Module de s^uret´ede fonctionnement Claire Pagetti - ENSEEIHT 3`eme TR - option SE 10 d´ecembre 2012 Table des mati`eres 1 Principaux concepts3 1.1 Qu'est-ce que la s^uret´ede fonctionnement......................3 1.1.1 Bref historique.................................4 1.1.2 Co^utde la s^uret´ede fonctionnement.....................4 1.2 Etude des syst`emes...................................5 1.3 Taxonomie.......................................7 1.3.1 Entraves.....................................8 1.3.2 Attributs.................................... 11 1.3.3 Les moyens................................... 12 1.4 Conception de syst`emes`ahaut niveau de s^uret´ede fonctionnement........ 13 2 M´ethodes d'analyse de s^uret´ede fonctionnement 13 2.1 Analyse pr´eliminairedes dangers........................... 14 2.2 AMDE.......................................... 15 2.3 Diagramme de fiabilit´e................................. 17 2.4 M´ethodes quantitatives et qualitatives........................ 18 2.4.1 Evaluation qualitative............................. 18 2.4.2 Evaluation quantitative............................ 18 2.4.3 Syst`ememulticomposants........................... 22 2.5 TP sur les diagrammes de fiabilit´e.......................... 25 3 Arbres de d´efaillances 26 3.1 Construction d'un arbre de d´efaillance........................ 26 3.2 TP arbres de d´efaillance................................ 30 3.3 Codage des arbres de d´efaillancesous forme de DDB................ 32 4 Mod`eles`a´etatstransitions 34 4.1 Cha^ınesde Markov................................... 34 4.1.1 Construction d'un mod`ele........................... 36 4.2 Evaluation de la fiabilit´e,de la disponibilit´eet du MTTF............. 39 4.3 R´eseauxde Petri stochastiques............................ 41 4.3.1 Mod´elisationdes syst`emesavec des r´eseauxde Petri............ 41 4.4 AltaRica......................................... 44 4.4.1 Mod´elisationdes syst`emeavec AltaRica................... 44 1 4.4.2 Codage avec l'outil OCAS........................... 46 4.4.3 TP d'AltaRica................................. 47 2 Organisation du cours Le module de s^uret´ede fonctionnement comporte 5 s´eances, format : cours/td/tp. S´eance1 : cours / exercices ; S´eance2 : cours / exercices / TP sur les diagrammes de fiabilit´eet les arbres de d´efaillances; S´eance3 : cours / exercices / TP sur les arbres de d´efaillanceset cha^ınesde Markov ; S´eance4 : cours / TP sur AltaRica ; S´eance5 : TP sur AltaRica / synth`ese ; Examen : `ala fin du mois de janvier (exercices papier) ; Supports de cours : polycopi´e,nombreuses r´ef´erences. 1 Principaux concepts La s^uret´ede fonctionnement est apparue comme une n´ecessit´eau cours du XX`eme, notam- ment avec la r´evolution industrielle. Le terme dependability est apparu dans une publicit´esur des moteurs Dodge Brothers dans les ann´ees1930. L'objectif de la s^uret´ede fonctionnement est d'atteindre le Graal de la conception de syst`eme: z´eroaccident, z´eroarr^et,z´erod´efaut(et m^eme z´eromaintenance). Pour pouvoir y arriver, il faudrait tester toutes les utilisations possibles d'un produit pendant une grande p´eriode ce qui est impensable dans le contexte industriel voire m^emeimpossible `ar´ealisertout court. La s^uret´ede fonctionnement est un domaine d'activit´e qui propose des moyens pour augmenter la fiabilit´eet la s^uret´edes syst`emesdans des d´elaiset avec des co^utsraisonnables. 1.1 Qu'est-ce que la s^uret´ede fonctionnement La s^uret´ede fonctionnement est souvent appel´ee la science des d´efaillances ; elle inclut leur connaissance, leur ´evaluation, leur pr´evision,leur mesure et leur ma^ıtrise.Il s'agit d'un domaine transverse qui n´ecessite une connaissance globale du syst`emecomme les conditions d'utilisation, les risques ext´erieurs,les architectures fonctionnelle et mat´erielle,la structure et fatigue des mat´eriaux.Beaucoup d'avanc´eessont le fruit du retour d'exp´erienceet des rapports d'analyse d'accidents. D´efinition1 (SdF) La s^uret´ede fonctionnement (dependability, SdF) consiste `a´evaluerles risques potentiels, pr´evoirl'occurrence des d´efaillances et tenter de minimiser les cons´equences des situations catastrophiques lorsqu'elles se pr´esentent. D´efinition2 (Laprie96) La s^uret´ede fonctionnement d'un syst`emeinformatique est la pro- pri´et´equi permet de placer une confiance justifi´eedans le service qu'il d´elivre. Il existe de nombreuses d´efinitions,de standards (qui peuvent varier selon les domaines d'application - nucl´eaire,spatial, avionique, automobile, rail . ). On peut n´eanmoinsconsid´erer que le Technical Committee 56 Dependability de l'International Electrotechnical Commission (IEC) d´eveloppe et maintient des standards internationaux reconnus dans le domaine de la s^uret´e de fonctionnement. Ces standards fournissent les m´ethodes et outils d'analyse, d'´evaluation, de gestion des ´equipements, services et syst`emestout au long du cycle de d´eveloppement. 3 1.1.1 Bref historique Le tableau ci-dessous pr´esente un bref historique de la s^uret´ede fonctionnement. P´eriode Accidents Jusqu'aux ann´ees30 Approche intuitive : renforcer l'´el´ement le plus faible Explosion poudri`ere(1794) Premiers syst`emes parall`eleset redondants Accident chemin de fer (1842) Approche statistique, taux de d´efaillance Titanic (1912). Premi`eresestimation de probabilit´ed'accidents d'avion Pugsley : premier objectif de safety taux d'accident d'avion ≤ 10−5 per flight hour Ann´ees40 Analyse des missiles allemands V1 (Robert Lusser) Loi de Murphy \If anything can go wrong, it will" Quantification de la disponibilit´e Ann´ees50 Advisory Group on Reliability of Electronic Equipment (AGREE) Tcheliabinsk 40 (1957) - R´eductiondes co^utsde maintenance - Augmentation de la fiabilit´e - MTBF Ann´ees60 Analyses des modes de d´efaillanceet de leurs effets Torrey Canyon (1967) Programmes de recherche spatiaux Arbre de d´efaillance (missile Minuteman) Arbres des causes (Boeing - NASA) Livres sur la fiabilit´e(ex. Barlow and Proschan) Ann´ees70 Analyse des risques Collecte de donn´eesREX Ann´ees80 `anos jours Nouvelles techniques (simulation, r´eseauxde Petri,..) Tchernobyl (1986) Mod´elisation Ariane V (1996) DART (NASA, 2005) Vol Rio Janeiro. 1.1.2 Co^utde la s^uret´ede fonctionnement Le co^utd'un haut niveau de s^uret´ede fonctionnement est tr`eson´ereux.Le concepteur doit faire des compromis entre les m´ecanismesde s^uret´ede fonctionnement n´ecessaires et les co^uts ´economiques.Les syst`emesqui ne sont pas s^urs,pas fiables ou pas s´ecuris´espeuvent ^etrerejet´es par les utilisateurs. Le co^utd'une d´efaillancepeut ^etreextr^emement ´elev´e.Le co^utde syst`emes avec un faible niveau de s^uret´ede fonctionnement est illustr´edans les figures ci-dessous. 4 Coût moyen d'indisponibilité =,70+)*.7/-(*-0.1*,.C+*.7/-0?D/(,E.( #"& =,70+)*.7/-84/+;4)*+,.<,( !"% >.22.7/1- '()*(+,- :/1*.*+*.7/1-;./4/).<,(1 !"$ 0?@+,71- ./0+1*,.(2 911+,4/)(1 !"# A4,-B(+,(- A(,0+( 6788(,)( !"! 34/5+(1 ! Coût annuel des défaillances informatiques Estimation compagnies d’assurance (2002) France (secteur privé) USA Royaume Uni Fautes accidentelles 1,1 G€ 4 G$ Malveillances 1,3 G€ 1,25 G£ Estimation globale USA : 80 G$ EU : 60 G€ Coûts de maintenance Logiciel embarqué de la navette spatiale : 100 M $ / an Coût logiciels abandonnés (défaillance du processus de développement) USA [Standish Group, 2002, Succès Remise en question Abandon 13522 projets] 34% 51% 15% ~ 38 G$ de pertes (sur total 225 G$) Figure 1 { Quelques chiffres [Laprie07] ! Figure 2 { Co^utde la maintenance 1.2 Etude des syst`emes L'objet sous ´etudeest le syst`emeet les fonctions qu'il fournit. Il existe de nombreuses d´efinitionsde syst`emedans le domaine des syst`emes d'ing´enierie. D´efinition3 (Un syst`eme) Un syst`emepeut ^etre d´ecritcomme un ensemble d'´el´ementsen interaction entre eux et avec l'environnement dont le comportement d´epend : { des comportements individuels des ´el´ementsqui le composent, { des r`eglesd'interaction entre ´el´ements(interfaces, algorithmes, protocoles), { de l'organisation topologique des ´el´ements(architectures). Le fait que les sous-syst`emessont en interaction implique que le syst`emen'est pas simplement la somme de ses composants. En toute rigueur, un syst`emedans lequel un ´el´ement est d´efaillant devient un nouveau syst`eme,diff´erent du syst`emeinitial. 5 Exemple 1 Une installation chimique, une centrale nucl´eaire ou un avion sont des syst`emes. Le contr^ole-commande est un sous-syst`eme,une vanne ou un relais sont des composants. La nature technologique d'un syst`eme est vari´ee: ´electrique, thermo-hydraulique, m´ecanique ou informatique. Assurer les fonctions Tout syst`emese d´efinitpar une ou plusieurs fonctions (ou missions) qu'il doit accomplir dans des conditions et dans un environnement donn´es. L'objet d'´etudede la s^uret´ede fonctionnement est la fonction. Une fonction peut ^etred´efiniecomme l'action d'une entit´eou de l'un de ses composants exprim´eeen terme de finalit´e.Il convient de distinguer les fonctions et la structure (ou encore architecture mat´erielle support). { fonction principale : raison d'^etred'un syst`eme(pour un t´el´ephoneportable, la fonction principale est la communication entre 2 entit´es) ; { fonctions secondaires : fonctions assur´eesen plus de la fonction principale (sms, horloge, r´eveil, jeux . ) ; { fonctions de protection : moyens pour assurer la s´ecurit´edes biens, des personnes et envi- ronnement ; { fonctions redondantes : plusieurs composants assurent la m^emefonction. Une description fonctionnelle peut g´en´eralement se faire soit par niveau soit pour un niveau donn´e.Une description par niveau est une arborescence hi´erarchis´ee.On donne l'exemple d'une description fonctionnelle d'une machine `alaver dans la figure3. Machine `alaver Fonction laver la vaisselle et s´echer la vaisselle niveau 1 ... Circuit de Circuit de Circuit de Circuit de lavage chauffage s´echage vidange niveau 2 ... Alimentation Pompage Motorisation Evacuation ´electrique de l'eau de la pompe de l'eau niveau 3 Figure 3 { Description fonctionnelle d'une machine `alaver la vaisselle On peut ´egalement d´esirerrepr´esenter les ´echanges de donn´eesentre fonctions, pour un niveau de granularit´edonn´e.On parle alors d'architecture fonctionnelle.