Sûreté De Fonctionnement

Module de sˆuret´ede fonctionnement

Claire Pagetti - ENSEEIHT 3`eme TR - option SE

10 d´ecembre 2012

Table des mati`eres

1 Principaux concepts3 1.1 Qu’est-ce que la sûretéde fonctionnement...... 3 1.1.1 Bref historique...... 4 1.1.2 Coûtde la sûretéde fonctionnement...... 4 1.2 Etude des systèmes...... 5 1.3 Taxonomie...... 7 1.3.1 Entraves...... 8 1.3.2 Attributs...... 11 1.3.3 Les moyens...... 12 1.4 Conception de systèmesàhaut niveau de sûretéde fonctionnement...... 13

2 Méthodes d’analyse de sûretéde fonctionnement 13 2.1 Analyse préliminairedes dangers...... 14 2.2 AMDE...... 15 2.3 Diagramme de fiabilité...... 17 2.4 Méthodes quantitatives et qualitatives...... 18 2.4.1 Evaluation qualitative...... 18 2.4.2 Evaluation quantitative...... 18 2.4.3 Systèmemulticomposants...... 22 2.5 TP sur les diagrammes de fiabilité...... 25

3 Arbres de défaillances 26 3.1 Construction d’un arbre de défaillance...... 26 3.2 TP arbres de défaillance...... 30 3.3 Codage des arbres de défaillancesous forme de DDB...... 32

4 Modèlesàétatstransitions 34 4.1 Chaˆınesde Markov...... 34 4.1.1 Construction d’un modèle...... 36 4.2 Evaluation de la fiabilité,de la disponibilitéet du MTTF...... 39 4.3 Réseauxde Petri stochastiques...... 41 4.3.1 Modélisationdes systèmesavec des réseauxde Petri...... 41 4.4 AltaRica...... 44 4.4.1 Modélisationdes systèmeavec AltaRica...... 44

1 4.4.2 Codage avec l’outil OCAS...... 46 4.4.3 TP d’AltaRica...... 47

2 Organisation du cours

Le module de sûretéde fonctionnement comporte 5 séances, format : cours/td/tp. Séance1 : cours / exercices ; Séance2 : cours / exercices / TP sur les diagrammes de fiabilitéet les arbres de défaillances; Séance3 : cours / exercices / TP sur les arbres de défaillanceset chaˆınesde Markov ; Séance4 : cours / TP sur AltaRica ; Séance5 : TP sur AltaRica / synthèse ; Examen : àla fin du mois de janvier (exercices papier) ; Supports de cours : polycopié,nombreuses références.

1 Principaux concepts

La sûretéde fonctionnement est apparue comme une nécessitéau cours du XXème, notamment avec la révolution industrielle. Le terme dependability est apparu dans une publicitésur des moteurs Dodge Brothers dans les années1930. L’objectif de la sûretéde fonctionnement est d’atteindre le Graal de la conception de système: zéroaccident, zéroarrêt,zérodéfaut(et même zéromaintenance). Pour pouvoir y arriver, il faudrait tester toutes les utilisations possibles d’un produit pendant une grande période ce qui est impensable dans le contexte industriel voire mêmeimpossible àréalisertout court. La sûretéde fonctionnement est un domaine d’activité qui propose des moyens pour augmenter la fiabilitéet la sûretédes systèmesdans des délaiset avec des coûtsraisonnables.

1.1 Qu’est-ce que la sûretéde fonctionnement La sûretéde fonctionnement est souvent appelée la science des défaillances ; elle inclut leur connaissance, leur évaluation, leur prévision,leur mesure et leur maˆıtrise.Il s’agit d’un domaine transverse qui nécessite une connaissance globale du systèmecomme les conditions d’utilisation, les risques extérieurs,les architectures fonctionnelle et matérielle,la structure et fatigue des matériaux.Beaucoup d’avancéessont le fruit du retour d’expérienceet des rapports d’analyse d’accidents.

Définition1 (SdF) La sûretéde fonctionnement (dependability, SdF) consiste àévaluerles risques potentiels, prévoirl’occurrence des défaillances et tenter de minimiser les conséquences des situations catastrophiques lorsqu’elles se présentent.

Définition2 (Laprie96) La sûretéde fonctionnement d’un systèmeinformatique est la pro- priétéqui permet de placer une confiance justifiéedans le service qu’il délivre.

Il existe de nombreuses définitions,de standards (qui peuvent varier selon les domaines d’application - nucléaire,spatial, avionique, automobile, rail . . . ). On peut néanmoinsconsidérer que le Technical Committee 56 Dependability de l’International Electrotechnical Commission (IEC) développe et maintient des standards internationaux reconnus dans le domaine de la sûreté de fonctionnement. Ces standards fournissent les méthodes et outils d’analyse, d’évaluation, de gestion des équipements, services et systèmestout au long du cycle de développement.

3 1.1.1 Bref historique Le tableau ci-dessous présente un bref historique de la sûretéde fonctionnement. Période Accidents Jusqu’aux années30 Approche intuitive : renforcer l’élément le plus faible Explosion poudrière(1794) Premiers systèmes parallèleset redondants Accident chemin de fer (1842) Approche statistique, taux de défaillance Titanic (1912). . . Premièresestimation de probabilitéd’accidents d’avion Pugsley : premier objectif de safety taux d’accident d’avion ≤ 10−5 per flight hour Années40 Analyse des missiles allemands V1 (Robert Lusser) Loi de Murphy “If anything can go wrong, it will” Quantification de la disponibilité Années50 Advisory Group on Reliability of Electronic Equipment (AGREE) Tcheliabinsk 40 (1957) - Réductiondes coûtsde maintenance - Augmentation de la fiabilité - MTBF Années60 Analyses des modes de défaillanceet de leurs effets Torrey Canyon (1967) Programmes de recherche spatiaux Arbre de défaillance (missile Minuteman) Arbres des causes (Boeing - NASA) Livres sur la fiabilité(ex. Barlow and Proschan) Années70 Analyse des risques Collecte de donnéesREX Années80 ànos jours Nouvelles techniques (simulation, réseauxde Petri,..) Tchernobyl (1986) Modélisation Ariane V (1996) DART (NASA, 2005) Vol Rio Janeiro. . .

1.1.2 Coûtde la sûretéde fonctionnement Le coûtd’un haut niveau de sûretéde fonctionnement est trèsonéreux.Le concepteur doit faire des compromis entre les mécanismesde sûretéde fonctionnement nécessaires et les coûts économiques.Les systèmesqui ne sont pas sûrs,pas fiables ou pas sécuriséspeuvent êtrerejetés par les utilisateurs. Le coûtd’une défaillancepeut êtreextrêmement élevé.Le coûtde systèmes avec un faible niveau de sûretéde fonctionnement est illustrédans les figures ci-dessous.

4 Coût moyen d'indisponibilité =,70+)*.7/-(*-0.1*,.C+*.7/-0?D/(,E.( #"& =,70+)*.7/-84/+;4)*+,.<,( !"% >.22.7/1- '()*(+,- :/1*.*+*.7/1-;./4/).<,(1 !"$ 0?@+,71- ./0+1*,.(2 911+,4/)(1 !"# A4,-B(+,(- A(,0+( 6788(,)( !"! 34/5+(1 ! Coût annuel des défaillances informatiques Estimation compagnies d’assurance (2002) France (secteur privé) USA Royaume Uni

Fautes accidentelles 1,1 G€ 4 G$ Malveillances 1,3 G€ 1,25 G£ Estimation globale USA : 80 G$ EU : 60 G€ Coûts de maintenance Logiciel embarqué de la navette spatiale : 100 M $ / an

Coût logiciels abandonnés (défaillance du processus de développement) USA [Standish Group, 2002, Succès Remise en question Abandon 13522 projets] 34% 51% 15% ~ 38 G$ de pertes (sur total 225 G$)

Figure 1 – Quelques chiﬀres [Laprie07] !

Figure 2 – Coˆutde la maintenance

1.2 Etude des systèmes L’objet sous étudeest le systèmeet les fonctions qu’il fournit. Il existe de nombreuses définitionsde systèmedans le domaine des systèmes d’ingénierie.

Définition3 (Un système) Un systèmepeut être décritcomme un ensemble d’élémentsen interaction entre eux et avec l’environnement dont le comportement dépend : – des comportements individuels des élémentsqui le composent, – des règlesd’interaction entre éléments(interfaces, algorithmes, protocoles), – de l’organisation topologique des éléments(architectures).

Le fait que les sous-systèmessont en interaction implique que le systèmen’est pas simplement la somme de ses composants. En toute rigueur, un systèmedans lequel un élément est défaillant devient un nouveau système,différent du systèmeinitial.

5 Exemple 1 Une installation chimique, une centrale nucléaire ou un avion sont des systèmes. Le contrôle-commande est un sous-système,une vanne ou un relais sont des composants. La nature technologique d’un système est variée: électrique, thermo-hydraulique, mécanique ou informatique.

Assurer les fonctions Tout systèmese définitpar une ou plusieurs fonctions (ou missions) qu’il doit accomplir dans des conditions et dans un environnement donnés. L’objet d’étudede la sûretéde fonctionnement est la fonction. Une fonction peut êtredéfiniecomme l’action d’une entitéou de l’un de ses composants expriméeen terme de finalité.Il convient de distinguer les fonctions et la structure (ou encore architecture matérielle support). – fonction principale : raison d’êtred’un système(pour un téléphoneportable, la fonction principale est la communication entre 2 entités) ; – fonctions secondaires : fonctions assuréesen plus de la fonction principale (sms, horloge, réveil, jeux . . . ) ; – fonctions de protection : moyens pour assurer la sécuritédes biens, des personnes et environnement ; – fonctions redondantes : plusieurs composants assurent la mêmefonction. Une description fonctionnelle peut généralement se faire soit par niveau soit pour un niveau donné.Une description par niveau est une arborescence hiérarchisée.On donne l’exemple d’une description fonctionnelle d’une machine àlaver dans la figure3.

Machine `alaver Fonction laver la vaisselle et s´echer la vaisselle niveau 1

...

Circuit de Circuit de Circuit de Circuit de lavage chauﬀage s´echage vidange niveau 2

...

Alimentation Pompage Motorisation Evacuation ´electrique de l’eau de la pompe de l’eau niveau 3

Figure 3 – Description fonctionnelle d’une machine `alaver la vaisselle

On peut également désirerreprésenter les échanges de donnéesentre fonctions, pour un niveau de granularitédonné.On parle alors d’architecture fonctionnelle. Formellement, l’architecture fonctionnelle est constituéed’un graphe (F, CF ) orientépour lequel l’ensemble des nœuds F = {f1, ..., fm } désigneles fonctions et l’ensemble des arcs, CF ⊆ F ×F, représente les échanges de donnéesentre les fonctions. Un arc (fi, fj) ∈ CF modéliseun flux de données fi vers fj. La figure4 illustre l’architecture fonctionnelle de niveau 3 de l’exemple de la machine àlaver.

Structure du système Les fonctions sont réaliséespar le systèmeàpartir de ses composants. La structure du systèmedoit êtreprise en compte pour les analyses de sûretéde fonctionnement. Pour cela, il faut décrireles composants matériels,leur rôle,leurs caractéristiques et leurs

6 Alimentation Pompage ´electrique de l’eau

Motorisation de la pompe

Figure 4 – Architecture fonctionnelle de la machine àlaver performances. On peut ànouveau utiliser une description en niveau. La figure5 identifie les composants intervenant dans la structure de la machine àlaver.

Machine `alaver la vaisselle niveau 1

...

Panier R´esistance Filtre Programmateur Pompe Moteur niveau 2

...

Filtre Corps Axe Aubes niveau 3

Figure 5 – Décomposition matérielled’une machine àlaver la vaisselle

Il faut également décrireles connexions entre composants, ce qui peut êtrefait par un graphe orientépour lequel l’ensemble des nœuds désignel’ensemble de n ressources connectéesentre elles par des liaisons représentéespar les arcs. Enfin, il est également important dans certains cas de préciserla localisation des composants. Les analyses de sûretéde fonctionnement reposent sur des hypothèsesau sujet de l’indépendance des défaillancesdes fonctions élémentaires. Le partage de ressources et l’installation de ces ressources dans une mêmezone risquent de violer les exigences d’indépendances. Par exemple, un éclatement pneu dans un avion peut entraˆınerla défaillancede plusieurs composants.

1.3 Taxonomie La sûretéde fonctionnement manipule un certain nombre de concepts que nous précisons dans cette partie en donnant des définitionsprécises. La sûretéde fonctionnement peut êtrevue comme étant composéedes trois éléments suivants : – Attributs : points de vue pour évaluer la sûretéde fonctionnement ; – Entraves : événements qui peuvent affecter la sûretéde fonctionnement du système; – Moyens : moyens pour améliorerla sûretéde fonctionnement. Ces notions sont résuméesdans la figure6.

7 Disponibilité Fiabilité Sécurité-innocuité Sécurité- Attributs Confidentialité immunité Intégrité Maintenabilité

Prévention de fautes Sûreté de Tolérance aux fautes Moyens fonctionnement Elimination de fautes Prévision des fautes

Fautes Entraves Erreurs Défaillances

Figure 6 – Arbre de la sˆuret´ede fonctionnement [Laprie]

1.3.1 Entraves Commen¸conspar détaillerles entraves qui peuvent affecter le systèmeet dégraderla sûretéde fonctionnement. Les entraves sont répartiesen 3 notions : les fautes, les erreurs et les défaillances qui s’enchaˆınent comme illustrédans la figure7. Les définitionssont récursives car la défaillance d’un composant est une faute pour le systèmequi le contient.

Définition4 (Faute / Fault) La cause de l’erreur est une faute (par exemple un court-circuit sur un composant, une perturbation électromagnétiqueou une faute de développement logiciel).

Définition5 (Erreur / Defect) La cause de la défaillance est une erreur affectant une partie de l’étatdu système(par exemple, une variable erronée).

Définition6 (Défaillance/ Failure) Une défaillance est la cessation de l’aptitude d’une en- titéàaccomplir une fonction requise.

Définition7 (Panne) La panne est l’inaptitude d’une entitéàaccomplir une mission. Une panne résulte toujours d’une défaillance.

Exemple 2 Voici trois exemples d’occurrence de d´efaillances.

8 Effet Activation Propagation Effet …Défaillances Fautes Erreurs Défaillances Fautes…

Défaillances en contenu Phase de création Fautes de développement ou d’occurrence Fautes opérationnelles Défaillances temporelles, Domaine avance, retard Fautes internes Frontières système Défaillances par arrêt Fautes externes Défaillances erratiques Fautes naturelles Cause Défaillances signalées phénoménologique Fautes dues à l’homme Détectabilité Défaillances non signalées Fautes malveillantes Intention Défaillances cohérentes Fautes sans malveillance Cohérence Défaillances incohérentes Fautes accidentelles (byzantines) Capacité Fautes délibérées Défaillances bénignes Fautes d’incompétence  Conséquences   Fautes permanentes Persistance Défaillances catastrophiques Fautes temporaires

Figure 7 – Enchaˆınement et propagation des erreurs [Laprie96]

Faute dans Faute dans Erreur Programmeur le source du l’exécutable Défaillance (faute activée) logiciel embarqué

Faute dans Erreur Défaillance RAM l’exécutiondu Défaillance (faute activée) logiciel embarqué

R´edacteurde Erreur de Faute dans consignes comportement du D´efaillance la documentation d’exploitation personnel

Exercice 1 On considère le systèmehydraulique suivant. Il est destinéau transport de l’eau du point 1 aux lieux de consommation 2 et 3. Il contient les vannes V1, V2 et V3, la pompe centrifugeuse P0 et les tuyaux adjacents aux composants hydrauliques. Identifier des fautes, des erreurs et des défaillances possibles. V2 V1 P0 2 1

3 V3

Les défaillances dans un systèmepeuvent avoir des effets différents. Certaines défaillances n’affectent pas directement les fonctions du systèmeet ne nécessitent qu’une action corrective ;

9 d’autres, en revanche, affectent la disponibilitéou la sécurité.On utilise généralement une échelle de gravitédes effets et on considèretraditionnellement 4 catégoriesde défaillances.Ces catégories sont représentéesdans la table1.

Défaillancemineure Défaillancequi nuit au bon fonctionnement (minor) d’un systèmeen causant un dommage négligeableau systèmeou àson environnement sans présenter de risque pour l’homme Défaillancesignificative Défaillancequi nuit au bon fonctionnement (major) sans causer de dommage notable ni présenter de risque important pour l’homme Défaillancecritique Défaillancequi entraˆınela perte d’une (hazardous) (ou des) fonction(s) essentielle(s) du système et cause des dommages importants au systèmeen ne présentant qu’un risque négligeablede mort ou de blessure Défaillancecatastrophique Défaillancequi occasionne la perte d’une (catastrophic) (ou des) fonction(s) essentielle(s) du système en causant des dommages importants au système ou àson environnement et/ou entraˆınela mort ou des dommages corporels

Table 1 – Classification des défaillancesen fonction des effets

Définition8 (Mode de défaillance/ Failure mode) Un mode de défaillance est l’effet par lequel une défaillance est observée.Plus, précisément,il s’agit d’un des états possibles d’une entitéen panne pour une fonction requise donnée.

On classe généralement les modes de défaillanceen 4 catégoriesreprésentéesdans la table2.

Mode de défaillance Explication Fonctionnement prématuré Fonctionne alors que (ou intempestif) ce n’est pas prévuàcet instant ne fonctionne pas au moment prévu ne démarrepas lors de la sollicitation ne s’arrêtepas au moment prévu continue àfonctionner alors que ce n’est pas prévu défaillanceen fonctionnement

Table 2 – Classiﬁcation des modes de d´efaillance

Exercice 2 On reprend l’exercice1. Identifier les modes de défaillance de chaque composant. On constate que la frontière entre causes de défaillance et modes de défaillance est faible. Chaque erreur doit pouvoir être rattachéàun mode. Si ce n’est pas le cas, c’est qu’il manque des modes de défaillance.

10 Définition9 (Systèmecohérent) Un systèmeest dit cohérent si : – la panne de tous les composants entraˆınela panne du système, – le fonctionnement de tous les composants entraˆınele fonctionnement du système, – lorsque le systèmeest en panne, aucune défaillance supplémentaire ne rétablit le fonctionnement du système, – lorsque le systèmeest en fonctionnement, aucune réparation n’induit la panne du système.

Nous ne considéronsdans la suite que des systèmescohérents.

1.3.2 Attributs Les attributs de la sûretéde fonctionnement sont parfois appelésFDMS pour Fiabilité, Disponibilité,Maintenabilitéet Sécurité(RAMSS pour Reliability, Availability, Maintainability, Safety, Security). La disponibilitéest le fait d’êtreprêtau service.

Définition10 (Disponibilité/ Availability) La disponibilitéest l’aptitude d’une entitéà être en étatd’accomplir une fonction requise dans des conditions données,àun instant donné ou pendant un intervalle de temps donné,en supposant que la fourniture des moyens extérieurs nécessaires soit assurée.

La fiabilitéest la continuitéde service.

Définition11 (Fiabilité/ Reliability) La fiabilité(reliability) est l’aptitude d’un dispositif àaccomplir une fonction requise dans des conditions donnéespendant une duréedonnée.

La sécuritéest l’aptitude àne pas provoquer d’accidents catastrophiques.

Définition12 (Sécuritéinnocuité/ Safety) La sécuritéinnocuitéest l’aptitude d’une en- titéàéviterde faire apparaˆıtre, dans des conditions données,des événementscritiques ou catastrophiques.

La maintenabilitéest la capacitéd’un systèmeàrevenir dans un étatde fonctionnement correct aprèsmodifications et réparations.

Définition13 (Maintenabilité/ Maintainability) Dans les conditions donnéesd’utilisation, la maintenabilitéest l’aptitude d’une entitéàêtre maintenue ou rétablie,sur un intervalle de temps donnédans un étatdans lequel elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions donnéesavec des procédures et des moyens pres- crits.

D’autres attributs de sûretéde fonctionnement ont étéidentifiéscomme par exemple la testabilité(le degréd’un composant ou d’un systèmeàfournir des informations sur son état et ses performances), ou la diagnosticabilité (capacitéd’un systèmeàexhiber des symptômes pour des situations d’erreur) survivabilité (capacitéd’un systèmeàcontinuer sa mission après perturbation humaine ou environnementale) et ainsi de suite.

11 1.3.3 Les moyens Les moyens sont des solutions éprouvéespour casser les enchaˆınements Faute → Erreur → Défaillance et donc améliorerla fiabilitédu système. – la prévention de faute consiste àéviterdes fautes qui auraient pu être introduites pendant le développement du système.Cela peut êtreaccompli en utilisant des méthodologies de développement (cf DO 178 B/C) et de bonnes techniques d’implantation. – L’éliminationde faute peut êtrediviséeen 2 catégories: éliminationpendant la phase de développement et éliminationpendant la phase d’utilisation. Pendant la phase de développement, l’idéeest d’utiliser des techniques de vérificationavancéesde fa¸conà détecterles fautes et les enlever avant envoi àla production. Pendant l’utilisation, il faut tenir àjour les défaillancesrencontréeset les retirer pendant les cycles de maintenance. – La prévisionde faute consiste àanticiper les fautes (de manièrequalitative ou probabiliste) et leur impact sur le système. – La toléranceaux fautes consiste àmettre en place des mécanismesqui maintiennent le service fourni par le système,mêmeen présencede fautes. On accepte dans ce cas un fonctionnement dégradé. La toléranceaux fautes repose sur l’utilisation de mécanismesde redondance, l’idéeest de réaliserla mêmefonction par des moyens différents. On distingue plusieurs types de redondance : – Redondance homogène: on répliqueplusieurs composants identiques – Redondance avec dissemblance : les sous-systèmesréalisent les mêmesfonctions mais sont différents (par exemple, plusieurs équipes de conception, matérieldifférent). – Redondance froide : les composants sont activésquand ceux déjàactifs tombent en panne. – Redondance chaude : les composants tournent en parallèleet politique de prise de main. – Redondance tiède: les composants sont idle avant de prendre la main. D’autres mécanismesexistent comme les comparateurs ou les voteurs. L’idéeest de récupérer plusieurs valeurs calculéespar redondance et de déterminerquelle est la plus proche de la réalité.

Exemple 3 On considère un voteur à3 entrées.On suppose que le voteur ne tombe jamais en panne. Il y a plusieurs types de voteur : le voteur 1/3, 2/3 et 3/3. Dans le premier cas, il prend une valeur sur 3, dans le deuxième,il faut que deux composants au moins s’accordent et dans le troisièmetous les composants doit avoir la mêmevaleur.

E2 voteur

On considère un systèmecomposéde composants actifs et passifs.

12 On peut également utiliser un chien de garde (watchdog en anglais) : il s’agit d’un mécanisme destinéàs’assurer qu’un automate ou un ordinateur ne reste pas bloquéàune étape particulière du traitement qu’il effectue. C’est une protection destinéegénéralement àredémarrerle système, si une action définien’est pas exécutéedans un délaiimparti.

1.4 Conception de systèmesàhaut niveau de sûretéde fonctionnement Le problèmegénéralest le suivant : Données: – une exigence de fiabilitésur le systèmecomplet (par exemple une valeur maximale de λ, une valeur minimale de A) – des composants utilisables pour construire le systèmeavec leur fiabilité(normalement plus faible que la fiabilitéglobale requise) Problème: Trouver une architecture du systèmecomplet qui répond aux exigences de fiabilité La solution àce problèmeest de : 1. Construire une architecture candidate 2. Analyser la fiabilitéde cette architecture 3. Si le résultatest suffisant, la solution est correcte sinon retourner en 1. Trouver des architectures candidates peut rapidement devenir un casse têtedonc on utilise généralement des patterns. Nous nous concentrerons dans les parties suivantes sur le point 2.

2 Méthodes d’analyse de sûretéde fonctionnement

Une analyse prévisionnelle de sûretéde fonctionnement est un processus d’étuded’un système réelde fa¸conàproduire un modèleabstrait du systèmerelatif àune caractéristiquede sûreté de fonctionnement (fiabilité,disponibilité,maintenabilité,sécurité).Les éléments de ce modèle seront des événements susceptibles de se produire dans le systèmeet son environnement, tels par exemple : – des défaillanceset des pannes des composants du système, – des événements liésàl’environnement, – des erreurs humaines en phase d’exploitation. Le modèlepermet ainsi de représenter toutes les défaillanceset les pannes des composants du systèmequi compromettent une des caractéristiquesde SdF. Afin d’aider l’analyste, plusieurs méthodes d’analyse ont étémises au point. Les principales sont : APD Analyse Préliminairedes Dangers, AMDE Analyse des Modes de Défaillanceset de leurs Effets, MDS Méthode du Diagramme de Succès, MTV Méthode de la Table de Vérité, MAC Méthode de l’Arbre des Causes, MCPR Méthode des Combinaisons de Pannes Résumées, MACQ Méthode de l’Arbre des Conséquences, MDCC Méthode du Diagramme Causes-Conséquences,

13 MEE M´ethode de l’Espace des Etats. Nous ne verrons dans la suite que quelques unes de ces m´ethodes.

2.1 Analyse préliminairedes dangers L’analyse préliminairedes dangers a étéutilisée la premièrefois aux Etats-Unis dans les années60 dans le cadre d’une analyse de sécuritéde missiles àpropergol liquide. Elle a ensuite étéformaliséepar l’industrie aéronautiqueet notamment pas le sociétéBoeing. L’analyse se fait en phase amont de conception. L’objectif est d’identifier les dangers d’un système et leurs causes puis d’évaluer la gravitédes conséquencesliéesaux situations dangereuses. L’identification des dangers est effectuéeàl’aide de l’expérienceet du jugement des ingénieurs,aidésde liste-guides élaboréesdans des domaines précis et régulièrement enrichies. Les grandes étapes de cette analyse sont : 1. Identification du contexte opérationneldans lequel évolue le système. 2. Identification des dangers potentiels et de la sévéritéde leurs conséquences. 3. Définitiond’actions correctives. 4. Vérificationde la complétudede la liste des conditions de panne issue de l’analyse de risque et de compléterles exigences de sécurité.Fournit également les premièresindications pour l’architecture du systèmeafin de mitiger les conséquences. 5. Evaluation de l’atteinte des objectifs de SdF. On illustre cette analyse avec un exemple extrait de l’ARP4761 (Aerospace Recommended Practice). On cherche àmettre des objectifs de sécuritésur le systèmede freinage.

Que doit-on évaluer ? Il faut d’abord identifier le systèmeàévaluer, le contexte opérationnel, et les fonctions.

avion, piste, contrˆolede l’avion au sol

La description fonctionnelle de l’avion est la suivante.

Fonctions avion Niveau 1 ...

Contrôlede la Contrôledu Détermination Contrôleavion Contrôlede la poussée plan de vol orientation sur le sol cabine

Niveau 2 ... Détermination Décélération Contrˆolede la transition avion sur direction sur air/sol le sol le sol

14 Que peut-il arriver ? On identifie ensuite les dangers fonctionnels (dangers dus àde mauvaises performances des fonctions, ou àdes problèmes contextuels)

Perte de la décélérationsur la piste

A quel point cela est-il mauvais ? On ´evalue les cons´equencesdes dangers dans le pire cas.

sortie en bout de freinage mal contrˆol´e collision piste en atterrissage sur la voie de taxi avec un autre avion

Catastrophique Majeur Majeur

A quelle fréquenceest-ce acceptable ? On déterminedes objectifs de safety en terme de fréquenceacceptable pour événements ayant une certaine sévérité.(fh = flight hour)

catastrophique < 10−9/fh hasardeux < 10−7/fh majeur < 10−5/fh

Et on recommence Il faut faire cette étudepour toutes les fonctions et tous les risques. Le résultatpartiel de l’analyse est résumédans la figure8.

2.2 AMDE La méthode de Analyse des Modes de Défaillanceset de leurs Effets (AMDE) est une des premièresméthodes systématiquespermettant d’analyser les défaillances. Elle a étédéveloppée par l’arméeaméricaineet se trouve dans la première guideline Military Procedure MIL-P-1629 “Procedures for performing a failure mode, effects and criticality analysis” du 9 novembre 1949. Cette analyse est largement utiliséependant les phases initiales de développement. Une AMDE (FMEA pour Failure Mode and Effects Analysis) est une analyse détailléede toutes les défaillancessimples, de leurs conséquences(ainsi qu’un chiffrage préliminairede probabilitéd’occurrence). Elle permet d’identifier les éléments critiques de sécurité(provoquant des événements critiques ou catastrophiques) ainsi que les fautes dormantes. En résumé,une AMDE permet : 1. identifier les modes de défaillancesdes différentes parties du système, 2. d’évaluer les effets de chaque mode de défaillancedes composants sur les fonctions du système, 3. d’identifier les modes de défaillancesqui auront un effet important sur la sécurité,la fiabilité,la sécurité. . .

15 Figure 8 – Exemple d’analyse de risque

Procédure 1. Définirle systèmeàanalyser. (a) Les missions et fonctions principales du système (b) Conditions opérationnelleset environnementale 2. Collecter les informations disponibles qui décrivent le système(incluant schémas,spécifications, listes de composants, . . . ) et collecter les informations sur les précédents conceptions simi- laires. 3. Préparerles rapports AMDE.

Exemple 4 Considérons l’exemple extrait du livre d’A. Villemeur et représentédans la fi- gure9. Le systèmepermet àun opérateur de commander le fonctionnement du moteur àcourant continu ; pour cela l’opérateur appuie sur un bouton pressoir (B.P.) provoquant ainsi l’excita- tion d’un relais, la fermeture du contact associéet l’alimentation électrique du moteur. Lorsque l’opérateur relâchela pression, le moteur s’arrête.Un fusible permet de protégerle circuit électrique contre tout court-circuit. On suppose que le fil AB traverse une zone oùse trouvent des vapeurs inflammables : on admet que l’analyse préliminaire des dangers a montréque l’événement indésirable est la surchauffe du fil AB. Le systèmeest con¸cupour faire fonctionner le moteur électrique pendant un temps très court ; on admet qu’un fonctionnement prolongépeut entraˆınersa destruction par suite d’un échauffementdu moteur et de l’apparition d’un court-circuit. On admet égalementqu’après l’apparition d’un courant élevédans le circuit dûàun court-circuit, le contact du relais reste collé,mêmeaprèsla désexcitationdu relais.

16 B.P. batterie fusible

batterie relais moteur

A fil B

Figure 9 – Exemple d’illustration

L’analyse ne porte que sur le bouton-pressoir et le relais ; et on ne considère pour ces composants qu’un ou deux modes de défaillances. Composant Modes de Causes possibles Effets sur le système défaillance B.P. - le B.P. est bloqué - défaillance mécanique - moteur ne tourne pas

- contact du B.P. - défaillance mécanique - moteur tourne trop bloqué - erreur humaine longtemps : d’oùcourt- circuit moteur et fusion fusible Relais - contact - défaillance mécanique - moteur ne tourne pas bloquéouvert

- contact collé - défaillance mécanique - moteur tourne trop - courant élevédans longtemps (idem) circuit

2.3 Diagramme de fiabilité Historiquement, la méthode du diagramme de fiabilitéou de succèsest la premièreàavoir étéutiliséepour analyser les systèmes.Ses limites sont rapidement apparues, néanmoinselle permet de modéliserrapidement le système.On suppose dans la suite que le systèmen’est pas réparable.

Définition14 Un diagramme de fiabilitéest définipar : – Une entréeE, un corps de diagramme et un sortie S – Un flux est transmis de E jusqu’àS en passant par les différents chemins. – Défaillance d’une entitéarrêtele flux au niveau du composant. – S’il n’existe pas de chemin jusqu’àS, le systèmeest défaillant, sinon il fonctionne. – Configuration sérieou/et parallèle.

Exercice 3 On reprend l’exercice1. Donner le diagramme de fiabilitéassocié.

Exercice 4 Un systèmecontient 5 blocs. Deux blocs lisent deux entréescapteur, un bloc réalise le traitement et les deux derniers blocs contrôlentdeux actionneurs identiques. Les entréeset le calculateur sont nécessaires àl’exécutionde la fonction, en revanche un seul actionneur est suffisant. Donner le bloc diagramme associéàce système.

17 2.4 Méthodes quantitatives et qualitatives 2.4.1 Evaluation qualitative Une analyse qualitative de sûretéde fonctionnement consiste à: Donnée: structure du système(par exemple un diagramme de fiabilité) Résultat: calculer la combinaison des composants qui amèneàla défaillancedu système. Pour exprimer la combinaison des blocs entraˆınant la défaillance,les analystes utilisent deux concepts : les chemins àsuccèset les coupes.

Définition15 (Chemin àsuccès) Un chemin àsuccès est un ensemble de blocs de base qui réalisentla fonction. Un chemin est dit minimal s’il ne contient aucun sous chemin.

Définition16 (Coupe) Une coupe décritun ensemble de blocs de base dont la défaillance entraˆınela défaillance du système.Une coupe est dite minimale si en retirant n’importe quel bloc de la liste, le systèmen’est plus défaillant. La taille (ou l’ordre) de la coupe est le nombre d’élémentsdans la liste.

La connaissance des coupes minimale permet d’établir qualitativement la liste des composants critiques d’aprèsl’organisation fonctionnelle du système.

Exercice 5 Combien y a-t-il de coupes d’ordre 1 sur un systèmeayant n élémentsen série? sur un systèmeayant;n3#3+5<'&/0/'+;élémentsen redondance ?

Exercice 6 On reprend! l’exercice(,-./0.&&(.12340556,571. Calculer les chemins minimaux et les coupes minimales. !8 &6990-./05.1:0;295.;292;<,= Exercice 7 Calculez les%8 coupes&6990-./05.16,>05.;292;

)! *!

$! ' # & (

)+ *%

2.4.2 Evaluation quantitative

23456 $%&'() *'+,-./(0-..'1'.(+ !"#! 73+85945: Une analyse quantitative de sûretéde fonctionnement consiste!" à: Données: – structure du système(par exemple un diagramme de fiabilité) – probabilitéd’occurrence des défaillances des blocs de base Résultat: Evaluer la probabilitéde défaillancedu systèmecomplet.

Systèmeàcomposant unique Dans cette partie, nous allons étudierle comportement stochastique des systèmesàcomposant unique subissant des défaillancesen les observant dans le temps. On suppose que le systèmese met en fonctionnement àl’instant t=0 et ne présente qu’un seul mode de défaillance.Le composant fonctionne pendant un temps aléatoire X1 au bout duquel il tombe en panne. Il y reste pendant un temps aléatoire Y1 durant son remplacement puis est remis en fonctionnement et ainsi de suite. On dit que le systèmeest réparable. Lorsque le composant n’est jamais réparé,on dit qu’il est non réparable. La description graphique du comportement du systèmeest donnéedans la figure 10.

18 1 syst`emenon r´eparable

1 syst`emer´eparable

Figure 10 – Diagramme des phases

Définition17 (Taux de défaillance/ Failure rate) Considérons un ensemble d’entitésiden- tiques et en fonctionnement àl’instant initial. On définitle taux de défaillance comme la pro- portion, ramenéeàl’unitéde temps, des entitésqui ayant survécuàun temps arbitraire t ne sont plus en vie àl’instant t + dt.

Il est fréquent que les entitésprésentent des taux de défaillanceen fonction du temps suivant une courbe dite en baignoire.

Figure 11 – Taux de d´efaillanceen fonction du temps [Wikipedia]

Rappels sur les variables aléatoires Une variable aléatoireest une fonction définie sur l’ensemble des résultatspossibles d’une expérience aléatoire.Ainsi, dans le jeu de jet d’un seul dé,le résultatest une variable aléatoire X pour laquelle nous lisons sur la face du déles valeurs possibles de 1 à6. En sûretéde fonctionnement, on rencontre des lois discrèteslorsque les événements qui se produisent sur un intervalle de temps donnésont des nombres entiers. C’est, par exemple, le nombre de cartes électroniques défaillantes par mois dans un système de contrôle-commande.Les variables aléatoirescontinues sont àvaleurs réelles positives. Par

19 exemple, l’instant d’apparition d’une défaillancedans une structure métalliqueest une variable continue. Pour les évaluations probabilistes, on utilise deux variables aléatoires: ( 1 si l’entitéfonctionne àl’instant t variable d’état X(t) = 0 si l’entitéest défaillante àl’instant t instant de la défaillance T (time to failure) variable continue

En sûretéde fonctionnement, il faut faire la distinction entre l’occurrence d’un événement et son existence àl’instant t. L’assertion l’occurrence de la défaillance du composant au temps t signifie que la défaillancea eu lieu dans l’intervalle [t, t + dt]. En revanche, l’assertion existence de la défaillance au temps t signifie que la défaillancea eu lieu entre [0, t]. La fonction de répartitiond’une variable aléatoire X est la fonction F (x) = P (X ≤ x). F tend vers 0 en −∞ et vers 1 en +∞. La densitéde probabilitélorsque F est dérivable est k R ∞ k f(x) = dF (x)/dx. Le moment d’ordre k de la variable X est E[X ] = −∞ x f(x)dx. E[X] est l’espérance mathématiqueou la moyenne. La variance est le réellorsqu’il existe V [X] = R ∞ 2 p −∞(x − E[x]) f(x)dx. (V [X]) est appelél’écarttype. On rappelle quelques lois classiques que nous utiliserons dans la suite. Loi exponentielle : utiliséefréquemment car les calculs sont simples. La densitéde probabilité −λt R t est f(t) = λe où λ est une constante. La fonction de répartitionest F (t) = −∞ f(t)dt = 1 − e−λt. La moyenne est de 1/λ et la variance de 1/λ2. Cette loi s’applique pour la durée de vie utile représentéedans la courbe en baignoire. Loi normale : la loi normale ou de Gauss a deux paramètres N(m, σ) avec m la moyenne 1 −1/2( t−m )2 et σ l’écarttype. La densitéde probabilitéest f(t) = √ e σ . La fonction de σ 2π 1 R t −1/2( t−m )2 répartitionest √ e σ dx. Cette loi s’applique àde nombreux phénomènes σ 2π −∞ (incertitude sur des mesures ou des fabrications par exemple). Loi log-normale : une variable aléatoireest distribuée suivant une loi log-normale si son logarithme est distribué selon une loi normale. La densité de probabilité est f(t) = 1 −1/2( log(t)−m )2 1 R t 1 −1/2( log(x)−m )2 √ e σ . La fonction de répartition est F (t) = √ e σ dx. σt 2π σ 2π −∞ x La moyenne est em+σ2/2 et la variance e2m+σ2 (eσ2 − 1). Cette loi est souvent utiliséepour représenter les duréesde réparation des composants ou les incertitudes dans la connaissance d’une donnéede sûretéde fonctionnement. Loi de Weibull : cette loi dépend de 3 paramètreset permet de représenter un grand nombre β(t−γ)β−1 t−γ β −( σ ) de distributions expérimentales. La densitéde probabilitéest f(t) = σβ e −( t−γ )β avec β > 0, σ > 0 et t > γ. La fonction de répartitionest F (t) = 1 − e σ . La moyenne 1+β 2 2 2 1 R ∞ β−1 −x est γ + σΓ( β ) et la variance σ (Γ( β + 1) − Γ ( β + 1)) avec Γ(x) = 0 x e .

Définitionprobabiliste des attributs Définition18 (Fiabilité) La fiabilitéd’une entité E peut s’exprimer par

R(t) = P (E non défaillante sur la durée [0, t]) = R(t) = P [T > t] où T est le temps de la défaillance.

20 On peut expérimentalement calculer cette probabilité.On prend n composants identiques qui fonctionnent àt=0, et on compte àchaque instant ti combien sont toujours en marche v(t). Alors, R(t) = v(t)/n. La défiabilité R¯(t) = 1 − R(t) est donc égaleàla fonction de répartition de T , R¯(t) = F (t). Il y a une relation forte entre fiabilitéet le taux de défaillance λ.

− R t λ(x)dx R(t) = e 0

Le MTTF (Mean Time to Failure) est le temps moyen de fonctionnement avant la 1`ere panne. Z ∞ MTTF = E[T ] = R(t)dt 0

On peut également l’obtenir de manière expérimentale puisque MTTF = limn→∞Σti/n.

Exercice 8 Le taux de d´efaillance d’un module est constant et vaut λ = 10−4h−1. Calculez le temps moyen de d´efaillance MTTF.

Définition19 (Maintenabilité) La maintenabilitéd’une entité E peut s’exprimer par

M(t) = P (E en panne en 0 et r´epar´esur [0, t])

Soit Y la variable aléatoiredésignant la duréede la panne du composant, alors M(t) = P (Y ≤ t). MUT (Mean Up Time) : duréemoyenne de fonctionnement du systèmeaprèsréparation MDT (Mean Down Time) : duréemoyenne de non fonctionnement du système. MTBF (Mean Time Between Failure) : duréemoyenne entre 2 pannes. On a MTBF = MUT+MDT. MTTR (Mean Time To Restoration) : duréemoyenne avant remise en service. MTTR = R ∞ R ∞ E[Y ] = 0 tG(t)dt = 0 [1 − M(t)]dt. Les différents temps moyens sont représentésdans la figure 12.

Mise en service Remise en service Remise en service

1ère défaillance 2ème défaillance 3ème défaillance

MTTF MDT1 MUT1 MDT2 MUT2 MTBF1 MTBF2

Figure 12 – Repr´esentation des temps moyens dans la vie en op´eration

Exercice 9 Un moteur peut être vu comme un systèmeréparable, les brosses en carbone doivent être changéesaprèsun certain nombre d’heures en opération. Durant une année,le moteur doit être réparé3 fois. La première réparation a lieu après98 jours et dure 10h, la deuxièmeaprès 100 autres jours et dure 9h, la troisièmeaprès105 autres jours et ce pendant 11 heures. Calculer le temps moyen en opération MUT et le temps moyen de réparation MDT du moteur.

21 Définition20 (Disponibilité) La disponibilitéd’une entité E peut s’exprimer par

A(t) = P (E non d´efaillante `al’instant t)

C’est une grandeur instantanée,le systèmepeut avoir subi plusieurs pannes et réparationsavant t. Lorsque l’entitén’est pas réparable,on a A(t) = R(t). En particulier dans le cas oùle taux de défaillanceest constant, on A(t) = e−λt ; On utilise parfois la notion de disponibilitémoyenne, elle vaut MUT / (MUT + MDT).

Exemple 5 Dans le cas suivant, la disponibilit´emoyenne est de 1/2.

1 2 3 heure

On résumedans la table3 les attributs de sûretéde fonctionnement pour les lois usuelles.

loi application loi loi normale loi de Weibull aléatoire fiabilité exponentielle −λt 1 R t −1/2( (t−m) )2 −( t−γ )β fonction R(t) 1 − exp √ e σ 1 − e σ σ 2π −∞ répartition β(t−γ)tβ−1 taux défaillance λ U(t)/R(t) σβ

F (t) = R(t)

λ(t)

Table 3 – Attributs de sˆuret´ede fonctionnement pour les lois usuelles

2.4.3 Systèmemulticomposants Dans la partie précédente, nous avons étudiéla défaillanced’un systèmeàcomposant unique. Dans ce cas, la défaillancedu composant implique la défaillance du système.Dans un système multicomposants, la défaillance du systèmesurvient àla suite de défaillancede sous-ensembles de composants. Par exemple, la défaillanced’un frein sur un vélone remet pas en cause le fonctionnement global mêmes’il faut adapter son mode d’utilisation. Par contre, la défaillance d’une roue conduit àl’immobilisation du vélo. Soit un systèmeà n composants, on note par xi l’étatdu i-èmecomposant. xi = 1 si le composant fonctionne et 0 sinon. On note φ(x) l’étatdu systèmecomplet. On rappelle également

22 que : P (A ∧ B) = P (A) × P (B|A) = P (A).P (B) si A et B sont ind´ependants

P (A ∨ B) = P (A) + P (B) − P (A ∧ B) ∼ P (A) + P (B)

Exemple 6 L’étatdu systèmede freinage d’un vélodépend de l’étatdes deux freins x1 et x2. On a φ(x) = 1 − (1 − x1)(1 − x2).

Systèmesérie Un systèmeest dit en sériesi son fonctionnement est assujetti au fonctionnement simultanéde tous ses composants. Si un seul composant est en panne, alors tout le système Q Q est en panne. On a alors φ(x) = i xi. Si le systèmen’est pas réparable,on a A(t) = i Ai(t).

1 2 ... n

Systèmeparallèle Un systèmeest dit en parallèlesi son fonctionnement est assurési au moins un des composants est en bon état.Le systèmeest en panne si et seulement si tous les Q composants sont en panne. On a alors φ(x) = 1 − i(1 − xi). Si de plus, le systèmen’est pas Q réparable,alors A(t) = 1 − i(1 − Ai(t)).

...

Exercice 10 Un systèmecontient 7 modules identiques dont le taux de défaillance est λ = 10−4h−1. Calculer la fiabilitédu systèmesur un temps de t = 1000 heures lorsque : 1. tous les modules sont nécessaires àla réalisationde la fonction ; 2. au moins un module doit fonctionner.

Exercice 11 Calculez la fiabilitédu système suivant.

E1 E3 E4

E6 E7

Analyse d’un diagramme de fiabilité Dans la partie 2.4.3 p. 23, nous avons illustrésur les diagrammes sériesou parallèles le calcul de la fiabilité.

Exercice 12 On considère n composants identiques de taux de défaillance constant λ. Si l’assemblage est en série,quel est le taux de défaillance du systèmeet quel est son MTTF ?

23 Analyse de systèmecomplexe Si le systèmen’est pas un assemblage de structures séries/parallèles, il faut adapter le calcul.

Théorème1 (Bayes) Soit S un systèmetel que A est un composant, alors

R(S) = R(S/A est OK)R(A) + R(S/A est KO)R¯(A)

Exemple 7 Consid´erons l’exemple d´ecritci-dessous.

E1 E4

E3 E5

Considérons les deux événementsle composant E2 fonctionne àl’instant t et le composant E2 est défaillant àl’instant t de probabilitérespectivement R2 et 1 − R2. La fiabilitédu système s’écritalors :

R = P [S fonctionne àl’instant t/E2 fonctionne àl’instant t].R2 P [S fonctionne àl’instant t/E2 est défaillant àl’instant t].(1 − R2)

Si E2 fonctionne, S fonctionne si et seulement si E4 ou E5 fonctionne. Donc P [S fonctionne àl’instant t/E2 fonctionne àl’instant t] = 1 − (1 − R4)(1 − R5). Si E2 est défaillante, S fonctionne si et seulement l’une des deux séries E1.E4 ou E3.E5 fonctionne. Donc P [S fonctionne àl’instant t/E2 est défaillant àl’instant t] = 1 − (1 − R1.R4)(1 − R3.R5). Finalement, R = [1 − (1 − R4)(1 − R5)]R2 + [1 − (1 − R1.R4)(1 − R3.R5)](1 − R2).

Certains syst`emes utilisent des m´ecanismesplus complexes comme des voteurs.

Exemple 8 Considérons un systèmecomposéd’un voteur et de 3 composants redondants. ON suppose que le voteur est parfait et ne tombe jamais en panne. Il y a plusieurs types de voteur : 1/3, 2/3 et 3/3. Un voteur 1/3 choisit une valeur parmi 3, un voteur 2/3 prend la valeur sur laquelle au moins 2 composants s’accordent et un voteur 3/3 nécessite que les 3 composants s’accordent pour produire une valeur.

E2 voter

Supposons que A(E1) = 0.9, A(E2) = 0.8 et A(E3) = 0.7. On veut calculer la disponibilit´e du syst`emeavec voteur.

24 E1 E2 E3 1/3 2/3 3/3 0.1 0.2 0.3 1 − 0.1 × 0.2 × 0.3

0.1 0.2 0.7 0.1 0.8 0.3 0.1 0.8 0.7 0.1 × 0.8 × 0.7+

0.9 0.2 0.3 0.9 0.2 0.7 0.9 × 0.2 × 0.7+ 0.9 0.8 0.3 0.9 × 0.8 × 0.3+

0.9 0.8 0.7 0.9 × 0.8 × 0.7 0.9 × 0.8 × 0.7

=0.994 =0.904 =0.504

Lien avec les chemins àsuccèset les coupes Lorsque tous les chemins minimaux {Li}i=1...p ont étéidentifiés,on obtient le résultat :

R = P (Σi=1...pLi)

Lorsque toutes les coupes minimales {Ci}i=1...n ont étéidentifiées,on obtient le résultat:

k R = P (Σi=1...nCi) = ΣiP (Ci) − Σk(−1) Σi1,...,ik P (Ci1 ∧ ... ∧ Cik )

Si les probabilitésont très faibles, on approxime généralement la probabilitéavec ΣiP (Ci). Sinon, on encadre n i−1 ΣiP (Ci) − Σi=2Σj=1P (Ci.Cj) ≤ R ≤ ΣiP (Ci)

2.5 TP sur les diagrammes de fiabilité On va utiliser le logiciel GRIF http://grif-workshop.fr/tag/total/ développépar les sociétésSATODEV et TOTAL. Il existe une version gratuite installée sur les machines de la salle B302. Pour y accéder,allez dans Démarrer → tous les programmes → GRIF 2012 → Reliability block diagramme.

Exercice 13 Dessinez en GRIF un bloc diagramme composéd’un unique composant. Essayez ensuite plusieurs distributions (Constant, Exponential −10−3, Weibull) et calculez la fiabilité pour 1000 heures. Attention GRIF calcule la défiabilité R¯(t).

Utilisez pour configurer les calculs et sélectionnez l’affichage des coupes.

Exercice 14 Dessinez en GRIF un systèmecomposéde 5 élémentsen sérieavec un taux de défaillance exponentiel 10−3. Calculez la fiabilitépour 1000 heures ainsi que les coupes minimales. Idem pour un systèmecomposéde 5 élémentsen parallèle.

25 Exercice 15 On reprend l’exemple7, calculez les coupes minimales. Idem avec l’exercice 11.

Exercice 16 On consid`ere le syst`emesuivant avec N=6. Calculez les valeurs du tableau de droite pour 1000 heures. k R 1 2 3 4 5 6

Exercice 17 Calculez les chemins àsuccèsminimaux, les coupes minimales et la fiabilitéà 1000h du systèmesuivant.

3 Arbres de d´efaillances

La méthode de l’arbre de défaillances,encore appeléearbre des causes (fault tree) est née en 1962 dans la sociétéBell Telephone grâceàWatson qui travaillait sur le projet Minuteman. Dans les annéessuivantes, les règlesde construction ont étéformaliséespar Haasl en 1965, par l’University of Washington et Boeing. Dans les années70, Vesely a jetéles bases de l’évaluation quantitative, Kinetic Tree Theory (KITT). Enfin, en 1992, la dernièregrande avancéeest due àCoudert, Madre et Rauzy qui les ont codésavec des Diagrammes de décisionbinaires (DDB) obtenant ainsi une grande efficacitéde calcul. Cette méthode a pour objectif de déterminerles combinaisons possibles d’événements qui entraˆınent l’occurrence d’un événement indésirable(ou redouté).L’idéeest de représenter graphiquement la logique de dysfonctionnement d’un système.

3.1 Construction d’un arbre de défaillance L’analyse par l’arbre de défaillancese concentre sur un événement particulier qualifiéd’indésirable ou de redouté car on ne souhaite pas le voir se réaliser.Cet événement devient le sommet de l’arbre et l’analyse a pour but d’en déterminertoutes les causes. La syntaxe des arbres de défaillancesest décritedans la figure 13 et l’équivalence avec les diagrammes de fiabilitéest donnéedans la figure 14. On utilise généralement la convention du rond pour dénoterun événement terminal, ou une feuille. Un événement intermédiairesera représentépar une rectangle. Quand un sous-arbre

26 Figure 13 – Syntaxe des arbres de d´efaillance

Reliability block diagram Fault tree

E1 E2

S E1

E1 E2

Figure 14 – Equivalence entre diagramme de ﬁabilit´eet arbre 3

27 apparaˆıtplusieurs fois, on peut factoriser l’écritureen utilisant les reports symboliséspar des triangles. Dans le cas de la porte et, la sortie S est vraie si toutes les entrées Ei le sont. Pour la porte ou, la sortie S est vraie si au moins une des entrées Ei est àvrai. Dans le cas de la porte ou exclusif, la sortie S est vraie si une seule entréeest àvrai. Enfin, pour la porte k/n, S est àvrai si k événements au moins sont àvrai sur les n. Il existe d’autres portes dont nous ne parlerons pas dans la suite. Le schémasuivant est un guide permettant l’élaboration d’un arbre de défaillance.L’idéeest de déterminertoutes les causes élémentaires qui mènent àl’événement redouté.

Définir l’événement-sommet représentant l’ER

Rechercher ses causes immédiates, nécessaires et suffisantes et déterminer la nature de la porte-connectrice

Définir les événements intermédiaires représentant chacune de ces causes

Cet événement est-il du type- composant ? Oui Non

Définir la défaillance primaire du composant Cet événement est l’événement du type-système

Existe-t-il ? Passer à Oui Non l’événement-cause suivant FIN

Exemple 9 On reprend l’exemple de la figure9. L’événementindésirable est la surchauffe du fil AB. Il ne peut résulterque de la présence d’un courant élevédans le circuit de droite ce qui est le résultatd’un court-circuit du moteur et du fait que le circuit reste fermé.On en déduit l’arbre

Surchauﬀe AB

Court-circuit Circuit droit moteur ferm´e

On recommence pour chaque événementintermédiaire. Les causes du court-circuit moteur sont : – soit une défaillance première du moteur (comme par exemple le vieillissement), c’est un événementélémentaire ;

28 – soit le résultatd’une cause externe, ici ce sera le contact du relais restécollé.

Les causes de l’événementle contact du relais restécollésont : – soit une défaillance première du relais (comme par exemple une défaillance d’origine mécanique), c’est un événementélémentaire ; – soit le contact du relais reste collési un courant élevétraverse le contact, c’est-à-dire s’il existe un court-circuit moteur ; – soit le contact de B.P. reste collé.

On tombe sur un problèmepuisque le court-circuit moteur apparaˆıtdeux fois dans la même branche. Il faut donc supprimer cet événement.Les causes de l’événementle contact du B.P. restécollésont : – soit une défaillance première du B.P. (comme par exemple une défaillance d’origine mécanique), c’est un événementélémentaire ; – soit le contact du BP reste collépar suite d’une erreur humaine.

29 Finalement l’arbre complet est la suivant

3.2 TP arbres de défaillance Dans ce TP, nous allons écriredes arbres de défaillanceàl’aide de l’outil GRIF Fault tree. Ce type de logiciel est trèsutilisédans l’industrie. On peut également citer les outils Arbor (Dassault), Simfia (Apsys), Aralia (Arboost Technology - maintenant inclus dans Arbor) et Fault-Tree+ (Isograph).

Exercice 18 Dessinez deux arbres élémentaires avec une porte pour l’un et une porte ou pour l’autre, reliant deux blocs élémentaires e1 et e2. Calculez les coupes et la fiabilité.

Exercice 19 On reprend l’exercice1 et on considère un mode de défaillance unique par composant (HS pour la pompe, bloquéeferméepour les vannes). L’événementredoutéest : pas de débiten 2 et 3. Donner l’arbre de défaillance associé.Calculez les coupes minimales. Si Aralia

30 est disponible, calculez leur probabilitéd’occurrence (avec lois constante et exponentielle). Un fichier est généréautomatiquement àpartir d’Arbor. !3#3 5;'&/0/'+! Exercice 20 On considère les 2 blocs diagramme représentésci-dessous. On suppose que tous "# $%&'()*+),-./012 34*+56.,&(-7 8,-1+69)6::,-1,-'*88;' les composants sont identiques non réparables<# =)%*5,)-.,'-8%*>,'-:+&+:6.,'-1,-8,(-6)?), et qu’ils ont un unique mode de défaillance (perte). Ecrivez les arbres de défaillance associéset donnez les coupes minimales.

E1 E2 $ @ B E5 @ A

0 2 E3 E4

Exercice 21 (Etude simplifiéed’une unitéde production chimique) On considère le système représentégraphiquement dans la figure 15. L’objectif est de fabriquer un produit chimique Z à

23456 $%&'() *'+,-./(0-..'1'.(+ !"#! 73+85945: l’aide d’un réacteuralimentépar deux réactifsX et Y (ils sont tous les deux! nécessaires pour obtenir le produit Z). Deux réservoirs RX et RY permettent cette alimentation, sachant qu’un réservoirsupplémentaire RX2 en produit X est égalementdisponible en secours grâce àl’ouverture de la vanne VS. L’unitéde contrôleC est informéedu débitpar le détecteur DX aprèsla vanne de régulation VX . Cette dernière est commandéepar C. La vanne de régulation VY le circuit en produit Y. Les vannes V1, V2, V3 et V4 sont des vannes de sécuritéen cas de détection de fuites (le produit X est nocif) et aussi en cas d’arrêtd’urgence (risque d’explosion du réacteur). On ne tiendra pas compte ici des fuites des canalisations.

Réservoir de controleur RX2 secours produit X C réservoir détecteur VS vanne d’alimentation produit Y DX de débit de secours produit X Pompe VX V1 V2 V3 RY RX P R Vanne de reacteur chimique régulation V4 VY

sortie du produit

Figure 15 – Unit´ede production

On considère que tous les composants sont susceptibles d’être défaillants (on supposera qu’il n’y a qu’un mode de défaillance panne) sauf le détecteur et le réservoir RX2. Les taux de défaillance sont supposésconstants. On souhaite maintenir la production du produit Z quand il n’y a pas d’incidents majeurs dans le système. V1, V2, V3 sont ouvertes initialement et V4 est fermée.

composants taux λ −5 RX , RY , R 5.10 /h −5 VX , VY 5.10 /h P, C 10−4/h −5 V1, V2, V3, V4 5.10 /h

31 Construire le bloc diagramme associéainsi que l’arbre de défaillance. En déduire les coupes minimales et leur probabilité.

3.3 Codage des arbres de défaillancesous forme de DDB En 1992, J.-C. Coudert et O. Madre d’un côté,A. Rauzy d’un autre, ont proposéun codage efficace des arbres de défaillances.Un arbre de défaillanceest équivalent àune formule binaire. En effet, un arbre est constituéd’événements E = {e1, . . . , en} et de portes logiques P = {ou, et . . .}. Chaque événement est transforméen une variable booléenne xi qui vaut 1 si l’événement s’est produit et 0 sinon. Les portes logiques sont directement traduites en connecteurs logiques.

événement ei variable booléenne xi se produit 1 ne se produit pas 0 Exemple 10 Voici la traduction en formule booléenne d’un arbre de défaillance.

S¯

Ei = xi E¯1 pbm F = x1 ∨ (x2 ∧ x3)

E¯2 E¯3

Les diagrammes de décisionbinaires (BDD pour Binary Decision Diagram) sont une structure de donnéesqui permet de représenter de fa¸con compacte les relations entre variables booléennes.Ils ont étéintroduits par Randal E. Bryant et sont devenus incontournables pour les outils de vérification. Exemple 11 Considérons la fonction

f(x1, x2, x3) =x ¯1x¯2x¯3 + x1x2 + x2x3 Le diagramme de décisionbinaire et la table de véritésont représentésci-dessous.

32 On en d´eduit le codage des arbres de d´efaillances.

Arbre de d´efaillance Diagramme de d´ecisionbinaire

S E

1 0 E

S E1

E2 0

E1 E2 1 0

S E1

1 E2

E1 E2 1 0

On peut ensuite appliquer des règlesde simplification quand une variable apparaˆıtplusieurs fois dans une mêmebranche. Considéronsl’exemple ci-dessous :

S E1

E3 E1

E1.E2 E1.E3 1 E1 E2 0

E2 0 1 0

E1 E2 E1 E3 1 0

Le BDD peut se simpliﬁer en E1 dans les deux branches et on obtient :

33 E1

E3 0

1 E2

1 0

Grâceàcette représentation sous forme de diagramme de décisionbinaire, on trouve rapidement les coupes minimales d’un arbre, il s’agit en effet d’une branche menant àun 1. Dans l’exemple, il y a deux coupes minimales E1.E2 ou E1.E3. Exercice 22 Donner le diagramme de décisionbinaire associéàl’arbre suivant ainsi que l’ensemble des coupes minimales.

G1 G2

G4 E1 G3 E2 1

E3 E4

4 Modèlesàétatstransitions

4.1 Chaˆınesde Markov La Méthode de l’Espace d’Etat (MEE) a étédéveloppéepour l’analyse de sûretéde fonctionnement de systèmeréparable.Les arbres de défaillances,vus dans le chapitre précédent, permettent de bonnes descriptions statiques de systèmemais ne prennent pas en compte les reconfigurations, comme les réparations.Les premièresutilisations des processus stochastiques dans les années50 utilisaient des processus markoviens ; des généralisationsont ensuite été faites. Dans cette partie nous nous concentrons sur les processus markoviens. Andrei Markov a publiéses premiers résultatsen 1906, qui ont ensuite étégénéralisésàun espace d’étatsinfini dénombrable par Andrei Kolmogorov en 1936. Un processus stochastique est un ensemble de variables aléatoires(Xt)t≥0 àvaleurs dans l’ensemble des observations. Un processus est markovien si la probabilitéde passage de l’étape présente àla suivante ne dépend pas du passé,i.e.

P (Xt ∈ A | Xtn ∈ An, ··· ,X1 ∈ A1) = P (Xt ∈ A | Xtn ∈ An)

34 Exemple 12 (Exemple Wikipedia : Doudou le hamster) Cet exemple est àtemps dis- cret. Doudou le hamster paresseux ne connaˆıt que 3 endroits dans sa cage : les copeaux où il dort, la mangeoire oùil mange et la roue oùil fait de l’exercice. Ses journéessont assez sem- blables les unes aux autres, et son activitése représenteaisémentpar une chaˆınede Markov. Toutes les minutes, il peut soit changer d’activité,soit continuer celle qu’il étaiten train de faire. L’appellation processus sans mémoire n’est pas du tout exagéréepour parler de Doudou. – Quand il dort, il a 9 chances sur 10 de ne pas se réveiller la minute suivante. – Quand il se réveille, il y a 1 chance sur 2 qu’il aille manger et 1 chance sur 2 qu’il parte faire de l’exercice. – Le repas ne dure qu’une minute, aprèsil fait autre chose. – Aprèsavoir mangé,il y a 3 chances sur 10 qu’il parte courir dans sa roue, mais surtout 7 chances sur 10 qu’il retourne dormir. – Courir est fatigant ; il a donc 80 % de chance de retourner dormir au bout d’une minute. – Sinon il continue en oubliant qu’il est déjàun peu fatigué. La chaˆınede Markov associéeau comportement du hamster est donnéedans la figure 16 et la version complèteest représentéedans la figure 17.

Figure 16 – Chaˆınede Markov associ´ee`aDoudou le hamster

On peut ensuite décrire la matrice de simulation associéeàla chaˆınede Markov oùles lignes et les colonnes correspondent dans l’ordre aux étatsdormir, manger, courir :

0, 9 0, 05 0, 05 T = 0, 7 0 0, 3  0, 8 0 0, 2

Il est alors possible de simuler le comportement du hamster sachant qu’initialement il dort : x(0) = 1 0 0. Au bout d’une minute, on peut pr´edire qu’il y a 90 % de chances que Doudou dorme encore, 5 % qu’il mange et 5 % qu’il coure : x(1) = x(0)T = 0.9 0.05 0.05. Au bout de deux minutes, x(2) = x(1)T = x(0)T 2 = 0.885 0.045 0.07 et ainsi de suite.

Exercice 23 (Petitot) Chaque annéeàNoël,les mangeurs de chocolat adoptent un type de chocolat, pour une duréed’un an renouvelable. Un sondage effectuésur un échantillon représentatif

35 Figure 17 – Chaˆınede Markov complèteassociéeàDoudou le hamster de cette population a donnéles chiffres suivants : parmi les mangeurs de chocolat noir, 65% sont fidèlesàleur choix, tandis que 35% préfèrent essayer le chocolat au lait. De même,parmi les mangeurs de chocolat au lait, 70% restent fidèleset 30% changent pour le noir. Initialement, il y avait 50% de mangeurs de chocolat noir et 50% de mangeurs de chocolat au lait. Quelle sera la tendance au bout d’un an ? 10 ans ? Modélisezle problèmeavec une chaˆınede Markov en GRIF.

4.1.1 Construction d’un modèle Considéronsun systèmecomposéde n composants, chaque composant ayant un nombre fini d’étatsde fonctionnement et de panne ; ce systèmeest supposéréparableet chaque composant est réparéaprèsconstatation de la panne. Le systèmeest donc composé: – des étatsde fonctionnement : un étatde bon fonctionnement oùtous les composants fonctionnent, et des étatsoùcertains composants sont en panne mais le systèmereste fonctionnel, – des étatsde pannes : oùsuffisamment de composants sont en panne pour affecter le système globale. La construction du modèlese fait en 3 étapes : 1. recensement de tous les étatsdu système.Si chaque composant a 2 états(ok ou panne) et si le systèmeà n composants, le nombre maximal d’étatsest 2n. Au cours de la vie du système,des étatsde panne peuvent apparaˆıtreàla suite de défaillanceou disparaˆıtreà la suite de réparation; 2. recensement de toutes les transitions possibles entre ces différents étatset l’identification de toutes les causes de ces transitions. Les causes des transitions sont généralement des défaillancesdes composants ou la réparationde composants ; 3. calcul des probabilitésde se trouver dans les différents étatsau cours d’une période de vie du système,calcul des temps moyens (MTTF, MTBF, MTTR . . . )

Exemple 13 (Composant unique) Pour un systèmeàun composant qui n’a qu’un mode de défaillance panne, on obtient l’automate décritci-dessous. Initialement, on est dans l’étatok, à

36 tout instant le composant peut tomber en panne avec le taux de défaillance instantané λ puis se faire réparer avec le taux de réparation µ.

ok ko µ

Exemple 14 (Deux composants) On considère un systèmeconstituéde deux composants et on suppose qu’une seule panne àla fois peut survenir. Chaque composant a trois étatspossibles : l’état 0 correspond au bon fonctionnement, l’état 1r correspond au fait que le composant est indisponible mais en cours de réparation et 1 correspond àl’étatde panne. L’automate associé au systèmeest la combinaison de tous ces états,par exemple 00 est le bon fonctionnement du systèmealors que 11 correspond àl’arrêttotal. A gauche, la chaˆıne de Markov avec un seul réparateur qui intervient dèsla détection d’une panne ; et àdroite deux réparateurs sont à disposition.

λ2 λ 1 λ1 µ1 1r 0 1r 0 1r 1

µ2 00 λ1 r r µ1 00 µ1 1 1 µ1 µ λ2 2 λ 01r 11r 2 01r µ2 λ2 µ2 λ1

Les graphes des étatsavec deux réparateurspour un systèmesérieàdeux composants et un systèmeen redondance active sont donnésci-dessous.

Diagramme de ﬁabilit´e chaˆınede Markov

Fonctionnement Syst`eme correct d´efaillant

λ1 µ1 1r 0

E1 E2 λ1 r r 00 µ1 1 1

µ2 λ2 r 01 λ2 µ2

Correct Failed functioning system

λ1 µ1 r E1 1 0

λ1 r r 00 µ1 1 1

µ2 E2 λ2 r 01 λ2 µ2

37 Ce document a été délivré pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45 Ce document a été délivré pour le compte de 7200045062 - universite de toulouse buANALYSE sciences // 147.127.81.45 DES RISQUES DES SYSTÈMES DYNAMIQUES : APPROCHE MARKOVIENNE ______Exemple______15 (Signoret) On considère un systèmecomposéde ANALYSE DES RISQUES DES 2 composantsSYSTÈMES DYNAMIQUES redondants. : APPROCHE MARKOVIENNE Un seul réparateur est disponible et doit réparer en priorité E1. La chaˆınede Markov est — disponibilité limite A : Tableau 1 – Disponibilité en fonction du temps (1) • valeur limite de A ( t ) quand t tend vers l’infini, • valeur moyenne de A (t ) sur une durée infinie, sans mémoire.1, Cela 0E – 05implique qu’il converge 1, 0E – 01 au bout d’un délai plus ␭ 1 ␮ 1 • valeur limite de A (0, t ) quand t tend vers l’infini, Paramètresou moins long vers un état d’équilibre indépendant des conditions E3 5, 0E – 04 4, 2E – 02 • valeur limite du ratio moyen du temps de marche/temps total, initiales.␭ 2 ␮ 2 • pourcentage du temps moyen de bon fonctionnement sur une P1 durée infinie. λ1 λ2 Temps États P2 (h) Disponibilité moyenne et disponibilité limite possèdent donc dif- Il s1234’agit ici des caractéristiques fondamentales des processus férentes interprétations. Il faut faire une mention spéciale pour0 de1, 000E Markov + 00 homogènes 0, 000E + 00 0, dont 000E +il 00 convient 0, 000E +de 00 bien se souvenir. celle correspondant au ratio du temps de bon fonctionnement rapporté au temps µ d’observation1 car elle permetµ2 de réaliser des20 9, 932E – 01 6, 735E – 03 8, 595E – 05 1, 000E – 06 estimations statistiques à partir de donnéesP2 prioritaire observées dans le40 Lo 9, 903Ersque – 01 les 9, taux613E –de 03 transitions 9, 758E – 05 ne 2, 229E sont – 06pas constants, on parle mondeP1 physique. On retrouve aussi ici pour le lien la réparation entre les mathé-P1 E1matiques et le monde réel. E4 60de 9,processus 891E – 01 1,semi-markoviens 084E – 02 9, 934E –. 05Nous 3, 038E ne –les 06 aborderons pas dans P2 P2 ce dossier car leur traitement analytique est beaucoup moins facile Les probabilités complémentaires D (t ) et U (t ) de la fiabilité et 80 9, 885E – 01 1, 137E – 02 9, 972E – 05 3, 498E – 06 que les processus markoviens homogènes. Pour des systèmes de de la disponibilitéµ sont dénommées « défiabilité » et100 9, 883E – 01 1, 159E – 02 9, 986E – 05 3, 743E – 06 « indisponibilité » : 2 taille industrielle, et sauf cas particuliers, seule la simulation de 120 9, 882E – 01 1, 169E – 02 9, 992E – 05 3, 869E – 06 — D (t ) = 1 – R (t ) ; Monte-Carlo permet de les traiter réellement. Cela sera décrit en λ — U (t ) = 1 – A (t ).λ2 1 140détail 9, 882E dans – 01 le 1, dossier 173E – 02 concernant 9, 996E – 05 l’utilisation 3, 931E – 06 des réseaux de Petri P1 160stochastiques 9, 881E – 01 1,. 175E – 02 9, 997E – 05 3, 962E – 06 P2 180 9, 881E – 01 1, 176E – 02 9, 998E – 05 3, 977E – 06 2.2 Graphe de MarkovE2 ver sus 200 9, 881E – 01 1, 176E – 02 9, 999E – 05 3, 984E – 06 paramètres classiquesMarche Panne 300 9, 881E – 01 1, 176E – 02 9, 999E – 05 3, 990E – 06 P1, P2Revenons pompes au en graphe état de de marche Markov de la figure 2. Nous n’avons4002. 9, 881EApproche – 01 1, 176E – 02 9, 999E markovienne – 05 3, 991E – 06 encore rien dit sur la nature des états rencontrés. Dans le cadre P1, P2 pompes en panne –5 classique, la première étape est de les répartir en deux classes(1) On rappelle que classiquela notation E-05, par exemple, signifie × 10 . distinctes – Marche/Panne – afin de pouvoir mener à bien les Figurecalculs 2 –Exemple de fiabilité/disponibilité de graphe de ordinaires. Markov Comme les deux pompes sont redondantes, cette répartition est2.2.2 Fiabilité prévisionnelle Exercicetrès simple 24 : lesDonner états {E1, E2, la E3} chaˆınedecorrespondent au Markovbon fonction- associéeau2.1 systèmesuivant.Quelques définitions de base simultanémentnement et l’état en {E4}panne, à la panneil devient du système. nécessaire de définir la politi- Puisque le graphe de la figure 2 permet d’évaluer la disponibilité du système, comment faut-il le modifier pour obtenir un modèle que de maintenance à mettre en œuvre et, dans un premier temps,permettant d’évaluerAvant lad’aller fiabilité plus dudit loin, système il convient ? de rappeler quelques notions nous 2.2.1considéreronsDisponibilité que P2 prévisionnelle est prioritaire pour la réparation. élémentaires du domaine de la sûreté de fonctionnement. Elles E1 La réponseE2 se trouve dans la définition même de la fiabilité : il faut assurerdevraient la continuité être du bonparfaitement fonctionnement connues du système mais, sur à l’expérience, on les Une fois la dichotomie réalisée entre les états de marche et de La construction du graphe de Markov relatif à un tel systèmel’intervalle découvre[0, t ]. Il est doncun peu nécessaire oubliées de modifier ou mal le assimilées graphe de la par les ingénieurs qui panne, on peut se demander ce que permet de calculer effecti- s’effectue en deux étapes (figure 2) : figure 2 de manière qu’aucun chemin aboutissant à l’un ou l’autre vement le graphe de Markov dessiné précédemment et représentéles utilisent : des états de marche E1, E2 ou E3 à l’instant t ne soit jamais passé figure 2. E — identification des différents états que le système peut occuperpar3 l’état de panne— fiabilité E4 dans Rl’intervalle (t ) : probabilité [0, t ] ou, ce dequi revient bon fonctionnementau sur un au coursPour de répondre son exploitation à cette question, il suffit de remarquer qu’un telmême, faireintervalle en sorte qu’aucun de temps chemin donné passant [0, par t ] l’étatet dans de panne des conditions données ; graphe représente, de manière synthétique, tous les cheminsE4 ne revienne — jamaisdisponibilité vers un des A états (t ) :de probabilité marche E1, E2 de ou bon E3. fonctionnement à un (séquences d’événements) que le système peut emprunter à partir • il y en a quatre dénommés E1, E2, E3 et E4 ; La modification de notre graphe est alors très simple à réaliser de son état initial durant son évolution au cours du temps. instant donné t et dans −des5 conditions données. Supposons que les composants ne sont pas réparablespuisqu’il suffit de et supprimer que λ lesi = transitions 10 de, comparer {E4} vers {E1, E2, les simula- — constructionUn tel chemin du sera graphe par exemple de Markov E1, E2, E1,proprement E3, E4, E2, dit E1... : CeE3}. En fait, il Iln’y résulte en a qu’une de ces seule définitions à supprimer que de E4 la vers fiabilité, E3 et au sens mathémati- tions Grifgraphe avecrenferme diagramme donc des chemins de permettant fiabilitéet au système chaˆınede decela nous Markov. conduitque du au terme,graphe présenté correspond sur la àfigure un 3 fonctionnement. sans interruption • passerreprésentation par l’état dede pannechacun E4 despuis états de revenir par un dans cercle, un état de Grâce à sur cette une transformation, certaine période.P 1 (t ) + P 2 La (t ) notion+ P 3 (t ) représente de fiabilité est donc très utile marche E2. Il décrit donc le comportement d’un système qui peutmaintenant la probabilité d’être en marche à l’instant t sans jamais • êtrereprésentation en marche à un des instant transitions donné en entre ayant lesété étatsune ou par plusieurs des flèches. pour traiter des problèmes liés à la sécurité, car elle s’intéresse à être tombél’occurrence en panne auparavant, de la c’est-à-dire première la probabilité panne (ou d’être premier accident) du fois en panne auparavant. Il s’agit donc typiquement d’un modèleresté en bon état de fonctionnement sur toute la durée [0, t ] ou SimplificationChaquede disponibilité transition. symboliseQuand la onfaçon modéliseun dont le système saute systèmeavec d’unsystème une concerné. chaˆınede Markov, on rencontre le état vers un autre. autrement dit la fiabilité du système étudié. La disponibilité A (t ) du système étudié est donc égale à la pro- n problèmede l’explosion combinatoire des étatspuisqueDe même queCela laprécédemment, nous chaˆınea conduit on a à adonc introduire priori : une2 autreétatspour notion de baseun indis- Exbabilitéemple de: sede trouver l’état àde l’instant marche t dans parfait l’un E1,ou l’autre on peut des sauter trois états vers E2 ou de marche E1, E2 ou E3 et son indisponibilité U (t ) est égale à la — P 1 (t ) sociable+ P 2 ( t ) + Pde3 (t )celle + P 4 (det ) = fiabilité 1 ; : E3 par défaillance de P2 ou P1, de l’état E2 on peut aller soit vers l’état systèmedeprobabilitén de élémentsse trouver dans l’état à2 de états.Il panne E4. est néanmoinspossible— R (t ) = P 1— (t ) MT+ P 2TF de(t ): + temps Préduirela3 (t ) ; moyen avanttaille la de première la chaˆıne défaillance en (Mean de panne totale E4 par défaillance de P1 ou revenir à l’état E1 par répa- — D (t ) = P (t ). (0) Posons P (t ) = probabilité d’être dans l’état Ei à l’instant t. 4 agglomérantration de P2, ...,i des et finalement états.Cela de l’état supposeE4 on peut revenir que uniquement les composantsLes formulesTime ci-dessussoient To Fail ). sont identiques identiques à celles avec permettant les mêmestaux de vers E3Comme par réparation le système de ne P2 peut qui pas est se prioritaire trouver dans pour plusieurs la réparation. étatscalculer la disponibilité. Il est à noter Ce qui que, est pour différent, un c’estcomposant le graphe élémentaire qui régi par une à la fois, les états E1, E2, E3 et E4 sont disjoints. Il en résulte : permet d’évaluer les probabilités des différents états. Cependant, de défaillanceet de réparation.Dans le cas d’un systèmeàdeuxloi exponentielle decomposants taux de défaillance actifs, λ, le MTTF on peutest alors égal — P (t ) + P (t ) + P (t ) + P (t ) = 1 ; maintenant, il n’est plus possible de sortir de l’état E4 une fois 1 2 3 4 à 1/λ. Sauf cas très particulier, cette propriété n’est en général pas simplifierÀ la fin— Ade les(t ) cet= P chaˆınesvues exercice, (t ) + P (t ) on+ P se (t ) retrouve; ci-dessus en présence de la d’un sorte. graphe qu’on L’état y est entréi correspond : on dit que celui-ci àl’ensemble est devenu absorbant des. Cette étatsoùil d’états qui modélise1 le2 comportement3 du système formé de deuxdifférence, vraie qui peutau niveau paraître du minime, système entraîne global, cependant même unsi celui-ci ne comporte — U (t ) = P 4 (t ). y apompes.i pannes. Pour qu’il représente aussi le processus de Markovcomportementque trèsdes différent composants du processus régis depar Markov. des lois Comme exponentielles. il D’autre part Le tableau 1 montre l’évolution de la probabilité des différentsn’existe plus de possibilité de sortir de E4, toute la probabilité va associé,états il dureste système à préciser en fonction quelles du temps sont et les la probabilitéchances quede l’état chacune 4 dese retrouverle concentrée MTTF est dans un cet paramètre état lorsque qui le temps peut être va tendre estimé statistiquement à ces transitionsdonne directement soit réellement l’indisponibilité empruntée instantanée au Ucours (t ). de la vie(0) du sys-vers l’infini.partir Cela ne de fait données que traduire observées la certitude dans que le le système monde physique (retour tème. Cela est obtenu en affectant des taux de transition2λ λij à cha- λd’expérience). Il permet donc de faire le lien entre les mathé- cune d’elles. matiques et le monde réel. 0 1 À l’opposé2 de la fiabilité, la disponibilité s’intéresse à la proba- Ce document a été délivré pour le compte de 7200045062 - universite toulouse bu sciences // 147.127.81.45 Mathématiquement, λTouteij · d reproductiont est la probabilitésans autorisation conditionnelle du Centre français d’exploitation de du droit de copie est strictement interdite. sauterSE de 4 Ei 071 vers − 4 Ej entre t et t + dt lorsqu’on est dans© Tec hniques l’état Eide l’Ingénieur àbilité que le système fonctionne à un instant donné sans se pré- µ 2µoccuper de ce qui s’est passé auparavant. Elle caractérise donc un l’instanttiwekacontentpdf_se4071 t. Dans le cas usuel, les taux de transition sont constantsCe document a été délivré pour le compte(2 de 7200045062 - universite réparateurs) de toulouse bu sciences // 147.127.81.45 et correspondent aux taux de défaillance ou aux taux de réparationfonctionnement pouvant être interrompu puis repris. des composants qui causent les changements d’état. Toutes les loisLa disponibilité A (t ) a surtout un intérêt théorique et, en pratique, de probabilités qui régissent les divers phénomènes2λ pris enλc’est plutôt à sa valeur moyenne que l’on s’intéresse. D’où l’intro- compte sont donc de nature exponentielle et un tel processus sto- duction de deux autres définitions : chastique est dénommé processus de Markov homogène0 . 1 2 — disponibilité moyenne pour une mission A (t 1 , t 2) : µ Comme, dans ce cas, la probabilité de sauter de Ei vers Ej neµ • moyenne de A (t ) sur l’intervalle [t 1 , t 2], dépend que de la présence dans Ei à l’instant t mais pas de la(1 réparateur)• ratio temps moyen de bon fonctionnement/(t 2 – t 1), manière dont on y est arrivé entre 0 et t, le devenir du système ne• pourcentage du temps moyen de bon fonctionnement sur dépend que de son état à l’instant t. Il s’agit donc d’un processus[t 1 , t 2] ; Exercice 25 Donner la forme générale de la chaˆınede Markov d’un systèmede n composants en redondance active avec k réparateurs.

Ce document a été délivré pour le compte de 7200045062 - universite toulouse bu sciences // 147.127.81.45 Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Techniques de l’Ingénieur SE 4 071 − 3

tiwekacontentpdf_se4071 Ce document a été délivré pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45

38 4.2 Evaluation de la fiabilité,de la disponibilitéet du MTTF Pour calculer les attributs de sûretéde fonctionnement sur un systèmemodélisépar une chaˆınede Markov, il faut calculer la probabilitéd’êtredans un étatàun instant t.

Equations d’étatsdu système La transition entre un état i et j se fait avec un taux de transition instantané ρi,j (viennent des comportements physiques). Pi est la probabilitéd’être dans l’état i. L’équationd’étatd’un graphe de Markov :

Pi(t + dt) = P ( dans l’étati à t et durant [t, t + dt])+ P j6=i P ( dans l’étatj à t dans l’étati à t + dt)

Comme ρi,j(t)dt est la probabilitéde passer de i à j entre t et t + dt, on a : X X Pi(t + dt) = Pi(t)[1 − ρi,j(t)dt] + Pj(t)ρj,i(t)dt j6=i j6=i On en déduit : Pi(t + dt) − Pi(t) X X = −P (t) ρ (t) + P (t)ρ (t) dt i i,j j j,i j6=i j6=i On obtient un systèmed’équationsde Chapman-Kolmogorov du premier ordre : dP (t) = M(t)P (t) dt où M est la matrice des taux de transition Mij = ρj,i avec ρi,i = −Σj6=1ρi,j. On en déduit directement la disponibilitédu système X A(t) = Pi(t) i∈étatsde fonctionnement Exercice 26 Ecrire l’équationd’étatde la chaˆınede Markov d’un systèmeàun composant, dont les taux de défaillance et de réparation sont constants, et la résoudre. En déduire la disponibilité.

Résolution La résolutionde l’équationd’état,lorsqu’on connaˆıtla distribution initiale Pi(0), peut êtreeffectuéepar des méthodes de résolutionexplicite àl’aide de la transforméede Laplace, de discrétisationou de calcul de valeurs propres de la matrice (en effet, si M est constante on trouve P (t) = eMtP (0)). La méthode des valeurs propres posent des problèmes pour les systèmes trèsfiables. En effet, la plus grande valeur propre −β1 est beaucoup plus petite en valeur absolue que les autres et la précisionrisque d’êtremauvaise lorsque le nombre d’étatest assez grand. Ceci est d’autant plus gênant que c’est cette valeur propre qui déterminele comportement du systèmequand t est grand. Du fait de ces limites, cette méthode est peu utiliséeen pratique. La résolutiond’un systèmelinéaire d’équationsdifférentielles du premier ordre est classique en analyse numérique et de nombreux programmes sont disponible.

Exemple 16 On illustre le calcul de la résolutiondu graphe d’étatpour un systèmeen redondance active àun réparateur. La chaˆınea déjàétédécrite,il s’agit de

2λ λ 0 1 2 µ µ

39 L’équationd’états associéeest alors  dP1(t) = −2λP (t) + µP (t)  dt 1 2 dP2(t) dt = 2λP1(t) − (λ + µ)P2(t) + µP3(t)  dP3(t) dt = λP2(t) − µP3(t)

On suppose P1(0) = 1 et P2(0) = P3(0) = 0. Pour résoudre ce système,on utilise transformée de Laplace. On note L(Pi) = Li et on rappelle

R ∞ −st L(Pi)(s) = 0 e Pi(t)dt dPi(t) L( dt )(s) = sLi(s) − Pi(0) On trouve alors   s.L1(s) − 1 = −2λL1(s) + µL2(s) s.L2(s) = 2λL1(s) − (λ + µ)L2(s) + µL3(s)  s.L3(s) = λL2(s) − µL3(s) d’o`u  2 2 L (s) = s +(2µ+λ)s+µ  1 s.f(s)  λ(s+µ) s.L2(s) = 2 s.f(s)  λ2  s.L3(s) = 2 s.f(s) avec f(s) = s2 + s(2µ + 3λ) + (2λ2 + 2λµ + µ2) On calcule ensuite les transform´eesde Laplace −1 1 −αt inverses en utilisant la formule L ( s+α ) = e et on trouve

2 2  α µ s1t β µ s2t P1(t) = 2 s1 + λ + 2µ + e + 2 s2 + λ + 2µ + e  2λ s1 2λ s2  2  µ γ + 2λ2 α µ s t β µ s t µγ  P2(t) = 1 + e 1 + 1 + e 2 +  λ s1 λ s2 λ  P (t) = α es1t + β es2t + γ 3 s1 s2

Calcul de la fiabilitéet du MTTF Pour calculer la fiabilitéd’un systèmereprésentésous forme d’une chaˆınede Markov, il faut modifier la chaˆınede fa¸conàéliminertoutes les transitions de réparation d’un étatde panne vers un étatde fonctionnement. Les étatsde panne deviennent alors absorbants. Ainsi la nouvelle chaˆınede Markov associéeàun système en redondance active à2 composants devient

2λ λ 0 1 2 µ

dP (t) 0 On trouve alors la nouvelle équationd’étatde cette chaˆıne dt = M (t)P (t). Ce qui permet ensuite de calculer la fiabilitédu système: X R(t) = Pi(t) i∈étatsde fonctionnement

Comme seuls les étatsde fonctionnement contribuent au calcul de la fiabilitéet que les étatsde panne sont absorbants, il suffit de résoudrele systèmed’équationsur les étatsde fonctionnement.

40 Exercice 27 On considère les systèmesàdeux composants non réparables sérieou redondance active. Calculer la fiabilitéet le MTFF des systèmes.Retrouve-t-on les résultatsde la partie 2.4.3 page 23?

Exercice 28 Calculer la fiabilitédu système en redondance active à2 composants.

Maintenabilité On peut calculer l’immaintenabilité M¯ (t) = 1−M(t) directement àpartir de la chaˆınede Markov précédente. En effet, c’est la probabilitéque le systèmequi est initialement en panne ne puisse pas êtreréparé.Il faut donc considérerla chaˆınede Markov oùon supprime toutes les transitions des étatsde marche vers les étatsde panne. X M¯ (t) = Pi(t) i∈étatsde panne

Exercice 29 Calculer la maintenabilitédu systèmeen redondance active à2 composants.

4.3 Réseauxde Petri stochastiques Carl Adam Petri a proposédans ses travaux de thèse(1962) un nouvel outil dédiés àla modélisationdes automates. Dans les années70, S. Natkin et G. Florin ont proposédes réseaux de Petri markoviens. Dans les années80, J.P. Signoret et A. Leroy ont utiliséles réseauxde Petri comme modèlescomportementales pour réaliserdes simulations de Monte-Carlo (pour les grands systèmes).De nombreuses recherches sont en cours sur le sujet, notamment LAAS, MOCA-RP, Marsan et al., Trivedi et al.(USA), Les réseauxde Petri sont un bon outil pour modéliserle comportement dysfonctionnel d’un système.On appréhendeplus aisément les différentes pannes et l’impact sur le système.Pour rappel, un réseaude Petri est un graphe orientéavec deux types de nœuds : les places (états ou conditions) représentéespar des cercles et les transitions (ou événements ) symboliséespar des barres. Ces nœuds sont connectésentre eux par des arcs orientésàdes places aux transitions (arcs amont) et des transitions aux places (arcs aval) exclusivement. La circulation de jetons (marqueurs indivisibles), symbolisant la présenceàun instant donnéd’une information ou d’une initialisation particulièreaux places oùils résident, permet la modélisationdynamique du comportement système(aussi bien désiréque redouté)au sein du réseau.Un réseaude Pe- tri stochastique (ou dans notre cas fiabiliste) est un réseaude Petri étendutel qu’on associe àchaque transition une duréede franchissement aléatoireou déterministe(nulle ou non). Si la duréedéterministeest 0, on parle de transitions immédiates.Une présentation complètese trouve dans le livre [3].

4.3.1 Modélisationdes systèmesavec des réseauxde Petri réseauxde Petri sont un bon outil pour modéliserles comportements dysfonctionnels.

Systèmeavec un composant unique Supposons que le composant àun taux de défaillance constant λ et un taux de réparationconstant µ. En plus des deux étatsstandard (ok et réparation),on peut également décrirele moment oùle systèmetombe en panne et attend d’êtreréparé.Le réseaude Petri est montréfigure 18, partie gauche. Sur ce premier modèle, l’attente et le réparateursont représentéspar un délaiconstant. Dans le modèlede droite, on représente le réparateur par un jeton dans une place. Si le réparateurest disponible, il intervient de suite pour réparerle système.

41 Ce document a été délivré pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45

______ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES : RÉSEAUX DE PETRI

Sur la figure 10, le jeton dans la place Marche indique que le composant est, au départ, en bon état de fonctionnement. À partir de cet état, un seul événement peut se produire car une seule transition est valide : Défaillance. Celle-ci surviendra après un délai exponentiel de paramètre λ tiré au hasard selon la formule donnée au paragraphe 4.3.3.1. Le tir de la transition Défaillance retire le jeton de la place Marche

Ce document a été délivré pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45 et en met un dans la place Attente. La transition Début réparation devient alors valide. Elle se produit dès qu’une équipe de réparateurs est disponible, par exemple au bout d’un délai moyen δ modélisé pro- visoirement par une loi de Dirac. Le jeton est alors enlevé de la place ______ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUESAttente : RÉSEAUX et DEun PETRIjeton est mis dans la place Réparation. Après un délai a Tir 1b Tir 2 exponentiel de paramètre µ, la réparation est terminée, la transition Fin réparation est tirée, le jeton est enlevé de la place Réparation, un Figure 8 – Effet du tir de la transition jeton créé dans la place Marche et on est revenu à l’état initial.

Sur la figure 10, le jeton dans la place MarcheCette indique simulation, que le où tout se passe comme si le jeton se déplaçait composant est, au départ, en bon état de fonctionnement.d’une place À partir à l’autre, doit être poursuivie pour la durée prévue de cet état, un seul événement peut se produire pourcar une le seule calcul, tran- par exemple 1 an : on obtient ainsi une histoire. Il sition est valide : Défaillance. Celle-ci surviendrasuffit après alors un de délai recommencer le processus, avec les mêmes condi- exponentielF∆ (deδ) paramètre λ tiré au hasard selon tionsla formule initiales, donnée un nombre suffisant de fois pour récolter des échan- au paragraphe 4.3.3.1. tillons statistiques et évaluer les paramètres d’intérêt : Le tir de la transition Défaillance retire le jeton de– la nombre place Marche de défaillances (fréquence de tir de la transition et en met un dans la place Attente. La transitionDéfaillance) Début réparation ; Figure 9 – Loi du délai de tir devientd’une transition alors valide. Elle se produit dès qu’une équipe– temps de réparateurs cumulé de bon fonctionnement (temps passé avec est disponible, par exemple au bout d’un délai moyen1 jeton δ modélisé dans la pro- place Marche) ; – un délai stochastique correspondvisoirement à par un uneévénement loi de Dirac. qui Lese jeton pro- est alors enlevé– disponibilité de la place (marquage moyen de la place Marche) ; duit après un délai aléatoireAttente δ régi et par un lajeton fonction est mis de dans répartition la place Réparation.– tempsAprès un cumulé délai d’attente avant réparation (temps passé avec a Tir 1b Tir 2 F∆(δ) attachée à l’événementexponentiel en question. de paramètre µ, la réparation est terminée,1 jeton ladans transition la place Attente) ; Contrairement à l’approcheFin réparation markovienne, est tirée, la le simulationjeton est enlevé de de la place– chargeRéparation, de maintenance un (marquage moyen de la place Réparation) ; Figure 8 – Effet du tir de la transition Monte-Carlo permet donc dejeton mêler créé directement dans la place phénomènes Marche et ondéte- est revenu à l’état– etc. initial. rministes et stochastiques sansCette avoir simulation, à se poser où tout de se question passe comme ni si le jeton se déplaçait Sur la figure 10, l’attente des réparateurs est modélisée par un tordre la réalité. d’une place à l’autre, doit être poursuivie pour la durée prévue rudimentaire délai constant mais il est très facile d’améliorer ce pour le calcul, par exemple 1 an : on obtient ainsi une histoire. Il δ Nous avons vu au paragraphe 4.3 comment simuler les délais sto- modèle en introduisant explicitement l’équipe de réparateurs. Cela chastiques à partir de leur fonctionsuffit dealors répartition de recommencer et comment le processus,la distri- avec les mêmes condi- F ( ) est réalisé très simplement sur la figure 11 à l’aide de la place ∆ δ bution de Dirac couvrait le castions des délaisinitiales, constants. un nombre Donc, suffisant et bien de que fois pour récolter des échan- tillons statistiques et évaluer les paramètres d’intérêtauxiliaire : Réparateurs qui vient s’insérer très naturellement sans certains ouvrages traitent séparément ces deux types de délais, il n’y perturber le modèle précédent. Cette place contient un jeton qui – nombre de défaillances (fréquence de tir de la transition a pas de réelles raisons pratiques à le faire. Pour notre part, nous pré- représente une équipe de réparateurs unique. Lorsque le jeton est férons unifier la démarche enDéfaillance) les traitant de; manière identique. présent, l’équipe est disponible, si le jeton est absent, c’est qu’elle Figure 9 – Loi du délai de tir d’une transition – temps cumulé de bon fonctionnement (temps passé avec Nous verrons cependant plus loin qu’il convient de se méfier un est déjà occupée par ailleurs. 1 jeton dans la place Marche) ; peu des délais constants – surtout ceux à délais nuls – qui peuvent – un délai stochastique correspond à un événement qui se pro- – disponibilité (marquage moyen de la place Marche) ; duit après un délai aléatoire δ régi par la fonctionengendrer de des répartition problèmes particuliers. – temps cumulé d’attente avant réparation (temps passé avec Marche F∆(δ) attachée à l’événement en question. Cela étant, dès lors que des1 jeton délais dans aléatoires la place sontAttente) introduits, ; les Contrairement à l’approche markovienne,réseaux la simulation de Petri prennent de du – galoncharge etde deviennentmaintenance stochastiques(marquage moyen de la place Réparation) ; Fin Monte-Carlo permet donc de mêler directement(RdPS) phénomènes. déte- µ – etc. réparation λ Défaillance rministes et stochastiques sans avoir à se poser de question ni Sur la figure 10, l’attente des réparateurs est modélisée par un tordre la réalité. δ 5.2.5 Exemples simplesrudimentaire délai constant δ mais il est très facile d’améliorer ce Nous avons vu au paragraphe 4.3 comment simuler les délais sto- modèle en introduisant explicitement l’équipe de réparateurs.Réparation Cela Attente chastiques à partir de leur fonction de répartition5.2.5.1 et comment Composant la distri- uniqueest réparable réalisé très simplement sur la figure 11 à l’aide de la place bution de Dirac couvrait le cas des délais constants. Donc, et bien que auxiliaire Réparateurs qui vient s’insérer très naturellement sans certains ouvrages traitent séparément ces deux typesPour deillustrer délais, l’utilisation il n’y des RdPS, on utilise traditionnellement Début perturber le modèle précédent. Cette place contient un jeton qui réparation a pas de réelles raisons pratiques à le faire. Pourdepuis notre pluspart, denous 20 pré- ans un exemplereprésente très une simple équipe qui depermet réparateurs de bien unique. Lorsque le jeton est férons unifier la démarche en les traitant de manièrefixer les identique. idées sur la démarche de modélisation. Il s’agit d’un com- présent, l’équipe est disponible, si le jeton est absent,Figure c’est10 – Composantqu’elle réparable Nous verrons cependant plus loin qu’il convientposant de simple se méfier réparable un ayantest les déjà propriétés occupée parsuivantes ailleurs. : peu des délais constants – surtout ceux à délais– nulstaux –de qui défaillance peuvent λ et taux de réparation µ ; engendrer des problèmes particuliers. – non prioritaire pour les réparations. Réparateurs Marche Cela étant, dès lors que des délais aléatoiresEn sont plus introduits, des deux les états classiques (marche et réparation), un tel Marche réseaux de Petri prennent du galon et deviennentsystème stochastiques possède donc un troisième état où il est en panne et où il Fin (RdPS). attend son tour pour être réparé. Cela se représente trèsµ facile- Fin λ réparation λ Défaillance Défaillance ment avec un réseau de Petri, comme le montre la figure 10. réparation µ δ 5.2.5 Exemples simples Le fonctionnement des réseaux de Petri s’inscrit dans la lignée δ=0 de l’usage millénaire des abaques à jetons où le déplacement de Réparation Attente Réparation Attente 5.2.5.1 Composant unique réparable petits cailloux ou calculi permettait à nos ancêtres de réaliser leurs calculs. Renouant avec cette tradition, le lecteur a tout intérêt à se Pour illustrer l’utilisation des RdPS, on utilise traditionnellement Début Début munir dès maintenant de quelques calculi (petite monnaie,réparation len- depuis plus de 20 ans un exemple très simple qui permet de bien réparation fixer les idées sur la démarche de modélisation.tilles, Il s’agit cailloux, d’un ...) com- pour s’aider à comprendre les mécanismes de création/destruction des jetons.Figure 10 – Composant réparable Figure 11 – Équipe de réparateurs posant simple réparable ayant les propriétés suivantes : Figure 18 – Modèlepour un composant unique réparable – taux de défaillance λ et taux de réparation µ ; – non prioritaire pour les réparations. Réparateurs En plus des deux états classiques (marche et réparation), un tel Marche système possède donc un troisième état où il est en panne et où il Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie attend son tour pour être réparé. Cela se représente très facile- Exercice 30 DonnerFin est les strictement réseauxλ interdite. de Petri – © Editions associésà T.I. SE 4 072 – 9 Ce document a été délivré pour le compte de 7200045062 - universite toulouse bu sciences // 147.127.81.45 réparation Défaillance ment avec un réseau de Petri, comme le montre la figure 10. 1. un systèmeàdeuxµ composants réparables et deux réparateurs ; Le fonctionnement des réseaux de Petri s’inscrit dans la lignée δ=0 de l’usage millénaire des abaquestiwekacontentpdf_se4072 à jetons où le déplacement de Ce document a été délivré pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45 2. un systèmeàdeuxRéparation composantsAttente non réparables. petits cailloux ou calculi permettait à nos ancêtres de réaliser leurs calculs. Renouant avec cette tradition, le lecteur a tout intérêt à se Les étatsde fonctionnementDébut et de pannes sont alors des ensembles de marquages du réseau munir dès maintenant de quelques calculi (petite monnaie, len- réparation tilles, cailloux, ...) pour s’aider à comprendre les mécanismes de de Petri. Dans le cas de la figure 18 partie droite, si le systèmecontient les deux composants création/destruction des jetons. enFigure série,un 11 – Équipe seul de marquage réparateurs représente les étatsde fonctionnement, s’il s’agit d’une redondance active 5 marquages constituent la fonctionnement.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie série redondance est strictement interdite. – © Editions T.I. SE 4 072 – 9 Ce document a été délivré pour le compte de 7200045062 - universite toulouse bu sciences // 147.127.81.45 Marche1 1 1 0 0 1 1 Attente1 0 0 1 0 0 0 tiwekacontentpdf_se4072 Ce document a été délivré pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45 Réparation1 0 0 0 1 0 0 Réparateurs 1 1 0 0 0 0 Marche2 1 1 1 1 0 0 Attente2 0 0 0 0 1 0 Réparation2 0 0 0 0 0 1

Générationde chaˆınesde Markov Si on représente le graphe des étatsassociés,système de transition entre marquage on retombe sur la chaˆınede Markov représentant le système. Exercice 31 Donner les chaˆınesde Markov obtenues àpartir des réseaux de Petri associésà 1. un systèmeàdeux composants réparables et deux réparateurs ; 2. un systèmeàdeux composants non réparables. Exemple 17 On donne un exemple complet d’un systèmemécatronique étudiédans [10]. Le systèmeétudiéest l’ouverture automatique d’une portière : le conducteur du véhiculeen posses- sion de la cléest détectépar le capteur du systèmece qui déclenchel’activation d’un convertisseur qui alimente le reste du système.L’information est re¸cuepuis traitéepar un processeur muni d’un RAM qui déclencheun moteur qui ouvrira la portière.

Convertisseur

capteur Processeur RAM Moteur

42 Les auteurs ont modéliséle systèmeen un réseau de Petri : chaque composant a deux états correct ou défaillance, tout équipement arrêténe peut tomber en panne. Le systèmesous forme de réseau de Petri est modélisédans la figure 19. 12 marquages sont accessibles et le graphe de marquage du réseau de Petri est donnédans la figure 20.

convertisseur

T3 T4

capteur_def capteur T11 processeur T12 RAM T13 moteur

T1 T2 T5 T6 T1 T2 T5 T6

lambda mu

mu mu mu mu

capteur_def processeur_def RAM_def moteur_def

T14

Figure 19 – R´eseaude Petri du syst`eme

Simulation de Monte-Carlo L’exploitation quantitative d’un réseaude Petri se fait généralement, soit en traitant le modèlemarkovien issu du graphe des marquages accessibles du réseaude Pe- tri, chaque marquage non évanescent correspondant àun étatde la chaˆınede Markov, soit en animant par simulation de Monte-Carlo directement le modèleréseaude Petri et non son graphe d’accessibilité. La simulation se montre relativement insensible àla taille du modèleàanimer, elle est donc utiliséepour traiter des systèmes de grandes tailles. L’idéeest de réaliserune marche aléatoireà travers l’espace d’étatsdu systèmemodélisé.Le principe des simulations de Monte-Carlo est de jouer un certain nombre de scenarii d’évolution du réseaude Petri en tirant pseudo-aléatoirement les délaisassociésaux transitions et en faisant des statistiques sur des valeurs ayant un intérêt telles que le nombre de tirs d’une transition, le temps moyen de séjour dans une place . . . Un scénarioredoutéest une liste d’événements qui conduisent d’un étatde fonctionnement normal àun étatredoutéavec une relation d’ordre partiel entre ces événements. Si f(t) est la loi de probabilitéassociéeàune transition, pour obtenir un délaipseudo-aléatoire δ on choisit un nombre z entre 0 et 1 (suivant une loi uniforme) et on prend δ = f −1(z). Lorsque f n’est pas

43 T14

T14

T T 2 T11 T12 T13 2 M1 M0 M3 M6 M8 M9 T1 T1

T3 T4 T3 T4 T5 T6 T7 T8 T9 T10 T9 T10

T2 T2 M4 M2 M5 M7 M10 M11 T1 T1

Figure 20 – Graphe de marquage du système inversible, on calcule la valeur numériquement. Les inconvénients de cette approche sont la précisionvariable qui dépend du nombre de simulations effectuéeset le temps de traitement qui est potentiellement long et peut difficilement s’appliquer aux évènements rares. Les deux structures principales sont : Horloge de simulation : elle enregistre le temps de mission d’une simulation. Liste d’événements : les événements sont maintenus dans un ordre chronologique. Leurs dates d’occurrence sont généréesaléatoirement en fonction de leurs distributions probabilistes. La simulation se déroulealors de la manièresuivante : – Choisir l’événement le plus récent pour l’exécution. – Exécuterl’événement et avancer l’horloge. – Mettre àjour les données(liste d’événements, variables d’observation,. . . ) – Arrêtersi une des deux conditions suivantes se vérifient : – le temps de mission est dépassé – ou il n’y a plus d’événement àexécuter.

4.4 AltaRica Le langage Altarica a étécon¸cupour spécifier formellement le comportement de systèmesen présencede fautes et exploiter ces spécificationsàl’aide d’outils complémentaires : simulateur symbolique, model-checker ou générateurd’arbre de défaillances.AltaRica est un langage de description de systèmebasésur des automates àcontraintes. La premièredéfinitiondu langage est apparue en 1996 au Labri àBordeaux conjointement avec des industriels (comme Dassault) et le premier atelier a étémis en place en 2001.

4.4.1 Modélisationdes systèmeavec AltaRica Le langage Altarica a étécon¸cuau LaBri pour spécifierformellement le comportement de systèmesen présencede fautes et exploiter une unique spécificationàl’aide d’outils complémentaires :

44 simulateur symbolique, model- checker, générateurd’arbre de défaillance,simulation stochastique. Le simulateur permet d’animer des spécificationscomportementales non déterministes. Aprèsavoir brièvement présentéle langage AltaRica, nous donnons une méthodologie pour modéliserdes systèmesd’un point de vue sûretéde fonctionnement.

Node block ﬂow I,A,R : bool : in ; O : bool : out ; state S : bool ; event fail ; trans S=true |- fail -> S := false ; assert O = I and S and R and A ; init S := true ; law extern =constant 1e-4 edon

Figure 21 – Structure d’un nœud AltaRica

La figure 4.4.1 décritla modélisationd’un composant en AltaRica. Un nœud est définipar son nom (ici block), des variables internes seulement visibles dans ce nœud introduits par la clause state (dans l’exemple il n’y a qu’une variable s), des variables externes appelées flow visibles par d’autres nœuds (dans l’exemple il y a O qui est émiseet I, A, R qui sont lue par le nœud), des transitions (gardes, événements, affectations) décrivant aprèsle mot clé trans les différents comportements du composant (dans l’exemple, une seule transition est décrite spécifiant que si s a pour valeur true et que l’événement fail survient, alors s prend pour valeur flase), des contraintes définissant les configurations autoriséesentre les variables. Ces assertions mettent principalement en relation les variables de flux avec les variables d’état.Dans l’exemple, la variable de flux O prend pour valeur correct si s et I sont corrects et lost sinon, ce qui traduit bien la notion d’erreur. Enfin, une valeur d’initialisation peut êtredéclarée.On suppose dans l’exemple que le fonctionnement est correct initialement. La sémantique d’un nœud AltaRica est donnéepar un systèmede transition interfacé qui est un systèmede transition étenduavec des variables externes. La sémantique du nœud fonction est représentéedans la partie droite de la figure 4.4.1. Formellement un nœud AltaRica, sans hiérarchie, est défini par un automate de mode M = hD, S, F in,F out, dom, Σ, δ, σ, Ii avec : – D est un domaine fini de valeurs des variables, – S, F in et F out sont des ensembles finis de variables appeléesrespectivement variable d’état, variable de flux d’entréeet de sortie. Ces ensembles sont tous 2 à2 disjoints. Dans la suite, on note V = S ∪ F in ∪ F out, – dom : V → 2D est une fonction qui associe àune variable son domaine telle que ∀v ∈ V, dom(v) 6= ∅, – Σ est un ensemble fini d’événements, – δ est une fonction partielle appelée transition : dom(S) × dom(F in) × Σ → dom(S). On appelle dom(S) × dom(F in) la garde de la transition, – σ est une fonction totale appelée assertion : dom(S) × dom(F in) → dom(F out), – I ⊂ dom(S) décritles conditions initiales. Pour définir des modes de défaillanceplus complexes que simplement la perte, on peut utiliser des domaines abstraits en AltaRica. Par exemple, une valeur calculéepar un calculateur peut

45 être correct, erroneous si elle est calculéemais le résultatest faux (par exemple si les entrées sont fausses ou si le logiciel a un bug) ou lost lorsqu’aucune sortie n’est émise (si le calculateur est déconnectépar exemple). On note alors domain data = {correct, lost, erroneous}. Un systèmeest la combinaison de composants et de sous-systèmes.On peut alors définirun nœud AltaRica hiérarchique faisant appel àun ensemble de composants et/ou système.Si on souhaite modéliserle systèmede deux composants en série: node serie state s:bool; sub C1, C2: block assert C1.out = C2.in; s = C2. out ;

4.4.2 Codage avec l’outil OCAS Pour lancer l’outil, aller dans le menuN7 et lancer Cecilia.bat, choisir OCAS, mettre le login : admin et mot de passe : admin.

Définitiondes composants L’idéeest de définirune librairie de composants puis de spécifier des systèmescomplets utilisant les éléments de la librairie. Téléchargez sur l’url http://www.cert.fr/anglais/deri/pagetti/enseignement/SDF/lecture.html le fichier icones.zip. Nous allons dans une premier définirun composant. Allez dans l’onglet Composant et créezune nouvelle famille TP N7. Créezensuite un nouveau modèledans cette famille composant élémentaire. Une fenêtres’ouvre alors comme illustréci-dessous. Dans l’onglet général,mettez le nom du composant composant elementaire. Ouvrez le fichier icôneet importer les figures en gif contenus dans l’archive icones.zip. Choisissez alors block_ok.gif.

Dans l’onglet E/S, mettez une entrée I et une sortie O de type enum {ok, lost}. Positionner sur le schémales entrées/sorties.Dans l’onglet event, mettez un événement fail. Dans l’onglet state mettez un état S de type enum {ok, lost}, dont la valeur initiale est ok. Dans l’onglet icônes, ajoutez les deux icônes block_ok.gif et block_nok.gif. Dans l’onglet Altarica Code mettez

46 trans S=ok |- fail -> S:=lost; assert O=case {S=ok : I, else lost}; icone = case {S=ok : 1, else 2};;

Tous les onglets de l’éditeurde modèlecontiennent quatre boutons communs : – Sauver : permet de sauvegarder les informations saisies, – Syntaxe : permet d’effectuer un contrôlede syntaxe sur le code AltaRica – Cohérence: permet d’effectuer un contrôlede cohérencesur le code AltaRica, – Fermer : permet de fermer l’éditeurde modèle. Cliquez sur syntaxe pour vérifierla syntaxe et sur cohérencepour vérifierla cohérence. Créezensuite un composant source avec une sortie qui est toujours ok. Choisissez l’icône source.gif. Créezun composant sortie avec une entréeet une sortie tels que sortie=entree. Choisissez les icônes sortie_ok.gif et sortie_nok.gif.

Définitiond’un systèmesérie A partir de cette premièrelibrairie, nous pouvons concevoir des systèmessérieset parallèles.Dans l’onglet système, créezun projet modeles AR puis un système modele serie. Une fenêtres’ouvre alors. Retourner dans l’onglet composant drog and dropper 2 composants élémentaires, une source et une sortie. Tracer les liens de sorte àobtenir un systèmeen sériecomme dans la figure.

Pour lancer la simulation cliquez sur le feu vert et utilisez l’insecte pour tirer les événements de panne. Générezensuite les coupes avec les séquenceurset jouez-les ensuite. Nous devons retrouver les mêmescoupes minimales qu’avec les arbres de défaillance.

Exercice 32 Ecrivez un systèmeen redondance active non réparable et réparable. N’oubliez pas d’étendre la librairie si besoin.

4.4.3 TP d’AltaRica Exercice 33 Ecrire le systèmede la vanne hydraulique et calculer les coupes minimales. Générez l’arbre de défaillance, dans Systèmes, Générationd’arbre (Exécutableinférence). Ouvrez le fichier .dag généréet comparez-le avec l’arbre que vous avez écritàla deuxièmeséance.

Exercice 34 Ecrire le systèmede la vanne hydraulique et calculer les coupes minimales. Générez l’arbre de défaillance, dans Systèmes, Générationd’arbre (Exécutableinférence). Ouvrez le fichier .dag généréet comparez-le avec l’arbre que vous avez écritàla deuxièmeséance.

47 Exercice 35 Modélisezle systèmedéfinidans l’exercice 20 p.31. Calculez les coupes minimales et l’arbre de défaillance.

Exercice 36 On veut modéliserun calculateur tolérant aux pannes appelés COM-MON. Ce systèmeest composéde deux cartes : dans chaque carte se trouvent un calculateur et un comparateur. Les calculateurs sont identiques et font les mêmescalculs àpartir d’une entréecommune. Les comparateurs comparent les valeurs de sortie des deux calculateurs : si ces valeurs sont identiques, le comparateur envoie vrai sinon faux. A la sortie des deux cartes, un interrupteur laisse passer la valeur calculéepar la première carte s’il re¸coitdeux discrets àvrai.

1. Donner les modes de défaillance des composants : calculateur et comparateur, 2. Réalisezun premier modèleavec un unique mode de défaillance lost. Calculez les coupes minimales, 3. Réalisezun deuxièmemodèleavec deux modes de défaillance lost et erroneous. Calculez les coupes minimales pour chaque mode. On rajoute ensuite l’alimentation électrique du systèmeCOM-MON. Dèsque l’interrupteur se déconnecte, il coupe définitivementl’alimentation électrique. Pour cela, on ajoute une loi dirac(0) sur l’événement stop de l’alimentation électrique. Calculez les nouvelles coupes minimales. Quelles conclusions en tirez-vous ?

48 R´ef´erences

Livres Plusieurs livres sont disponibles. [1] J.C. Laprie et al., Guide de la sûretéde fonctionnement, Cépaduès,1996, 380 p. [2] A. Villemeur, Sûretéde fonctionnement des systèmesindustriels, Eyrolles, Direction des étudeset recherches d’Electricitéde France (EDF), 1997, 822 p. [3] M. Ajmone Marsan, G. Balbo, G. Conte, S. Donatelli, G. Franceschinis, Modelling with Generalized Stochastic Petri Nets . Wiley Series in Parallel Computing, John Wiley and Sons, 1994, ISBN : 0-471-93059-8.

Cours Plusieurs cours sont disponibles sur Internet. [4] Cours d’Andreas Polzer http://www-i11.informatik.rwth-aachen.de/index.php?id=sre_ss06&L=0 [5] Cours de Philip Koopman http://www.ece.cmu.edu/~ece849/ [6] Cours d’Eric Chatelet : Approche Markovienne en sˆuret´ede fonctionnement - UTT - 2000.

Thèses- Articles Quelques articles disponibles sur Internet. [7] Aymeric Vincent, Conception et réalisationd’un vérificateur de modèlesAltaRica. PhD thesis, LaBRI, University of Bordeaux 1, December 2003 http://www.labri.fr/perso/vincent/Research/V-CRVMAR-2003.pdf [8] O. Coudert and J.C. Madre, Implicit and incremental computation of primes and essential primes of Boolean functions. Proceedings of the 29th ACM/IEEE Design Automation Confe- rence, DAC’92, June (1992). http://citeseer.ist.psu.edu/4897.html [9] A. Rauzy, New algorithms for fault trees analysis. Reliab Engng Syst Saf 40 (1993), pp. 203 –211 http://iml.univ-mrs.fr/~arauzy/publis/Rau93a.pdf.zip [10] Amel Demri, AbdérafiCharki, Fabrice Guérin,Patrice Kahn et HervéChristofol, Analyse Qualitative et Quantitative d’un Sys-tèmeMécatronique. CPI 2007. http://www.supmeca.fr/cpi2007/articles2007/CPI2007-048-Demri.pdf [11] F. Innal et Y. Dutuit, Evaluation de la performance d’un systèmede production et des contri- butions individuelles de ses unitésconstitutives, 6e ConférenceFrancophone de MOdélisationet SIMulation - MOSIM’06 - du 3 au 5 avril 2006 – Rabat –Maroc http://www.isima.fr/mosim06/actes/articles/4-AMOEP/25.pdf [12] Charles Castel et Christel Seguin, Modèlesformels pour l’évaluationde la sûretéde fonctionnement des architectures logicielles d’avionique modulaire intégrée. In AFADL : Approches Formelles dans l’Assistance au Développement de Logiciels, 2002. ftp://altarica.labri.fr/pub/publications/afadl2001.pdf

Manuels d’utilisation Les manuels d’utilisation d’Arbor et OCAS se trouvent sur les machines. [13] Module Arbor. [14] Module Ocas : Analyse syst`emepar arbre de d´efaillance. Manuel Utilisateur OcasV4.3 (Sep- tembre2007)