Duplex A86 : comment Cofiroute a conçu le tunnel le plus sûr d'Europe

“ La construction du tunnel de l'A86 entre Rueil-Malmaison et Versailles marque une rupture dans le domaine de la sécurité autoroutière. Ainsi s'exprime Jérôme Lejeune, directeur des systèmes chez Vinci Autoroutes. Nous atteignons le niveau du militaire ou des centrales nucléaires. En particulier, tout est systématiquement redondé. ” Sur les 2 milliards alloués au projet de construction, cette partie technique représente un budget de 250 millions d'euros d'investissement, dont 20 % sont consacrés aux systèmes d'automatisation et de supervision.Auparavant, les recettes classiques, limitées à quelques scénarios de test des systèmes informatiques, suffisaient avant la mise en production. Désormais, depuis la circulaire Mont-Blanc édictée suite à l'incendie du tunnel du même nom en 1999, puis de celui du Gothard en 2001, une phase de validation s'impose avant la mise en service des systèmes d'exploitation et de supervision. Pour l'A86, plus de 20 simulateurs ont ainsi permis de reconstituer l'environnement réel : un effort correspondant à cent cinquante mille heures de développement. Pour répondre aux situations les plus diverses, 1 400 scénarios d'incidents ont été recensés. Depuis l'automobiliste qui s'arrête dans le tunnel suite à une panne mécanique jusqu'à l'incendie qui se déclare, en passant par le carambolage entre plusieurs véhicules ou la panne électrique.

120 000 capteurs et 500 caméras de surveillance

Il faut dire que la réalisation de ce tunnel en duplex (un étage par sens de circulation), long de 10 kilomètres sur deux tronçons, fut gigantesque. Son coût, entièrement financés par Cofiroute, à la fois concessionnaire et exploitant de l'ouvrage, en fait le plus gros chantier européen. Creusé à une cinquantaine de mètres sous la surface, il offre une capacité journalière de 50 000 véhicules. Il présente certaines innovations, dont le percement de conduits verticaux dotés d'ascenseurs, par lesquels les usagers pourront être évacués directement vers l'air libre.Pour suivre en permanence ce qui s'y passe, plus de 120 000 capteurs (température, fumée, comptage de véhicules) et autres API (automates programmables industriels) remontent en permanence et en temps réel des informations vers le centre de supervision. S'y ajoutent plus de 500 caméras de vidéosurveillance. Toutes ces données circulent essentiellement sur trois réseaux, dont un entièrement en fibre optique. Un autre, le RPA (réseau principal d'acquisition) combine la fibre pour le transport et le cuivre pour la collecte et la distribution. Le dernier innerve le centre d'exploitation. Les informations sont générées par les sous-systèmes métier. “ Nous en comptons une trentaine, un par corps de métier ”, détaille Nicolas Bouvier des Noes, le responsable de la validation. Les données remontent vers trois concentrateurs qui les acheminent vers les serveurs cœurs de la supervision.Au total, ce sont une douzaine de serveurs physiques virtualisés selon le ratio de un pour un : “ A chacun est associé un serveur virtuel, que nous appelons box, explique Nicolas Bouvier des Noes. Chaque box contient toutes les applications relatives à une fonction. Et lorsque nous devons effectuer des modifications, il suffit de remplacer l'ancienne box par la nouvelle. ”Pour contrôler le tout, un système de supervision et de contrôle commande (SSCC) s'est avéré nécessaire. Sa vocation est de remonter tous les événements, d'en permettre l'affichage et l'analyse, et de proposer des plans d'action automatisés. Il est le fruit d'un développement interne au groupe Vinci, réalisé à partir du logiciel Cimplicity de GE Intelligent Platforms. De même, les outils d'exploitation sont dérivés de produits déjà utilisés dans le cadre d'autres projets, mais adaptés aux besoins nouveaux, plus exigeants du fait de l'ampleur et de la spécificité de l'ouvrage. “ Beaucoup de systèmes et de protocoles propriétaires coexistent dans le monde des automates programmables industriels, note Nicolas Bouvier des Noes, et il n'y a pas de solution sur étagère. ”D'où l'importance de la phase de validation. “ Elle a mobilisé 20 personnes pendant plusieurs mois, signale Jérôme Lejeune, avec des pointes à plus de 100 000 tests par semaine. ” La validation a été menée avec le logiciel RTF (Rational Functional Tester) d'IBM. Elle a nécessité la création, à Vélizy, d'une plate-forme spécifique, miroir du tunnel, en complément des habituelles infrastructures de développement et d'intégration. Car les essais aux limites (stress tests) ne pouvaient pas être effectués sur place. La continuité de service après ouverture dépend, elle, grandement de la qualité de réception des nouvelles versions avant déploiement sur site. Une véritable usine de tests a donc été mise en place.

Une redondance assurant évolutivité, formation et secours

Cependant, même après la recette des systèmes, la tâche de validation se poursuit. A la différence des anciennes générations de systèmes d'information autoroutiers, qui n'évoluaient pas beaucoup, celui de l'A86 vit et se transforme en permanence. “ Si nous en étions encore à l'ère de VMS, les choses resteraient statiques et stables, logiciel et matériel y étant étroitement liés. Mais nous sommes entrés dans l'ère des serveurs x86 et du monde Microsoft ”, précise Jérôme Lejeune. De nouveaux équipements, plus performants, apparaissent, de même que de nouvelles versions logicielles qu'il s'agit d'installer. Mais pas question de mettre en service les uns et les autres sans les tester dans les conditions réelles d'exploitation. Là intervient la plate-forme de validation. “ C'est le clone du système d'exploitation et de supervision. Toutes les configurations et les scénarios y sont testés. Cette plate-forme joue le même rôle que celle utilisée par les opérateurs GSM pour valider leurs réseaux. ” Elle sert également d'outil de formation pour les nouveaux agents d'exploitation comme pour ceux, plus aguerris, mais habitués à travailler avec les anciens systèmes. “ C'est un peu comme un simulateur dans lequel s'entraînent les pilotes d'avion ”, estime Jérôme Lejeune.Toujours pour des raisons de sécurité, la salle d'exploitation et de supervision est dupliquée, l'une fonctionnant en actif et l'autre en passif. En cas de défaillance, la bascule de l'une vers l'autre est automatique. Tant d'efforts ont été récompensés, puisque le Duplex A86 a obtenu le qualificatif de “ tunnel le plus sûr d'Europe ”, décerné par les Automobile Clubs et Touring Clubs européens dans le cadre de leur programme d'évaluation EuroTAP, qui portait, en 2010, sur 26 tunnels routiers dans 13 pays d'Europe.