système complexe, les arcs entre les noeuds étant associés à des distributions de probabilités conditionnelles qui représentent des probabilités d’évènements associées à certains des composants du système complexe qui sont associées à des évènements associés à d’autres composants du système complexe.

4. Procédé selon les revendications précédentes, dans lequel l’étape d’attribution d’un coût de dépannage comprend l’étape,

- d’obtention du coût de dépannage à partir d’une fonction de coût dépendante d’au moins un terme qui correspond à une mesure ou à une estimation la difficulté d’identification de la défaillance par l’opérateur de maintenance du composant.

5. Procédé selon les revendications précédentes, dans lequel l’étape de modélisation par un PDM comprend l’étape de définition d’un PDM à horizon fini selon un quadruplet {S, A, T, R] dans lequel,

- S est un ensemble définissant les états dans lequel peut se trouver le système complexe à un instant t à partir d’un état initial de système complexe,

- A est un ensemble définissant les actions de dépannage réalisables en fonction de l’état du système complexe et qui influent sur l’évolution de l’état courant du système complexe,

- T est une fonction de transition définissant l’ensemble des probabilités de transition entre deux états du système complexe aux états t et t + 1, en réponse aux actions de dépannage de l’ensemble A,

- R est une fonction de récompense définissant l’ensemble des coûts de dépannage associés aux actions de dépannage de l’ensemble A.

6. Procédé selon la revendication 5 dans lequel, lorsque T défini l’ensemble des probabilités de défaillance, un état terminal du PDM est atteint lorsqu’au moins une probabilité de défaillance d’un événement de base est égale à 1.

7. Procédé selon la revendication 5 dans lequel, lorsque T défini l’ensemble des probabilités de défaillance, un état terminal du PDM est atteint lorsque l’ensemble des probabilités de défaillance est égal à 0.

8. Procédé selon la revendication 5 dans lequel, lorsque T défini l’ensemble des probabilités de défaillance, un état terminal du PDM est atteint lorsque tous les noeuds dépannables du système complexe ont une probabilité de défaillance égale à 0 ou 1.

9. Produit de programme d'ordinateur comportant des instructions qui, lorsqu'elles sont exécutées par un processeur, réalisent ou commandent des étapes d'un procédé selon l'une quelconque des revendications précédentes.

10. Système (100) d’aide au diagnostic d’un système complexe comprenant une pluralité de composants reliés en eux, chacun parmi une partie des composants étant associé à un ou plusieurs capteurs de défaillances, , le système comprenant un serveur d’aide au diagnostic (110) et un dispositif électronique (120) qui sont tous deux prévus pour accéder à un réseau de communication (130):

- le serveur d’aide au diagnostic comprend un premier processeur (111) configuré pour exécuter au moins partiellement un procédé (200) selon l'une des revendications 1 à 8, à partir d’un fichier contenant une modélisation de tout ou partie du système complexe par un arbre de défaillance (300) définissant tout ou partie des combinaisons d’évènements provoquant un évènement-sommet (310) associé à une défaillance du système complexe, l’arbre de défaillance comprenant une pluralité d’évènements intermédiaires (320) et une pluralité d’événements de base (330),

- le dispositif électronique portable comprend un second processeur (121) couplé à un dispositif d’entrée utilisateur (122) et à un dispositif d’affichage (123), dans lequel le second processeur est configuré pour,

- recevoir tout ou partie de la séquence optimale d’actions de dépannage du système complexe via le réseau de communication,

- afficher sur le dispositif d’affichage une image représentative de l’action courante de dépannage à réaliser, à partir de la séquence optimale d’actions de dépannage du système complexe,

- détecter un signal d’entrée provenant du dispositif d’entrée utilisateur qui est représentatif d’une entrée utilisateur durant l’affichage de l’image représentative de l’action courante de dépannage à réaliser,

- en réponse à une entrée utilisateur qui est indicative de la détection d’une défaillance ou de la confirmation du bon fonctionnement du composant associé à l’action courante de dépannage à réaliser, afficher sur le dispositif d’affichage une image représentative de la prochaine action de dépannage à réaliser, à partir de la séquence optimale d’actions de dépannage du système complexe.

11. Système selon la revendication 10 dans lequel,

- le second processeur du dispositif électronique portable est en outre configuré pour envoyer l’entrée utilisateur au premier processeur du serveur d’aide au diagnostic,

- en réponse à réception de l’entrée utilisateur, le premier processeur est en outre configuré pour,

- déterminer la prochaine action de dépannage de la séquence optimale d’actions de dépannage du système complexe, et - envoyer la prochaine action de dépannage de la séquence optimale d’actions de dépannage du système complexe au second processeur du dispositif électronique portable.

12. Système selon les revendications 10 ou 1 1 dans lequel le dispositif d’entrée utilisateur est compris dans le dispositif d’affichage.

Description:
Titre : Procédé et système d’aide au dépannage d’un système complexe

Description

Domaine technique

[001] La présente invention concerne le domaine du dépannage d’éléments de systèmes complexes. Plus précisément, il concerne un procédé et un système d’aide au dépannage d’un système complexe.

Technique antérieure

[002] Un système complexe comprend généralement une pluralité d'éléments reliés entre eux par de nombreuses interconnexions. Ces éléments peuvent par exemple être des composants mécaniques, électroniques et/ou des composants logiciels. De tels systèmes complexes existent dans des domaines d'activité très variés, comme, par exemple, l'industrie, l'automobile, le ferroviaire ou l'aviation. Ces systèmes complexes posent potentiellement des problèmes à un opérateur de maintenance pour localiser une défaillance observée par exemple par un utilisateur d'un tel système, c'est-à-dire pour déterminer le ou les éléments, en panne, qui sont à l'origine de cette défaillance.

[003] Ces systèmes complexes disposent, en général, de tests de diagnostic ou de bon fonctionnement qui sont destinés à détecter et localiser les défaillances. Certains tests sont basés sur la technique des arbres de défaillance qui utilise une décomposition arborescente du système complexe. Cette technique permet la détermination des combinaisons minimales d’évènements qui conduisent à la perte de la fonction principale du système complexe, tel un dysfonctionnement ou un accident.

[004] La technique des arbres de défaillance permet d’évaluer la vraisemblance de la survenue de l’évènement redouté à partir des combinaisons d’évènements élémentaires qui peuvent le produire. Ainsi, en connaissant les probabilités de ces évènements élémentaires on peut en déduire la probabilité de l’évènement redouté et l’impact sur celle-ci d’une réduction (ou augmentation) de telle ou telle des probabilités des évènements élémentaires. Les probabilités des évènements élémentaires sont ensuite utilisées pour identifier le ou les éléments en panne, du système complexe, qui sont à l'origine de la défaillance.

[005] Il est courant que dans un système complexe, une défaillance puisse avoir des causes potentielles multiples ou différentes. Souvent, ces causes potentielles ne peuvent pas être testées automatiquement. Dans ce cas, un opérateur de maintenance doit être dépêché et une procédure d’aide au dépannage (en anglais, « troubleshooting ») doit être mise en oeuvre.

[006] À ce jour, une telle procédure d’aide au dépannage d’un système complexe à partir des probabilités élémentaires issues d’un arbre de défaillance n’est pas satisfaisante. En effet, rien ne permet à un opérateur de maintenance d’isoler une panne particulière à tester parmi l’ensemble des pannes envisagées. Dans ce cas, l’opérateur de maintenance peut être amené à passer plus de temps que nécessaire pour dépanner le système complexe et ainsi retarder le retour à l’état de fonctionnement normal du système complexe.

Résumé de l'invention

[007] La présente invention vise donc à pallier de tels inconvénients en procurant un procédé ainsi qu’un système d’aide au dépannage d’un système complexe.

[008] Un premier objet de l’invention concerne un procédé d’aide au dépannage d’un système complexe comprenant une pluralité d’entités reliées en elles, le système complexe étant modélisé par un arbre de défaillance définissant tout ou partie des combinaisons d’évènements provoquant un événement-sommet associé à une défaillance du système complexe, l’arbre de défaillance comprenant une pluralité d’évènements intermédiaires et une pluralité d’événements de base. Le procédé comprend :

- l’attribution d’une valeur de probabilité d’occurrence a priori, à chacun des évènements de base de l’arbre de défaillance, afin de générer un arbre de défaillance augmenté,

- l’attribution d’une information de défaillance à chacun des évènements de base et chacun des évènements intermédiaires de l’arbre de défaillance augmenté qui sont associés à une entité sous surveillance automatique, l’information de défaillance décrivant une observation de l’état de fonctionnement de l’entité associée à l’évènement de l’arbre de défaillance augmenté,

- le calcul d’une valeur de probabilité d’occurrence a posteriori, pour chacun des évènements de l’arbre de défaillance augmenté, à partir des valeurs de probabilité d’occurrence a priori attribuées et des informations de défaillance attribuées,

- l’attribution d’un coût de dépannage à chacun des évènements de l’arbre de défaillance augmenté qui sont associés à une entité qui n’est pas sous surveillance automatique et qui est dépannable, le coût de dépannage définissant la difficulté d’identification de la défaillance par l’opérateur de maintenance, de l’entité associée à l’évènement de l’arbre de défaillance augmenté,

- la modélisation, par un processus de décision markovien, PDM, à partir de l’arbre de défaillance augmenté, une ou plusieurs évolutions possibles du système complexe, en réponse à au moins une action de dépannage par l’opérateur de maintenance, d’au moins une entité, l’action de dépannage correspondant à une procédure d’identification de la défaillance ou la confirmation du bon fonctionnement de l’entité,

- la détermination d’une séquence optimale d’actions de dépannage du système complexe, selon une politique de décision qui minimise l’espérance de la somme des coûts de dépannage et qui est déterminée par l’application d’un algorithme de résolution de PDM.

[009] Dans le procédé, l’étape de calcul d’une valeur de probabilité d’occurrence a posteriori peut comprendre les étapes de :

- construction d’un réseau bayésien à partir de l’arbre de défaillance augmenté, le réseau bayésien étant prévu pour réaliser des prédictions concernant des relations entre des évènements de l’arbre de défaillance augmenté à partir des informations de défaillances et des valeurs de probabilité a priori, et

- calcul de la valeur de probabilité à partir du réseau bayésien.

[0010] En outre, les noeuds du réseau bayésien représentent des entités correspondantes du système complexe, les arcs entre les noeuds étant associés à des distributions de probabilités conditionnelles qui représentent des probabilités d’évènements associées à certaines des entités du système complexe qui sont associées à des évènements associés à d’autres entités du système complexe.

[0011] Dans le procédé, l’étape d’attribution d’un coût de dépannage peut comprendre l’étape,

- d’obtention du coût de dépannage à partir d’une fonction de coût dépendante d’au moins un terme qui correspond à une mesure ou à une estimation la difficulté d’identification de la défaillance par l’opérateur de maintenance de l’entité.

[0012] Dans le procédé, lequel l’étape de modélisation par un PDM peut comprendre l’étape de définition d’un PDM à horizon fini selon un quadruplet {S, A, T, R] dans lequel,

- S est un ensemble définissant les états dans lequel peut se trouver le système complexe à un instant t à partir d’un état initial de système complexe,

- A est un ensemble définissant les actions de dépannage réalisables en fonction de l’état du système complexe et qui influent sur l’évolution de l’état courant du système complexe,

- T est une fonction de transition définissant l’ensemble des probabilités de transition entre deux états du système complexe aux états t et t + 1, en réponse aux actions de dépannage de l’ensemble A,

- R est une fonction de récompense définissant l’ensemble des coûts de dépannage associés aux actions de dépannage de l’ensemble A.

[0013] En outre, lorsque T défini l’ensemble des probabilités de défaillance, un état terminal du

PDM est atteint lorsqu’au moins une probabilité de défaillance d’un événement de base est égale à 1.

[0014] Par ailleurs, lorsque T défini l’ensemble des probabilités de défaillance, un état terminal du

PDM est atteint lorsque l’ensemble des probabilités de défaillance est égal à 0.

[0015] Enfin, lorsque T défini l’ensemble des probabilités de défaillance, un état terminal du PDM est atteint lorsque tous les noeuds dépannables du système complexe ont une probabilité de défaillance égale à 0 ou 1.

[0016] Un deuxième objet de l’invention concerne un produit de programme d'ordinateur comportant des instructions qui, lorsqu'elles sont exécutées par un processeur, réalisent ou commandent des étapes d'un procédé selon le premier objet de l’invention.

[0017] Un troisième objet de l’invention concerne un système d’aide au dépannage d’un système complexe comprenant une pluralité d’entités reliées en elles, le système complexe étant modélisé par un arbre de défaillance définissant tout ou partie des combinaisons d’évènements provoquant un évènement-sommet associé à une défaillance du système complexe, l’arbre de défaillance comprenant une pluralité d’évènements intermédiaires et une pluralité d’évènements de base, le système comprenant un serveur d’aide au dépannage et un dispositif électronique qui sont tous deux prévus pour accéder à un réseau de communication:

- le serveur d’aide au dépannage comprend un premier processeur configuré pour exécuter au moins partiellement un procédé selon le premier objet de l’invention,

- le dispositif électronique portable comprend un second processeur couplé à un dispositif d’entrée utilisateur et à un dispositif d’affichage, dans lequel le second processeur est configuré pour,

- recevoir tout ou partie de la séquence optimale d’actions de dépannage du système complexe via le réseau de communication,

- afficher sur le dispositif d’affichage une image représentative de l’action courante de dépannage à réaliser, à partir de la séquence optimale d’actions de dépannage du système complexe,

- détecter un signal d’entrée provenant du dispositif d’entrée utilisateur qui est représentatif d’une entrée utilisateur durant l’affichage de l’image représentative de l’action courante de dépannage à réaliser,

- en réponse à une entrée utilisateur qui est indicative de la détection d’une défaillance ou de la confirmation du bon fonctionnement de l’entité associée à l’action courante de dépannage à réaliser, afficher sur le dispositif d’affichage une image représentative de la prochaine action de dépannage à réaliser, à partir de la séquence optimale d’actions de dépannage du système complexe.

[0018] Dans le système :

- le second processeur du dispositif électronique portable est en outre configuré pour envoyer l’entrée utilisateur au premier processeur du serveur d’aide au dépannage,

- en réponse à réception de l’entrée utilisateur, le premier processeur est en outre configuré pour,

- déterminer la prochaine action de dépannage de la séquence optimale d’actions de dépannage du système complexe, et

- envoyer la prochaine action de dépannage de la séquence optimale d’actions de dépannage du système complexe au second processeur du dispositif électronique portable.

[0019] En outre, le dispositif d’entrée utilisateur peut est compris dans le dispositif d’affichage.

Brève description des dessins

[0020] D’autres caractéristiques et avantages de l'invention seront mieux compris à la lecture de la description qui va suivre et en référence aux dessins annexés, donnés à titre illustratif et nullement limitatif.

[0021 ] La figure 1 représente un système d’aide au dépannage d’un système complexe selon l’invention.

[0022] La figure 2 représente un procédé d’aide au dépannage d’un système complexe selon l’invention.

[0023] La figure 3 représente un arbre de défaillance. [0024] La figure 4 représente un processus de décision markovien.

[0025] Pour des raisons de clarté, les éléments représentés ne sont pas à l’échelle les uns par rapport aux autres, sauf mention contraire.

Description des modes de réalisation

[0026] Dans le cadre de la description, on entend par « système complexe » un système (ou appareil ou encore objet) constitué d'un nombre important d’entités, électriques, électroniques, logicielles, mécaniques et leurs combinaisons, qui sont reliées entre elles. Il pourra par exemple et non limitativement s'agir d'un véhicule automobile, d’un aéronef, d’une centrale nucléaire, d’un système satellitaire ou encore de tout système informatique. En outre, on suppose que le système complexe est modélisé par un arbre de défaillance définissant tout ou partie des combinaisons d’évènements provoquant un évènement- sommet associé à une défaillance du système complexe. Dans ce cadre, l’arbre de défaillance comprend une pluralité d’évènements intermédiaires et une pluralité d’évènements de base.

[0027] Le principe général de l’invention a pour point de départ le fait que les procédures de dépannage (en anglais, « troubleshooting ») sont réalisées sur des entités non supervisées d’un système complexe. La non-supervision signifie qu’un opérateur de maintenance d’un système complexe ne dispose d’aucune information concernant l’état de fonctionnement des entités à dépanner. Il lui est donc très difficile de faire face rapidement aux conséquences d’une défaillance et d’assurer la maintenabilité du système complexe. La maintenabilité est généralement définie comme l’aptitude d’un bien à être maintenu ou rétabli dans un état où il peut accomplir une fonction requise. Et ce, lorsque la maintenance est accomplie dans des conditions données, en utilisant des procédures et des moyens prescrits.

[0028] Ainsi, un opérateur de maintenance est souvent amené à tester une à une les entités potentiellement défaillantes du système complexe dans un ordre arbitraire. Dans ce processus, l’opérateur de maintenance observe alors périodiquement un système complexe dynamique qui est influencé, au moment de l’observation, par la prise d’une décision. Cette décision est prise parmi un ensemble d’actions possibles, à savoir, l’ensemble des entités qui peuvent être testées dans un état donné du système complexe. En d’autres termes, l’évolution du système complexe est le résultat de l’interaction, dans le temps, de lois aléatoires de transition du système complexe et du choix d’une suite d’actions réalisées par l’opérateur de maintenance.

[0029] Les inventeurs ont identifié qu’une telle procédure de dépannage peut être modélisée par un processus de décision markovien (en anglais, « Markov Decision Process »). En effet, les processus de décision markovien sont une approche d’optimisation utilisée pour résoudre des problèmes de prise de décision séquentielle, à chaque pas de temps, dans un environnement incertain, ce qui correspond au problème identifié par les inventeurs. Les processus de décision markovien permettent le calcul d’une politique donnant l’action à mettre en place selon l’état du système. Selon l’invention, il est proposé de combiner la technique des arbres de défaillance avec un processus de décision markovien. Et ce, afin de déterminer de manière optimale la suite d’actions de dépannage permettant de faire face rapidement aux conséquences d’une défaillance et d’assurer la maintenabilité du système complexe.

[0030] La figure 1 illustre un système 100 d’aide au dépannage d’un système complexe (non représenté). Le système 100 comprend un serveur d’aide au dépannage 110 et un dispositif électronique portable 120 qui tous deux sont prévus pour accéder à un réseau de communication 130. Dans une mise en œuvre particulière, le système 100 comprend une pluralité de serveurs d’aide au dépannage 110 et/ou une pluralité de dispositifs électronique portable 120. Dans une mise en œuvre, le dispositif électronique 120 n’est pas portable. Dans une autre mise en œuvre, le serveur d’aide au dépannage 110 et le dispositif électronique 120 sont compris dans un même équipement informatique.

[0031] Le serveur d’aide au dépannage 110 comprend un premier processeur 111 configuré pour exécuter au moins partiellement un procédé d’aide au dépannage d’un système complexe. Le procédé sera décrit ci-après en référence à la figure 2. Pour le moment, il suffit de retenir que le procédé selon l’invention est apte à déterminer une séquence optimale d’actions de dépannage du système complexe.

[0032] Le dispositif électronique portable 120 comprend un second processeur 121 couplé à un dispositif d’entrée utilisateur 122 et à un dispositif d’affichage 123. Dans une mise en œuvre particulière, le dispositif d’entrée utilisateur 122 est compris dans le dispositif d’affichage 123. Dans un exemple de cette mise en oeuvre, le dispositif d’affichage 123 est un écran comprenant un panneau tactile sur tout ou partie d’une surface d’affichage de l’écran.

[0033] Dans l’exemple de la figure 1 , le second processeur 121 est configuré pour recevoir tout ou partie de la séquence optimale d’actions de dépannage du système complexe via le réseau de communication 130. Comme indiqué plus haut, la séquence optimale d’actions de dépannage du système complexe est déterminée par le premier processeur 111 du serveur d’aide au dépannage 110. En outre, le second processeur 121 est configuré pour afficher sur le dispositif d’affichage 123 une image représentative de l’action courante de dépannage à réaliser, par un opérateur de maintenance, à partir de la séquence optimale d’actions de dépannage du système complexe. Dans un exemple, l’image représentative de l’action courante de dépannage à réaliser contient du texte et/ou des symboles qui mentionnent l’action courante de dépannage à réaliser.

[0034] Le second processeur 121 est également configuré pour détecter un signal d’entrée provenant du dispositif d’entrée utilisateur 121 qui est représentatif d’une entrée utilisateur durant l’affichage de l’image représentative de l’action courante de dépannage à réaliser. En réponse à une entrée utilisateur qui est indicative de la détection, par un opérateur de maintenance du système complexe, d’une défaillance ou de la confirmation du bon fonctionnement de l’entité associée à l’action courante de dépannage à réaliser, le second processeur 121 est configuré pour afficher sur le dispositif d’affichage 123 une image représentative de la prochaine action de dépannage à réaliser, à partir de la séquence optimale d’actions de dépannage du système complexe.

[0035] Le système 100 selon l’invention a pour effet que l’opérateur de maintenance d’un système complexe n’est plus tenu de tester dans un ordre arbitraire les entités potentiellement défaillantes du système complexe. En effet, selon l’invention, une première action de dépannage à réaliser sur le système complexe est tout d’abord déterminée au niveau du serveur d’aide au dépannage 110. Ensuite, l’action suivante de dépannage à réaliser par l’opérateur de maintenance est affichée sur le dispositif électronique portable 120 en fonction du résultat observé suite à la précédente action de dépannage de l’entité courante par l’opérateur de maintenance. Enfin, l’ensemble des actions de dépannage est inclus dans la séquence optimale d’actions de dépannage du système complexe.

[0036] Dans une mise en œuvre particulière du système 100, le second processeur 121 du dispositif électronique portable 120 est en outre configuré pour envoyer l’entrée utilisateur au premier processeur 111 du serveur d’aide au dépannage 110 via le réseau de communication 130. Par la suite, en réponse à réception de l’entrée utilisateur, le premier processeur 111 est en outre configuré pour déterminer la prochaine action de dépannage de la séquence optimale d’actions de dépannage du système complexe au second processeur dispositif électronique portable.

[0037] Cette mise en oeuvre particulière a pour effet de réduire le nombre de calculs nécessaires pour déterminer la séquence optimale des actions de dépannage à réaliser. En effet, dans cette mise en œuvre, les calculs sont réalisés au fur et à mesure que le dépannage est réalisé par l’opérateur de maintenance du système complexe.

[0038] La figure 2 illustre un procédé 200 d’aide au dépannage d’un système complexe selon l’invention, tel que mentionné plus haut.

[0039] Comme indiqué plus haut, on considère que le système complexe est modélisé par un arbre de défaillance définissant tout ou partie des combinaisons d’évènements provoquant un évènement-sommet associé à une défaillance du système complexe. Dans ce cadre, l’arbre de défaillance comprend une pluralité d’évènements intermédiaires et une pluralité d’évènements de base. Dans l’invention, on considérera que les évènements de base de l’arbre de défaillance augmenté sont indépendants.

[0040] La figure 3 illustre un exemple d’arbre de défaillance 300. Les symboles utilisés pour représenter un arbre de défaillance sont normalisés comme le propose le standard NF EN 61025 « Analyse par arbre de pannes » (pour la version anglaise, IEC 61025 « Fault tree analysis »). Un arbre de défaillance peut être représenté sous la forme d’un fichier comme le propose par exemple, l’organisation Open PSA Initiative (en anglais, « Open Probabilistic Safety Assessment Initiative » ; https://open-psa.github.io). Dans l’exemple du format Open PSA, il s’agit d’un fichier de langage de balisage extensible (en anglais, « XML »). [0041] Ainsi, dans l’exemple de la figure 3, on peut trouver dans un arbre de défaillance tel que l’arbre de défaillance 300, un évènement-sommet 310, des évènements intermédiaires 320, des évènements de base 330, des connecteurs OU 340 et des connecteurs ET 350. Les évènements 310, 320 sont représentés par des rectangles à l’intérieur desquels figurent les libellés de ces évènements. L’évènement-sommet 310 et les évènements intermédiaires 320 se décomposent en une combinaison, de sorte que l’on trouve sous la boîte qui les représente, le symbole du connecteur 340, 350 qui lie les évènements dont la combinaison est nécessaire et suffisante à la provoquer. Les évènements de base 330 ou les conditions 360 ne se décomposent pas, de sorte que l’on trouve immédiatement sous la boîte qui les représente un symbole particulier : un cercle pour les évènements de base et un pentagone (en forme de maison) pour les conditions. Le symbole du triangle 370 permet de renvoyer d’une page à une autre. Ainsi, on placera le symbole du triangle 370 sous un évènement intermédiaire dont la décomposition commencera sur une autre page, dans laquelle cet évènement apparaîtra en tête. Le symbole du connecteur OU 340 se distingue du symbole du connecteur ET 350 par sa base concave bombée vers haut alors que l’autre possède une base droite, horizontale. Bien sûr, d’autres éléments non mentionnés ici peuvent également faire partie de l’arbre de défaillance 300 selon le standard utilisé.

[0042] De retour au procédé 200 de la figure 2, dans l’étape 210, on attribue une valeur de probabilité d’occurrence a priori, à chacun des évènements de base de l’arbre de défaillance, afin de générer un arbre de défaillance augmenté. Par exemple, avec le format Open PSA, il peut s’agir de créer un nouvel attribut XML dans le fichier décrivant l’arbre de défaillance.

[0043] Il est connu que la valeur de probabilité d’occurrence a priori d’une défaillance est assimilée à sa fréquence d’occurrence future estimée dans le système complexe. La valeur de probabilité d’occurrence a priori est en général différente de la fréquence historique et peut s’écarter, pour un système complexe donné, de la probabilité d’occurrence moyenne évaluée sur un ensemble de systèmes complexes similaires. Dis autrement, la probabilité d’occurrence peut être vue comme la probabilité qu’une défaillance ait eu lieu entre un premier temps (par exemple, la mise en service du système complexe ou la dernière remise à neuf complète du système complexe) et un deuxième temps, dit temps de mission, correspondant à l’étape 210.

[0044] Dans une mise en oeuvre particulière de l’étape 210, on obtient la valeur de probabilité d’occurrence a priori, à partir d’une fonction de répartition caractérisant la loi de probabilité de défaillance propre à chaque évènement de base de l’arbre de défaillance.

[0045] Dans un exemple, la loi de probabilité de défaillance, pour un évènement de base donné, est une loi exponentielle de sorte que sa fonction de répartition est décrite par la formule suivante :

dans laquelle t représente le temps et l est le paramètre d’intensité de la loi exponentielle représentant un taux de défaillance. Dans cet exemple, t peut être initialisé au temps de mission, tel que mentionné plus haut.

[0046] Dans un autre exemple, la loi de probabilité de défaillance est une loi statistique choisie parmi un groupe composé de la loi exponentielle, la loi normale, la loi log-normale, la loi Weibull, la loi Gamma et de leurs combinaisons.

[0047] Dans une mise en œuvre particulière de l’étape 210, la valeur de probabilité d’occurrence a priori peut être estimée ou mise à jour à partir de données observées dans le monde physique (e.g. retour d’expérience) par l’opérateur de maintenance.

[0048] Par la suite, dans l’étape 220, on attribue une information de défaillance à chacun des évènements de base et chacun des évènements intermédiaires de l’arbre de défaillance augmenté qui sont associés à une entité sous surveillance automatique. Comme mentionné plus haut, il peut s’agir de créer un nouvel attribut XML dans le fichier décrivant l’arbre de défaillance augmenté. Dans l’invention, une entité est « sous surveillance automatique » lorsqu’il existe un moyen d’observer l’état de fonctionnement de cette entité. Le moyen d’observation de l’état de fonctionnement de l’entité peut être un moyen humain (par exemple, les yeux de l’opérateur de maintenance) ou un moyen automatique (par exemple, un dispositif de surveillance électronique). Selon l’invention, on considère que l’information de défaillance décrit une observation de l’état de fonctionnement de l’entité associée à l’évènement de l’arbre de défaillance augmenté.

[0049] Dans un exemple, l’information de défaillance est binaire. Dans cet exemple, un premier état binaire indique que l’évènement intermédiaire concerné est défaillant tandis qu’un deuxième état binaire indique que l’évènement intermédiaire concerné fonctionne normalement.

[0050] Dans une mise en oeuvre particulière de l’étape 220, on reçoit l’information de défaillance, en provenance d’un ou plusieurs capteurs de défaillance associés à une ou plusieurs entités.

[0051 ] Par la suite, dans l’étape 230, on calcule, une valeur de probabilité d’occurrence a posteriori, pour chacun des évènements de l’arbre de défaillance augmenté, à partir des valeurs de probabilité d’occurrences a priori attribuées et des informations de défaillance attribuées. Pour cela, on peut faire appel à la théorie des probabilités. En outre, pour prendre en considération le fait qu’une entité sous surveillance automatique est défaillante ou pas, il faudra également pouvoir déterminer la probabilité conditionnelle d’un événement sachant qu’un autre évènement est réalisé ou pas.

[0052] Dans une mise en œuvre particulière de l’étape 230, on construit un réseau bayésien à partir de l’arbre de défaillance augmenté et on calcule la valeur de probabilité à partir du réseau bayésien.

[0053] En effet, il est connu qu’un arbre de défaillance dont les évènements de base sont associés à de simples probabilités est un cas particulier de réseau bayésien (voir à ce sujet, par exemple, M. Bouissou, 2008, « Gestion de la complexité dans les études quantitatives de sûreté de fonctionnement de systèmes », Eyrolles ; M. Bouissou, 2000. « Deux méthodes originales pour calculer les performances d'un système possédant des états de fonctionnement dégradé ». 12ème congrès de fiabilité et maintenabilité, Montpellier, 2000 ; A. Bobbio, L. Portinale, M. Minichino, E. Ciancamerla, 2001. « Improving the analysis of dependable Systems by mapping fault trees into Bayesian networks ». Reliability Engineering & System Safety. Volume 71 , Issue 3, March 2001 , Pages 249-260).

[0054] Dans cette mise en oeuvre particulière, le réseau bayésien est prévu pour réaliser des prédictions concernant des relations entre des évènements de l’arbre de défaillance augmenté à partir des informations de défaillances et des valeurs de probabilité à priori. Pour cela, les noeuds du réseau bayésien représentent des entités correspondantes du système complexe. En outre, les arcs entre les noeuds sont associés à des distributions de probabilités conditionnelles qui représentent des probabilités d’événements associées à certaines des entités du système complexe qui sont associées à des événements associés à d’autres entités du système complexe.

[0055] Dans l’étape 240, on attribue un coût de dépannage à chacun des événements de l’arbre de défaillance augmenté qui sont associés à une entité qui n’est pas sous surveillance automatique et qui est dépannable. Dans l’invention, une entité est dite « dépannable » si l’opérateur de maintenance peut y accéder pour déterminer si l’entité est défaillante ou pas. Selon l’invention, on considère que le coût de dépannage définit la difficulté d’identification de la défaillance par l’opérateur de maintenance, de l’entité associée à l’événement de l’arbre de défaillance augmenté. En d’autres termes, le coût de dépannage est une perte liée à la difficulté de déterminer si une entité est défaillante. Par exemple, le coût de dépannage peut servir à définir la difficulté de l’accès physique par l’opérateur de maintenance à l’entité potentiellement défaillante.

[0056] Dans l’invention, on considère que, suite à une action de dépannage d’une entité par l’opérateur de maintenance, l’évolution possible du système complexe sera accompagnée d’effets économiques mesurables. Ainsi, il a été choisi de définir le coût de dépannage comme un critère économique permettant de comparer les effets mesurés, et ce, afin de choisir les actions qui contrôlent le dépannage du système complexe de façon optimale. Le coût de dépannage permet donc de mesurer l’effet économique d’une action de dépannage donnée dans un état donné du système complexe. Le problème ainsi résolu par l’invention consiste à déterminer une séquence d’actions de dépannage à réaliser pour minimiser l’effet économique total espéré, en connaissant la distribution de probabilité de l’état initial du système complexe.

[0057] Dans une mise en oeuvre particulière de l’étape 240, on obtient le coût de dépannage à partir d’une fonction de coût dépendante d’au moins un terme qui correspond à une mesure ou à une estimation de la difficulté d’identification de la défaillance par l’opérateur de maintenance de l’entité. Par exemple, la fonction de coût est choisie parmi un groupe composé d'une fonction linéaire par morceaux, d'une fonction exponentielle et de leurs combinaisons. En outre, par exemple, le terme de la fonction de coût est choisi parmi un groupe composé du temps nécessaire pour dépanner l’entité, du nombre de personnes nécessaires pour dépanner l’entité, du coût monétaire nécessaire pour dépanner l’entité, de la difficulté d’accès pour dépanner l’entité et de leurs combinaisons.

[0058] Dans l’étape 250, on modélise par un processus de décision markovien, à partir de l’arbre de défaillance augmenté, une ou plusieurs évolutions possibles du système complexe, en réponse à au moins une action de dépannage par l’opérateur de maintenance, d’au moins une entité. Selon l’invention, on considère que l’action de dépannage correspond à une procédure d’identification de la défaillance ou la confirmation du bon fonctionnement de l’entité.

[0059] Pour rappel, un processus de décision markovien est un processus de contrôle stochastique discret. À chaque étape, le processus est dans un certain état s, et un agent choisit une action a. La probabilité que le processus arrive à l’état s' est déterminée par l’action choisie. Plus précisément, elle est décrite par la fonction de transition d’états 7(s, a, s’). Donc, l’état s' dépend de l’état actuel s et de l’action a sélectionnée par le décideur. Cependant, pour un s et un a, le prochain état est indépendant des actions et des états précédents. On dit alors que le processus satisfait la propriété de Markov. Enfin, quand le processus passe de l’état s à s’, l’agent gagne une récompense positive ou négative R(s, a, s') .

[0060] Dans une mise en oeuvre particulière de l’étape 250, on définit le processus de décision markovien dans un horizon fini selon un quadruplet {S, A, T, R] dans lequel,

- S est un ensemble définissant les états dans lesquels peut se trouver le système complexe à un instant t à partir d’un état initial de système complexe,

- A est un ensemble définissant les actions de dépannage réalisables en fonction de l’état du système complexe et qui influent sur l’évolution de l’état courant du système complexe,

- T est une fonction de transition définissant l’ensemble des probabilités de transition entre deux états du système complexe aux états t et t + 1, en réponse aux actions de dépannage de l’ensemble A. Dans une mise en oeuvre de l’invention, T(s, a, s’) correspond à la probabilité de passer à l’état s’, lorsque l’on réalise l’action a dans l’état s et que l’entité associée à l’action a est considérée comme défaillante. Ainsi, dans cette mise en oeuvre, 7 (s, a, s’) est une probabilité de défaillance,

- R est une fonction de récompense définissant l’ensemble des coûts de dépannage associés aux actions de dépannage de l’ensemble A. Dans l’invention, la récompense est négative et correspond donc à un coût. Ainsi, R(s, a, s’) est le coût perçu après avoir réalisé l’action a dans l’état s qui conduit le système dans l’état s'.

[0061 ] La figure 4 illustre un processus de décision markovien 400 qui modélise l’évolution d’un système complexe en cours de dépannage, selon une dynamique markovienne. L’exemple de processus de décision markovien 400 va maintenant être décrit selon le formalisme mentionné plus haut.

[0062] L’ensemble S du processus de décision markovien 400 est défini selon la formule suivante : 5 = ( 50,51, 52,53,54, 55,56, 57, 58,59, 510,511,512 } (2), dans laquelle l’état 50 représente l’état initial du système complexe à l’instant t = 0. Dans une mise en œuvre particulière, t est initialisé au moment où commence le dépannage du système complexe. Dans l’exemple de la figure 4, les états 51 et 52 peuvent être atteints, en partant de l’état 50, sous l’influence de l’action ai.

[0063] L’ensemble A du processus de décision markovien 400 est défini selon la formule suivante

A = { al, a2, ai, a4 } (3),

dans laquelle les indices 1, 2, 3, 4 font référence à une entité du système complexe. Ainsi, l’action al correspond à l’action de dépannage associée à l’entité 1 du système complexe. Dans l’exemple de la figure 4, dans un état donné de l’ensemble 5, une action de dépannage qui a conclu au bon fonctionnement de l’entité concernée est représentée par un cercle comprenant le texte « OK ». Par contre, une action de dépannage qui a conclu à la défaillance de l’entité concernée est représentée par un cercle comprenant le texte « KO ». Enfin, une action de dépannage qui n’a pas encore été entreprise est représentée par un cercle comprenant un point d’interrogation. Ainsi, dans la figure 4, l’état 50 décrit la situation suivante :

- l’entité 1 est considérée comme fonctionnant correctement,

- l’entité 2 est considérée comme défaillante, et

- les entités 3 et 4 n’ont pas encore été testées.

[0064] L’ensemble T du processus de décision markovien 400 est défini selon la formule suivante

T = ( pl,p2,p3, p4, p5,p6,p7, p8, p9, pl0,pll,pl2 } (4). Dans l’invention, une probabilité p de la fonction transition T correspond à la probabilité que l’entité testée soit défaillante. Grâce à l’attribution d’une valeur de probabilité d’occurrence a priori à chacun des évènements de base de l’arbre défaillance augmenté associé au système complexe, il est possible de déterminer les probabilités pi. En effet, ces probabilités correspondent à des probabilités conditionnelles définies selon la formule suivante :

T (s, a, s') = P(X t+1 = s' \ X t = s, A t = a) (5).

Ainsi, dans l’exemple de la figure 4, la probabilité p6 est obtenu en calculant la probabilité conditionnelle que l’entité 4 soit défaillante sachant que l’état précédent est 52. Sous forme mathématiques, le calcul peut être formulé comme suit :

p6 = (X t+1 = 56 \X t = 52, A t = a4) = P(56 |52, a4) (6)

Pour ce calcul, on peut faire appel à un réseau bayésien comme mentionné plus haut.

[0065] L’ensemble R du processus de décision markovien 400 est défini selon la formule suivante

R = { cl, c2 } (6). Dans l’exemple de la figure 4, cl correspond au coût associé à la réalisation de l’action 3, et c2 correspond au coût associé à la réalisation de l’action 4.

[0066] Dans l’étape 260, on détermine successivement une séquence optimale d’actions de dépannage du système complexe, selon une politique de décision qui minimise l’espérance de la somme des coûts de dépannage et qui est déterminée par l’application d’un algorithme de résolution de processus de décision markovien. Dans l’invention, on définit l’espérance d’un coût de dépannage associé à une action comme le produit entre la probabilité de transition sous l’influence de l’action et le coût de dépannage associé à cette action. Ainsi, la politique de décision obtenue par résolution du processus de décision markovien fournira l’action de dépannage à prendre dans tous les états de l’ensemble S observés successivement suite aux résultats des actions de dépannage précédentes. Toutefois, il est également envisagé d’utiliser des algorithmes dans lesquels la politique de décision obtenue par résolution du processus de décision markovien fournira l’ensemble des actions de dépannage à prendre dans tous les états que l’ensemble S pourrait théoriquement prendre.

[0067] En résolvant le processus de décision markovien, on obtient une politique qui indique quelle est l’action optimale à faire dans chaque état du système complexe. Dès lors, avec une seule et même politique, la séquence d’action qui sera finalement choisie dépendra de l’évolution réelle du processus.

[0068] Dans un exemple, l’algorithme de résolution de processus de décision markovien est choisi parmi un groupe composé de value itération (en français, itération sur les valeurs), Q-Learning, SARSA, UCT, Dynamic Programming, Policy Itération et Temporal Différence Learning.

[0069] Dans une première mise en œuvre particulière (non représentée), on détermine un état terminal du processus de décision markovien où l’on arrête de prendre des actions. En d’autres termes, dans l’état terminal du processus de décision markovien, le procédé 200 ne fourni plus d’actions à réaliser à l’opérateur de maintenance. Cette mise en œuvre a pour effet de favoriser le retour rapide à un état stable du système complexe.

[0070] Dans cette mise en œuvre particulière, on envisage le cas où T défini l’ensemble des probabilités de défaillance, comme indiqué plus haut.

[0071] Dans ce cas, on considère avoir atteint un état terminal du processus de décision markovien lorsque l’état courant du processus de décision markovien remplit la/les condition(s) suivante(s), prises seules ou en combinaison :

- un événement de base est identifié comme étant défaillant. Ce sera le cas, par exemple, lorsqu’au moins une probabilité de défaillance d’un événement de base est égale à 1 ;

- tous les événements de base sont identifiés comme n’étant pas défaillants. Ce sera le cas, par exemple, lorsque l’ensemble des probabilités de défaillance est égal à 0 ; et

- aucune action de dépannage ne peut plus être réalisée. Ce sera le cas, par exemple, lorsque tous les nœuds dépannables du système complexe ont une probabilité de défaillance égale à 0 ou 1.