Vous êtes sur la page 1sur 49

Module de s urete de fonctionnement

Claire Pagetti - ENSEEIHT


3
`eme
TR - option SE
10 decembre 2012
Table des mati`eres
1 Principaux concepts 3
1.1 Quest-ce que la s urete de fonctionnement . . . . . . . . . . . . . . . . . . . . . . 3
1.1.1 Bref historique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.1.2 Co ut de la s urete de fonctionnement . . . . . . . . . . . . . . . . . . . . . 4
1.2 Etude des syst`emes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3 Taxonomie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.3.1 Entraves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.3.2 Attributs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.3.3 Les moyens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.4 Conception de syst`emes `a haut niveau de s urete de fonctionnement . . . . . . . . 13
2 Methodes danalyse de s urete de fonctionnement 13
2.1 Analyse preliminaire des dangers . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.2 AMDE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.3 Diagramme de abilite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.4 Methodes quantitatives et qualitatives . . . . . . . . . . . . . . . . . . . . . . . . 18
2.4.1 Evaluation qualitative . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.4.2 Evaluation quantitative . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.4.3 Syst`eme multicomposants . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.5 TP sur les diagrammes de abilite . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3 Arbres de defaillances 26
3.1 Construction dun arbre de defaillance . . . . . . . . . . . . . . . . . . . . . . . . 26
3.2 TP arbres de defaillance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.3 Codage des arbres de defaillance sous forme de DDB . . . . . . . . . . . . . . . . 32
4 Mod`eles `a etats transitions 34
4.1 Chanes de Markov . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.1.1 Construction dun mod`ele . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.2 Evaluation de la abilite, de la disponibilite et du MTTF . . . . . . . . . . . . . 39
4.3 Reseaux de Petri stochastiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.3.1 Modelisation des syst`emes avec des reseaux de Petri . . . . . . . . . . . . 41
4.4 AltaRica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.4.1 Modelisation des syst`eme avec AltaRica . . . . . . . . . . . . . . . . . . . 44
1
4.4.2 Codage avec loutil OCAS . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
4.4.3 TP dAltaRica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
2
Organisation du cours
Le module de s urete de fonctionnement comporte 5 seances, format : cours/td/tp.
Seance 1 : cours / exercices ;
Seance 2 : cours / exercices / TP sur les diagrammes de abilite et les arbres de defaillances ;
Seance 3 : cours / exercices / TP sur les arbres de defaillances et chanes de Markov ;
Seance 4 : cours / TP sur AltaRica ;
Seance 5 : TP sur AltaRica / synth`ese ;
Examen : `a la n du mois de janvier (exercices papier) ;
Supports de cours : polycopie, nombreuses references.
1 Principaux concepts
La s urete de fonctionnement est apparue comme une necessite au cours du XX
`eme
, notam-
ment avec la revolution industrielle. Le terme dependability est apparu dans une publicite sur
des moteurs Dodge Brothers dans les annees 1930. Lobjectif de la s urete de fonctionnement est
datteindre le Graal de la conception de syst`eme : zero accident, zero arret, zero defaut (et meme
zero maintenance). Pour pouvoir y arriver, il faudrait tester toutes les utilisations possibles dun
produit pendant une grande periode ce qui est impensable dans le contexte industriel voire
meme impossible `a realiser tout court. La s urete de fonctionnement est un domaine dactivite
qui propose des moyens pour augmenter la abilite et la s urete des syst`emes dans des delais et
avec des co uts raisonnables.
1.1 Quest-ce que la s urete de fonctionnement
La s urete de fonctionnement est souvent appelee la science des defaillances ; elle inclut leur
connaissance, leur evaluation, leur prevision, leur mesure et leur matrise. Il sagit dun domaine
transverse qui necessite une connaissance globale du syst`eme comme les conditions dutilisation,
les risques exterieurs, les architectures fonctionnelle et materielle, la structure et fatigue des
materiaux. Beaucoup davancees sont le fruit du retour dexperience et des rapports danalyse
daccidents.
Denition 1 (SdF) La s urete de fonctionnement (dependability, SdF) consiste `a evaluer les
risques potentiels, prevoir loccurrence des defaillances et tenter de minimiser les consequences
des situations catastrophiques lorsquelles se presentent.
Denition 2 (Laprie96) La s urete de fonctionnement dun syst`eme informatique est la pro-
priete qui permet de placer une conance justiee dans le service quil delivre.
Il existe de nombreuses denitions, de standards (qui peuvent varier selon les domaines
dapplication - nucleaire, spatial, avionique, automobile, rail . . . ). On peut neanmoins considerer
que le Technical Committee 56 Dependability de lInternational Electrotechnical Commission
(IEC) developpe et maintient des standards internationaux reconnus dans le domaine de la s urete
de fonctionnement. Ces standards fournissent les methodes et outils danalyse, devaluation, de
gestion des equipements, services et syst`emes tout au long du cycle de developpement.
3
1.1.1 Bref historique
Le tableau ci-dessous presente un bref historique de la s urete de fonctionnement.
Periode Accidents
Jusquaux annees 30
Approche intuitive : renforcer lelement le plus faible Explosion poudri`ere (1794)
Premiers syst`emes parall`eles et redondants Accident chemin de fer (1842)
Approche statistique, taux de defaillance Titanic (1912). . .
Premi`eres estimation de probabilite daccidents davion
Pugsley : premier objectif de safety
taux daccident davion 10
5
per ight hour
Annees 40
Analyse des missiles allemands V1 (Robert Lusser)
Loi de Murphy If anything can go wrong, it will
Quantication de la disponibilite
Annees 50
Advisory Group on Reliability of Electronic Equipment (AGREE) Tcheliabinsk 40 (1957)
- Reduction des co uts de maintenance
- Augmentation de la abilite
- MTBF
Annees 60
Analyses des modes de defaillance et de leurs eets Torrey Canyon (1967)
Programmes de recherche spatiaux
Arbre de defaillance (missile Minuteman)
Arbres des causes (Boeing - NASA)
Livres sur la abilite (ex. Barlow and Proschan)
Annees 70
Analyse des risques
Collecte de donnees REX
Annees 80 `a nos jours
Nouvelles techniques (simulation, reseaux de Petri,..) Tchernobyl (1986)
Modelisation Ariane V (1996)
DART (NASA, 2005)
Vol Rio Janeiro. . .
1.1.2 Co ut de la s urete de fonctionnement
Le co ut dun haut niveau de s urete de fonctionnement est tr`es onereux. Le concepteur doit
faire des compromis entre les mecanismes de s urete de fonctionnement necessaires et les co uts
economiques. Les syst`emes qui ne sont pas s urs, pas ables ou pas securises peuvent etre rejetes
par les utilisateurs. Le co ut dune defaillance peut etre extremement eleve. Le co ut de syst`emes
avec un faible niveau de s urete de fonctionnement est illustre dans les gures ci-dessous.
4
l
Cot moyen d'indisponibilit
Cots de maintenance
Logiciel embarqu de la navette spatiale : 100 M $ / an
Cot annuel des dfaillances informatiques
Fautes accidentelles
Malveillances
Royaume Uni
1,25 G
France (secteur priv)
1,1 G
1,3 G
USA
4 G$
Cot logiciels abandonns (dfaillance du processus de dveloppement)
USA [Standish Group, 2002,
13522 projets]
Succs
34%
Remise en question
51%
Abandon
15%
~ 38 G$ de pertes (sur total 225 G$)
Estimation compagnies dassurance (2002)
Estimation globale USA : 80 G$ EU : 60 G
l
l,l
l,2
l,4
l,6
2,8
Secteur
industriel
Banques
Commerce
Assurances
lnstitutions financires
Production manufacturire
Millions
d'Euros
par heure
perdue
Production et distribution d'nergie
Figure 1 Quelques chires [Laprie07]
Figure 2 Co ut de la maintenance
1.2 Etude des syst`emes
Lobjet sous etude est le syst`eme et les fonctions quil fournit. Il existe de nombreuses
denitions de syst`eme dans le domaine des syst`emes dingenierie.
Denition 3 (Un syst`eme) Un syst`eme peut etre decrit comme un ensemble delements en
interaction entre eux et avec lenvironnement dont le comportement depend :
des comportements individuels des elements qui le composent,
des r`egles dinteraction entre elements (interfaces, algorithmes, protocoles),
de lorganisation topologique des elements (architectures).
Le fait que les sous-syst`emes sont en interaction implique que le syst`eme nest pas simplement
la somme de ses composants. En toute rigueur, un syst`eme dans lequel un element est defaillant
devient un nouveau syst`eme, dierent du syst`eme initial.
5
Exemple 1 Une installation chimique, une centrale nucleaire ou un avion sont des syst`emes.
Le controle-commande est un sous-syst`eme, une vanne ou un relais sont des composants. La
nature technologique dun syst`eme est variee : electrique, thermo-hydraulique, mecanique ou
informatique.
Assurer les fonctions Tout syst`eme se denit par une ou plusieurs fonctions (ou missions)
quil doit accomplir dans des conditions et dans un environnement donnes. Lobjet detude de
la s urete de fonctionnement est la fonction. Une fonction peut etre denie comme laction dune
entite ou de lun de ses composants exprimee en terme de nalite. Il convient de distinguer les
fonctions et la structure (ou encore architecture materielle support).
fonction principale : raison detre dun syst`eme (pour un telephone portable, la fonction
principale est la communication entre 2 entites) ;
fonctions secondaires : fonctions assurees en plus de la fonction principale (sms, horloge,
reveil, jeux . . . ) ;
fonctions de protection : moyens pour assurer la securite des biens, des personnes et envi-
ronnement ;
fonctions redondantes : plusieurs composants assurent la meme fonction.
Une description fonctionnelle peut generalement se faire soit par niveau soit pour un niveau
donne. Une description par niveau est une arborescence hierarchisee. On donne lexemple dune
description fonctionnelle dune machine `a laver dans la gure 3.
Machine `a laver
la vaisselle
Circuit de
lavage
Circuit de
chauage
Circuit de
sechage
Circuit de
vidange
. . .
Fonction laver
et secher la vaisselle
niveau 1
Alimentation
electrique
Pompage
de leau
Motorisation
de la pompe
Evacuation
de leau
. . .
niveau 2
niveau 3
Figure 3 Description fonctionnelle dune machine `a laver la vaisselle
On peut egalement desirer representer les echanges de donnees entre fonctions, pour un
niveau de granularite donne. On parle alors darchitecture fonctionnelle. Formellement, larchi-
tecture fonctionnelle est constituee dun graphe (T, (
F
) oriente pour lequel lensemble des nuds
T = f
1
, ..., f
m
designe les fonctions et lensemble des arcs, (
F
T T, represente les echanges
de donnees entre les fonctions. Un arc (f
i
, f
j
) (
F
modelise un ux de donnees f
i
vers f
j
. La
gure 4 illustre larchitecture fonctionnelle de niveau 3 de lexemple de la machine `a laver.
Structure du syst`eme Les fonctions sont realisees par le syst`eme `a partir de ses composants.
La structure du syst`eme doit etre prise en compte pour les analyses de s urete de fonctionne-
ment. Pour cela, il faut decrire les composants materiels, leur role, leurs caracteristiques et leurs
6
Alimentation
electrique
Pompage
de leau
Motorisation
de la pompe
Figure 4 Architecture fonctionnelle de la machine `a laver
performances. On peut `a nouveau utiliser une description en niveau. La gure 5 identie les
composants intervenant dans la structure de la machine `a laver.
Machine `a laver
la vaisselle
Panier Resistance Filtre Programmateur Pompe Moteur
. . .
niveau 1
Filtre Corps Axe Aubes
. . .
niveau 2
niveau 3
Figure 5 Decomposition materielle dune machine `a laver la vaisselle
Il faut egalement decrire les connexions entre composants, ce qui peut etre fait par un graphe
oriente pour lequel lensemble des nuds designe lensemble de n ressources connectees entre
elles par des liaisons representees par les arcs.
Enn, il est egalement important dans certains cas de preciser la localisation des composants.
Les analyses de s urete de fonctionnement reposent sur des hypoth`eses au sujet de lindependance
des defaillances des fonctions elementaires. Le partage de ressources et linstallation de ces
ressources dans une meme zone risquent de violer les exigences dindependances. Par exemple,
un eclatement pneu dans un avion peut entraner la defaillance de plusieurs composants.
1.3 Taxonomie
La s urete de fonctionnement manipule un certain nombre de concepts que nous precisons
dans cette partie en donnant des denitions precises. La s urete de fonctionnement peut etre vue
comme etant composee des trois elements suivants :
Attributs : points de vue pour evaluer la s urete de fonctionnement ;
Entraves : evenements qui peuvent aecter la s urete de fonctionnement du syst`eme ;
Moyens : moyens pour ameliorer la s urete de fonctionnement.
Ces notions sont resumees dans la gure 6.
7
1
Attributs
Disponibilit
Fiabilit
Scurit-innocuit
Confidentialit
Intgrit
Maintenabilit
Sret de
fonctionnement
Moyens
Prention de fautes
!olrance au" fautes
#limination de fautes
Prision des fautes
#ntraes
Fautes
#rreurs
Dfaillances
Scurit-
immunit
Figure 6 Arbre de la s urete de fonctionnement [Laprie]
1.3.1 Entraves
Commencons par detailler les entraves qui peuvent aecter le syst`eme et degrader la s urete de
fonctionnement. Les entraves sont reparties en 3 notions : les fautes, les erreurs et les defaillances
qui senchanent comme illustre dans la gure 7. Les denitions sont recursives car la defaillance
dun composant est une faute pour le syst`eme qui le contient.
Denition 4 (Faute / Fault) La cause de lerreur est une faute (par exemple un court-circuit
sur un composant, une perturbation electromagnetique ou une faute de developpement logiciel).
Denition 5 (Erreur / Defect) La cause de la defaillance est une erreur aectant une partie
de letat du syst`eme (par exemple, une variable erronee).
Denition 6 (Defaillance / Failure) Une defaillance est la cessation de laptitude dune en-
tite `a accomplir une fonction requise.
Denition 7 (Panne) La panne est linaptitude dune entite `a accomplir une mission. Une
panne resulte toujours dune defaillance.
Exemple 2 Voici trois exemples doccurrence de defaillances.
8
1
Fautes Erreurs Dfaillances
Phase de cration
ou doccurrence
Fautes de dveloppement
Fautes oprationnelles
Frontires systme
Fautes internes
Fautes externes
Cause
phnomnologique
Fautes naturelles
Fautes dues lhomme
Persistance
Fautes permanentes
Fautes temporaires
Fautes Dfaillances
! !
"ntention
Fautes malveillantes
Fautes sans malveillance
Capacit
Fautes accidentelles
Fautes dincomptence
Fautes dli#res
Dfaillances signales
Dfaillances non signales
Dtecta#ilit
Cohrence
Dfaillances cohrentes
Dfaillances incohrentes
$#y%antines&
Consquences
Dfaillances #nignes
Dfaillances catastrophiques

Dfaillances en contenu
Domaine
Dfaillances temporelles'
avance' retard
Dfaillances par arr(t
Dfaillances erratiques
Propagation )ctivation Effet Effet
Figure 7 Enchanement et propagation des erreurs [Laprie96]
Programmeur
Faute dans
le source du
logiciel
Faute dans
lexecutable
embarque
Erreur
(faute activee)
Defaillance
Defaillance RAM
Faute dans
lexecution du
logiciel embarque
Erreur
(faute activee)
Defaillance
Redacteur de
consignes
dexploitation
Faute dans
la documentation
Erreur de
comportement du
personnel
Defaillance
Exercice 1 On consid`ere le syst`eme hydraulique suivant. Il est destine au transport de leau
du point 1 aux lieux de consommation 2 et 3. Il contient les vannes V
1
, V
2
et V
3
, la pompe
centrifugeuse P
0
et les tuyaux adjacents aux composants hydrauliques. Identier des fautes, des
erreurs et des defaillances possibles.
V1
V2
V3
P0
1
2
3
Les defaillances dans un syst`eme peuvent avoir des eets dierents. Certaines defaillances
naectent pas directement les fonctions du syst`eme et ne necessitent quune action corrective ;
9
dautres, en revanche, aectent la disponibilite ou la securite. On utilise generalement une echelle
de gravite des eets et on consid`ere traditionnellement 4 categories de defaillances. Ces categories
sont representees dans la table 1.
Defaillance mineure Defaillance qui nuit au bon fonctionnement
(minor) dun syst`eme en causant un dommage
negligeable au syst`eme ou `a son environnement
sans presenter de risque pour lhomme
Defaillance signicative Defaillance qui nuit au bon fonctionnement
(major) sans causer de dommage notable ni presenter de
risque important pour lhomme
Defaillance critique Defaillance qui entrane la perte dune
(hazardous) (ou des) fonction(s) essentielle(s) du syst`eme
et cause des dommages importants au syst`eme en ne
presentant quun risque negligeable de mort ou
de blessure
Defaillance catastrophique Defaillance qui occasionne la perte dune
(catastrophic) (ou des) fonction(s) essentielle(s) du syst`eme
en causant des dommages importants au syst`eme
ou `a son environnement et/ou entrane la mort
ou des dommages corporels
Table 1 Classication des defaillances en fonction des eets
Denition 8 (Mode de defaillance / Failure mode) Un mode de defaillance est leet par
lequel une defaillance est observee. Plus, precisement, il sagit dun des etats possibles dune
entite en panne pour une fonction requise donnee.
On classe generalement les modes de defaillance en 4 categories representees dans la table 2.
Mode de defaillance Explication
Fonctionnement premature Fonctionne alors que
(ou intempestif) ce nest pas prevu `a cet instant
ne fonctionne pas au moment prevu ne demarre pas lors
de la sollicitation
ne sarrete pas au moment prevu continue `a fonctionner
alors que ce nest pas prevu
defaillance en fonctionnement
Table 2 Classication des modes de defaillance
Exercice 2 On reprend lexercice 1. Identier les modes de defaillance de chaque composant.
On constate que la fronti`ere entre causes de defaillance et modes de defaillance est faible. Chaque
erreur doit pouvoir etre rattache `a un mode. Si ce nest pas le cas, cest quil manque des modes
de defaillance.
10
Denition 9 (Syst`eme coherent) Un syst`eme est dit coherent si :
la panne de tous les composants entrane la panne du syst`eme,
le fonctionnement de tous les composants entrane le fonctionnement du syst`eme,
lorsque le syst`eme est en panne, aucune defaillance supplementaire ne retablit le fonction-
nement du syst`eme,
lorsque le syst`eme est en fonctionnement, aucune reparation ninduit la panne du syst`eme.
Nous ne considerons dans la suite que des syst`emes coherents.
1.3.2 Attributs
Les attributs de la s urete de fonctionnement sont parfois appeles FDMS pour Fiabilite,
Disponibilite, Maintenabilite et Securite (RAMSS pour Reliability, Availability, Maintainability,
Safety, Security).
La disponibilite est le fait detre pret au service.
Denition 10 (Disponibilite / Availability) La disponibilite est laptitude dune entite `a
etre en etat daccomplir une fonction requise dans des conditions donnees, `a un instant donne
ou pendant un intervalle de temps donne, en supposant que la fourniture des moyens exterieurs
necessaires soit assuree.
La abilite est la continuite de service.
Denition 11 (Fiabilite / Reliability) La abilite (reliability) est laptitude dun dispositif
`a accomplir une fonction requise dans des conditions donnees pendant une duree donnee.
La securite est laptitude `a ne pas provoquer daccidents catastrophiques.
Denition 12 (Securite innocuite / Safety) La securite innocuite est laptitude dune en-
tite `a eviter de faire apparatre, dans des conditions donnees, des evenements critiques ou ca-
tastrophiques.
La maintenabilite est la capacite dun syst`eme `a revenir dans un etat de fonctionnement correct
apr`es modications et reparations.
Denition 13 (Maintenabilite / Maintainability) Dans les conditions donnees dutilisa-
tion, la maintenabilite est laptitude dune entite `a etre maintenue ou retablie, sur un intervalle
de temps donne dans un etat dans lequel elle peut accomplir une fonction requise, lorsque la
maintenance est accomplie dans des conditions donnees avec des procedures et des moyens pres-
crits.
Dautres attributs de s urete de fonctionnement ont ete identies comme par exemple la
testabilite (le degre dun composant ou dun syst`eme `a fournir des informations sur son etat
et ses performances), ou la diagnosticabilite (capacite dun syst`eme `a exhiber des symptomes
pour des situations derreur) survivabilite (capacite dun syst`eme `a continuer sa mission apr`es
perturbation humaine ou environnementale) et ainsi de suite.
11
1.3.3 Les moyens
Les moyens sont des solutions eprouvees pour casser les enchanements Faute Erreur
Defaillance et donc ameliorer la abilite du syst`eme.
la prevention de faute consiste `a eviter des fautes qui auraient pu etre introduites pendant
le developpement du syst`eme. Cela peut etre accompli en utilisant des methodologies de
developpement (cf DO 178 B/C) et de bonnes techniques dimplantation.
Lelimination de faute peut etre divisee en 2 categories : elimination pendant la phase
de developpement et elimination pendant la phase dutilisation. Pendant la phase de
developpement, lidee est dutiliser des techniques de verication avancees de facon `a
detecter les fautes et les enlever avant envoi `a la production. Pendant lutilisation, il faut
tenir `a jour les defaillances rencontrees et les retirer pendant les cycles de maintenance.
La prevision de faute consiste `a anticiper les fautes (de mani`ere qualitative ou probabiliste)
et leur impact sur le syst`eme.
La tolerance aux fautes consiste `a mettre en place des mecanismes qui maintiennent le
service fourni par le syst`eme, meme en presence de fautes. On accepte dans ce cas un
fonctionnement degrade.
La tolerance aux fautes repose sur lutilisation de mecanismes de redondance, lidee est de
realiser la meme fonction par des moyens dierents. On distingue plusieurs types de redondance :
Redondance homog`ene : on replique plusieurs composants identiques
Redondance avec dissemblance : les sous-syst`emes realisent les memes fonctions mais sont
dierents (par exemple, plusieurs equipes de conception, materiel dierent).
Redondance froide : les composants sont actives quand ceux dej`a actifs tombent en panne.
Redondance chaude : les composants tournent en parall`ele et politique de prise de main.
Redondance ti`ede : les composants sont idle avant de prendre la main.
Dautres mecanismes existent comme les comparateurs ou les voteurs. Lidee est de recuperer
plusieurs valeurs calculees par redondance et de determiner quelle est la plus proche de la realite.
Exemple 3 On consid`ere un voteur `a 3 entrees. On suppose que le voteur ne tombe jamais en
panne. Il y a plusieurs types de voteur : le voteur 1/3, 2/3 et 3/3. Dans le premier cas, il prend
une valeur sur 3, dans le deuxi`eme, il faut que deux composants au moins saccordent et dans
le troisi`eme tous les composants doit avoir la meme valeur.
E1
E2
E3
voteur
On consid`ere un syst`eme compose de composants actifs et passifs.
12
On peut egalement utiliser un chien de garde (watchdog en anglais) : il sagit dun mecanisme
destine `a sassurer quun automate ou un ordinateur ne reste pas bloque `a une etape particuli`ere
du traitement quil eectue. Cest une protection destinee generalement `a redemarrer le syst`eme,
si une action denie nest pas executee dans un delai imparti.
1.4 Conception de syst`emes `a haut niveau de s urete de fonctionnement
Le probl`eme general est le suivant :
Donnees : une exigence de abilite sur le syst`eme complet (par exemple une valeur maximale
de , une valeur minimale de A)
des composants utilisables pour construire le syst`eme avec leur abilite (normalement
plus faible que la abilite globale requise)
Probl`eme : Trouver une architecture du syst`eme complet qui repond aux exigences de abilite
La solution `a ce probl`eme est de :
1. Construire une architecture candidate
2. Analyser la abilite de cette architecture
3. Si le resultat est susant, la solution est correcte sinon retourner en 1.
Trouver des architectures candidates peut rapidement devenir un casse tete donc on utilise
generalement des patterns. Nous nous concentrerons dans les parties suivantes sur le point 2.
2 Methodes danalyse de s urete de fonctionnement
Une analyse previsionnelle de s urete de fonctionnement est un processus detude dun syst`eme
reel de facon `a produire un mod`ele abstrait du syst`eme relatif `a une caracteristique de s urete
de fonctionnement (abilite, disponibilite, maintenabilite, securite). Les elements de ce mod`ele
seront des evenements susceptibles de se produire dans le syst`eme et son environnement, tels
par exemple :
des defaillances et des pannes des composants du syst`eme,
des evenements lies `a lenvironnement,
des erreurs humaines en phase dexploitation.
Le mod`ele permet ainsi de representer toutes les defaillances et les pannes des composants du
syst`eme qui compromettent une des caracteristiques de SdF.
An daider lanalyste, plusieurs methodes danalyse ont ete mises au point. Les principales
sont :
APD Analyse Preliminaire des Dangers,
AMDE Analyse des Modes de Defaillances et de leurs Eets,
MDS Methode du Diagramme de Succ`es,
MTV Methode de la Table de Verite,
MAC Methode de lArbre des Causes,
MCPR Methode des Combinaisons de Pannes Resumees,
MACQ Methode de lArbre des Consequences,
MDCC Methode du Diagramme Causes-Consequences,
13
MEE Methode de lEspace des Etats.
Nous ne verrons dans la suite que quelques unes de ces methodes.
2.1 Analyse preliminaire des dangers
Lanalyse preliminaire des dangers a ete utilisee la premi`ere fois aux Etats-Unis dans les
annees 60 dans le cadre dune analyse de securite de missiles `a propergol liquide. Elle a ensuite
ete formalisee par lindustrie aeronautique et notamment pas le societe Boeing. Lanalyse se fait
en phase amont de conception. Lobjectif est didentier les dangers dun syst`eme et leurs causes
puis devaluer la gravite des consequences liees aux situations dangereuses. Lidentication des
dangers est eectuee `a laide de lexperience et du jugement des ingenieurs, aides de liste-guides
elaborees dans des domaines precis et reguli`erement enrichies. Les grandes etapes de cette analyse
sont :
1. Identication du contexte operationnel dans lequel evolue le syst`eme.
2. Identication des dangers potentiels et de la severite de leurs consequences.
3. Denition dactions correctives.
4. Verication de la completude de la liste des conditions de panne issue de lanalyse de risque
et de completer les exigences de securite. Fournit egalement les premi`eres indications pour
larchitecture du syst`eme an de mitiger les consequences.
5. Evaluation de latteinte des objectifs de SdF.
On illustre cette analyse avec un exemple extrait de lARP4761 (Aerospace Recommended
Practice). On cherche `a mettre des objectifs de securite sur le syst`eme de freinage.
Que doit-on evaluer ? Il faut dabord identier le syst`eme `a evaluer, le contexte operationnel,
et les fonctions.
avion, piste, controle de lavion au
sol
La description fonctionnelle de lavion est la suivante.
pousse plan de vol
Fonctions avion
Dtermination
orientation sur le sol cabine
...
Dtermination
transition
air/sol
Dclration
avion sur
le sol
direction sur
le sol
...
Niveau 1
Niveau 2
Contr ole de la Contr ole du Controle avion Contr ole de la
Contr ole de la
14
Que peut-il arriver ? On identie ensuite les dangers fonctionnels (dangers dus `a de
mauvaises performances des fonctions, ou `a des probl`emes contextuels)
Perte de la deceleration sur la piste
A quel point cela est-il mauvais ? On evalue les consequences des dangers dans le pire
cas.
sortie en bout de
piste en atterrissage
freinage mal controle
sur la voie de taxi
collision
avec un autre avion
Catastrophique Majeur Majeur
A quelle frequence est-ce acceptable ? On determine des objectifs de safety en terme
de frequence acceptable pour evenements ayant une certaine severite. (fh = ight hour)
catastrophique < 10
9
/fh
hasardeux < 10
7
/fh
majeur < 10
5
/fh
Et on recommence Il faut faire cette etude pour toutes les fonctions et tous les risques.
Le resultat partiel de lanalyse est resume dans la gure 8.
2.2 AMDE
La methode de Analyse des Modes de Defaillances et de leurs Eets (AMDE) est une des
premi`eres methodes systematiques permettant danalyser les defaillances. Elle a ete developpee
par larmee americaine et se trouve dans la premi`ere guideline Military Procedure MIL-P-1629
Procedures for performing a failure mode, eects and criticality analysis du 9 novembre
1949. Cette analyse est largement utilisee pendant les phases initiales de developpement. Une
AMDE (FMEA pour Failure Mode and Eects Analysis) est une analyse detaillee de toutes les
defaillances simples, de leurs consequences (ainsi quun chirage preliminaire de probabilite doc-
currence). Elle permet didentier les elements critiques de securite (provoquant des evenements
critiques ou catastrophiques) ainsi que les fautes dormantes. En resume, une AMDE permet :
1. identier les modes de defaillances des dierentes parties du syst`eme,
2. devaluer les eets de chaque mode de defaillance des composants sur les fonctions du
syst`eme,
3. didentier les modes de defaillances qui auront un eet important sur la securite, la
abilite, la securite . . .
15
Figure 8 Exemple danalyse de risque
Procedure
1. Denir le syst`eme `a analyser.
(a) Les missions et fonctions principales du syst`eme
(b) Conditions operationnelles et environnementale
2. Collecter les informations disponibles qui decrivent le syst`eme (incluant schemas, specications,
listes de composants, . . . ) et collecter les informations sur les precedents conceptions simi-
laires.
3. Preparer les rapports AMDE.
Exemple 4 Considerons lexemple extrait du livre dA. Villemeur et represente dans la -
gure 9. Le syst`eme permet `a un operateur de commander le fonctionnement du moteur `a courant
continu ; pour cela loperateur appuie sur un bouton pressoir (B.P.) provoquant ainsi lexcita-
tion dun relais, la fermeture du contact associe et lalimentation electrique du moteur. Lorsque
loperateur relache la pression, le moteur sarrete. Un fusible permet de proteger le circuit
electrique contre tout court-circuit.
On suppose que le l AB traverse une zone o` u se trouvent des vapeurs inammables : on ad-
met que lanalyse preliminaire des dangers a montre que levenement indesirable est la surchaue
du l AB.
Le syst`eme est concu pour faire fonctionner le moteur electrique pendant un temps tr`es
court ; on admet quun fonctionnement prolonge peut entraner sa destruction par suite dun
echauement du moteur et de lapparition dun court-circuit. On admet egalement quapr`es
lapparition dun courant eleve dans le circuit d u `a un court-circuit, le contact du relais reste
colle, meme apr`es la desexcitation du relais.
16
B.P.
batterie
fusible
moteur
fil
A
B
batterie
relais
Figure 9 Exemple dillustration
Lanalyse ne porte que sur le bouton-pressoir et le relais ; et on ne consid`ere pour ces com-
posants quun ou deux modes de defaillances.
Composant Modes de Causes possibles Eets sur le syst`eme
defaillance
B.P. - le B.P. est bloque - defaillance mecanique - moteur ne tourne pas
- contact du B.P. - defaillance mecanique - moteur tourne trop
bloque - erreur humaine longtemps : do` u court-
circuit moteur et
fusion fusible
Relais - contact - defaillance mecanique - moteur ne tourne pas
bloque ouvert
- contact colle - defaillance mecanique - moteur tourne trop
- courant eleve dans longtemps (idem)
circuit
2.3 Diagramme de abilite
Historiquement, la methode du diagramme de abilite ou de succ`es est la premi`ere `a avoir
ete utilisee pour analyser les syst`emes. Ses limites sont rapidement apparues, neanmoins elle
permet de modeliser rapidement le syst`eme. On suppose dans la suite que le syst`eme nest pas
reparable.
Denition 14 Un diagramme de abilite est deni par :
Une entree E, un corps de diagramme et un sortie S
Un ux est transmis de E jusqu`a S en passant par les dierents chemins.
Defaillance dune entite arrete le ux au niveau du composant.
Sil nexiste pas de chemin jusqu`a S, le syst`eme est defaillant, sinon il fonctionne.
Conguration serie ou/et parall`ele.
Exercice 3 On reprend lexercice 1. Donner le diagramme de abilite associe.
Exercice 4 Un syst`eme contient 5 blocs. Deux blocs lisent deux entrees capteur, un bloc realise
le traitement et les deux derniers blocs controlent deux actionneurs identiques. Les entrees et
le calculateur sont necessaires `a lexecution de la fonction, en revanche un seul actionneur est
susant. Donner le bloc diagramme associe `a ce syst`eme.
17
2.4 Methodes quantitatives et qualitatives
2.4.1 Evaluation qualitative
Une analyse qualitative de s urete de fonctionnement consiste `a :
Donnee : structure du syst`eme (par exemple un diagramme de abilite)
Resultat : calculer la combinaison des composants qui am`ene `a la defaillance du syst`eme.
Pour exprimer la combinaison des blocs entranant la defaillance, les analystes utilisent deux
concepts : les chemins `a succ`es et les coupes.
Denition 15 (Chemin `a succ`es) Un chemin `a succ`es est un ensemble de blocs de base qui
realisent la fonction. Un chemin est dit minimal sil ne contient aucun sous chemin.
Denition 16 (Coupe) Une coupe decrit un ensemble de blocs de base dont la defaillance
entrane la defaillance du syst`eme. Une coupe est dite minimale si en retirant nimporte quel
bloc de la liste, le syst`eme nest plus defaillant. La taille (ou l ordre) de la coupe est le nombre
delements dans la liste.
La connaissance des coupes minimale permet detablir qualitativement la liste des composants
critiques dapr`es lorganisation fonctionnelle du syst`eme.
Exercice 5 Combien y a-t-il de coupes dordre 1 sur un syst`eme ayant n elements en serie ?
sur un syst`eme ayant n elements en redondance ?
Exercice 6 On reprend lexercice 1. Calculer les chemins minimaux et les coupes minimales.
Exercice 7 Calculez les coupes et les chemins minimaux du syst`eme suivant :
10
!"#! $%&'() *' ,-./(0-..'1'.(
23456
73 85945:
;3#3 5<'&/0/' ;
8
l
2
u L S
A
1
l
1
C
1
L
1
A
Z
L
2
C
2
! Sur le uuS cl-dessous:
1. uonner les chemlns mlnlmaux
2. uonner les coupes mlnlmales
2.4.2 Evaluation quantitative
Une analyse quantitative de s urete de fonctionnement consiste `a :
Donnees : structure du syst`eme (par exemple un diagramme de abilite)
probabilite doccurrence des defaillances des blocs de base
Resultat : Evaluer la probabilite de defaillance du syst`eme complet.
Syst`eme `a composant unique Dans cette partie, nous allons etudier le comportement sto-
chastique des syst`emes `a composant unique subissant des defaillances en les observant dans
le temps. On suppose que le syst`eme se met en fonctionnement `a linstant t=0 et ne presente
quun seul mode de defaillance. Le composant fonctionne pendant un temps aleatoire X
1
au bout
duquel il tombe en panne. Il y reste pendant un temps aleatoire Y
1
durant son remplacement
puis est remis en fonctionnement et ainsi de suite. On dit que le syst`eme est reparable. Lorsque
le composant nest jamais repare, on dit quil est non reparable. La description graphique du
comportement du syst`eme est donnee dans la gure 10.
18
1
0
syst`eme non reparable
1
0
syst`eme reparable
Figure 10 Diagramme des phases
Denition 17 (Taux de defaillance / Failure rate) Considerons un ensemble dentites iden-
tiques et en fonctionnement `a linstant initial. On denit le taux de defaillance comme la pro-
portion, ramenee `a lunite de temps, des entites qui ayant survecu `a un temps arbitraire t ne
sont plus en vie `a linstant t +dt.
Il est frequent que les entites presentent des taux de defaillance en fonction du temps suivant
une courbe dite en baignoire.
Figure 11 Taux de defaillance en fonction du temps [Wikipedia]
Rappels sur les variables aleatoires Une variable aleatoire est une fonction denie
sur lensemble des resultats possibles dune experience aleatoire. Ainsi, dans le jeu de jet dun
seul de, le resultat est une variable aleatoire X pour laquelle nous lisons sur la face du de les
valeurs possibles de 1 `a 6. En s urete de fonctionnement, on rencontre des lois discr`etes lorsque
les evenements qui se produisent sur un intervalle de temps donne sont des nombres entiers.
Cest, par exemple, le nombre de cartes electroniques defaillantes par mois dans un syst`eme
de controle-commande. Les variables aleatoires continues sont `a valeurs reelles positives. Par
19
exemple, linstant dapparition dune defaillance dans une structure metallique est une variable
continue.
Pour les evaluations probabilistes, on utilise deux variables aleatoires :
variable detat X(t) =
_
1 si lentite fonctionne `a linstant t
0 si lentite est defaillante `a linstant t
instant de la defaillance T
(time to failure)
variable continue
En s urete de fonctionnement, il faut faire la distinction entre loccurrence dun evenement et
son existence `a linstant t. Lassertion loccurrence de la defaillance du composant au temps t
signie que la defaillance a eu lieu dans lintervalle [t, t +dt]. En revanche, lassertion existence
de la defaillance au temps t signie que la defaillance a eu lieu entre [0, t].
La fonction de repartition dune variable aleatoire X est la fonction F(x) = P(X x).
F tend vers 0 en et vers 1 en +. La densite de probabilite lorsque F est derivable est
f(x) = dF(x)/dx. Le moment dordre k de la variable X est E[X
k
] =
_

x
k
f(x)dx. E[X]
est lesperance mathematique ou la moyenne. La variance est le reel lorsquil existe V [X] =
_

(x E[x])
2
f(x)dx.
_
(V [X]) est appele lecart type. On rappelle quelques lois classiques
que nous utiliserons dans la suite.
Loi exponentielle : utilisee frequemment car les calculs sont simples. La densite de probabilite
est f(t) = e
t
o` u est une constante. La fonction de repartition est F(t) =
_
t

f(t)dt =
1 e
t
. La moyenne est de 1/ et la variance de 1/
2
. Cette loi sapplique pour la duree
de vie utile representee dans la courbe en baignoire.
Loi normale : la loi normale ou de Gauss a deux param`etres N(m, ) avec m la moyenne
et lecart type. La densite de probabilite est f(t) =
1

2
e
1/2(
tm

)
2
. La fonction de
repartition est
1

2
_
t

e
1/2(
tm

)
2
dx. Cette loi sapplique `a de nombreux phenom`enes
(incertitude sur des mesures ou des fabrications par exemple).
Loi log-normale : une variable aleatoire est distribuee suivant une loi log-normale si son
logarithme est distribue selon une loi normale. La densite de probabilite est f(t) =
1
t

2
e
1/2(
log(t)m

)
2
. La fonction de repartition est F(t) =
1

2
_
t

1
x
e
1/2(
log(x)m

)
2
dx.
La moyenne est e
m+
2
/2
et la variance e
2m+
2
(e

2
1). Cette loi est souvent utilisee pour
representer les durees de reparation des composants ou les incertitudes dans la connais-
sance dune donnee de s urete de fonctionnement.
Loi de Weibull : cette loi depend de 3 param`etres et permet de representer un grand nombre
de distributions experimentales. La densite de probabilite est f(t) =
(t)
1

e
(
t

avec > 0, > 0 et t > . La fonction de repartition est F(t) = 1e


(
t

. La moyenne
est +(
1+

) et la variance
2
((
2

+ 1)
2
(
1

+ 1)) avec (x) =


_

0
x
1
e
x
.
Denition probabiliste des attributs
Denition 18 (Fiabilite) La abilite dune entite E peut sexprimer par
R(t) = P(E non defaillante sur la duree [0, t]) = R(t) = P[T > t]
o` u T est le temps de la defaillance.
20
On peut experimentalement calculer cette probabilite. On prend n composants identiques qui
fonctionnent `a t=0, et on compte `a chaque instant t
i
combien sont toujours en marche v(t).
Alors, R(t) = v(t)/n.
La deabilite

R(t) = 1 R(t) est donc egale `a la fonction de repartition de T,

R(t) = F(t).
Il y a une relation forte entre abilite et le taux de defaillance .
R(t) = e

t
0
(x)dx
Le MTTF (Mean Time to Failure) est le temps moyen de fonctionnement avant la 1
`ere
panne.
MTTF = E[T] =
_

0
R(t)dt
On peut egalement lobtenir de mani`ere experimentale puisque MTTF = lim
n
t
i
/n.
Exercice 8 Le taux de defaillance dun module est constant et vaut = 10
4
h
1
. Calculez le
temps moyen de defaillance MTTF.
Denition 19 (Maintenabilite) La maintenabilite dune entite E peut sexprimer par
M(t) = P(E en panne en 0 et repare sur [0, t])
Soit Y la variable aleatoire designant la duree de la panne du composant, alors M(t) = P(Y t).
MUT (Mean Up Time) : duree moyenne de fonctionnement du syst`eme apr`es reparation
MDT (Mean Down Time) : duree moyenne de non fonctionnement du syst`eme.
MTBF (Mean Time Between Failure) : duree moyenne entre 2 pannes. On a MTBF =
MUT+MDT.
MTTR (Mean Time To Restoration) : duree moyenne avant remise en service. MTTR =
E[Y ] =
_

0
tG(t)dt =
_

0
[1 M(t)]dt. Les dierents temps moyens sont representes dans la
gure 12.
1re dfaillance
Mise en service Remise en service
2me dfaillance 3me dfaillance
Remise en service
MTTF MDT1 MUT1 MDT2 MUT2
MTBF1 MTBF2
Figure 12 Representation des temps moyens dans la vie en operation
Exercice 9 Un moteur peut etre vu comme un syst`eme reparable, les brosses en carbone doivent
etre changees apr`es un certain nombre dheures en operation. Durant une annee, le moteur doit
etre repare 3 fois. La premi`ere reparation a lieu apr`es 98 jours et dure 10h, la deuxi`eme apr`es
100 autres jours et dure 9h, la troisi`eme apr`es 105 autres jours et ce pendant 11 heures.
Calculer le temps moyen en operation MUT et le temps moyen de reparation MDT du mo-
teur.
21
Denition 20 (Disponibilite) La disponibilite dune entite E peut sexprimer par
A(t) = P(E non defaillante ` a linstant t)
Cest une grandeur instantanee, le syst`eme peut avoir subi plusieurs pannes et reparations avant
t. Lorsque lentite nest pas reparable, on a A(t) = R(t). En particulier dans le cas o` u le taux
de defaillance est constant, on A(t) = e
t
;
On utilise parfois la notion de disponibilite moyenne, elle vaut MUT / (MUT + MDT).
Exemple 5 Dans le cas suivant, la disponibilite moyenne est de 1/2.
1
0
1 2 3 heure
On resume dans la table 3 les attributs de s urete de fonctionnement pour les lois usuelles.
loi application loi loi normale loi de Weibull
aleatoire abilite exponentielle
fonction R(t) 1 exp
t 1

2
_
t

e
1/2(
(tm)

)
2
1 e
(
t

repartition
taux defaillance U(t)/R(t)
(t)t
1

F(t) = R(t)
(t)
Table 3 Attributs de s urete de fonctionnement pour les lois usuelles
2.4.3 Syst`eme multicomposants
Dans la partie precedente, nous avons etudie la defaillance dun syst`eme `a composant unique.
Dans ce cas, la defaillance du composant implique la defaillance du syst`eme. Dans un syst`eme
multicomposants, la defaillance du syst`eme survient `a la suite de defaillance de sous-ensembles
de composants. Par exemple, la defaillance dun frein sur un velo ne remet pas en cause le
fonctionnement global meme sil faut adapter son mode dutilisation. Par contre, la defaillance
dune roue conduit `a limmobilisation du velo.
Soit un syst`eme `a n composants, on note par x
i
letat du i-`eme composant. x
i
= 1 si le
composant fonctionne et 0 sinon. On note (x) letat du syst`eme complet. On rappelle egalement
22
que :
P(A B) = P(A) P(B[A)
= P(A).P(B) si A et B sont independants
P(A B) = P(A) +P(B) P(A B)
P(A) +P(B)
Exemple 6 Letat du syst`eme de freinage dun velo depend de letat des deux freins x
1
et x
2
.
On a (x) = 1 (1 x
1
)(1 x
2
).
Syst`eme serie Un syst`eme est dit en serie si son fonctionnement est assujetti au fonctionne-
ment simultane de tous ses composants. Si un seul composant est en panne, alors tout le syst`eme
est en panne. On a alors (x) =

i
x
i
. Si le syst`eme nest pas reparable, on a A(t) =

i
A
i
(t).
1 2
. . . n
Syst`eme parall`ele Un syst`eme est dit en parall`ele si son fonctionnement est assure si au
moins un des composants est en bon etat. Le syst`eme est en panne si et seulement si tous les
composants sont en panne. On a alors (x) = 1

i
(1 x
i
). Si de plus, le syst`eme nest pas
reparable, alors A(t) = 1

i
(1 A
i
(t)).
1
2
. . .
n
Exercice 10 Un syst`eme contient 7 modules identiques dont le taux de defaillance est =
10
4
h
1
. Calculer la abilite du syst`eme sur un temps de t = 1000 heures lorsque :
1. tous les modules sont necessaires `a la realisation de la fonction ;
2. au moins un module doit fonctionner.
Exercice 11 Calculez la abilite du syst`eme suivant.
E
1
E
3
E
2
E
4
E
5
E
6
E
7
E
8
Analyse dun diagramme de abilite Dans la partie 2.4.3 p. 23, nous avons illustre sur
les diagrammes series ou parall`eles le calcul de la abilite.
Exercice 12 On consid`ere n composants identiques de taux de defaillance constant . Si las-
semblage est en serie, quel est le taux de defaillance du syst`eme et quel est son MTTF?
23
Analyse de syst`eme complexe Si le syst`eme nest pas un assemblage de structures series/parall`eles,
il faut adapter le calcul.
Theor`eme 1 (Bayes) Soit S un syst`eme tel que A est un composant, alors
R(S) = R(S/A est OK)R(A) +R(S/A est KO)

R(A)
Exemple 7 Considerons lexemple decrit ci-dessous.
E
1
E
2
E
3
E
4
E
5
Considerons les deux evenements le composant E2 fonctionne `a linstant t et le composant
E2 est defaillant `a linstant t de probabilite respectivement R
2
et 1 R
2
. La abilite du syst`eme
secrit alors :
R = P[S fonctionne `a linstant t/E2 fonctionne ` a linstant t].R
2
P[S fonctionne `a linstant t/E2 est defaillant `a linstant t].(1 R
2
)
Si E
2
fonctionne, S fonctionne si et seulement si E
4
ou E
5
fonctionne. Donc
P[S fonctionne `a linstant t/E2 fonctionne `a linstant t] = 1 (1 R
4
)(1 R
5
). Si E
2
est
defaillante, S fonctionne si et seulement lune des deux series E
1
.E
4
ou E
3
.E
5
fonctionne.
Donc P[S fonctionne `a linstant t/E2 est defaillant `a linstant t] = 1 (1 R
1
.R
4
)(1 R
3
.R
5
).
Finalement, R = [1 (1 R
4
)(1 R
5
)]R2 + [1 (1 R
1
.R
4
)(1 R
3
.R
5
)](1 R
2
).
Certains syst`emes utilisent des mecanismes plus complexes comme des voteurs.
Exemple 8 Considerons un syst`eme compose dun voteur et de 3 composants redondants. ON
suppose que le voteur est parfait et ne tombe jamais en panne. Il y a plusieurs types de voteur :
1/3, 2/3 et 3/3. Un voteur 1/3 choisit une valeur parmi 3, un voteur 2/3 prend la valeur sur
laquelle au moins 2 composants saccordent et un voteur 3/3 necessite que les 3 composants
saccordent pour produire une valeur.
E
1
E
2
E
3
voter
Supposons que A(E
1
) = 0.9, A(E
2
) = 0.8 et A(E
3
) = 0.7. On veut calculer la disponibilite
du syst`eme avec voteur.
24
E
1
E
2
E
3
1/3 2/3 3/3
0.1 0.2 0.3 1 0.1 0.2 0.3
0.1 0.2 0.7
0.1 0.8 0.3
0.1 0.8 0.7 0.1 0.8 0.7+
0.9 0.2 0.3
0.9 0.2 0.7 0.9 0.2 0.7+
0.9 0.8 0.3 0.9 0.8 0.3+
0.9 0.8 0.7 0.9 0.8 0.7 0.9 0.8 0.7
=0.994 =0.904 =0.504
Lien avec les chemins `a succ`es et les coupes Lorsque tous les chemins minimaux L
i

i=1...p
ont ete identies, on obtient le resultat :
R = P(
i=1...p
L
i
)
Lorsque toutes les coupes minimales C
i

i=1...n
ont ete identiees, on obtient le resultat :
R = P(
i=1...n
C
i
) =
i
P(C
i
)
k
(1)
k

i
1
,...,i
k
P(C
i
1
. . . C
i
k
)
Si les probabilite sont tr`es faibles, on approxime generalement la probabilite avec
i
P(C
i
). Sinon,
on encadre

i
P(C
i
)
n
i=2

i1
j=1
P(C
i
.C
j
) R
i
P(C
i
)
2.5 TP sur les diagrammes de abilite
On va utiliser le logiciel GRIF http://grif-workshop.fr/tag/total/ developpe par les
societes SATODEV et TOTAL. Il existe une version gratuite installee sur les machines de la salle
B302. Pour y acceder, allez dans Demarrer tous les programmes GRIF 2012 Reliability
block diagramme.
Exercice 13 Dessinez en GRIF un bloc diagramme compose dun unique composant. Essayez
ensuite plusieurs distributions (Constant, Exponential 10
3
, Weibull) et calculez la abilite
pour 1000 heures. Attention GRIF calcule la deabilite

R(t).
Utilisez pour congurer les calculs et selectionnez lachage des coupes.
Exercice 14 Dessinez en GRIF un syst`eme compose de 5 elements en serie avec un taux de
defaillance exponentiel 10
3
. Calculez la abilite pour 1000 heures ainsi que les coupes mini-
males. Idem pour un syst`eme compose de 5 elements en parall`ele.
25
Exercice 15 On reprend lexemple 7, calculez les coupes minimales.
Idem avec lexercice 11.
Exercice 16 On consid`ere le syst`eme suivant avec N=6. Calculez les valeurs du tableau de
droite pour 1000 heures.
k R
1
2
3
4
5
6
Exercice 17 Calculez les chemins `a succ`es minimaux, les coupes minimales et la abilite `a
1000h du syst`eme suivant.
3 Arbres de defaillances
La methode de larbre de defaillances, encore appelee arbre des causes (fault tree) est nee
en 1962 dans la societe Bell Telephone grace `a Watson qui travaillait sur le projet Minuteman.
Dans les annees suivantes, les r`egles de construction ont ete formalisees par Haasl en 1965, par
lUniversity of Washington et Boeing. Dans les annees 70, Vesely a jete les bases de levaluation
quantitative, Kinetic Tree Theory (KITT). Enn, en 1992, la derni`ere grande avancee est due
`a Coudert, Madre et Rauzy qui les ont codes avec des Diagrammes de decision binaires (DDB)
obtenant ainsi une grande ecacite de calcul. Cette methode a pour objectif de determiner les
combinaisons possibles devenements qui entranent loccurrence dun evenement indesirable (ou
redoute). Lidee est de representer graphiquement la logique de dysfonctionnement dun syst`eme.
3.1 Construction dun arbre de defaillance
Lanalyse par larbre de defaillance se concentre sur un evenement particulier qualie dindesirable
ou de redoute car on ne souhaite pas le voir se realiser. Cet evenement devient le sommet de
larbre et lanalyse a pour but den determiner toutes les causes.
La syntaxe des arbres de defaillances est decrite dans la gure 13 et lequivalence avec les
diagrammes de abilite est donnee dans la gure 14.
On utilise generalement la convention du rond pour denoter un evenement terminal, ou une
feuille. Un evenement intermediaire sera represente par une rectangle. Quand un sous-arbre
26
Figure 13 Syntaxe des arbres de defaillance
3
Reliability block diagram
Fault tree
E1 E2
E2 E1
S
E1
E2
E2 E1
S
Figure 14 Equivalence entre diagramme de abilite et arbre
27
apparat plusieurs fois, on peut factoriser lecriture en utilisant les reports symbolises par des
triangles. Dans le cas de la porte et, la sortie S est vraie si toutes les entrees E
i
le sont. Pour
la porte ou, la sortie S est vraie si au moins une des entrees E
i
est `a vrai. Dans le cas de la
porte ou exclusif, la sortie S est vraie si une seule entree est `a vrai. Enn, pour la porte k/n, S
est `a vrai si k evenements au moins sont `a vrai sur les n. Il existe dautres portes dont nous ne
parlerons pas dans la suite.
Le schema suivant est un guide permettant lelaboration dun arbre de defaillance. Lidee est
de determiner toutes les causes elementaires qui m`enent `a levenement redoute.
Rechercher ses causes immdiates, ncessaires et
suffisantes et dterminer la nature de la porte-connectrice
Dfinir les vnements intermdiaires reprsentant chacune de ces causes
Cet vnement est lvnement
du type-systme
Cet vnement est-il du type-
composant ?
Oui Non
Dfinir la dfaillance primaire du composant
Existe-t-il ?
Oui Non
FIN
Passer
lvnement-cause suivant
Dfinir lvnement-sommet reprsentant lER
Exemple 9 On reprend lexemple de la gure 9. Levenement indesirable est la surchaue du
l AB. Il ne peut resulter que de la presence dun courant eleve dans le circuit de droite ce qui
est le resultat dun court-circuit du moteur et du fait que le circuit reste ferme. On en deduit
larbre
Surchaue
AB
Court-circuit
moteur
Circuit droit
ferme
On recommence pour chaque evenement intermediaire. Les causes du court-circuit moteur
sont :
soit une defaillance premi`ere du moteur (comme par exemple le vieillissement), cest un
evenement elementaire ;
28
soit le resultat dune cause externe, ici ce sera le contact du relais reste colle.
Les causes de levenement le contact du relais reste colle sont :
soit une defaillance premi`ere du relais (comme par exemple une defaillance dorigine
mecanique), cest un evenement elementaire ;
soit le contact du relais reste colle si un courant eleve traverse le contact, cest-` a-dire sil
existe un court-circuit moteur ;
soit le contact de B.P. reste colle.
On tombe sur un probl`eme puisque le court-circuit moteur apparat deux fois dans la meme
branche. Il faut donc supprimer cet evenement. Les causes de levenement le contact du B.P.
reste colle sont :
soit une defaillance premi`ere du B.P. (comme par exemple une defaillance dorigine mecanique),
cest un evenement elementaire ;
soit le contact du BP reste colle par suite dune erreur humaine.
29
Finalement larbre complet est la suivant
3.2 TP arbres de defaillance
Dans ce TP, nous allons ecrire des arbres de defaillance `a laide de loutil GRIF Fault tree.
Ce type de logiciel est tr`es utilise dans lindustrie. On peut egalement citer les outils Arbor
(Dassault), Sima (Apsys), Aralia (Arboost Technology - maintenant inclus dans Arbor) et
Fault-Tree+ (Isograph).
Exercice 18 Dessinez deux arbres elementaires avec une porte pour lun et une porte ou pour
lautre, reliant deux blocs elementaires e
1
et e
2
. Calculez les coupes et la abilite.
Exercice 19 On reprend lexercice 1 et on consid`ere un mode de defaillance unique par com-
posant (HS pour la pompe, bloquee fermee pour les vannes). Levenement redoute est : pas de
debit en 2 et 3. Donner larbre de defaillance associe. Calculez les coupes minimales. Si Aralia
30
est disponible, calculez leur probabilite doccurrence (avec lois constante et exponentielle). Un
chier est genere automatiquement `a partir dArbor.
Exercice 20 On consid`ere les 2 blocs diagramme representes ci-dessous. On suppose que tous
les composants sont identiques non reparables et quils ont un unique mode de defaillance (perte).
Ecrivez les arbres de defaillance associes et donnez les coupes minimales.
E
1
E
2
E
3
E
4
E
5
!
!"#! $%&'() *' ,-./(0-..'1'.(
23456
73 85945:
!3#3 5;'&/0/' !
"# $%&'()*+), ./012 34*+56.,&( 7 8, 1+69)6::, 1, '*88;'
<# =)%*5,) .,' 8%*>,' :+&+:6.,' 1, 8,( 6)?),
@ A
B
0 2
$
@
Exercice 21 (Etude simpliee dune unite de production chimique) On consid`ere le syst`eme
represente graphiquement dans la gure 15. Lobjectif est de fabriquer un produit chimique Z `a
laide dun reacteur alimente par deux reactifs X et Y (ils sont tous les deux necessaires pour
obtenir le produit Z). Deux reservoirs R
X
et R
Y
permettent cette alimentation, sachant quun
reservoir supplementaire R
X2
en produit X est egalement disponible en secours grace `a louver-
ture de la vanne V
S
. Lunite de controle C est informee du debit par le detecteur DX apr`es la
vanne de regulation V
X
. Cette derni`ere est commandee par C. La vanne de regulation V
Y
le cir-
cuit en produit Y. Les vannes V
1
, V
2
, V
3
et V
4
sont des vannes de securite en cas de detection de
fuites (le produit X est nocif ) et aussi en cas darret durgence (risque dexplosion du reacteur).
On ne tiendra pas compte ici des fuites des canalisations.
RX
DX
C
V1
dtecteur
de dbit
controleur
Pompe
P
chimique
reacteur
V4
VX
RY
RX2
R
Rservoir de
secours produit X
Vanne de
VY
rgulation
rservoir
produit Y
sortie du produit
de secours produit X
VS vanne dalimentation
V2 V3
Figure 15 Unite de production
On consid`ere que tous les composants sont susceptibles detre defaillants (on supposera quil
ny a quun mode de defaillance panne) sauf le detecteur et le reservoir R
X2
. Les taux de
defaillance sont supposes constants. On souhaite maintenir la production du produit Z quand
il ny a pas dincidents majeurs dans le syst`eme. V
1
, V
2
, V
3
sont ouvertes initialement et V
4
est
fermee.
composants taux
R
X
, R
Y
, R 5.10
5
/h
V
X
, V
Y
5.10
5
/h
P, C 10
4
/h
V
1
, V
2
, V
3
, V
4
5.10
5
/h
31
Construire le bloc diagramme associe ainsi que larbre de defaillance. En deduire les coupes
minimales et leur probabilite.
3.3 Codage des arbres de defaillance sous forme de DDB
En 1992, J.-C. Coudert et O. Madre dun cote, A. Rauzy dun autre, ont propose un codage
ecace des arbres de defaillances. Un arbre de defaillance est equivalent `a une formule binaire. En
eet, un arbre est constitue devenements E = e
1
, . . . , e
n
et de portes logiques P = ou, et . . ..
Chaque evenement est transforme en une variable booleenne x
i
qui vaut 1 si levenement sest
produit et 0 sinon. Les portes logiques sont directement traduites en connecteurs logiques.
evenement e
i
variable booleenne x
i
se produit 1
ne se produit pas 0
Exemple 10 Voici la traduction en formule booleenne dun arbre de defaillance.

E
1
pbm

E
2

E
3
E
i
= x
i
F = x
1
(x
2
x
3
)
Les diagrammes de decision binaires (BDD pour Binary Decision Diagram) sont une struc-
ture de donnees qui permet de representer de facon compacte les relations entre variables
booleennes. Ils ont ete introduits par Randal E. Bryant et sont devenus incontournables pour
les outils de verication.
Exemple 11 Considerons la fonction
f(x
1
, x
2
, x
3
) = x
1
x
2
x
3
+x
1
x
2
+x
2
x
3
Le diagramme de decision binaire et la table de verite sont representes ci-dessous.
32
On en deduit le codage des arbres de defaillances.
S
E
E
1 0
Arbre de defaillance Diagramme de decision binaire
S
E
1
E
2
E
1
0 E
2
1 0
S
E
1
E
2
E
1
1 E
2
1 0
On peut ensuite appliquer des r`egles de simplication quand une variable apparat plusieurs
fois dans une meme branche. Considerons lexemple ci-dessous :
S
E
1
.E
2
E
1
.E
3
E
1
E
3
E
1
E
2
E
1
E
3
1
E
1
0 E
2
1 0
E
1
0 E
2
1 0
Le BDD peut se simplier en E
1
dans les deux branches et on obtient :
33
E
1
0 E
3
1 E
2
1 0
Grace `a cette representation sous forme de diagramme de decision binaire, on trouve rapi-
dement les coupes minimales dun arbre, il sagit en eet dune branche menant `a un 1. Dans
lexemple, il y a deux coupes minimales E
1
.E
2
ou E
1
.E
3
.
Exercice 22 Donner le diagramme de decision binaire associe `a larbre suivant ainsi que len-
semble des coupes minimales.
S
G
1
G
2
G
3
E
2
1
G
4
E
1
E
3
E
4
1
4 Mod`eles `a etats transitions
4.1 Chanes de Markov
La Methode de lEspace dEtat (MEE) a ete developpee pour lanalyse de s urete de fonc-
tionnement de syst`eme reparable. Les arbres de defaillances, vus dans le chapitre precedent,
permettent de bonnes descriptions statiques de syst`eme mais ne prennent pas en compte les
recongurations, comme les reparations. Les premi`eres utilisations des processus stochastiques
dans les annees 50 utilisaient des processus markoviens ; des generalisations ont ensuite ete
faites. Dans cette partie nous nous concentrons sur les processus markoviens. Andrei Markov a
publie ses premiers resultats en 1906, qui ont ensuite ete generalises `a un espace detats inni
denombrable par Andrei Kolmogorov en 1936.
Un processus stochastique est un ensemble de variables aleatoires (X
t
)
t0
`a valeurs dans
lensemble des observations. Un processus est markovien si la probabilite de passage de letape
presente `a la suivante ne depend pas du passe, i.e.
P(X
t
A [ X
t
n
A
n
, , X
1
A
1
) = P(X
t
A [ X
t
n
A
n
)
34
Exemple 12 (Exemple Wikipedia : Doudou le hamster) Cet exemple est `a temps dis-
cret. Doudou le hamster paresseux ne connat que 3 endroits dans sa cage : les copeaux o` u
il dort, la mangeoire o` u il mange et la roue o` u il fait de lexercice. Ses journees sont assez sem-
blables les unes aux autres, et son activite se represente aisement par une chane de Markov.
Toutes les minutes, il peut soit changer dactivite, soit continuer celle quil etait en train de
faire. Lappellation processus sans memoire nest pas du tout exageree pour parler de Doudou.
Quand il dort, il a 9 chances sur 10 de ne pas se reveiller la minute suivante.
Quand il se reveille, il y a 1 chance sur 2 quil aille manger et 1 chance sur 2 quil parte
faire de lexercice.
Le repas ne dure quune minute, apr`es il fait autre chose.
Apr`es avoir mange, il y a 3 chances sur 10 quil parte courir dans sa roue, mais surtout
7 chances sur 10 quil retourne dormir.
Courir est fatigant ; il a donc 80 % de chance de retourner dormir au bout dune minute.
Sinon il continue en oubliant quil est dej`a un peu fatigue.
La chane de Markov associee au comportement du hamster est donnee dans la gure 16 et la
version compl`ete est representee dans la gure 17.
Figure 16 Chane de Markov associee `a Doudou le hamster
On peut ensuite decrire la matrice de simulation associee `a la chane de Markov o` u les lignes
et les colonnes correspondent dans lordre aux etats dormir, manger, courir :
T =
_
_
0, 9 0, 05 0, 05
0, 7 0 0, 3
0, 8 0 0, 2
_
_
Il est alors possible de simuler le comportement du hamster sachant quinitialement il dort :
x
(0)
=
_
1 0 0

. Au bout dune minute, on peut predire quil y a 90 % de chances que Doudou


dorme encore, 5 % quil mange et 5 % quil coure : x
(1)
= x
(0)
T =
_
0.9 0.05 0.05

. Au bout
de deux minutes, x
(2)
= x
(1)
T = x
(0)
T
2
=
_
0.885 0.045 0.07

et ainsi de suite.
Exercice 23 (Petitot) Chaque annee `a Noel, les mangeurs de chocolat adoptent un type de
chocolat, pour une duree dun an renouvelable. Un sondage eectue sur un echantillon representatif
35
Figure 17 Chane de Markov compl`ete associee `a Doudou le hamster
de cette population a donne les chires suivants : parmi les mangeurs de chocolat noir, 65% sont
d`eles `a leur choix, tandis que 35% pref`erent essayer le chocolat au lait. De meme, parmi les
mangeurs de chocolat au lait, 70% restent d`eles et 30% changent pour le noir. Initialement, il
y avait 50% de mangeurs de chocolat noir et 50% de mangeurs de chocolat au lait.
Quelle sera la tendance au bout dun an ? 10 ans ? Modelisez le probl`eme avec une chane de
Markov en GRIF.
4.1.1 Construction dun mod`ele
Considerons un syst`eme compose de n composants, chaque composant ayant un nombre ni
detats de fonctionnement et de panne ; ce syst`eme est suppose reparable et chaque composant
est repare apr`es constatation de la panne. Le syst`eme est donc compose :
des etats de fonctionnement : un etat de bon fonctionnement o` u tous les composants
fonctionnent, et des etats o` u certains composants sont en panne mais le syst`eme reste
fonctionnel,
des etats de pannes : o` u susamment de composants sont en panne pour aecter le syst`eme
globale.
La construction du mod`ele se fait en 3 etapes :
1. recensement de tous les etats du syst`eme. Si chaque composant a 2 etats (ok ou panne)
et si le syst`eme `a n composants, le nombre maximal detats est 2
n
. Au cours de la vie du
syst`eme, des etats de panne peuvent apparatre `a la suite de defaillance ou disparatre `a
la suite de reparation ;
2. recensement de toutes les transitions possibles entre ces dierents etats et lidentication
de toutes les causes de ces transitions. Les causes des transitions sont generalement des
defaillances des composants ou la reparation de composants ;
3. calcul des probabilites de se trouver dans les dierents etats au cours dune periode de vie
du syst`eme, calcul des temps moyens (MTTF, MTBF, MTTR . . . )
Exemple 13 (Composant unique) Pour un syst`eme `a un composant qui na quun mode de
defaillance panne, on obtient lautomate decrit ci-dessous. Initialement, on est dans letat ok, `a
36
tout instant le composant peut tomber en panne avec le taux de defaillance instantane puis se
faire reparer avec le taux de reparation .
ok ko

Exemple 14 (Deux composants) On consid`ere un syst`eme constitue de deux composants et


on suppose quune seule panne `a la fois peut survenir. Chaque composant a trois etats possibles :
letat 0 correspond au bon fonctionnement, letat 1
r
correspond au fait que le composant est
indisponible mais en cours de reparation et 1 correspond `a letat de panne. Lautomate associe
au syst`eme est la combinaison de tous ces etats, par exemple 00 est le bon fonctionnement
du syst`eme alors que 11 correspond `a larret total. A gauche, la chane de Markov avec un
seul reparateur qui intervient d`es la detection dune panne ; et `a droite deux reparateurs sont `a
disposition.
00
1
r
0
01
r
1
r
1
11
r

1
00
1
r
0
01
r
1
r
1
r

2
Les graphes des etats avec deux reparateurs pour un syst`eme serie `a deux composants et un
syst`eme en redondance active sont donnes ci-dessous.
Diagramme de abilite chane de Markov
E
1
E
2
00
1
r
0
01
r
1
r
1
r
Fonctionnement
correct
Syst`eme
defaillant

2
E
1
E
2
00
1
r
0
01
r
1
r
1
r
Correct
functioning
Failed
system

2
37
Exemple 15 (Signoret) On consid`ere un syst`eme compose de 2 composants redondants. Un
seul reparateur est disponible et doit reparer en priorite E
1
. La chane de Markov est
________________________________________________________________ ANALYSE DES RISQUES DES SYSTMES DYNAMIQUES : APPROCHE MARKOVIENNE
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
Techniques de lIngnieur SE 4 071 3
simultanment en panne, il devient ncessaire de dnir la politi-
que de maintenance mettre en uvre et, dans un premier temps,
nous considrerons que P2 est prioritaire pour la rparation.
La construction du graphe de Markov relatif un tel systme
seffectue en deux tapes (gure 2) :
identification des diffrents tats que le systme peut occuper
au cours de son exploitation
il y en a quatre dnomms E1, E2, E3 et E4 ;
construction du graphe de Markov proprement dit :
reprsentation de chacun des tats par un cercle,
reprsentation des transitions entre les tats par des ches.
Chaque transition symbolise la faon dont le systme saute dun
tat vers un autre.
la n de cet exercice, on se retrouve en prsence dun graphe
dtats qui modlise le comportement du systme form de deux
pompes. Pour quil reprsente aussi le processus de Markov
associ, il reste prciser quelles sont les chances que chacune de
ces transitions soit rellement emprunte au cours de la vie du sys-
tme. Cela est obtenu en affectant des taux de transition
ij
cha-
cune delles.
Mathmatiquement,
ij
dt est la probabilit conditionnelle de
sauter de Ei vers Ej entre t et t + dt lorsquon est dans ltat Ei
linstant t. Dans le cas usuel, les taux de transition sont constants
et correspondent aux taux de dfaillance ou aux taux de rparation
des composants qui causent les changements dtat. Toutes les lois
de probabilits qui rgissent les divers phnomnes pris en
compte sont donc de nature exponentielle et un tel processus sto-
chastique est dnomm processus de Markov homogne.
Comme, dans ce cas, la probabilit de sauter de Ei vers Ej ne
dpend que de la prsence dans Ei linstant t mais pas de la
manire dont on y est arriv entre 0 et t, le devenir du systme ne
dpend que de son tat linstant t. Il sagit donc dun processus
sans mmoire. Cela implique quil converge au bout dun dlai plus
ou moins long vers un tat dquilibre indpendant des conditions
initiales.
Lorsque les taux de transitions ne sont pas constants, on parle
de processus semi-markoviens. Nous ne les aborderons pas dans
ce dossier car leur traitement analytique est beaucoup moins facile
que les processus markoviens homognes. Pour des systmes de
taille industrielle, et sauf cas particuliers, seule la simulation de
Monte-Carlo permet de les traiter rellement. Cela sera dcrit en
dtail dans le dossier concernant lutilisation des rseaux de Petri
stochastiques.
2. Approche markovienne
classique
2.1 Quelques dnitions de base
Avant daller plus loin, il convient de rappeler quelques notions
lmentaires du domaine de la sret de fonctionnement. Elles
devraient tre parfaitement connues mais, lexprience, on les
dcouvre un peu oublies ou mal assimiles par les ingnieurs qui
les utilisent :
fiabilit R (t ) : probabilit de bon fonctionnement sur un
intervalle de temps donn [0, t ] et dans des conditions donnes ;
disponibilit A (t ) : probabilit de bon fonctionnement un
instant donn t et dans des conditions donnes.
Il rsulte de ces dnitions que la abilit, au sens mathmati-
que du terme, correspond un fonctionnement sans interruption
sur une certaine priode. La notion de abilit est donc trs utile
pour traiter des problmes lis la scurit, car elle sintresse
loccurrence de la premire panne (ou premier accident) du
systme concern.
Cela nous conduit introduire une autre notion de base indis-
sociable de celle de abilit :
MTTF : temps moyen avant la premire dfaillance (Mean
Time To Fail ).
Il est noter que, pour un composant lmentaire rgi par une
loi exponentielle de taux de dfaillance , le MTTF est alors gal
1/. Sauf cas trs particulier, cette proprit nest en gnral pas
vraie au niveau du systme global, mme si celui-ci ne comporte
que des composants rgis par des lois exponentielles. Dautre part
le MTTF est un paramtre qui peut tre estim statistiquement
partir de donnes observes dans le monde physique (retour
dexprience). Il permet donc de faire le lien entre les math-
matiques et le monde rel.
loppos de la abilit, la disponibilit sintresse la proba-
bilit que le systme fonctionne un instant donn sans se pr-
occuper de ce qui sest pass auparavant. Elle caractrise donc un
fonctionnement pouvant tre interrompu puis repris.
La disponibilit A (t ) a surtout un intrt thorique et, en pratique,
cest plutt sa valeur moyenne que lon sintresse. Do lintro-
duction de deux autres dnitions :
disponibilit moyenne pour une mission A (t
1
, t
2
) :
moyenne de A (t ) sur lintervalle [t
1
, t
2
],
ratio temps moyen de bon fonctionnement /(t
2
t
1
),
pourcentage du temps moyen de bon fonctionnement sur
[t
1
, t
2
] ;
Figure 2 Exemple de graphe de Markov
Exemple : de ltat de marche parfait E1, on peut sauter vers E2 ou
E3 par dfaillance de P2 ou P1, de ltat E2 on peut aller soit vers ltat
de panne totale E4 par dfaillance de P1 ou revenir ltat E1 par rpa-
ration de P2, ..., et nalement de ltat E4 on peut revenir uniquement
vers E3 par rparation de P2 qui est prioritaire pour la rparation.
E3
E2
E1
E4
P1
P2
P1
P2
P1
P2
P1
P2
Panne Marche
P2 prioritaire
pour la rparation

2

1

1
P1, P2 pompes en tat de marche
P1, P2 pompes en panne
Il sagit ici des caractristiques fondamentales des processus
de Markov homognes dont il convient de bien se souvenir.
C
e

d
o
c
u
m
e
n
t

a

l
i
v
r


p
o
u
r

l
e

c
o
m
p
t
e

d
e

7
2
0
0
0
4
5
0
6
2

-

u
n
i
v
e
r
s
i
t
e

d
e

t
o
u
l
o
u
s
e

b
u

s
c
i
e
n
c
e
s

/
/

1
4
7
.
1
2
7
.
8
1
.
4
5
Ce document a t dlivr pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45
Ce document a t dlivr pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45 tiwekacontentpdf_se4071
ANALYSE DES RISQUES DES SYSTMES DYNAMIQUES : APPROCHE MARKOVIENNE ________________________________________________________________
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie est strictement interdite.
SE 4 071 4 Techniques de lIngnieur
disponibilit limite A :
valeur limite de A (t ) quand t tend vers linni,
valeur moyenne de A (t ) sur une dure innie,
valeur limite de A (0, t ) quand t tend vers linni,
valeur limite du ratio moyen du temps de marche/ temps total,
pourcentage du temps moyen de bon fonctionnement sur une
dure innie.
Disponibilit moyenne et disponibilit limite possdent donc dif-
frentes interprtations. Il faut faire une mention spciale pour
celle correspondant au ratio du temps de bon fonctionnement
rapport au temps dobservation car elle permet de raliser des
estimations statistiques partir de donnes observes dans le
monde physique. On retrouve aussi ici le lien entre les math-
matiques et le monde rel.
Les probabilits complmentaires D (t ) et U (t ) de la abilit et
de l a di sponi bi l i t sont dnommes dabi l i t et
indisponibilit :
D (t ) = 1 R (t ) ;
U (t ) = 1 A (t ).
2.2 Graphe de Markov versus
paramtres classiques
Revenons au graphe de Markov de la gure 2. Nous navons
encore rien dit sur la nature des tats rencontrs. Dans le cadre
classique, la premire tape est de les rpartir en deux classes
distinctes Marche/Panne an de pouvoir mener bien les
calculs de abilit/disponibilit ordinaires.
Comme les deux pompes sont redondantes, cette rpartition est
trs simple : les tats {E1, E2, E3} correspondent au bon fonction-
nement et ltat {E4} la panne du systme.
2.2.1 Disponibilit prvisionnelle
Une fois la dichotomie ralise entre les tats de marche et de
panne, on peut se demander ce que permet de calculer effecti-
vement le graphe de Markov dessin prcdemment et reprsent
gure 2.
Pour rpondre cette question, il suft de remarquer quun tel
graphe reprsente, de manire synthtique, tous les chemins
(squences dvnements) que le systme peut emprunter partir
de son tat initial durant son volution au cours du temps.
Un tel chemin sera par exemple E1, E2, E1, E3, E4, E2, E1... Ce
graphe renferme donc des chemins permettant au systme de
passer par ltat de panne E4 puis de revenir dans un tat de
marche E2. Il dcrit donc le comportement dun systme qui peut
tre en marche un instant donn en ayant t une ou plusieurs
fois en panne auparavant. Il sagit donc typiquement dun modle
de disponibilit.
La disponibilit A (t ) du systme tudi est donc gale la pro-
babilit de se trouver linstant t dans lun ou lautre des trois tats
de marche E1, E2 ou E3 et son indisponibilit U (t ) est gale la
probabilit de se trouver dans ltat de panne E4.
Posons P
i
(t ) = probabilit dtre dans ltat Ei linstant t.
Comme le systme ne peut pas se trouver dans plusieurs tats
la fois, les tats E1, E2, E3 et E4 sont disjoints. Il en rsulte :
P
1
(t ) + P
2
(t ) + P
3
(t ) + P
4
(t ) = 1 ;
A (t ) = P
1
(t ) + P
2
(t ) + P
3
(t ) ;
U (t ) = P
4
(t ).
Le tableau 1 montre lvolution de la probabilit des diffrents
tats du systme en fonction du temps et la probabilit de ltat 4
donne directement lindisponibilit instantane U (t ). (0)
2.2.2 Fiabilit prvisionnelle
Puisque le graphe de la gure 2 permet dvaluer la disponibilit
du systme, comment faut-il le modier pour obtenir un modle
permettant dvaluer la abilit dudit systme ?
La rponse se trouve dans la dnition mme de la abilit : il
faut assurer la continuit du bon fonctionnement du systme sur
lintervalle [0, t ]. Il est donc ncessaire de modier le graphe de la
gure 2 de manire quaucun chemin aboutissant lun ou lautre
des tats de marche E1, E2 ou E3 linstant t ne soit jamais pass
par ltat de panne E4 dans lintervalle [0, t ] ou, ce qui revient au
mme, faire en sorte quaucun chemin passant par ltat de panne
E4 ne revienne jamais vers un des tats de marche E1, E2 ou E3.
La modication de notre graphe est alors trs simple raliser
puisquil suft de supprimer les transitions de {E4} vers {E1, E2,
E3}. En fait, il ny en a quune seule supprimer de E4 vers E3 et
cela nous conduit au graphe prsent sur la gure 3.
Grce cette transformation, P
1
(t ) + P
2
(t ) + P
3
(t ) reprsente
maintenant la probabilit dtre en marche linstant t sans jamais
tre tomb en panne auparavant, cest--dire la probabilit dtre
rest en bon tat de fonctionnement sur toute la dure [0, t ] ou
autrement dit la abilit du systme tudi.
De mme que prcdemment, on a donc :
P
1
(t ) + P
2
(t ) + P
3
(t ) + P
4
(t ) = 1 ;
R (t ) = P
1
(t ) + P
2
(t ) + P
3
(t ) ;
D (t ) = P
4
(t ). (0)
Les formules ci-dessus sont identiques celles permettant de
calculer la disponibilit. Ce qui est diffrent, cest le graphe qui
permet dvaluer les probabilits des diffrents tats. Cependant,
maintenant, il nest plus possible de sortir de ltat E4 une fois
quon y est entr : on dit que celui-ci est devenu absorbant. Cette
diffrence, qui peut paratre minime, entrane cependant un
comportement trs diffrent du processus de Markov. Comme il
nexiste plus de possibilit de sortir de E4, toute la probabilit va
se retrouver concentre dans cet tat lorsque le temps va tendre
vers linni. Cela ne fait que traduire la certitude que le systme
Tableau 1 Disponibilit en fonction du temps (1)
Paramtres
1, 0E 05 1, 0E 01
5, 0E 04 4, 2E 02
Temps
(h)
tats
1 2 3 4
0 1, 000E + 00 0, 000E + 00 0, 000E + 00 0, 000E + 00
20 9, 932E 01 6, 735E 03 8, 595E 05 1, 000E 06
40 9, 903E 01 9, 613E 03 9, 758E 05 2, 229E 06
60 9, 891E 01 1, 084E 02 9, 934E 05 3, 038E 06
80 9, 885E 01 1, 137E 02 9, 972E 05 3, 498E 06
100 9, 883E 01 1, 159E 02 9, 986E 05 3, 743E 06
120 9, 882E 01 1, 169E 02 9, 992E 05 3, 869E 06
140 9, 882E 01 1, 173E 02 9, 996E 05 3, 931E 06
160 9, 881E 01 1, 175E 02 9, 997E 05 3, 962E 06
180 9, 881E 01 1, 176E 02 9, 998E 05 3, 977E 06
200 9, 881E 01 1, 176E 02 9, 999E 05 3, 984E 06
300 9, 881E 01 1, 176E 02 9, 999E 05 3, 990E 06
400 9, 881E 01 1, 176E 02 9, 999E 05 3, 991E 06
(1) On rappelle que la notation E-05, par exemple, signie 10
5
.

1

1

2

2
C
e

d
o
c
u
m
e
n
t

a

l
i
v
r


p
o
u
r

l
e

c
o
m
p
t
e

d
e

7
2
0
0
0
4
5
0
6
2

-

u
n
i
v
e
r
s
i
t
e

d
e

t
o
u
l
o
u
s
e

b
u

s
c
i
e
n
c
e
s

/
/

1
4
7
.
1
2
7
.
8
1
.
4
5
Ce document a t dlivr pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45
Ce document a t dlivr pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45 tiwekacontentpdf_se4071
Exercice 24 Donner la chane de Markov associee au syst`eme suivant.
E
1
E
2
E
3
Supposons que les composants ne sont pas reparables et que
i
= 10
5
, comparer les simula-
tions Grif avec diagramme de abilite et chane de Markov.
Simplication Quand on modelise un syst`eme avec une chane de Markov, on rencontre le
probl`eme de lexplosion combinatoire des etats puisque la chane a a priori 2
n
etats pour un
syst`eme de n elements `a 2 etats. Il est neanmoins possible de reduire la taille de la chane en
agglomerant des etats. Cela suppose que les composants soient identiques avec les memes taux
de defaillance et de reparation. Dans le cas dun syst`eme `a deux composants actifs, on peut
simplier les chanes vues ci-dessus de la sorte. Letat i correspond `a lensemble des etats o` u il
y a i pannes.
0 1 2
2

2
(2 reparateurs)
0 1 2
2

(1 reparateur)
Exercice 25 Donner la forme generale de la chane de Markov dun syst`eme de n composants
en redondance active avec k reparateurs.
38
4.2 Evaluation de la abilite, de la disponibilite et du MTTF
Pour calculer les attributs de s urete de fonctionnement sur un syst`eme modelise par une
chane de Markov, il faut calculer la probabilite detre dans un etat `a un instant t.
Equations detats du syst`eme La transition entre un etat i et j se fait avec un taux de
transition instantane
i,j
(viennent des comportements physiques). P
i
est la probabilite detre
dans letat i. Lequation detat dun graphe de Markov :
P
i
(t +dt) = P( dans letat i `a t et durant [t, t +dt])+

j=i
P( dans letat j `a t dans letat i `a t +dt)
Comme
i,j
(t)dt est la probabilite de passer de i `a j entre t et t +dt, on a :
P
i
(t +dt) = P
i
(t)[1

j=i

i,j
(t)dt] +

j=i
P
j
(t)
j,i
(t)dt
On en deduit :
P
i
(t +dt) P
i
(t)
dt
= P
i
(t)

j=i

i,j
(t) +

j=i
P
j
(t)
j,i
(t)
On obtient un syst`eme dequations de Chapman-Kolmogorov du premier ordre :
dP(t)
dt
= M(t)P(t)
o` u M est la matrice des taux de transition M
ij
=
j,i
avec
i,i
=
j=1

i,j
.
On en deduit directement la disponibilite du syst`eme
A(t) =

ietats de fonctionnement
P
i
(t)
Exercice 26 Ecrire lequation detat de la chane de Markov dun syst`eme `a un composant, dont
les taux de defaillance et de reparation sont constants, et la resoudre. En deduire la disponibilite.
Resolution La resolution de lequation detat, lorsquon connat la distribution initiale P
i
(0),
peut etre eectuee par des methodes de resolution explicite `a laide de la transformee de Laplace,
de discretisation ou de calcul de valeurs propres de la matrice (en eet, si M est constante on
trouve P(t) = e
Mt
P(0)). La methode des valeurs propres posent des probl`emes pour les syst`emes
tr`es ables. En eet, la plus grande valeur propre
1
est beaucoup plus petite en valeur absolue
que les autres et la precision risque detre mauvaise lorsque le nombre detat est assez grand.
Ceci est dautant plus genant que cest cette valeur propre qui determine le comportement du
syst`eme quand t est grand. Du fait de ces limites, cette methode est peu utilisee en pratique.
La resolution dun syst`eme lineaire dequations dierentielles du premier ordre est classique en
analyse numerique et de nombreux programmes sont disponible.
Exemple 16 On illustre le calcul de la resolution du graphe detat pour un syst`eme en redon-
dance active `a un reparateur. La chane a dej`a ete decrite, il sagit de
0 1 2
2

39
Lequation detats associee est alors
_

_
dP
1
(t)
dt
= 2P
1
(t) + P
2
(t)
dP
2
(t)
dt
= 2P
1
(t) ( +)P
2
(t) + P
3
(t)
dP
3
(t)
dt
= P
2
(t) P
3
(t)
On suppose P
1
(0) = 1 et P
2
(0) = P
3
(0) = 0. Pour resoudre ce syst`eme, on utilise transformee
de Laplace. On note L(P
i
) = L
i
et on rappelle
L(P
i
)(s) =
_

0
e
st
P
i
(t)dt
L(
dP
i
(t)
dt
)(s) = sL
i
(s) P
i
(0)
On trouve alors
_
_
_
s.L
1
(s) 1 = 2L
1
(s) + L
2
(s)
s.L
2
(s) = 2L
1
(s) ( +)L
2
(s) + L
3
(s)
s.L
3
(s) = L
2
(s) L
3
(s)
do` u
_

_
L
1
(s) =
s
2
+(2+)s+
2
s.f(s)
s.L
2
(s) = 2
(s+)
s.f(s)
s.L
3
(s) = 2

2
s.f(s)
avec f(s) = s
2
+s(2 + 3) + (2
2
+ 2 +
2
) On calcule ensuite les transformees de Laplace
inverses en utilisant la formule L
1
(
1
s+
) = e
t
et on trouve
_

_
P
1
(t) =

2
2
_
s
1
+ + 2 +

2
s
1
_
e
s
1
t
+

2
2
_
s
2
+ + 2 +

2
s
2
_
e
s
2
t
+

2
2
P
2
(t) =

_
1 +

s
1
_
e
s
1
t
+

_
1 +

s
2
_
e
s
2
t
+

P
3
(t) =

s
1
e
s
1
t
+

s
2
e
s
2
t
+
Calcul de la abilite et du MTTF Pour calculer la abilite dun syst`eme represente sous
forme dune chane de Markov, il faut modier la chane de facon `a eliminer toutes les transitions
de reparation dun etat de panne vers un etat de fonctionnement. Les etats de panne deviennent
alors absorbants. Ainsi la nouvelle chane de Markov associee `a un syst`eme en redondance active
`a 2 composants devient
0 1 2
2

On trouve alors la nouvelle equation detat de cette chane


dP(t)
dt
= M

(t)P(t). Ce qui permet


ensuite de calculer la abilite du syst`eme :
R(t) =

ietats de fonctionnement
P
i
(t)
Comme seuls les etats de fonctionnement contribuent au calcul de la abilite et que les etats de
panne sont absorbants, il sut de resoudre le syst`eme dequation sur les etats de fonctionnement.
40
Exercice 27 On consid`ere les syst`emes `a deux composants non reparables serie ou redondance
active. Calculer la abilite et le MTFF des syst`emes. Retrouve-t-on les resultats de la partie 2.4.3
page 23 ?
Exercice 28 Calculer la abilite du syst`eme en redondance active `a 2 composants.
Maintenabilite On peut calculer limmaintenabilite

M(t) = 1M(t) directement `a partir de
la chane de Markov precedente. En eet, cest la probabilite que le syst`eme qui est initialement
en panne ne puisse pas etre repare. Il faut donc considerer la chane de Markov o` u on supprime
toutes les transitions des etats de marche vers les etats de panne.

M(t) =

ietats de panne
P
i
(t)
Exercice 29 Calculer la maintenabilite du syst`eme en redondance active `a 2 composants.
4.3 Reseaux de Petri stochastiques
Carl Adam Petri a propose dans ses travaux de th`ese (1962) un nouvel outil dedies `a la
modelisation des automates. Dans les annees 70, S. Natkin et G. Florin ont propose des reseaux
de Petri markoviens. Dans les annees 80, J.P. Signoret et A. Leroy ont utilise les reseaux de
Petri comme mod`eles comportementales pour realiser des simulations de Monte-Carlo (pour
les grands syst`emes). De nombreuses recherches sont en cours sur le sujet, notamment LAAS,
MOCA-RP, Marsan et al., Trivedi et al.(USA),
Les reseaux de Petri sont un bon outil pour modeliser le comportement dysfonctionnel dun
syst`eme. On apprehende plus aisement les dierentes pannes et limpact sur le syst`eme. Pour
rappel, un reseau de Petri est un graphe oriente avec deux types de nuds : les places (etats
ou conditions) representees par des cercles et les transitions (ou evenements ) symbolisees par
des barres. Ces nuds sont connectes entre eux par des arcs orientes `a des places aux tran-
sitions (arcs amont) et des transitions aux places (arcs aval) exclusivement. La circulation de
jetons (marqueurs indivisibles), symbolisant la presence `a un instant donne dune information
ou dune initialisation particuli`ere aux places o` u ils resident, permet la modelisation dynamique
du comportement syst`eme (aussi bien desire que redoute) au sein du reseau. Un reseau de Pe-
tri stochastique (ou dans notre cas abiliste) est un reseau de Petri etendu tel quon associe
`a chaque transition une duree de franchissement aleatoire ou deterministe (nulle ou non). Si
la duree deterministe est 0, on parle de transitions immediates. Une presentation compl`ete se
trouve dans le livre [3].
4.3.1 Modelisation des syst`emes avec des reseaux de Petri
reseaux de Petri sont un bon outil pour modeliser les comportements dysfonctionnels.
Syst`eme avec un composant unique Supposons que le composant `a un taux de defaillance
constant et un taux de reparation constant . En plus des deux etats standard (ok et
reparation), on peut egalement decrire le moment o` u le syst`eme tombe en panne et attend
detre repare. Le reseau de Petri est montre gure 18, partie gauche. Sur ce premier mod`ele,
lattente et le reparateur sont representes par un delai constant. Dans le mod`ele de droite, on
represente le reparateur par un jeton dans une place. Si le reparateur est disponible, il intervient
de suite pour reparer le syst`eme.
41
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie
est strictement interdite. Editions T.I. SE 4 072 9
____________________________________________________________________ ANALYSE DES RISQUES DES SYSTMES DYNAMIQUES : RSEAUX DE PETRI
un dlai stochastique correspond un vnement qui se pro-
duit aprs un dlai alatoire rgi par la fonction de rpartition
F

() attache lvnement en question.


Contrairement lapproche markovienne, la simulation de
Monte-Carlo permet donc de mler directement phnomnes dte-
rministes et stochastiques sans avoir se poser de question ni
tordre la ralit.
Nous avons vu au paragraphe 4.3 comment simuler les dlais sto-
chastiques partir de leur fonction de rpartition et comment la distri-
bution de Dirac couvrait le cas des dlais constants. Donc, et bien que
certains ouvrages traitent sparment ces deux types de dlais, il ny
a pas de relles raisons pratiques le faire. Pour notre part, nous pr-
frons unifier la dmarche en les traitant de manire identique.
Nous verrons cependant plus loin quil convient de se mfier un
peu des dlais constants surtout ceux dlais nuls qui peuvent
engendrer des problmes particuliers.
Cela tant, ds lors que des dlais alatoires sont introduits, les
rseaux de Petri prennent du galon et deviennent stochastiques
(RdPS).
5.2.5 Exemples simples
5.2.5.1 Composant unique rparable
Pour illustrer lutilisation des RdPS, on utilise traditionnellement
depuis plus de 20 ans un exemple trs simple qui permet de bien
fixer les ides sur la dmarche de modlisation. Il sagit dun com-
posant simple rparable ayant les proprits suivantes :
taux de dfaillance et taux de rparation ;
non prioritaire pour les rparations.
En plus des deux tats classiques (marche et rparation), un tel
systme possde donc un troisime tat o il est en panne et o il
attend son tour pour tre rpar. Cela se reprsente trs facile-
ment avec un rseau de Petri, comme le montre la figure 10.
Le fonctionnement des rseaux de Petri sinscrit dans la ligne
de lusage millnaire des abaques jetons o le dplacement de
petits cailloux ou calculi permettait nos anctres de raliser leurs
calculs. Renouant avec cette tradition, le lecteur a tout intrt se
munir ds maintenant de quelques calculi (petite monnaie, len-
tilles, cailloux, ...) pour saider comprendre les mcanismes de
cration/ destruction des jetons.
Sur la figure 10, le jeton dans la place Marche indique que le
composant est, au dpart, en bon tat de fonctionnement. partir
de cet tat, un seul vnement peut se produire car une seule tran-
sition est valide : Dfaillance. Celle-ci surviendra aprs un dlai
exponentiel de paramtre tir au hasard selon la formule donne
au paragraphe 4.3.3.1.
Le tir de la transition Dfaillance retire le jeton de la place Marche
et en met un dans la place Attente. La transition Dbut rparation
devient alors valide. Elle se produit ds quune quipe de rparateurs
est disponible, par exemple au bout dun dlai moyen modlis pro-
visoirement par une loi de Dirac. Le jeton est alors enlev de la place
Attente et un jeton est mis dans la place Rparation. Aprs un dlai
exponentiel de paramtre , la rparation est termine, la transition
Fin rparation est tire, le jeton est enlev de la place Rparation, un
jeton cr dans la place Marche et on est revenu ltat initial.
Cette simulation, o tout se passe comme si le jeton se dplaait
dune place lautre, doit tre poursuivie pour la dure prvue
pour le calcul, par exemple 1 an : on obtient ainsi une histoire. Il
suffit alors de recommencer le processus, avec les mmes condi-
tions initiales, un nombre suffisant de fois pour rcolter des chan-
tillons statistiques et valuer les paramtres dintrt :
nombre de dfaillances (frquence de tir de la transition
Dfaillance) ;
temps cumul de bon fonctionnement (temps pass avec
1 jeton dans la place Marche) ;
disponibilit (marquage moyen de la place Marche) ;
temps cumul dattente avant rparation (temps pass avec
1 jeton dans la place Attente) ;
charge de maintenance (marquage moyen de la place Rparation) ;
etc.
Sur la figure 10, lattente des rparateurs est modlise par un
rudimentaire dlai constant mais il est trs facile damliorer ce
modle en introduisant explicitement lquipe de rparateurs. Cela
est ralis trs simplement sur la figure 11 laide de la place
auxiliaire Rparateurs qui vient sinsrer trs naturellement sans
perturber le modle prcdent. Cette place contient un jeton qui
reprsente une quipe de rparateurs unique. Lorsque le jeton est
prsent, lquipe est disponible, si le jeton est absent, cest quelle
est dj occupe par ailleurs.
Figure 8 Effet du tir de la transition
Figure 9 Loi du dlai de tir dune transition
Tir 1 Tir 2 a b
F

()
Figure 10 Composant rparable
Figure 11 quipe de rparateurs

Marche
Attente Rparation
Fin
rparation
Dbut
rparation
Dfaillance

=0

Marche
Attente Rparation
Rparateurs
Fin
rparation
Dbut
rparation
Dfaillance
C
e

d
o
c
u
m
e
n
t

a

l
i
v
r


p
o
u
r

l
e

c
o
m
p
t
e

d
e

7
2
0
0
0
4
5
0
6
2

-

u
n
i
v
e
r
s
i
t
e

d
e

t
o
u
l
o
u
s
e

b
u

s
c
i
e
n
c
e
s

/
/

1
4
7
.
1
2
7
.
8
1
.
4
5
Ce document a t dlivr pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45
Ce document a t dlivr pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45 tiwekacontentpdf_se4072
Toute reproduction sans autorisation du Centre franais dexploitation du droit de copie
est strictement interdite. Editions T.I. SE 4 072 9
____________________________________________________________________ ANALYSE DES RISQUES DES SYSTMES DYNAMIQUES : RSEAUX DE PETRI
un dlai stochastique correspond un vnement qui se pro-
duit aprs un dlai alatoire rgi par la fonction de rpartition
F

() attache lvnement en question.


Contrairement lapproche markovienne, la simulation de
Monte-Carlo permet donc de mler directement phnomnes dte-
rministes et stochastiques sans avoir se poser de question ni
tordre la ralit.
Nous avons vu au paragraphe 4.3 comment simuler les dlais sto-
chastiques partir de leur fonction de rpartition et comment la distri-
bution de Dirac couvrait le cas des dlais constants. Donc, et bien que
certains ouvrages traitent sparment ces deux types de dlais, il ny
a pas de relles raisons pratiques le faire. Pour notre part, nous pr-
frons unifier la dmarche en les traitant de manire identique.
Nous verrons cependant plus loin quil convient de se mfier un
peu des dlais constants surtout ceux dlais nuls qui peuvent
engendrer des problmes particuliers.
Cela tant, ds lors que des dlais alatoires sont introduits, les
rseaux de Petri prennent du galon et deviennent stochastiques
(RdPS).
5.2.5 Exemples simples
5.2.5.1 Composant unique rparable
Pour illustrer lutilisation des RdPS, on utilise traditionnellement
depuis plus de 20 ans un exemple trs simple qui permet de bien
fixer les ides sur la dmarche de modlisation. Il sagit dun com-
posant simple rparable ayant les proprits suivantes :
taux de dfaillance et taux de rparation ;
non prioritaire pour les rparations.
En plus des deux tats classiques (marche et rparation), un tel
systme possde donc un troisime tat o il est en panne et o il
attend son tour pour tre rpar. Cela se reprsente trs facile-
ment avec un rseau de Petri, comme le montre la figure 10.
Le fonctionnement des rseaux de Petri sinscrit dans la ligne
de lusage millnaire des abaques jetons o le dplacement de
petits cailloux ou calculi permettait nos anctres de raliser leurs
calculs. Renouant avec cette tradition, le lecteur a tout intrt se
munir ds maintenant de quelques calculi (petite monnaie, len-
tilles, cailloux, ...) pour saider comprendre les mcanismes de
cration/ destruction des jetons.
Sur la figure 10, le jeton dans la place Marche indique que le
composant est, au dpart, en bon tat de fonctionnement. partir
de cet tat, un seul vnement peut se produire car une seule tran-
sition est valide : Dfaillance. Celle-ci surviendra aprs un dlai
exponentiel de paramtre tir au hasard selon la formule donne
au paragraphe 4.3.3.1.
Le tir de la transition Dfaillance retire le jeton de la place Marche
et en met un dans la place Attente. La transition Dbut rparation
devient alors valide. Elle se produit ds quune quipe de rparateurs
est disponible, par exemple au bout dun dlai moyen modlis pro-
visoirement par une loi de Dirac. Le jeton est alors enlev de la place
Attente et un jeton est mis dans la place Rparation. Aprs un dlai
exponentiel de paramtre , la rparation est termine, la transition
Fin rparation est tire, le jeton est enlev de la place Rparation, un
jeton cr dans la place Marche et on est revenu ltat initial.
Cette simulation, o tout se passe comme si le jeton se dplaait
dune place lautre, doit tre poursuivie pour la dure prvue
pour le calcul, par exemple 1 an : on obtient ainsi une histoire. Il
suffit alors de recommencer le processus, avec les mmes condi-
tions initiales, un nombre suffisant de fois pour rcolter des chan-
tillons statistiques et valuer les paramtres dintrt :
nombre de dfaillances (frquence de tir de la transition
Dfaillance) ;
temps cumul de bon fonctionnement (temps pass avec
1 jeton dans la place Marche) ;
disponibilit (marquage moyen de la place Marche) ;
temps cumul dattente avant rparation (temps pass avec
1 jeton dans la place Attente) ;
charge de maintenance (marquage moyen de la place Rparation) ;
etc.
Sur la figure 10, lattente des rparateurs est modlise par un
rudimentaire dlai constant mais il est trs facile damliorer ce
modle en introduisant explicitement lquipe de rparateurs. Cela
est ralis trs simplement sur la figure 11 laide de la place
auxiliaire Rparateurs qui vient sinsrer trs naturellement sans
perturber le modle prcdent. Cette place contient un jeton qui
reprsente une quipe de rparateurs unique. Lorsque le jeton est
prsent, lquipe est disponible, si le jeton est absent, cest quelle
est dj occupe par ailleurs.
Figure 8 Effet du tir de la transition
Figure 9 Loi du dlai de tir dune transition
Tir 1 Tir 2 a b
F

()
Figure 10 Composant rparable
Figure 11 quipe de rparateurs

Marche
Attente Rparation
Fin
rparation
Dbut
rparation
Dfaillance

=0

Marche
Attente Rparation
Rparateurs
Fin
rparation
Dbut
rparation
Dfaillance
C
e

d
o
c
u
m
e
n
t

a

l
i
v
r


p
o
u
r

l
e

c
o
m
p
t
e

d
e

7
2
0
0
0
4
5
0
6
2

-

u
n
i
v
e
r
s
i
t
e

d
e

t
o
u
l
o
u
s
e

b
u

s
c
i
e
n
c
e
s

/
/

1
4
7
.
1
2
7
.
8
1
.
4
5
Ce document a t dlivr pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45
Ce document a t dlivr pour le compte de 7200045062 - universite de toulouse bu sciences // 147.127.81.45 tiwekacontentpdf_se4072
Figure 18 Mod`ele pour un composant unique reparable
Exercice 30 Donner les reseaux de Petri associes `a
1. un syst`eme `a deux composants reparables et deux reparateurs ;
2. un syst`eme `a deux composants non reparables.
Les etats de fonctionnement et de pannes sont alors des ensembles de marquages du reseau
de Petri. Dans le cas de la gure 18 partie droite, si le syst`eme contient les deux composants
en serie, un seul marquage represente les etats de fonctionnement, sil sagit dune redondance
active 5 marquages constituent la fonctionnement.
serie redondance
Marche
1
1 1 0 0 1 1
Attente
1
0 0 1 0 0 0
Reparation
1
0 0 0 1 0 0
Reparateurs 1 1 0 0 0 0
Marche
2
1 1 1 1 0 0
Attente
2
0 0 0 0 1 0
Reparation
2
0 0 0 0 0 1
Generation de chanes de Markov Si on represente le graphe des etats associes, syst`eme
de transition entre marquage on retombe sur la chane de Markov representant le syst`eme.
Exercice 31 Donner les chanes de Markov obtenues `a partir des reseaux de Petri associes `a
1. un syst`eme `a deux composants reparables et deux reparateurs ;
2. un syst`eme `a deux composants non reparables.
Exemple 17 On donne un exemple complet dun syst`eme mecatronique etudie dans [10]. Le
syst`eme etudie est louverture automatique dune porti`ere : le conducteur du vehicule en posses-
sion de la cle est detecte par le capteur du syst`eme ce qui declenche lactivation dun convertisseur
qui alimente le reste du syst`eme. Linformation est recue puis traitee par un processeur muni
dun RAM qui declenche un moteur qui ouvrira la porti`ere.
capteur
Processeur RAM
Convertisseur
Moteur
42
Les auteurs ont modelise le syst`eme en un reseau de Petri : chaque composant a deux etats
correct ou defaillance, tout equipement arrete ne peut tomber en panne. Le syst`eme sous forme
de reseau de Petri est modelise dans la gure 19. 12 marquages sont accessibles et le graphe de
marquage du reseau de Petri est donne dans la gure 20.
mu
capteur
capteur_def
lambda
mu
mu
processeur
processeur_def
T1 T6 T5 T2
mu
RAM
RAM_def
mu
moteur
moteur_def
T1 T6 T5 T2
T11 T12 T13
T14
mu
convertisseur
capteur_def
T3 T4
Figure 19 Reseau de Petri du syst`eme
Simulation de Monte-Carlo Lexploitation quantitative dun reseau de Petri se fait generalement,
soit en traitant le mod`ele markovien issu du graphe des marquages accessibles du reseau de Pe-
tri, chaque marquage non evanescent correspondant `a un etat de la chane de Markov, soit en
animant par simulation de Monte-Carlo directement le mod`ele reseau de Petri et non son graphe
daccessibilite.
La simulation se montre relativement insensible `a la taille du mod`ele `a animer, elle est donc
utilisee pour traiter des syst`emes de grandes tailles. Lidee est de realiser une marche aleatoire `a
travers lespace detats du syst`eme modelise. Le principe des simulations de Monte-Carlo est de
jouer un certain nombre de scenarii devolution du reseau de Petri en tirant pseudo-aleatoirement
les delais associes aux transitions et en faisant des statistiques sur des valeurs ayant un interet
telles que le nombre de tirs dune transition, le temps moyen de sejour dans une place . . . Un
scenario redoute est une liste devenements qui conduisent dun etat de fonctionnement normal
`a un etat redoute avec une relation dordre partiel entre ces evenements. Si f(t) est la loi de
probabilite associee `a une transition, pour obtenir un delai pseudo-aleatoire on choisit un
nombre z entre 0 et 1 (suivant une loi uniforme) et on prend = f
1
(z). Lorsque f nest pas
43
M
0
M
1
M
3
M
4
M
2
M
6
M
5
M
7
M
8
M
10
M
9
M
11
T
2
T
1
T
2
T
1
T
11
T
12
T
13
T
2
T
1
T
2
T
1
T
3
T
4
T
3
T
4
T
5
T
6
T
7
T
8
T
9
T
10
T
9
T
10
T
14
T
14
Figure 20 Graphe de marquage du syst`eme
inversible, on calcule la valeur numeriquement.
Les inconvenients de cette approche sont la precision variable qui depend du nombre de
simulations eectuees et le temps de traitement qui est potentiellement long et peut dicilement
sappliquer aux ev`enements rares.
Les deux structures principales sont :
Horloge de simulation : elle enregistre le temps de mission dune simulation.
Liste devenements : les evenements sont maintenus dans un ordre chronologique. Leurs dates
doccurrence sont generees aleatoirement en fonction de leurs distributions probabilistes.
La simulation se deroule alors de la mani`ere suivante :
Choisir levenement le plus recent pour lexecution.
Executer levenement et avancer lhorloge.
Mettre `a jour les donnees (liste devenements, variables dobservation,. . . )
Arreter si une des deux conditions suivantes se verient :
le temps de mission est depasse
ou il ny a plus devenement `a executer.
4.4 AltaRica
Le langage Altarica a ete concu pour specier formellement le comportement de syst`emes en
presence de fautes et exploiter ces specications `a laide doutils complementaires : simulateur
symbolique, model-checker ou generateur darbre de defaillances. AltaRica est un langage de
description de syst`eme base sur des automates `a contraintes. La premi`ere denition du langage
est apparue en 1996 au Labri `a Bordeaux conjointement avec des industriels (comme Dassault)
et le premier atelier a ete mis en place en 2001.
4.4.1 Modelisation des syst`eme avec AltaRica
Le langage Altarica a ete con cu au LaBri pour specier formellement le comportement de
syst`emes en presence de fautes et exploiter une unique specication `a laide doutils complementaires :
44
simulateur symbolique, model- checker, generateur darbre de defaillance, simulation stochas-
tique. Le simulateur permet danimer des specications comportementales non deterministes.
Apr`es avoir bri`evement presente le langage AltaRica, nous donnons une methodologie pour
modeliser des syst`emes dun point de vue s urete de fonctionnement.
Node block
ow I,A,R : bool : in ;
O : bool : out ;
state S : bool ;
event fail ;
trans S=true [- fail -> S := false ;
assert O = I and S and R and A;
init S := true ;
law extern <event fail>=constant 1e-4
edon
Figure 21 Structure dun nud AltaRica
La gure 4.4.1 decrit la modelisation dun composant en AltaRica. Un nud est deni par
son nom (ici block), des variables internes seulement visibles dans ce nud introduits par la
clause state (dans lexemple il ny a quune variable s), des variables externes appelees ow
visibles par dautres nuds (dans lexemple il y a O qui est emise et I, A, R qui sont lue par
le nud), des transitions (gardes, evenements, aectations) decrivant apr`es le mot cle trans
les dierents comportements du composant (dans lexemple, une seule transition est decrite
speciant que si s a pour valeur true et que levenement fail survient, alors s prend pour valeur
ase), des contraintes denissant les congurations autorisees entre les variables. Ces assertions
mettent principalement en relation les variables de ux avec les variables detat. Dans lexemple,
la variable de ux O prend pour valeur correct si s et I sont corrects et lost sinon, ce qui traduit
bien la notion derreur. Enn, une valeur dinitialisation peut etre declaree. On suppose dans
lexemple que le fonctionnement est correct initialement. La semantique dun nud AltaRica
est donnee par un syst`eme de transition interface qui est un syst`eme de transition etendu avec
des variables externes. La semantique du nud fonction est representee dans la partie droite de
la gure 4.4.1.
Formellement un nud AltaRica, sans hierarchie, est deni par un automate de mode /
= D, S, F
in
, F
out
, dom, , , , I avec :
D est un domaine ni de valeurs des variables,
S, F
in
et F
out
sont des ensembles nis de variables appelees respectivement variable detat,
variable de ux dentree et de sortie. Ces ensembles sont tous 2 `a 2 disjoints. Dans la suite,
on note V = S F
in
F
out
,
dom : V 2
D
est une fonction qui associe `a une variable son domaine telle que v V,
dom(v) ,= ,
est un ensemble ni devenements,
est une fonction partielle appelee transition : dom(S) dom(F
in
) dom(S). On
appelle dom(S) dom(F
in
) la garde de la transition,
est une fonction totale appelee assertion : dom(S) dom(F
in
) dom(F
out
),
I dom(S) decrit les conditions initiales.
Pour denir des modes de defaillance plus complexes que simplement la perte, on peut utiliser
des domaines abstraits en AltaRica. Par exemple, une valeur calculee par un calculateur peut
45
etre correct, erroneous si elle est calculee mais le resultat est faux (par exemple si les entrees
sont fausses ou si le logiciel a un bug) ou lost lorsquaucune sortie nest emise (si le calculateur
est deconnecte par exemple). On note alors domain data = {correct, lost, erroneous}.
Un syst`eme est la combinaison de composants et de sous-syst`emes. On peut alors denir un
nud AltaRica hierarchique faisant appel `a un ensemble de composants et/ou syst`eme. Si on
souhaite modeliser le syst`eme de deux composants en serie :
node serie
state s:bool;
sub C1 , C2: block
assert C1.out = C2.in;
s = C2.out;
4.4.2 Codage avec loutil OCAS
Pour lancer loutil, aller dans le menuN7 et lancer Cecilia.bat, choisir OCAS, mettre le login :
admin et mot de passe : admin.
Denition des composants Lidee est de denir une librairie de composants puis de specier
des syst`emes complets utilisant les elements de la librairie. Telechargez sur lurl http://www.cert.fr/anglais/deri/pagetti/enseignement/SDF/lecture.html
le chier icones.zip. Nous allons dans une premier denir un composant. Allez dans longlet
Composant et creez une nouvelle famille TP N7. Creez ensuite un nouveau mod`ele dans cette
famille composant elementaire. Une fenetre souvre alors comme illustre ci-dessous. Dans longlet
general, mettez le nom du composant composant elementaire. Ouvrez le chier icone et importer
les gures en gif contenus dans larchive icones.zip. Choisissez alors block_ok.gif.
Dans longlet E/S, mettez une entree I et une sortie O de type enum ok, lost. Positionner
sur le schema les entrees/sorties. Dans longlet event, mettez un evenement fail. Dans longlet
state mettez un etat S de type enum ok, lost, dont la valeur initiale est ok. Dans longlet
ic^ones, ajoutez les deux icones block_ok.gif et block_nok.gif. Dans longlet Altarica Code
mettez
46
trans
S=ok |- fail -> S:=lost;
assert
O=case {S=ok : I,
else lost};
icone = case {S=ok : 1,
else 2};;
Tous les onglets de lediteur de mod`ele contiennent quatre boutons communs :
Sauver : permet de sauvegarder les informations saisies,
Syntaxe : permet deectuer un controle de syntaxe sur le code AltaRica
Coherence : permet deectuer un controle de coherence sur le code AltaRica,
Fermer : permet de fermer lediteur de mod`ele.
Cliquez sur syntaxe pour verier la syntaxe et sur coherence pour verier la coherence.
Creez ensuite un composant source avec une sortie qui est toujours ok. Choisissez licone
source.gif. Creez un composant sortie avec une entree et une sortie tels que sortie=entree.
Choisissez les icones sortie_ok.gif et sortie_nok.gif.
Denition dun syst`eme serie A partir de cette premi`ere librairie, nous pouvons concevoir
des syst`emes series et parall`eles. Dans longlet syst`eme, creez un projet modeles AR puis un
syst`eme modele serie. Une fenetre souvre alors. Retourner dans longlet composant drog and
dropper 2 composants elementaires, une source et une sortie. Tracer les liens de sorte `a obtenir
un syst`eme en serie comme dans la gure.
Pour lancer la simulation cliquez sur le feu vert et utilisez linsecte pour tirer les evenements
de panne. Generez ensuite les coupes avec les sequenceurs et jouez-les ensuite. Nous devons
retrouver les memes coupes minimales quavec les arbres de defaillance.
Exercice 32 Ecrivez un syst`eme en redondance active non reparable et reparable. Noubliez pas
detendre la librairie si besoin.
4.4.3 TP dAltaRica
Exercice 33 Ecrire le syst`eme de la vanne hydraulique et calculer les coupes minimales. Generez
larbre de defaillance, dans Syst`emes, Generation darbre (Executable inference). Ouvrez le -
chier .dag genere et comparez-le avec larbre que vous avez ecrit `a la deuxi`eme seance.
Exercice 34 Ecrire le syst`eme de la vanne hydraulique et calculer les coupes minimales. Generez
larbre de defaillance, dans Syst`emes, Generation darbre (Executable inference). Ouvrez le -
chier .dag genere et comparez-le avec larbre que vous avez ecrit `a la deuxi`eme seance.
47
Exercice 35 Modelisez le syst`eme deni dans lexercice 20 p.31. Calculez les coupes minimales
et larbre de defaillance.
Exercice 36 On veut modeliser un calculateur tolerant aux pannes appeles COM-MON. Ce
syst`eme est compose de deux cartes : dans chaque carte se trouvent un calculateur et un compa-
rateur. Les calculateurs sont identiques et font les memes calculs `a partir dune entree commune.
Les comparateurs comparent les valeurs de sortie des deux calculateurs : si ces valeurs sont iden-
tiques, le comparateur envoie vrai sinon faux. A la sortie des deux cartes, un interrupteur laisse
passer la valeur calculee par la premi`ere carte sil recoit deux discrets `a vrai.
1. Donner les modes de defaillance des composants : calculateur et comparateur,
2. Realisez un premier mod`ele avec un unique mode de defaillance lost. Calculez les coupes
minimales,
3. Realisez un deuxi`eme mod`ele avec deux modes de defaillance lost et erroneous. Calculez
les coupes minimales pour chaque mode.
On rajoute ensuite lalimentation electrique du syst`eme COM-MON. D`es que linterrupteur
se deconnecte, il coupe denitivement lalimentation electrique. Pour cela, on ajoute une loi
dirac(0) sur levenement stop de lalimentation electrique. Calculez les nouvelles coupes mini-
males. Quelles conclusions en tirez-vous ?
48
References
Livres Plusieurs livres sont disponibles.
[1] J.C. Laprie et al., Guide de la s urete de fonctionnement, Cepadu`es, 1996, 380 p.
[2] A. Villemeur, S urete de fonctionnement des syst`emes industriels, Eyrolles, Direction des
etudes et recherches dElectricite de France (EDF), 1997, 822 p.
[3] M. Ajmone Marsan, G. Balbo, G. Conte, S. Donatelli, G. Franceschinis, Modelling with
Generalized Stochastic Petri Nets . Wiley Series in Parallel Computing, John Wiley and Sons,
1994, ISBN : 0-471-93059-8.
Cours Plusieurs cours sont disponibles sur Internet.
[4] Cours dAndreas Polzer
http://www-i11.informatik.rwth-aachen.de/index.php?id=sre_ss06&L=0
[5] Cours de Philip Koopman
http://www.ece.cmu.edu/~ece849/
[6] Cours dEric Chatelet : Approche Markovienne en s urete de fonctionnement - UTT - 2000.
Th`eses - Articles Quelques articles disponibles sur Internet.
[7] Aymeric Vincent, Conception et realisation dun vericateur de mod`eles AltaRica. PhD thesis,
LaBRI, University of Bordeaux 1, December 2003
http://www.labri.fr/perso/vincent/Research/V-CRVMAR-2003.pdf
[8] O. Coudert and J.C. Madre, Implicit and incremental computation of primes and essential
primes of Boolean functions. Proceedings of the 29th ACM/IEEE Design Automation Confe-
rence, DAC92, June (1992). http://citeseer.ist.psu.edu/4897.html
[9] A. Rauzy, New algorithms for fault trees analysis. Reliab Engng Syst Saf 40 (1993), pp. 203
211 http://iml.univ-mrs.fr/~arauzy/publis/Rau93a.pdf.zip
[10] Amel Demri, Abdera Charki, Fabrice Guerin, Patrice Kahn et Herve Christofol, Analyse
Qualitative et Quantitative dun Sys-t`eme Mecatronique. CPI 2007.
http://www.supmeca.fr/cpi2007/articles2007/CPI2007-048-Demri.pdf
[11] F. Innal et Y. Dutuit, Evaluation de la performance dun syst`eme de production et des contri-
butions individuelles de ses unites constitutives, 6e Conference Francophone de MOdelisation et
SIMulation - MOSIM06 - du 3 au 5 avril 2006 Rabat Maroc
http://www.isima.fr/mosim06/actes/articles/4-AMOEP/25.pdf
[12] Charles Castel et Christel Seguin, Mod`eles formels pour levaluation de la s urete de fonc-
tionnement des architectures logicielles davionique modulaire integree. In AFADL : Approches
Formelles dans lAssistance au Developpement de Logiciels, 2002.
ftp://altarica.labri.fr/pub/publications/afadl2001.pdf
Manuels dutilisation Les manuels dutilisation dArbor et OCAS se trouvent sur les ma-
chines.
[13] Module Arbor.
[14] Module Ocas : Analyse syst`eme par arbre de defaillance. Manuel Utilisateur OcasV4.3 (Sep-
tembre2007)
49