Vous êtes sur la page 1sur 29

Introduction la

sret de fonctionnement
(SdF)

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

1/29

La notion de service
Les systmes sont conus pour fournir leurs
utilisateurs un service selon des spcifications.
La sret de fonctionnement (SdF) concerne la relation
entre service spcifi et service effectivement observ.
Le systme est dfaillant linstant t si le service
rendu ou observ cet instant nest pas tel que
spcifi.
On appelle dfaillance lvnement changement de
service faisant que dun systme en accord avec les
spcifications on passe un systme dfaillant.
G. Rubino, 2006 --- Introduction la
sret de fonctionnement

2/29

La trilogie faute/erreur/dfaillance
Une faute est la consquence dune dfaillance (en
gnral humaine) lors de la conception du systme.
Une erreur est un tat atteint par le systme qui
navait pas t spcifi, un tat que le systme ntait
pas suppos datteindre.
On a une erreur parce quil y a une faute (ou
plusieurs). On a une dfaillance parce quil y a une
erreur (ou plusieurs).
On a limplication (potentielle)
faute erreur dfaillance
G. Rubino, 2006 --- Introduction la
sret de fonctionnement

3/29

Exemple
Considrons le code suivant :
int a, b, x, y, k, ...
...
if (a == b) {
...
x = a - b;
}
if (k == 1) y /= x;

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

4/29

Supposons que linstruction `x = a - b;soit une


faute (il fallait crire, disons, `x = a + b;).
Si lors dune excution, a et b ne sont pas gaux
chaque fois que ce bloc est excut, il ny aura peuttre pas derreur (malgr la prsence de la faute).
Dans le cas contraire, si k ne prend pas la valeur 1
lors de cette excution, il ny aura pas de dfaillance
(malgr lerreur).
Dans le cas contraire, on divise par 0 et on a
effectivement une dfaillance.
G. Rubino, 2006 --- Introduction la
sret de fonctionnement

5/29

Second exemple
Systme : le code dans un nud (commutateur,
routeur, ) dun rseau de tlcommunications.
Dans ce code, le programmeur a crit `i = 0;au
lieu de `i = 1;, qui tait linstruction correcte.
Il y a donc une faute dans le systme.
A un moment particulier, lordinateur excute cette
instruction, et, suite un certain calcul, un tampon
est dimensionn 10 au lieu dtre dimensionn
100 ; on a donc une erreur.
G. Rubino, 2006 --- Introduction la
sret de fonctionnement

6/29

Les conditions dutilisation du rseau font


quexceptionnellement, ce jour-l, la charge est telle
que le tampon reoit un trafic trop important. Il y a
alors trop de pertes (plus que les niveaux maximaux
spcifis) : on a une dfaillance.
Noter la non implication certaine de lerreur aprs la
faute, ni de la dfaillance aprs lerreur.

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

7/29

Le caractre conventionnel
de la notion de dfaillance
La notion de dfaillance dpend des spcifications du
service, ce qui est essentiellement conventionnel.
Dans le cas prcdent, si lon dcide de tolrer plus
de pertes que dans la spcification originale, il peut
se produire que malgr la faute et lerreur, il ny ait
pas de dfaillance.

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

8/29

Un autre exemple :
les clients dun rseau deviennent plus exigeants,
et si hier ils supportaient un dlai moyen T, la
concurrence peut faire que le critre devienne :
dlai moyen T/4 ;
donc, sans que le systme ait chang, on peut se
retrouver face des dfaillances auparavant
inexistantes.

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

9/29

Sret de fonctionnement
La sret de fonctionnement (SdF) dun systme est la
proprit qui permet ses utilisateurs de placer une
confiance justifie dans le service quil leur dlivre.
Elle est perue travers diffrents attributs :

la fiabilit,
la disponibilit,
la maintenabilit,
la scurit-innocuit,
la confidentialit et lintgrit.

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

10/29

Attributs quantifiables
La fiabilit mesure la continuit du service (correct).
La disponibilit mesure le fait que le service (correct)
soit prt pour lutilisateur.
La maintenabilit mesure laptitude rparer (et
faire voluer) les systmes.
La scurit-innocuit mesure la non-occurrence de
consquences catastrophiques des dfaillances.
Lanalyse quantitative de ces attributs est
fondamentale pour la conception des systmes, pour
leur maintenance, leur volution, etc.
G. Rubino, 2006 --- Introduction la
sret de fonctionnement

11/29

Attributs difficilement
quantifiables
La scurit-confidentialit concerne la nonoccurrence de divulgations non autorises de
linformation.
La scurit-intgrit concerne la non-occurrence
daltrations de linformation.

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

12/29

Raffinements
Toutes ces notions ont de nombreux raffinements :
fautes physiques et fautes humaines
fautes humaines accidentelles et fautes humaines
intentionnelles
fautes transitoires (ou temporaires) et fautes
permanentes
erreurs latentes et erreurs dtectes
dfaillances totales et dfaillances partielles
...
G. Rubino, 2006 --- Introduction la
sret de fonctionnement

13/29

Exemples de dclinaisons
du concept de dfaillance
en aronautique civile

mineure
majeure
dangereuse
catastrophique

dans lautomobile

mineure
majeure
srieuse
fatale
G. Rubino, 2006 --- Introduction la
sret de fonctionnement

14/29

dans le nuclaire

significative
majeure
grave
catastrophique

dans lindustrie des lanceurs spatiaux


incident mineur
incident
incident grave

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

15/29

Sur le vocabulaire
On vite le mot panne dans le vocabulaire
technique, cause des ambiguts associes.
En anglais,
faute fault
erreur error
dfaillance failure

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

16/29

Les deux volets mthodologiques


de la SdF
Aprs les attributs de la SdF, nous avons
les mthodes de la SdF, qui permettent dobtenir des
systmes srs de fonctionnement
les techniques danalyse, qui permettent de

valider la SdF dun systme,


dimensionner,
comparer,
optimiser,

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

17/29

Sur les mthodes de la SdF


Il sagit de
la prvention de fautes, cest--dire, dempcher
loccurrence de fautes, de diminuer la probabilit de
leur apparition ;
la tolrance aux fautes, cest--dire, de diminuer la
probabilit de dfaillance malgr la prsence
ventuelle de fautes ;
llimination des fautes, cest--dire, de dtecter,
identifier et enlever les fautes du systme.
G. Rubino, 2006 --- Introduction la
sret de fonctionnement

18/29

Ceci appartient au monde de lingnierie.


Les diffrentes mthodes de la SdF dpendent
fortement du domaine :
informatique, tlcommunications, mcanique, arospatial,
automobile, aronautique, nuclaire, transports terrestres, ...

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

19/29

Les problmes de cot


Par exemple, en informatique :
le cot induit en France par les dfaillances est suprieur aux
bnfices de lindustrie informatique ;
ce cot est en croissance.

En tlcommunications,
le cot annuel d aux dfaillances dun dispositif est estim
20% de son cot de production.

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

20/29

Quelques exemples remarquables


de dfaillances
indisponibilit du rseau tlphonique interurbain
aux US, le 20/1/1990
blocage des oprations par carte bancaire en France,
26-27/1/1993
chec du premier vol dAriane 5, le 4/6/1996
catastrophe du Concorde, le 25/7/2000

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

21/29

Lanalyse de la SdF
cest un composant fondamental de la conception de
systmes srs de fonctionnement ;
les techniques danalyse sont indpendantes du
domaine, donc gnrales ;
lobjectif est la quantification de la SdF des systmes ;
en gnral, cela se passe dans un contexte
probabiliste.

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

22/29

Les techniques danalyse de la SdF


On peut essayer de mesurer les attributs qui nous
intressent sur le systme (qui doit tre dj construit
et en opration).
On peut valuer ces attributs partir dun modle, et
en utilisant

la simulation,
les techniques numriques,
les techniques analytiques,
des combinaisons de ce qui prcde.

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

23/29

Un cas particulier important :


les systmes critiques
systmes critiques : systmes o les dfaillances
peuvent entraner des pertes en vies humaines
ils ont de trs hautes exigences en SdF do
difficults pour leur mise en uvre
difficults supplmentaires pour leur analyse ou leur
validation

par extension, sont dits critiques les systmes ayant


des exigences de SdF similaires (par exemple, les
systmes assurant les transactions bancaires)
G. Rubino, 2006 --- Introduction la
sret de fonctionnement

24/29

Dans ce cours : analyse de


mtriques de SdF
analyse de la SdF des systmes partir de modles
considration de techniques danalyse varies, avec
accent sur les techniques analytiques (car elles
apportent des informations structurelles en plus de
lvaluation numrique cherche).
Mots-cls :
probabilits et statistiques,
graphes, mthodes boolennes,
processus stochastiques, Markoviens, de renouvellement.
G. Rubino, 2006 --- Introduction la
sret de fonctionnement

25/29

Trois types de modles


statiques
graphes probabilistes, arbres de dfaillance
on calcule essentiellement la fiabilit du systme (une proba.)

dynamiques, systmes non rparables


chanes de Markov absorbantes, et extensions
on calcule la fiabilit linstant t,
la MTTF,
etc.

dynamiques, systmes rparables


chanes de Markov quelconques, et extensions
on calcule la fiabilit linstant t,
la disponibilit linstant t,
etc.
G. Rubino, 2006 --- Introduction la
sret de fonctionnement

26/29

Quelques mtriques de base


Dans tous les cas, le systme a deux tats possibles : oprationnel
ou ok, et non oprationnel ou dfaillant.
modles statiques
le temps ne joue pas de rle explicite
on calcule R = Pr(systme ok)

modles dynamiques, systmes non rparables


ok

dfaillant

T, dure de vie

temps

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

27/29

MTTF = E(T)
fiabilit t = R(t) = Pr(systme ok de 0 t) = Pr(T > t)

modles dynamiques, systmes rparables


ok
temps

dfaillant

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

28/29

beaucoup de variabilit dans les mtriques dans ce cas


mtrique importante :
disponibilit ponctuelle t = DP(t) = Pr(systme ok t)
on peut diffrentier deux situations ici :
le systme volue toujours entre les tats ok et dfaillant,
tt ou tard une dfaillance impossible rparer se produit, et alors le
systme reste pour toujours dfaillant

cas particulier important : les priodes pendant lesquelles le


systme est ok sont iid, ainsi que celles o le systme est dfaillant

G. Rubino, 2006 --- Introduction la


sret de fonctionnement

29/29