CA2773360A1 - Procede et dispositif pour la determination de diagnostics - Google Patents
Procede et dispositif pour la determination de diagnostics Download PDFInfo
- Publication number
- CA2773360A1 CA2773360A1 CA2773360A CA2773360A CA2773360A1 CA 2773360 A1 CA2773360 A1 CA 2773360A1 CA 2773360 A CA2773360 A CA 2773360A CA 2773360 A CA2773360 A CA 2773360A CA 2773360 A1 CA2773360 A1 CA 2773360A1
- Authority
- CA
- Canada
- Prior art keywords
- observations
- equipment
- failure
- determining
- fault
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0808—Diagnosing performance data
Abstract
L'invention concerne un procédé pour la détermination de diagnostics pour un système comportant une pluralité d'équipements, lesdits équipements étant aptes à émettre des signaux indiquant leur état de fonctionnement, caractérisé en ce qu'il comporte les étapes suivantes : - une étape d'acquisition (111) d'observations à partir de signaux émis par les équipements du système sous diagnostic., et de détermination d'une situation globale à partir des observations acquises et d'arbres de fautes prédéterminés associés auxdites observations, un arbre de fautes décrivant des relations entre une observation et des causes racines, une cause racine indiquant une défaillance d'un équipement, - une étape de détermination (112) de situations connexes, une situation connexe étant un ensemble d'observations qui prises deux à deux ont au moins une cause racine en commun dans leur arbre de fautes, - une étape de détermination (113) de diagnostics partiels à partir de chacune des situations connexes, les diagnostics comportant des causes racines associés à des observations signalant une défaillance, - une étape de d'affichage (114) des diagnostics.
Description
Procédé et dispositif pour la détermination de diagnostics L'invention concerne le diagnostic de défaillance de systèmes et en particulier de systèmes avioniques.
Les systèmes considérés comportent plusieurs composants communiquant entre eux et avec l'environnement extérieur par l'intermédiaire d'un réseau physique. L'ensemble des équipements, incluant le réseau, constitue un système appelé système sous diagnostic.
Parmi les techniques de recherche de diagnostic, celle appelée "raisonnement basé sur les modèles" ou "Model-Based reasoning" est basée sur le traitement d'ensembles de propositions logiques.
Le comportement attendu d'un composant d'un système est décrit au moyen d'une proposition logique exprimant les relations entre ses valeurs d'entrée et ses valeurs de sorties, ou encore entre ses défaillances et les effets externes de ses défaillances.
La structure du système dans lequel un composant est utilisé est également décrit par un ensemble de propositions logiques. Cet ensemble de propositions logiques est appelé modèle.
Dans le cas général, la détection d'une défaillance se fait au moyen de la comparaison entre les valeurs d'entrée et de sortie des composants réellement observées et celles que le modèle prédit (technique dite de détection par résidus). Lorsque ces valeurs sont différentes, un ensemble d'événements (ou "ensemble d'observations") est généré, chaque événement signifiant la présence de la défaillance observée.
Les associations entre une observation, une défaillance et un ensemble de causes possibles (ou "groupe d'ambiguïtés") sont réalisées au moyen de propositions logiques.
Ainsi à titre d'exemple, on peut considérer l'association entre le groupe d'ambiguïté (al, a2, a3} et la défaillance P qui résulte d'une ou plusieurs des causes possibles al, a2 ou a3 dans le groupe d'ambigüité.
Cette association peut s'exprimer par la proposition logique :
P=al +a2+a3, où le signe "+" représente le connecteur logique "OU'.
Cette proposition logique signifie donc que la défaillance P est le résultat de l'occurrence de al ou a2 ou a3.
Les systèmes considérés comportent plusieurs composants communiquant entre eux et avec l'environnement extérieur par l'intermédiaire d'un réseau physique. L'ensemble des équipements, incluant le réseau, constitue un système appelé système sous diagnostic.
Parmi les techniques de recherche de diagnostic, celle appelée "raisonnement basé sur les modèles" ou "Model-Based reasoning" est basée sur le traitement d'ensembles de propositions logiques.
Le comportement attendu d'un composant d'un système est décrit au moyen d'une proposition logique exprimant les relations entre ses valeurs d'entrée et ses valeurs de sorties, ou encore entre ses défaillances et les effets externes de ses défaillances.
La structure du système dans lequel un composant est utilisé est également décrit par un ensemble de propositions logiques. Cet ensemble de propositions logiques est appelé modèle.
Dans le cas général, la détection d'une défaillance se fait au moyen de la comparaison entre les valeurs d'entrée et de sortie des composants réellement observées et celles que le modèle prédit (technique dite de détection par résidus). Lorsque ces valeurs sont différentes, un ensemble d'événements (ou "ensemble d'observations") est généré, chaque événement signifiant la présence de la défaillance observée.
Les associations entre une observation, une défaillance et un ensemble de causes possibles (ou "groupe d'ambiguïtés") sont réalisées au moyen de propositions logiques.
Ainsi à titre d'exemple, on peut considérer l'association entre le groupe d'ambiguïté (al, a2, a3} et la défaillance P qui résulte d'une ou plusieurs des causes possibles al, a2 ou a3 dans le groupe d'ambigüité.
Cette association peut s'exprimer par la proposition logique :
P=al +a2+a3, où le signe "+" représente le connecteur logique "OU'.
Cette proposition logique signifie donc que la défaillance P est le résultat de l'occurrence de al ou a2 ou a3.
2 De la même façon, on peut définir une défaillance Q, associée au groupe d'ambiguïté {b1, b2, b3}, qui peut s'exprimer par Q = b1 + b2 + b3 L'ensemble des effets observés est appelé, dans la suite de ce texte, "situation". La situation S dans laquelle on observe la présence simultanée (appelée "conjonction") des défaillances P et Q peut s'exprimer S=P=Q où le signe "=" représente le connecteur de conjonction logique "ET".
Cette proposition logique signifie donc que la situation S est le résultat de l'observation simultanée des défaillances P et Q.
La présence simultanée des défaillances P et Q conduit à la conjonction de leur groupe d'ambiguïté respectif et produit un nouveau groupe d'ambiguïté de causes doubles {{a1=bl), {a1=b2), (a1.b3), (a2=bl), {a2=b2), (a2=b3), (a3=bl), (a3=b2) , (a3-b3)) Qu'on peut exprimer également par la proposition logique P=Q = (a1=b1) + (a1=b2) + (a1=b3) + (a2=bl) + (a2=b2) + (a2=b3) + (a3=bl) +
(a3=b2) + (a3=b3) Cette forme d'expression est le résultat du développement de l'expression P=Q suivant les règles de l'algèbre de Boole et généralement obtenu par des méthodes de type "SAT-Solver" dédiés à ce type de recherche.
Dans les systèmes de maintenance connu, la présence simultanée de plusieurs défaillances pause problème. En effet, le système de maintenance présente chaque couple de causes du groupe d'ambigüité à un opérateur de maintenance. L'opérateur de maintenance doit donc lever le doute parmi un groupe d'ambiguïté de défaillances doubles, dans le cas présent il s'agit de 9 couples d'ambiguïtés. Dans le cas d'un système réel, le nombre de couples peut être beaucoup élevé.
De plus, les calculs de type SAT-solver, appliqués sur des conjonctions telles que celle-ci conduisent généralement à des temps de calculs trop importants ou des volumes mémoire dépassant les capacités des calculateurs.
On connaît déjà par la demande de brevet US2010/0100259, une méthode de diagnostic basée sur des relations logiques. Cependant, une telle méthode ne comprend pas de traitements spécifiques visant à simplifier les calculs en cas de défaillances multiples.
Cette proposition logique signifie donc que la situation S est le résultat de l'observation simultanée des défaillances P et Q.
La présence simultanée des défaillances P et Q conduit à la conjonction de leur groupe d'ambiguïté respectif et produit un nouveau groupe d'ambiguïté de causes doubles {{a1=bl), {a1=b2), (a1.b3), (a2=bl), {a2=b2), (a2=b3), (a3=bl), (a3=b2) , (a3-b3)) Qu'on peut exprimer également par la proposition logique P=Q = (a1=b1) + (a1=b2) + (a1=b3) + (a2=bl) + (a2=b2) + (a2=b3) + (a3=bl) +
(a3=b2) + (a3=b3) Cette forme d'expression est le résultat du développement de l'expression P=Q suivant les règles de l'algèbre de Boole et généralement obtenu par des méthodes de type "SAT-Solver" dédiés à ce type de recherche.
Dans les systèmes de maintenance connu, la présence simultanée de plusieurs défaillances pause problème. En effet, le système de maintenance présente chaque couple de causes du groupe d'ambigüité à un opérateur de maintenance. L'opérateur de maintenance doit donc lever le doute parmi un groupe d'ambiguïté de défaillances doubles, dans le cas présent il s'agit de 9 couples d'ambiguïtés. Dans le cas d'un système réel, le nombre de couples peut être beaucoup élevé.
De plus, les calculs de type SAT-solver, appliqués sur des conjonctions telles que celle-ci conduisent généralement à des temps de calculs trop importants ou des volumes mémoire dépassant les capacités des calculateurs.
On connaît déjà par la demande de brevet US2010/0100259, une méthode de diagnostic basée sur des relations logiques. Cependant, une telle méthode ne comprend pas de traitements spécifiques visant à simplifier les calculs en cas de défaillances multiples.
3 L'invention vise à pallier les problèmes cités précédemment en proposant un procédé de détermination de diagnostics comprenant un traitement spécifique visant à réduire le nombre d'ambigüités (c'est-à-dire le nombre de combinaisons de causes possibles) en cas de défaillances multiples.
A cet effet, l'invention a pour objet un procédé pour la détermination de diagnostics pour un système comportant une pluralité
d'équipements, lesdits équipements étant aptes à émettre des signaux indiquant leur état de fonctionnement, caractérisé en ce qu'il comporte les étapes suivantes :
- une étape d'acquisition d'observations à partir de signaux émis par les équipements du système sous diagnostic, et de détermination d'une situation globale à partir des observations acquises et d'arbres de fautes prédéterminés associés auxdites observations, un arbre de fautes décrivant des relations entre une observation et des causes racines, une cause racine indiquant une défaillance d'un équipement, - une étape de détermination de situations connexes, une situation connexe étant un ensemble d'observations qui prises deux à deux ont au moins une cause racine en commun dans leur arbre de fautes, - une étape de détermination de diagnostics partiels à partir de chacune des situations connexes, les diagnostics comportant des causes racines associés à des observations signalant une défaillance, - une étape de d'affichage des diagnostics.
L'invention décrit un procédé de recherche de diagnostic minimal permettant de conduire efficacement les opérations de lever de doute dans le cas de défaillances multiples. Les opérations de lever de doute sont menées par un opérateur de maintenance qui examine successivement les causes diagnostiquées comme étant à l'origine des défaillances observées.
L'invention propose une représentation du diagnostic limitant le nombre d'ambiguïtés sur lesquelles l'opérateur devra lancer ses investigations. Dans l'exemple précédant, le procédé selon l'invention ne présentera pas 9 couples d'ambiguïtés mais 2 groupes d'ambiguïtés composés chacun de 3 ambiguïtés simples.
L'invention décrit un procédé de recherche de diagnostic minimal permettant de conduire les opérations de lever de doute dans le cas de
A cet effet, l'invention a pour objet un procédé pour la détermination de diagnostics pour un système comportant une pluralité
d'équipements, lesdits équipements étant aptes à émettre des signaux indiquant leur état de fonctionnement, caractérisé en ce qu'il comporte les étapes suivantes :
- une étape d'acquisition d'observations à partir de signaux émis par les équipements du système sous diagnostic, et de détermination d'une situation globale à partir des observations acquises et d'arbres de fautes prédéterminés associés auxdites observations, un arbre de fautes décrivant des relations entre une observation et des causes racines, une cause racine indiquant une défaillance d'un équipement, - une étape de détermination de situations connexes, une situation connexe étant un ensemble d'observations qui prises deux à deux ont au moins une cause racine en commun dans leur arbre de fautes, - une étape de détermination de diagnostics partiels à partir de chacune des situations connexes, les diagnostics comportant des causes racines associés à des observations signalant une défaillance, - une étape de d'affichage des diagnostics.
L'invention décrit un procédé de recherche de diagnostic minimal permettant de conduire efficacement les opérations de lever de doute dans le cas de défaillances multiples. Les opérations de lever de doute sont menées par un opérateur de maintenance qui examine successivement les causes diagnostiquées comme étant à l'origine des défaillances observées.
L'invention propose une représentation du diagnostic limitant le nombre d'ambiguïtés sur lesquelles l'opérateur devra lancer ses investigations. Dans l'exemple précédant, le procédé selon l'invention ne présentera pas 9 couples d'ambiguïtés mais 2 groupes d'ambiguïtés composés chacun de 3 ambiguïtés simples.
L'invention décrit un procédé de recherche de diagnostic minimal permettant de conduire les opérations de lever de doute dans le cas de
4 défaillances multiples en réduisant les tâches d'investigation à leur nombre minimal. Ce résultat est obtenu grâce à un traitement préalable des propositions logiques qui a pour effet de ne pas développer toutes les combinaisons de causes possibles. Le résultat sera plutôt réduit à des combinaisons de groupe d'ambiguïtés.
Le procédé selon l'invention permet en outre des calculs plus rapides et nécessitant moins de ressources mémoire. C'est un effet de l'usage de la représentation d'expressions Booléennes par des diagrammes de décision binaires (ou BDD pour Binary Decision Diagram) utilisé pour représenter les arbres de fautes.
Selon une caractéristique de l'invention, l'étape de détermination de situations connexes comporte les sous-étapes suivantes :
- la détermination d'un arbre de faute réduit à partir de la situation globale et d'observations indiquant des non défaillances, l'arbre de faute réduit étant obtenu en retirant de la situation globale les causes associées aux observations de non défaillances, - une étape de partitionnement visant à déterminer des sous arbres de fautes ne partageant pas de causes racines.
Selon une caractéristique de l'invention, le procédé comporte, en outre, une phase de préparation pour déterminer un ensemble d'arbres de fautes associés individuellement à chacun des effets observables à partir d'une description du système, lesdits arbres étant stockés dans la base d'arbres prédéterminés.
Selon une caractéristique de l'invention, la phase de préparation comporte les étapes suivantes :
- pour la chaque effet observable :
- la génération d'un arbre de faute à partir d'une description du système sous diagnostic, l'enregistrement de l'arbre généré dans la base de données des arbres de fautes, - l'extraction d'un groupe d'ambigüité de l'arbre de fautes généré et l'enregistrement du groupe d'ambigüité dans la base de données des arbres de fautes, Selon une caractéristique de l'invention, l'affichage est découpé
en une pluralité de parties, chacune des parties regroupant des diagnostics ayant un nombre identique de causes simultanées à l'origine de la défaillance observée.
Selon une caractéristique de l'invention, l'affichage comporte en outre un espace supplémentaire dédié à l'affichage de groupes d'ambigüités
Le procédé selon l'invention permet en outre des calculs plus rapides et nécessitant moins de ressources mémoire. C'est un effet de l'usage de la représentation d'expressions Booléennes par des diagrammes de décision binaires (ou BDD pour Binary Decision Diagram) utilisé pour représenter les arbres de fautes.
Selon une caractéristique de l'invention, l'étape de détermination de situations connexes comporte les sous-étapes suivantes :
- la détermination d'un arbre de faute réduit à partir de la situation globale et d'observations indiquant des non défaillances, l'arbre de faute réduit étant obtenu en retirant de la situation globale les causes associées aux observations de non défaillances, - une étape de partitionnement visant à déterminer des sous arbres de fautes ne partageant pas de causes racines.
Selon une caractéristique de l'invention, le procédé comporte, en outre, une phase de préparation pour déterminer un ensemble d'arbres de fautes associés individuellement à chacun des effets observables à partir d'une description du système, lesdits arbres étant stockés dans la base d'arbres prédéterminés.
Selon une caractéristique de l'invention, la phase de préparation comporte les étapes suivantes :
- pour la chaque effet observable :
- la génération d'un arbre de faute à partir d'une description du système sous diagnostic, l'enregistrement de l'arbre généré dans la base de données des arbres de fautes, - l'extraction d'un groupe d'ambigüité de l'arbre de fautes généré et l'enregistrement du groupe d'ambigüité dans la base de données des arbres de fautes, Selon une caractéristique de l'invention, l'affichage est découpé
en une pluralité de parties, chacune des parties regroupant des diagnostics ayant un nombre identique de causes simultanées à l'origine de la défaillance observée.
Selon une caractéristique de l'invention, l'affichage comporte en outre un espace supplémentaire dédié à l'affichage de groupes d'ambigüités
5 masqués.
L'invention concerne aussi un dispositif pour la détermination de diagnostics pour un système comportant une pluralité d'équipements, lesdits équipements étant aptes à émettre des signaux indiquant leur état de fonctionnement, caractérisé en ce qu'il comporte :
- des moyens pour l'acquisition d'observations à partir de signaux émis par les équipements du système sous diagnostic.
- des moyens pour la détermination d'une situation globale à partir des observations acquises et d'arbres de fautes prédéterminés associés auxdites observations, un arbre de fautes décrivant des relations entre une observation et des causes racines, une cause racine indiquant une défaillance d'un équipement, - des moyens pour la détermination de situations connexes, une situation connexe étant un ensemble d'observations qui prises deux à deux ont au moins une cause racine en commun dans leur arbre de fautes, - des moyens pour détermination de diagnostics partiels à partir de chacune des situations connexes, les diagnostics comportant des causes racines associés à des observations signalant une défaillance, - des moyens pour l'affichage des diagnostics.
L'invention sera mieux comprise et d'autres avantages apparaîtront à la lecture de la description détaillée faite à titre d'exemple non limitatif et à l'aide des figures parmi lesquelles :
La figure 1 montre un exemple de groupes d'ambiguïté associés à
des observations.
La figure 2 montre un exemple d'un ensemble d'équipements aptes à émettre des signaux indiquant leur état de fonctionnement.
La figure 3 montre un diagramme du procédé selon l'invention.
La figure 4 montre un diagramme illustrant les étapes de la phase de préparation.
La figure 5 montre en détails les étapes d'acquisition et de détermination de situations connexes.
L'invention concerne aussi un dispositif pour la détermination de diagnostics pour un système comportant une pluralité d'équipements, lesdits équipements étant aptes à émettre des signaux indiquant leur état de fonctionnement, caractérisé en ce qu'il comporte :
- des moyens pour l'acquisition d'observations à partir de signaux émis par les équipements du système sous diagnostic.
- des moyens pour la détermination d'une situation globale à partir des observations acquises et d'arbres de fautes prédéterminés associés auxdites observations, un arbre de fautes décrivant des relations entre une observation et des causes racines, une cause racine indiquant une défaillance d'un équipement, - des moyens pour la détermination de situations connexes, une situation connexe étant un ensemble d'observations qui prises deux à deux ont au moins une cause racine en commun dans leur arbre de fautes, - des moyens pour détermination de diagnostics partiels à partir de chacune des situations connexes, les diagnostics comportant des causes racines associés à des observations signalant une défaillance, - des moyens pour l'affichage des diagnostics.
L'invention sera mieux comprise et d'autres avantages apparaîtront à la lecture de la description détaillée faite à titre d'exemple non limitatif et à l'aide des figures parmi lesquelles :
La figure 1 montre un exemple de groupes d'ambiguïté associés à
des observations.
La figure 2 montre un exemple d'un ensemble d'équipements aptes à émettre des signaux indiquant leur état de fonctionnement.
La figure 3 montre un diagramme du procédé selon l'invention.
La figure 4 montre un diagramme illustrant les étapes de la phase de préparation.
La figure 5 montre en détails les étapes d'acquisition et de détermination de situations connexes.
6 La figure 6 illustre un exemple d'un arbre avant et après partitionnement.
La figure 7 présente un diagramme des étapes de détermination de diagnostics partiels et de fusion.
La figure 8 présente un premier exemple d'affichage selon l'invention.
La figure 9 présente un exemple de système sous diagnostic.
La figure 10 présente un second exemple d'affichage selon l'invention.
Le procédé pour la détermination de diagnostics s'applique à des systèmes comportant une pluralité d'équipements. Les équipements sont aptes à émettre des signaux indiquant leur état de fonctionnement.
C'est par exemple le cas des équipements avioniques qui sont généralement pourvus d'une fonction auxiliaire à la maintenance, connue sous le sigle "BITE", tirée de l'expression anglo-saxonne "Built In Test Equipement". Cette fonction a la charge de fournir, à chaque fois qu'elle a engendré une alarme de non-disponibilité en exécution de sa fonction principale de sécurité du vol, un rapport d'état de fonctionnement plus ou moins détaillé destiné à enrichir un rapport de post-vol dit PFR ou LLR de l'anglo-saxon "Post Flight Report" ou "East Leg Report" fait à l'intention du personnel de maintenance au sol.
Les défaillances sont des pertes ou des absences de service qu'un équipement peut présenter. Une défaillance peut être produite par une autre défaillance. La recherche de la cause à l'origine d'une défaillance est importante pour pouvoir agir sur la remise en état dudit système. Lorsque la recherche de la cause à l'origine d'une défaillance n'est plus nécessaire, la dernière défaillance est appelée "cause racine". Une cause racine peut être une panne matérielle, une erreur logicielle ou bien un état de l'environnement du système incompatible avec le mode de fonctionnement dudit système.
Une classification des défaillances est présentée dans le document Fundamental Concepts of Dependability. Third Information Survivability Workshop. Boston. (Avizienis, A., Laprie, J.-C., & Randell, B. (2000)).
Ces défaillances sont observées au travers de leurs "effets". Ces effets peuvent avoir plusieurs causes racines pour origine. Lors de l'observation d'un effet, il existe donc une ambiguïté quant à l'origine de la
La figure 7 présente un diagramme des étapes de détermination de diagnostics partiels et de fusion.
La figure 8 présente un premier exemple d'affichage selon l'invention.
La figure 9 présente un exemple de système sous diagnostic.
La figure 10 présente un second exemple d'affichage selon l'invention.
Le procédé pour la détermination de diagnostics s'applique à des systèmes comportant une pluralité d'équipements. Les équipements sont aptes à émettre des signaux indiquant leur état de fonctionnement.
C'est par exemple le cas des équipements avioniques qui sont généralement pourvus d'une fonction auxiliaire à la maintenance, connue sous le sigle "BITE", tirée de l'expression anglo-saxonne "Built In Test Equipement". Cette fonction a la charge de fournir, à chaque fois qu'elle a engendré une alarme de non-disponibilité en exécution de sa fonction principale de sécurité du vol, un rapport d'état de fonctionnement plus ou moins détaillé destiné à enrichir un rapport de post-vol dit PFR ou LLR de l'anglo-saxon "Post Flight Report" ou "East Leg Report" fait à l'intention du personnel de maintenance au sol.
Les défaillances sont des pertes ou des absences de service qu'un équipement peut présenter. Une défaillance peut être produite par une autre défaillance. La recherche de la cause à l'origine d'une défaillance est importante pour pouvoir agir sur la remise en état dudit système. Lorsque la recherche de la cause à l'origine d'une défaillance n'est plus nécessaire, la dernière défaillance est appelée "cause racine". Une cause racine peut être une panne matérielle, une erreur logicielle ou bien un état de l'environnement du système incompatible avec le mode de fonctionnement dudit système.
Une classification des défaillances est présentée dans le document Fundamental Concepts of Dependability. Third Information Survivability Workshop. Boston. (Avizienis, A., Laprie, J.-C., & Randell, B. (2000)).
Ces défaillances sont observées au travers de leurs "effets". Ces effets peuvent avoir plusieurs causes racines pour origine. Lors de l'observation d'un effet, il existe donc une ambiguïté quant à l'origine de la
7 défaillance. On appelle "groupe d'ambiguïté" d'un effet, l'ensemble des causes racine pouvant être à l'origine de cet effet.
Lors d'une défaillance simple, l'observation de l'ensemble des effets produits (on parle alors d'une conjonction d'observations) conduit à
l'élaboration d'un diagnostic qui, généralement, désigne un groupe d'ambiguïté.
Lors de défaillances multiples, la conjonction des observations conduit à une conjonction de plusieurs groupes d'ambiguïté qui a pour effet l'élaboration d'un diagnostic qui, généralement, désigne un ensemble de groupes de causes simultanées. On appelle "groupe de causes simultanées"
un ensemble de causes qui, produites simultanément, conduisent à
l'observation des défaillances multiples.
La figure 1 montre un exemple de groupes d'ambiguïté associés à
des observations. La figure montre :
- une première observation Po d'une première défaillance P associée à
un premier groupe d'ambigüité comprenant les défaillances a1, a2 et a3, et - une seconde observation Qo d'une seconde défaillance P associée à
un second groupe d'ambiguïté comprenant les défaillances b1, b2 et b3.
La présence simultanée des défaillances P et Q conduit à la conjonction des groupes d'ambiguïté associées et produit un nouveau groupe d'ambiguïté de pannes doubles qu'on peut exprimer par la proposition logique P=Q = (alibi) + (a1 =b2) + (a1=b3) + (a2=bl) + (a2=b2) +
(a2=b3) + (a3=b 1) + (a3=b2) + (a3=b3) La figure 2 montre un autre exemple d'un ensemble d'équipements aptes à émettre des signaux indiquant leur état de fonctionnement. Les signaux sont réceptionnés par un calculateur de maintenance CMS mettant en oeuvre le procédé selon l'invention. Le premier équipement El comprend une première unité de calcul LR1 (pour Line Replaceable Unit), comprenant une fonction de maintenance BITE, et alimentée par une première alimentation. Un second équipement E2 comprend une seconde unité de calcul LRU2 comprenant une fonction de maintenance BITE. Le second équipement comprend aussi une sonde Probe
Lors d'une défaillance simple, l'observation de l'ensemble des effets produits (on parle alors d'une conjonction d'observations) conduit à
l'élaboration d'un diagnostic qui, généralement, désigne un groupe d'ambiguïté.
Lors de défaillances multiples, la conjonction des observations conduit à une conjonction de plusieurs groupes d'ambiguïté qui a pour effet l'élaboration d'un diagnostic qui, généralement, désigne un ensemble de groupes de causes simultanées. On appelle "groupe de causes simultanées"
un ensemble de causes qui, produites simultanément, conduisent à
l'observation des défaillances multiples.
La figure 1 montre un exemple de groupes d'ambiguïté associés à
des observations. La figure montre :
- une première observation Po d'une première défaillance P associée à
un premier groupe d'ambigüité comprenant les défaillances a1, a2 et a3, et - une seconde observation Qo d'une seconde défaillance P associée à
un second groupe d'ambiguïté comprenant les défaillances b1, b2 et b3.
La présence simultanée des défaillances P et Q conduit à la conjonction des groupes d'ambiguïté associées et produit un nouveau groupe d'ambiguïté de pannes doubles qu'on peut exprimer par la proposition logique P=Q = (alibi) + (a1 =b2) + (a1=b3) + (a2=bl) + (a2=b2) +
(a2=b3) + (a3=b 1) + (a3=b2) + (a3=b3) La figure 2 montre un autre exemple d'un ensemble d'équipements aptes à émettre des signaux indiquant leur état de fonctionnement. Les signaux sont réceptionnés par un calculateur de maintenance CMS mettant en oeuvre le procédé selon l'invention. Le premier équipement El comprend une première unité de calcul LR1 (pour Line Replaceable Unit), comprenant une fonction de maintenance BITE, et alimentée par une première alimentation. Un second équipement E2 comprend une seconde unité de calcul LRU2 comprenant une fonction de maintenance BITE. Le second équipement comprend aussi une sonde Probe
8 qui fournit à LRU2 des mesures par exemple d'altitude, de température, etc....
Le BITE de la première unité de calcul LRU1 émet un message P
ayant pour signification l'alimentation aliml est défaillante ou l'unité de calcul LRU1 est défaillante, ce qui peut s'exprimer P = AIim1 + LRU1.
Le BITE de la deuxième unité de calcul LRU2 émet un message Q
ayant pour signification l'alimentation aliml est défaillante ou l'unité de calcul LRU1 est défaillante ou la mesure fournie par la sonde Probe est défaillante, ce qui peut s'exprimer comme suit :
Q = LRU2 + Probe + alim2 L'observation de P et Q conduira à P=Q = (LRU2 + Probe +
alim2)=(LRU1+aliml) soit en développant l'expression:
P=Q=(LRU1 =LRU2)+(LRU2=aliml)+(Probe=LRU1)+(Probe=aliml ) + (alim2=LRU 1)+( aliml.alim2).
L'invention permet de réduire la complexité de traitement et de présentation d'un diagnostic de défaillances multiples.
La figure 3 montre un diagramme du procédé selon l'invention. Le procédé selon l'invention comporte une phase de préparation 10 consistant à
générer ou éditer un ensemble d'arbres de fautes associés individuellement à chacun des effets observables et une phase d'exploitation 11.
Durant la phase de préparation, une base de données des arbres de fautes 12 est construite contenant l'ensemble des arbres de faute associés à chaque observation. La figure 4 montre un diagramme illustrant les étapes de la phase de préparation. La phase de préparation comporte les étapes suivantes :
- pour la chaque effet observable :
- la détermination 302 d'un arbre de faute à partir d'une description du système sous diagnostic 301, l'enregistrement de l'arbre généré dans la base de données des arbres de fautes 12, - l'extraction 304 d'un groupe d'ambigüité de l'arbre de fautes généré et l'enregistrement du groupe d'ambigüité dans la base de données des arbres de fautes 12, La description du système sous diagnostic indiquant notamment les différents éléments du système et leur relation physique ou fonctionnelle.
Le BITE de la première unité de calcul LRU1 émet un message P
ayant pour signification l'alimentation aliml est défaillante ou l'unité de calcul LRU1 est défaillante, ce qui peut s'exprimer P = AIim1 + LRU1.
Le BITE de la deuxième unité de calcul LRU2 émet un message Q
ayant pour signification l'alimentation aliml est défaillante ou l'unité de calcul LRU1 est défaillante ou la mesure fournie par la sonde Probe est défaillante, ce qui peut s'exprimer comme suit :
Q = LRU2 + Probe + alim2 L'observation de P et Q conduira à P=Q = (LRU2 + Probe +
alim2)=(LRU1+aliml) soit en développant l'expression:
P=Q=(LRU1 =LRU2)+(LRU2=aliml)+(Probe=LRU1)+(Probe=aliml ) + (alim2=LRU 1)+( aliml.alim2).
L'invention permet de réduire la complexité de traitement et de présentation d'un diagnostic de défaillances multiples.
La figure 3 montre un diagramme du procédé selon l'invention. Le procédé selon l'invention comporte une phase de préparation 10 consistant à
générer ou éditer un ensemble d'arbres de fautes associés individuellement à chacun des effets observables et une phase d'exploitation 11.
Durant la phase de préparation, une base de données des arbres de fautes 12 est construite contenant l'ensemble des arbres de faute associés à chaque observation. La figure 4 montre un diagramme illustrant les étapes de la phase de préparation. La phase de préparation comporte les étapes suivantes :
- pour la chaque effet observable :
- la détermination 302 d'un arbre de faute à partir d'une description du système sous diagnostic 301, l'enregistrement de l'arbre généré dans la base de données des arbres de fautes 12, - l'extraction 304 d'un groupe d'ambigüité de l'arbre de fautes généré et l'enregistrement du groupe d'ambigüité dans la base de données des arbres de fautes 12, La description du système sous diagnostic indiquant notamment les différents éléments du système et leur relation physique ou fonctionnelle.
9 La détermination des arbres de fautes est basée sur la connaissance des relations entre les défaillances d'un composant (cause racine) et les effets de ces défaillances (FMEA - Failure Mode Effect Analysis). Ces relations entre les défaillances et leurs effets sont exprimées soit par des relations logiques soit sous forme graphique au moyen d'un arbre de fautes (FTA - Fault Tree Analysis).
Le groupe d'ambiguïté est constitué ici de l'ensemble des causes racines impliquant l'observation.
Dans l'exemple précédant, on obtient un premier groupe d'ambigüité GA(P) pour l'observation Po avec GA(P) = {al,a2,a3} et un second groupe d'ambigüité GA(Q) pour l'observation Qo avec GA(q) _ {bl,b2,b3}
La phase d'exploitation comporte les étapes suivantes :
- une étape d'acquisition 111 d'observations à partir de signaux émis par les équipements du système sous diagnostic. Cette étape détermine une situation globale à partir des observations acquises et d'arbres de fautes prédéterminés associés auxdites observations, un arbre de fautes décrivant des relations entre une observation et des causes racines, une cause racine indiquant une défaillance d'un équipement, - une étape de détermination 112 de situations connexes, une situation connexe étant un ensemble d'observations qui prises deux à deux ont au moins une cause racine en commun dans leur arbre de fautes, - une étape de détermination 113 de diagnostics partiels à partir de chacune des situations connexes, les diagnostics comportant des causes racines associés à des observations signalant une défaillance, - une étape de d'affichage 114 des diagnostics.
L'étape de détermination 112 de situations connexes permet de simplifier l'étape de détermination de diagnostic 113. En effet, lorsque deux ensembles d'observations n'ont pas de causes en commun, le principe de factorisation n'a pas de causes communes à extraite et donc ne présente aucun intérêt. Tout au plus, la conjonction augmente la complexité du résultat.
La figure 5 montre en détails les étapes d'acquisition 111 et de détermination 112 de situations connexes.
L'acquisition 111 comporte l'acquisition d'observations à partir de signaux émis par les équipements du système sous diagnostic. Par exemple, pour un système sous diagnostic dans le domaine de l'avionique, les différents calculateurs sont équipés de fonctions de maintenance capable 5 d'émettre des messages sur leur état de fonctionnement.
Une observation typique est, par exemple, un message portant le résultat d'un test, positif si la défaillance a été effectivement observée, négatif dans le cas contraire.
La situation globale sera alors constituée de l'ensemble des
Le groupe d'ambiguïté est constitué ici de l'ensemble des causes racines impliquant l'observation.
Dans l'exemple précédant, on obtient un premier groupe d'ambigüité GA(P) pour l'observation Po avec GA(P) = {al,a2,a3} et un second groupe d'ambigüité GA(Q) pour l'observation Qo avec GA(q) _ {bl,b2,b3}
La phase d'exploitation comporte les étapes suivantes :
- une étape d'acquisition 111 d'observations à partir de signaux émis par les équipements du système sous diagnostic. Cette étape détermine une situation globale à partir des observations acquises et d'arbres de fautes prédéterminés associés auxdites observations, un arbre de fautes décrivant des relations entre une observation et des causes racines, une cause racine indiquant une défaillance d'un équipement, - une étape de détermination 112 de situations connexes, une situation connexe étant un ensemble d'observations qui prises deux à deux ont au moins une cause racine en commun dans leur arbre de fautes, - une étape de détermination 113 de diagnostics partiels à partir de chacune des situations connexes, les diagnostics comportant des causes racines associés à des observations signalant une défaillance, - une étape de d'affichage 114 des diagnostics.
L'étape de détermination 112 de situations connexes permet de simplifier l'étape de détermination de diagnostic 113. En effet, lorsque deux ensembles d'observations n'ont pas de causes en commun, le principe de factorisation n'a pas de causes communes à extraite et donc ne présente aucun intérêt. Tout au plus, la conjonction augmente la complexité du résultat.
La figure 5 montre en détails les étapes d'acquisition 111 et de détermination 112 de situations connexes.
L'acquisition 111 comporte l'acquisition d'observations à partir de signaux émis par les équipements du système sous diagnostic. Par exemple, pour un système sous diagnostic dans le domaine de l'avionique, les différents calculateurs sont équipés de fonctions de maintenance capable 5 d'émettre des messages sur leur état de fonctionnement.
Une observation typique est, par exemple, un message portant le résultat d'un test, positif si la défaillance a été effectivement observée, négatif dans le cas contraire.
La situation globale sera alors constituée de l'ensemble des
10 résultats de test recueillis dans ledit système exprimée sous la forme d'une conjonction logique des différentes observations.
L'étape de détermination de situations connexes 112 comporte deux sous-étapes : une étape de disculpation 112.1 et une étape de partitionnement 112.2 :
La sous étape de disculpation 112.1 comporte la détermination d'un arbre de faute réduit de la situation globale. L'arbre de faute de la situation globale est constitué de l'ensemble des causes possibles conduisant à l'observation de la situation globale. Parmi ces causes possibles, on trouve des pannes matérielles, des erreurs logicielles ou bien des états de l'environnement du système incompatibles avec le mode de fonctionnement dudit système.
Un arbre de faute réduit est obtenu à partir d'un arbre de faute en retirant de l'arbre, les causes associées à des effets dont le résultat des tests est négatif (i.e. l'effet n'a pas été observé) et les états connus du système qui n'ont pas pu produire la situation. Par exemple, si une situation peut être produites par une panne de sonde d'altitude (panne matérielle) ou une "altitude trop basse" (par exemple, un état du système ayant une altitude inférieure à 10 mètres) et que par ailleurs on détermine que l'avion vole à
10000 mètres on peut donc retirer de l'arbre la cause "altitude trop basse".
L'arbre de faute réduit est donc un arbre de faute dans lequel ne restent que les causes qui n'ont pu être écartées grâce à la prise en compte des observations de non défaillance et des états connus du système sous diagnostic.
L'étape de détermination de situations connexes 112 comporte deux sous-étapes : une étape de disculpation 112.1 et une étape de partitionnement 112.2 :
La sous étape de disculpation 112.1 comporte la détermination d'un arbre de faute réduit de la situation globale. L'arbre de faute de la situation globale est constitué de l'ensemble des causes possibles conduisant à l'observation de la situation globale. Parmi ces causes possibles, on trouve des pannes matérielles, des erreurs logicielles ou bien des états de l'environnement du système incompatibles avec le mode de fonctionnement dudit système.
Un arbre de faute réduit est obtenu à partir d'un arbre de faute en retirant de l'arbre, les causes associées à des effets dont le résultat des tests est négatif (i.e. l'effet n'a pas été observé) et les états connus du système qui n'ont pas pu produire la situation. Par exemple, si une situation peut être produites par une panne de sonde d'altitude (panne matérielle) ou une "altitude trop basse" (par exemple, un état du système ayant une altitude inférieure à 10 mètres) et que par ailleurs on détermine que l'avion vole à
10000 mètres on peut donc retirer de l'arbre la cause "altitude trop basse".
L'arbre de faute réduit est donc un arbre de faute dans lequel ne restent que les causes qui n'ont pu être écartées grâce à la prise en compte des observations de non défaillance et des états connus du système sous diagnostic.
11 On appelle observations de non défaillance les observations qui ont été recueillies pendant l'étape de capture et dont la valeur indique que l'effet surveillé ne s'est pas produit.
En reprenant l'exemple précédant, on suppose que l'on observe la première observation Po (avec le premier groupe d'ambigüité GA(P) =
{al,a2,a3}) et la seconde observation Qo (avec le second groupe d'ambigüité
GA(Q) = {bl,b2,b3}). On suppose qu'une troisième défaillance R ayant le groupe d'ambigüité GA(R)= {a1,bl} n'est pas observée. Les causes al et b1 sont donc disculpées. On peut affirmer qu'elles ne sont pas à l'origine des observations Po et Qo. L'arbre de fautes réduit est obtenu est retirant ces deux causes de l'arbre de fautes.
Une étape de partitionnement est appliquée sur l'arbre de faute réduit. L'étape de partitionnement 112.2 consiste à identifier des sous arbres de fautes qui ne partagent pas de cause racine.
La figure 6 illustre un exemple d'un arbre avant et après partitionnement. Dans cet exemple, on dispose d'un arbre de faute réduit représentant la situation de deux observations. Ces deux observations sont associées à leur groupe d'ambigüités respectif:
P=a+b+c+d et Q=a+b+e+f.
Le partitionnement a séparé l'arbre de faute réduit correspondant à la situation P et Q en sous arbres sans causes communes SA10, SA21 et SA22.
Un premier sous-arbre SA10 comprend les causes a et b, un deuxième sous arbre SA21 comprend les causes c et d et un troisième sous arbre comprend les causes e et f.
La figure 7 présente un diagramme des étapes de détermination de diagnostics partiels et de fusion.
Une étape de recherche de coupes minimales est appliquée sur chacun des sous-arbres.
Une méthode de recherche de coupe minimale (aussi appelé
positive cut) est présenté dans l'article Exact and Truncated computation of prime implicant of coherent and non-coherent Fault Tree with Aralia.
(Elsevier, Éd.)Dutuit, Y., & Rauzy, A. (2001, aout 21). On appelle coupe minimale "minimal p-cut' dans le document. "p-cut" pour "positive cut"
simplement parce que s'agissant de défaillance on ne s'intéresse qu'aux
En reprenant l'exemple précédant, on suppose que l'on observe la première observation Po (avec le premier groupe d'ambigüité GA(P) =
{al,a2,a3}) et la seconde observation Qo (avec le second groupe d'ambigüité
GA(Q) = {bl,b2,b3}). On suppose qu'une troisième défaillance R ayant le groupe d'ambigüité GA(R)= {a1,bl} n'est pas observée. Les causes al et b1 sont donc disculpées. On peut affirmer qu'elles ne sont pas à l'origine des observations Po et Qo. L'arbre de fautes réduit est obtenu est retirant ces deux causes de l'arbre de fautes.
Une étape de partitionnement est appliquée sur l'arbre de faute réduit. L'étape de partitionnement 112.2 consiste à identifier des sous arbres de fautes qui ne partagent pas de cause racine.
La figure 6 illustre un exemple d'un arbre avant et après partitionnement. Dans cet exemple, on dispose d'un arbre de faute réduit représentant la situation de deux observations. Ces deux observations sont associées à leur groupe d'ambigüités respectif:
P=a+b+c+d et Q=a+b+e+f.
Le partitionnement a séparé l'arbre de faute réduit correspondant à la situation P et Q en sous arbres sans causes communes SA10, SA21 et SA22.
Un premier sous-arbre SA10 comprend les causes a et b, un deuxième sous arbre SA21 comprend les causes c et d et un troisième sous arbre comprend les causes e et f.
La figure 7 présente un diagramme des étapes de détermination de diagnostics partiels et de fusion.
Une étape de recherche de coupes minimales est appliquée sur chacun des sous-arbres.
Une méthode de recherche de coupe minimale (aussi appelé
positive cut) est présenté dans l'article Exact and Truncated computation of prime implicant of coherent and non-coherent Fault Tree with Aralia.
(Elsevier, Éd.)Dutuit, Y., & Rauzy, A. (2001, aout 21). On appelle coupe minimale "minimal p-cut' dans le document. "p-cut" pour "positive cut"
simplement parce que s'agissant de défaillance on ne s'intéresse qu'aux
12 symboles positif, par ex. "a" signifie "défaillance a présente" alors que "-,a"
signifie "pas de défaillance a".
Dans le p-cut, on a une expression uniquement symbolique qui exprime le fait par exemple qu'une situation S=a + -,b est observable si a est présent ou b est absent. La notion de coupe minimale peut être associée au résultat de la propriété d'absorption de l'algèbre de Boole.
En effet, on appelle coupe minimale une défaillance (ou une conjonction de défaillances) dont la présence suffit à expliquer la situation observée. On dira que les autres défaillances sont masquées par cette défaillance minimale.
La figure 9 illustre le mécanisme de masquage par une coupe minimale. Elle présente un exemple de système sous diagnostic SUD1 comportant une première unité de calcul LRUI connectée à une seconde unité de calcul LRU2. La seconde unité de calcul est alimentée par une alimentation Pwrl via une sonde Probe.
La fonction de maintenance BITE de la seconde unité de calcul LRU2 émet le message P signifiant que LRU2 est défaillant ou la sonde Probe est défaillante ou PWR1 est défaillant soit P=LRU2+Probe+PWR1.
La fonction de maintenance BITE de la première unité de calcul LRU1 émet le message Q signifiant que LRUI est défaillant ou LRU2 est défaillant soit Q=LRUI+LRU2.
La situation globale S correspond à la conjonction logique des deux observations P et Q.
P=Q= (LRU2+Probe+PWR1) = (LRU1+LRU2) P=Q= (LRU2=LRU1)+(Probe= LRU1)+(PWR1= LRUI) +(LRU2=
LRU2)+(Probe= LRU2)+(PWR 1 = LRU2) P=Q= (LRU29 LRU2)+ (LRU2=LRUI)+(Probe= LRU2)+(PWR1=
LRU2) +(Probe= LRUI)+(PWR1= LRUI) P=Q= LRU2=( 1+ LRUI+ Probe +PWRI) +Probe= LRUI+PWR1=
3o LRU 1 P=Q= LRU2+(Probe+PWR1)= LRUI
Cette expression signifie qu'il y a une défaillance simple LRU2, une défaillance double entre LRU1 et un groupe d'ambigüité {Probe PWR1}.
signifie "pas de défaillance a".
Dans le p-cut, on a une expression uniquement symbolique qui exprime le fait par exemple qu'une situation S=a + -,b est observable si a est présent ou b est absent. La notion de coupe minimale peut être associée au résultat de la propriété d'absorption de l'algèbre de Boole.
En effet, on appelle coupe minimale une défaillance (ou une conjonction de défaillances) dont la présence suffit à expliquer la situation observée. On dira que les autres défaillances sont masquées par cette défaillance minimale.
La figure 9 illustre le mécanisme de masquage par une coupe minimale. Elle présente un exemple de système sous diagnostic SUD1 comportant une première unité de calcul LRUI connectée à une seconde unité de calcul LRU2. La seconde unité de calcul est alimentée par une alimentation Pwrl via une sonde Probe.
La fonction de maintenance BITE de la seconde unité de calcul LRU2 émet le message P signifiant que LRU2 est défaillant ou la sonde Probe est défaillante ou PWR1 est défaillant soit P=LRU2+Probe+PWR1.
La fonction de maintenance BITE de la première unité de calcul LRU1 émet le message Q signifiant que LRUI est défaillant ou LRU2 est défaillant soit Q=LRUI+LRU2.
La situation globale S correspond à la conjonction logique des deux observations P et Q.
P=Q= (LRU2+Probe+PWR1) = (LRU1+LRU2) P=Q= (LRU2=LRU1)+(Probe= LRU1)+(PWR1= LRUI) +(LRU2=
LRU2)+(Probe= LRU2)+(PWR 1 = LRU2) P=Q= (LRU29 LRU2)+ (LRU2=LRUI)+(Probe= LRU2)+(PWR1=
LRU2) +(Probe= LRUI)+(PWR1= LRUI) P=Q= LRU2=( 1+ LRUI+ Probe +PWRI) +Probe= LRUI+PWR1=
3o LRU 1 P=Q= LRU2+(Probe+PWR1)= LRUI
Cette expression signifie qu'il y a une défaillance simple LRU2, une défaillance double entre LRU1 et un groupe d'ambigüité {Probe PWR1}.
13 L'expression LRU2+(Probe+PWR1)= LRU1 décrit deux coupes minimales {LRU2} et { Probe, PWR1}
Il existe un ensemble de défaillances masquées par l'absorption de la valeur 1 booléenne dans (1+ LRU1+ Probe +PWR1). Le groupe masqué est {LRU1 , Probe, PWR1}.
Une étape de fusion des coupes minimales de chacun des arbres de fautes réduits en un diagnostic multiple.
Ainsi lors de défaillances multiples associées chacune à un groupe d'ambiguïté, le résultat du diagnostic conserve le groupe d'ambiguïté
comme une unité de recherche et de lever de doute.
La fusion est réalisée par la réunion de l'ensemble des diagnostics partiels. En pratique les arbres de fautes réduits sont juxtaposés lors de l'affichage.
La figure 8 présente un premier exemple d'affichage selon l'invention. L'affichage est découpé en une pluralité de parties. Chacune des parties regroupe des diagnostics ayant un nombre identique de causes simultanées à l'origine de la défaillance observée.
Une première partie 601 concerne les défaillances simples, une deuxième 602 les défaillances doubles et une troisième 603 les défaillances triples.
Dans chacune de ces parties, les groupes d'ambiguïté sont présentés à l'opérateur par ordre de préférence suivant des critères prédéfinis. Au sein d'un groupe d'ambigüité, les causes sont ordonnées par ordre de préférence selon des critères prédéfinis, par exemple, coût de réparation, temps de réparation, vraisemblance de la défaillance, etc. à
définir par la compagnie aérienne. Un exemple de critères de choix est présenté dans la demande de brevet français n FR 2 931 256.
Grâce à cet affichage, la présentation du diagnostic multiple est adaptée à l'investigation. Ainsi les opérations de recherche de défaillances sont ciblées sur chacun des groupes d'ambiguïté.
Un tel affichage a pour avantage d'être à la fois compact et exhaustif. En effet, tous les diagnostics (c'est-à-dire toutes les combinaisons logiques de causes à l'origine du disfonctionnement) ne sont pas affichés explicitement mais sous une forme factorisée facilement interprétable par un opérateur de maintenance.
Il existe un ensemble de défaillances masquées par l'absorption de la valeur 1 booléenne dans (1+ LRU1+ Probe +PWR1). Le groupe masqué est {LRU1 , Probe, PWR1}.
Une étape de fusion des coupes minimales de chacun des arbres de fautes réduits en un diagnostic multiple.
Ainsi lors de défaillances multiples associées chacune à un groupe d'ambiguïté, le résultat du diagnostic conserve le groupe d'ambiguïté
comme une unité de recherche et de lever de doute.
La fusion est réalisée par la réunion de l'ensemble des diagnostics partiels. En pratique les arbres de fautes réduits sont juxtaposés lors de l'affichage.
La figure 8 présente un premier exemple d'affichage selon l'invention. L'affichage est découpé en une pluralité de parties. Chacune des parties regroupe des diagnostics ayant un nombre identique de causes simultanées à l'origine de la défaillance observée.
Une première partie 601 concerne les défaillances simples, une deuxième 602 les défaillances doubles et une troisième 603 les défaillances triples.
Dans chacune de ces parties, les groupes d'ambiguïté sont présentés à l'opérateur par ordre de préférence suivant des critères prédéfinis. Au sein d'un groupe d'ambigüité, les causes sont ordonnées par ordre de préférence selon des critères prédéfinis, par exemple, coût de réparation, temps de réparation, vraisemblance de la défaillance, etc. à
définir par la compagnie aérienne. Un exemple de critères de choix est présenté dans la demande de brevet français n FR 2 931 256.
Grâce à cet affichage, la présentation du diagnostic multiple est adaptée à l'investigation. Ainsi les opérations de recherche de défaillances sont ciblées sur chacun des groupes d'ambiguïté.
Un tel affichage a pour avantage d'être à la fois compact et exhaustif. En effet, tous les diagnostics (c'est-à-dire toutes les combinaisons logiques de causes à l'origine du disfonctionnement) ne sont pas affichés explicitement mais sous une forme factorisée facilement interprétable par un opérateur de maintenance.
14 Selon une variante de réalisation, l'affichage comporte en outre un espace supplémentaire 604 dédié à l'affichage de groupes d'ambigüités masqués par les coupes minimales.
La figure 10 présente un second exemple d'affichage selon l'invention.
Dans cet exemple, la première partie 601 dédié aux défaillances simple comporte un groupe d'ambiguïtés comprenant deux causes a et b.
Cela signifie que la cause a ou la cause b peut être à l'origine du disfonctionnement observé.
La deuxième partie 602 dédié aux défaillances doubles comporte un premier et un second groupe d'ambiguïtés. Le premier groupe d'ambigüité
comprend deux causes c et d. Le second groupe d'ambigüité comprend deux causes e et f. Cet affichage correspond à la formule logique suivante : (c+d) .
(e+f). Cela signifie que (c et e) ou (c et f) ou (d et e) ou (d et f) peuvent être à
l'origine du disfonctionnement observé.
La troisième partie 603 ne présente aucun diagnostic.
L'invention porte aussi sur un dispositif pour la détermination de diagnostics pour un système comportant une pluralité d'équipements, lesdits équipements étant aptes à émettre des signaux indiquant leur état de fonctionnement, caractérisé en ce qu'il comporte :
- des moyens pour l'acquisition 111 d'observations à partir de signaux émis par les équipements du système sous diagnostic.
- des moyens pour la détermination d'une situation globale à partir des observations acquises et d'arbres de fautes prédéterminés associés auxdites observations, un arbre de fautes décrivant des relations entre une observation et des causes racines, une cause racine indiquant une défaillance d'un équipement, - des moyens pour la détermination 112 de situations connexes, une situation connexe étant un ensemble d'observations qui prises deux à
deux ont au moins une cause racine en commun dans leur arbre de fautes, - des moyens pour détermination 113 de diagnostics partiels à partir de chacune des situations connexes, les diagnostics comportant des causes racines associés à des observations signalant une défaillance, - des moyens pour l'affichage 114 des diagnostics.
Le dispositif selon l'invention est une mise en oeuvre du procédé
selon l'invention sur un calculateur de maintenance.
La figure 10 présente un second exemple d'affichage selon l'invention.
Dans cet exemple, la première partie 601 dédié aux défaillances simple comporte un groupe d'ambiguïtés comprenant deux causes a et b.
Cela signifie que la cause a ou la cause b peut être à l'origine du disfonctionnement observé.
La deuxième partie 602 dédié aux défaillances doubles comporte un premier et un second groupe d'ambiguïtés. Le premier groupe d'ambigüité
comprend deux causes c et d. Le second groupe d'ambigüité comprend deux causes e et f. Cet affichage correspond à la formule logique suivante : (c+d) .
(e+f). Cela signifie que (c et e) ou (c et f) ou (d et e) ou (d et f) peuvent être à
l'origine du disfonctionnement observé.
La troisième partie 603 ne présente aucun diagnostic.
L'invention porte aussi sur un dispositif pour la détermination de diagnostics pour un système comportant une pluralité d'équipements, lesdits équipements étant aptes à émettre des signaux indiquant leur état de fonctionnement, caractérisé en ce qu'il comporte :
- des moyens pour l'acquisition 111 d'observations à partir de signaux émis par les équipements du système sous diagnostic.
- des moyens pour la détermination d'une situation globale à partir des observations acquises et d'arbres de fautes prédéterminés associés auxdites observations, un arbre de fautes décrivant des relations entre une observation et des causes racines, une cause racine indiquant une défaillance d'un équipement, - des moyens pour la détermination 112 de situations connexes, une situation connexe étant un ensemble d'observations qui prises deux à
deux ont au moins une cause racine en commun dans leur arbre de fautes, - des moyens pour détermination 113 de diagnostics partiels à partir de chacune des situations connexes, les diagnostics comportant des causes racines associés à des observations signalant une défaillance, - des moyens pour l'affichage 114 des diagnostics.
Le dispositif selon l'invention est une mise en oeuvre du procédé
selon l'invention sur un calculateur de maintenance.
Claims (7)
1. Procédé pour la détermination de diagnostics pour un système comportant une pluralité d'équipements, lesdits équipements étant aptes à
émettre des signaux indiquant leur état de fonctionnement, caractérisé en ce qu'il comporte les étapes suivantes :
- une étape d'acquisition (111) d'observations à partir de signaux émis par les équipements du système sous diagnostic, et de détermination d'une situation globale à partir des observations acquises et d'arbres de fautes prédéterminés associés auxdites observations, un arbre de fautes décrivant des relations entre une observation et des causes racines, une cause racine indiquant une défaillance d'un équipement, - une étape de détermination (112) de situations connexes, une situation connexe étant un ensemble d'observations qui prises deux à deux ont au moins une cause racine en commun dans leur arbre de fautes, - une étape de détermination (113) de diagnostics partiels à partir de chacune des situations connexes, les diagnostics comportant des causes racines associés à des observations signalant une défaillance, - une étape de d'affichage (114) des diagnostics.
émettre des signaux indiquant leur état de fonctionnement, caractérisé en ce qu'il comporte les étapes suivantes :
- une étape d'acquisition (111) d'observations à partir de signaux émis par les équipements du système sous diagnostic, et de détermination d'une situation globale à partir des observations acquises et d'arbres de fautes prédéterminés associés auxdites observations, un arbre de fautes décrivant des relations entre une observation et des causes racines, une cause racine indiquant une défaillance d'un équipement, - une étape de détermination (112) de situations connexes, une situation connexe étant un ensemble d'observations qui prises deux à deux ont au moins une cause racine en commun dans leur arbre de fautes, - une étape de détermination (113) de diagnostics partiels à partir de chacune des situations connexes, les diagnostics comportant des causes racines associés à des observations signalant une défaillance, - une étape de d'affichage (114) des diagnostics.
2. Procédé selon la revendication 1, dans lequel l'étape de détermination de situations connexes (112) comporte les sous-étapes suivantes :
- la détermination (112.1) d'un arbre de faute réduit à partir de la situation globale et d'observations indiquant des non défaillances, l'arbre de faute réduit étant obtenu en retirant de la situation globale les causes associées aux observations de non défaillances, - une étape de partitionnement (112.2) visant à déterminer des sous arbres de fautes ne partageant pas de causes racines.
- la détermination (112.1) d'un arbre de faute réduit à partir de la situation globale et d'observations indiquant des non défaillances, l'arbre de faute réduit étant obtenu en retirant de la situation globale les causes associées aux observations de non défaillances, - une étape de partitionnement (112.2) visant à déterminer des sous arbres de fautes ne partageant pas de causes racines.
3. Procédé selon l'une des revendications précédentes, comportant, en outre, une phase de préparation (10) pour déterminer un ensemble d'arbres de fautes associés individuellement à chacun des effets observables à partir d'une description du système, lesdits arbres étant stockés dans la base (12) d'arbres prédéterminés.
4. Procédé selon la revendication 3, dans lequel la phase de préparation (10) comporte les étapes suivantes :
- pour la chaque effet observable :
- la génération (302) d'un arbre de faute à partir d'une description du système sous diagnostic (301), l'enregistrement de l'arbre généré
dans la base de données des arbres de fautes (12), - l'extraction (303) d'un groupe d'ambigüité de l'arbre de fautes généré
et l'enregistrement du groupe d'ambigüité dans la base de données des arbres de fautes (12),
- pour la chaque effet observable :
- la génération (302) d'un arbre de faute à partir d'une description du système sous diagnostic (301), l'enregistrement de l'arbre généré
dans la base de données des arbres de fautes (12), - l'extraction (303) d'un groupe d'ambigüité de l'arbre de fautes généré
et l'enregistrement du groupe d'ambigüité dans la base de données des arbres de fautes (12),
5. Procédé selon l'une des revendications précédentes, dans lequel l'affichage est découpé en une pluralité de parties (601, 602, 603), chacune des parties regroupant des diagnostics ayant un nombre identique de causes simultanées à l'origine de la défaillance observée.
6. Procédé selon la revendication 5, dans lequel l'affichage comporte en outre un espace supplémentaire (604) dédié à l'affichage de groupes d'ambigüités masqués.
7. Dispositif pour la détermination de diagnostics (200) pour un système comportant une pluralité d'équipements, lesdits équipements étant aptes à émettre des signaux indiquant leur état de fonctionnement, caractérisé en ce qu'il comporte :
- des moyens pour l'acquisition (111) d'observations à partir de signaux émis par les équipements du système sous diagnostic.
- des moyens pour la détermination d'une situation globale à partir des observations acquises et d'arbres de fautes prédéterminés associés auxdites observations, un arbre de fautes décrivant des relations entre une observation et des causes racines, une cause racine indiquant une défaillance d'un équipement, - des moyens pour la détermination (112) de situations connexes, une situation connexe étant un ensemble d'observations qui prises deux à
deux ont au moins une cause racine en commun dans leur arbre de fautes, - des moyens pour détermination (113) de diagnostics partiels à partir de chacune des situations connexes, les diagnostics comportant des causes racines associés à des observations signalant une défaillance, - des moyens pour l'affichage (114) des diagnostics.
- des moyens pour l'acquisition (111) d'observations à partir de signaux émis par les équipements du système sous diagnostic.
- des moyens pour la détermination d'une situation globale à partir des observations acquises et d'arbres de fautes prédéterminés associés auxdites observations, un arbre de fautes décrivant des relations entre une observation et des causes racines, une cause racine indiquant une défaillance d'un équipement, - des moyens pour la détermination (112) de situations connexes, une situation connexe étant un ensemble d'observations qui prises deux à
deux ont au moins une cause racine en commun dans leur arbre de fautes, - des moyens pour détermination (113) de diagnostics partiels à partir de chacune des situations connexes, les diagnostics comportant des causes racines associés à des observations signalant une défaillance, - des moyens pour l'affichage (114) des diagnostics.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1101088 | 2011-04-08 | ||
| FR1101088A FR2973882B1 (fr) | 2011-04-08 | 2011-04-08 | Procede et dispositif pour la determination de diagnostics |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CA2773360A1 true CA2773360A1 (fr) | 2012-10-08 |
Family
ID=44549921
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CA2773360A Abandoned CA2773360A1 (fr) | 2011-04-08 | 2012-04-03 | Procede et dispositif pour la determination de diagnostics |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20120259587A1 (fr) |
| BR (1) | BR102012008006A8 (fr) |
| CA (1) | CA2773360A1 (fr) |
| FR (1) | FR2973882B1 (fr) |
| RU (1) | RU2588587C2 (fr) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114089722A (zh) * | 2021-11-17 | 2022-02-25 | 国家石油天然气管网集团有限公司 | 一种输气站场工控网络通讯故障便携式诊断方法 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3044143B1 (fr) | 2015-11-23 | 2018-09-14 | Thales | Appareil electronique et procede d'assistance d'un pilote d'aeronef, programme d'ordinateur associe |
| US11321973B2 (en) | 2017-01-24 | 2022-05-03 | Tweddle Group, Inc. | Method and system of vehicle diagnostics |
| WO2018152174A1 (fr) * | 2017-02-14 | 2018-08-23 | Systems And Software Enterprises, Llc | Procédé d'identification, de localisation et de récupération d'état d'unités remplaçables en ligne |
| US11132620B2 (en) * | 2017-04-20 | 2021-09-28 | Cisco Technology, Inc. | Root cause discovery engine |
| CN109901544A (zh) * | 2017-12-07 | 2019-06-18 | 开利公司 | 制冷系统、用于其的故障诊断系统、故障诊断方法及控制器与存储介质 |
| US11164467B2 (en) | 2019-07-31 | 2021-11-02 | Rosemount Aerospace Inc. | Method for post-flight diagnosis of aircraft landing process |
| US11252460B2 (en) | 2020-03-27 | 2022-02-15 | The Nielsen Company (Us), Llc | Signature matching with meter data aggregation for media identification |
| CN116610105B (zh) * | 2023-07-20 | 2023-11-17 | 江苏甬金金属科技有限公司 | 一种基于数据融合的轧机机械运行故障监测方法及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6907545B2 (en) * | 2001-03-02 | 2005-06-14 | Pitney Bowes Inc. | System and method for recognizing faults in machines |
| GB0127551D0 (en) * | 2001-11-16 | 2002-01-09 | Abb Ab | Analysing events |
| FR2841340B1 (fr) * | 2002-06-19 | 2005-05-20 | Eurocopter France | Dispositif d'aide a la localisation de defaillance d'un systeme complexe |
| US20040176887A1 (en) * | 2003-03-04 | 2004-09-09 | Arinc Incorporated | Aircraft condition analysis and management system |
| RU2265236C1 (ru) * | 2004-03-31 | 2005-11-27 | ЗАО Московское конструкторское бюро "Параллель" | Способ диагностики аппаратуры |
| US8364626B2 (en) * | 2007-09-14 | 2013-01-29 | Siemens Aktiengesellschaft | Method and device for determining a probability of occurrence by evaluting an overall fault tree |
| FR2927435B1 (fr) * | 2008-02-08 | 2010-02-12 | Airbus France | Procede et dispositif ameliores pour les operations de diagnostic et de maintenance d'aeronefs |
-
2011
- 2011-04-08 FR FR1101088A patent/FR2973882B1/fr active Active
-
2012
- 2012-04-03 CA CA2773360A patent/CA2773360A1/fr not_active Abandoned
- 2012-04-05 BR BR102012008006A patent/BR102012008006A8/pt not_active Application Discontinuation
- 2012-04-06 RU RU2012113729/07A patent/RU2588587C2/ru active
- 2012-04-06 US US13/441,613 patent/US20120259587A1/en not_active Abandoned
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114089722A (zh) * | 2021-11-17 | 2022-02-25 | 国家石油天然气管网集团有限公司 | 一种输气站场工控网络通讯故障便携式诊断方法 |
| CN114089722B (zh) * | 2021-11-17 | 2024-03-26 | 国家石油天然气管网集团有限公司 | 一种输气站场工控网络通讯故障便携式诊断方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| BR102012008006A8 (pt) | 2018-03-13 |
| RU2588587C2 (ru) | 2016-07-10 |
| RU2012113729A (ru) | 2013-10-20 |
| FR2973882B1 (fr) | 2013-04-19 |
| BR102012008006A2 (pt) | 2013-07-30 |
| US20120259587A1 (en) | 2012-10-11 |
| FR2973882A1 (fr) | 2012-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2773360A1 (fr) | Procede et dispositif pour la determination de diagnostics | |
| FR2966616A1 (fr) | Procede, dispositif et programme d'ordinateur d'aide au diagnostic d'un systeme d'un aeronef, utilisant des graphes d'evenements redoutes | |
| CA2749214C (fr) | Procede et systeme de surveillance de phenomenes vibratoires survenant dans un moteur a turbine a gaz d'aeronef en fonctionnement | |
| CA2926216C (fr) | Procede, systeme et programme d'ordinateur d'analyse acoustique d'une machine | |
| EP2874106A1 (fr) | Système et procédé de diagnostic de panne aéronef | |
| FR2949161A1 (fr) | Dispositif pour le diagnostic de systeme | |
| FR2949220A1 (fr) | Procede et systeme de detection de l'ingestion d'un objet par un turboreacteur d'avion au cours d'une mission | |
| FR2989499A1 (fr) | Procede, dispositifs et programme d'ordinateur d'aide au diagnostic preventif d'un systeme d'un aeronef, utilisant des graphes d'evenements redoutes | |
| FR2938676A1 (fr) | Procede de reconnaissance de motifs sequentiels pour procede de traitement des messages de pannes | |
| FR2927435A1 (fr) | Procede et dispositif ameliores pour les operations de diagnostic et de maintenance d'aeronefs | |
| CA2813556A1 (fr) | Systeme de surveillance d'un banc d'essai de moteur | |
| FR3095424A1 (fr) | Système et procédé de surveillance d’un moteur d’aéronef | |
| FR2905763A1 (fr) | Procede et systeme de diagnostic d'un aeronef a partir de mesures effectuees sur l'aeronef. | |
| WO2016075409A1 (fr) | Procédé de surveillance d'un moteur d'aéronef en fonctionnement dans un environnement donné | |
| FR2947650A1 (fr) | Procede et systeme de generation de documentation electronique pour la maintenance | |
| FR3025886A1 (fr) | Systeme et procede de controle de pieces | |
| FR2933512A1 (fr) | Procede de diagnostic pour localiser une defaillance dans un systeme complexe et dispositif pour mettre en oeuvre ledit procede | |
| FR2954537A1 (fr) | Procede et dispositif pour la realisation d'une fonction de maintenance. | |
| EP2784616B1 (fr) | Procédé de détection et de prise en compte d'un changement abrupt d'au moins un indicateur de surveillance d'un dispositif | |
| WO2022069564A1 (fr) | Procédé et dispositif électronique de génération d'une base structurée de données pertinentes pour la gestion d'une mission, programme d'ordinateur associé | |
| FR3026785A1 (fr) | Surveillance d'un ensemble du systeme propulsif d'un aeronef | |
| FR3047340B1 (fr) | Systeme d'aide a la decision d'autorisation a partir d'un aeronef, et procede associe | |
| FR2970947A1 (fr) | Equipement a surveillance integree remplacable en escale et architecture distribuee comprenant un tel equipement | |
| EP2031474B1 (fr) | Procédé et dispositif de diagnostic de pannes multiples survenues dans des matériels | |
| FR3111200A1 (fr) | Procédé et système de contrôle d’un niveau d’endommagement d’au moins une pièce d’aéronef, aéronef associé. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| EEER | Examination request |
Effective date: 20170330 |
|
| FZDE | Discontinued |
Effective date: 20190719 |