Vous êtes sur la page 1sur 9

50

Chapitre 5 - Fiabilite dun logiciel non corrige : le processus de Poisson


homog`ene
-
6
T
0
T
1
T
2
T
3
T
4
T
5
t
N
t
1
2
3
4
5

- - - - -
X
1
X
2
X
3
X
4
X
5
Figure 5.1 Trajectoire du processus des defaillances
par son intensite de defaillance :

t
(n; t
1
, . . . , t
n
) = h
X
n+1
|T
1
=t
1
,...,T
n
=t
n
(t t
n
)
La fonction moyenne du processus est m(t) = E[N
t
].
Nous avons vu dans le chapitre 2 les liens entre R
t
et
t
, ainsi que des expressions
generales pour le MTTF et les lois de probabilite de T
n+1
et N
t
. Dans la suite du cours,
nous allons reutiliser ces resultats dans des cas particuliers de mod`eles construits ` a partir
de formes particuli`eres de lintensite
t
.
Par ailleurs, nous avons vu que la loi exponentielle poss`ede la propriete dabsence de
memoire, ce qui fait quon lutilise pour modeliser les durees de bon fonctionnement de
syst`emes non reparables qui ne susent pas et ne sameliorent pas. Or un logiciel poss`ede
naturellement la propriete dabsence dusure : tant quun logiciel nest pas modie, sa pro-
pension ` a subir une defaillance reste constante. Par consequent, entre deux corrections (ou
entre deux defaillances puisquinstants de corrections et de defaillances sont confondus),
lintensite de defaillance dun logiciel doit rester constante. Cela signie que les durees
entre defaillances X
i
doivent etre des variables aleatoires de loi exponentielle.
Nous allons nous placer dans ce chapitre dans le cas le plus simple, celui o` u le logiciel
nest jamais corrige et est relance en letat apr`es chaque defaillance. Cest le cas dun
logiciel en client`ele ou entre deux mises ` a jours, maintenances ou versions. On dit que lon
est en situation de abilite stabilisee.
Alors, apr`es chaque defaillance, on redemarre le syst`eme toujours dans la meme situa-
tion. Il est donc normal de considerer que les durees inter-defaillances seront independantes
et de meme loi. La conjonction de ces deux hypoth`eses fait que le mod`ele ` a utiliser est le
suivant :
Denition 15 Pour un logiciel non corrige, les durees inter-defaillances X
i
sont indepen-
dantes et de meme loi exponentielle exp(). On dit que le processus des defaillances est
un processus de Poisson homog`ene (HPP pour Homogeneous Poisson Process) de
param`etre .
5.2 Proprietes des processus de Poisson homog`enes 51
La signication du nom HPP apparatra ulterieurement.
Lindependance des durees inter-defaillances fait que la loi de X
n+1
sachant [T
1
=
t
1
, . . . , T
n
= t
n
] ne depend pas de t
1
, . . . , t
n
. Cest la loi de X
n+1
, donc la loi exp(), dont
le taux de defaillance est constant et vaut . Par consequent, on a :

t
(n; t
1
, . . . , t
n
) = h
X
n+1
|T
1
=t
1
,...,T
n
=t
n
(t t
n
) = h
X
n+1
(t t
n
) =
Par consequent, lintensite de defaillance du syst`eme est constante, ce qui exprime que
la propension du syst`eme `a tomber en panne est toujours la meme au cours du temps.
Cest logique compte-tenu des hypoth`eses eectuees.
Nous allons etudier en detail ce cas particulier pour illustrer la demarche devaluation
de abilite, depuis la construction du mod`ele jusquau calcul operationnel des previsions
de abilite ` a partir des donnees.
5.2 Proprietes des processus de Poisson homog`enes
5.2.1 Lois des durees inter-defaillances
Par denition du mod`ele, les durees inter-defaillances X
i
sont independantes et de
meme loi exponentielle exp(). On a donc i 1, x R
+
:
densite : f
X
i
(x) = exp(x),
fonction de repartition : F
X
i
(x) = 1 exp(x),
esperance : E[X
i
] =
1

. Le param`etre sinterpr`ete donc comme linverse de la duree


moyenne entre deux defaillances.
5.2.2 Lois des instants de defaillances
Dapr`es la proposition 2 du chapitre 3, si X
1
, . . . , X
n
sont independantes et de meme
loi exp(), alors T
n
=
n

i=1
X
i
est de loi gamma G(n, ), dont la densite est :
f
T
n
(t) =

n
(n 1)!
exp(t) t
n1
La duree moyenne dattente de la n
`eme
defaillance est donc E[T
n
] =
n

.
5.2.3 Loi du nombre de defaillances survenues `a chaque instant
Pour determiner la loi de N
t
, on peut remarquer que sil y a eu plus de n defaillances
` a linstant t, cest que linstant de la n
`eme
defaillance est inferieur ` a t. Par consequent :
P(N
t
n) = P(T
n
t) =
_
t
0
f
T
n
(x)dx =
_
t
0

n
(n 1)!
exp(x) x
n1
dx =

n
(n 1)!
I
n
52
Chapitre 5 - Fiabilite dun logiciel non corrige : le processus de Poisson
homog`ene
avec I
n
=
_
t
0
exp(x) x
n1
dx. En integrant par parties, on obtient :
I
n
=
t
n
n
exp(t) +

n
I
n+1
Alors :
P(N
t
n) =

n
(n 1)!
_
t
n
n
exp(t) +

n
I
n+1
_
=
(t)
n
n!
exp(t) +

n+1
n!
I
n+1
=
(t)
n
n!
exp(t) +P(N
t
n + 1)
Do` u :
P(N
t
= n) = P(N
t
n) P(N
t
n + 1) =
(t)
n
n!
exp(t) (5.1)
ce qui prouve que N
t
est de loi de Poisson P(t). Ce resultat classique a donne son nom
au processus de Poisson homog`ene.
On peut montrer en fait que le processus aleatoire {N
t
}
t0
est ` a accroissements indepen-
dants, cest `a dire que, pour 0 < s < t, N
t
N
s
est independant de ce qui sest passe
avant s, et que N
t
N
s
est de loi P((t s)).
La fonction moyenne donne le nombre moyen de defaillances survenues entre 0 et t :
m(t) = E[N
t
] = t
Elle est proportionnelle `a t, ce qui est logique puisque lintensite de defaillance est
constante.
5.2.4 Fiabilite
La abilite est :
R
t
(; n, t
1
, . . . , t
n
) = P(N
t+
N
t
= 0|N
t
= n, T
1
= t
1
, . . . , T
n
= t
n
)
La propriete daccroissements independants entrane que
R
t
(; n, t
1
, . . . , t
n
) = P(N
t+
N
t
= 0)
Et comme N
t+
N
t
est de loi P((t + t)) = P(), on a :
t 0, n 1, t
1
. . . , t
n
t, R
t
(; n, t
1
, . . . , t
n
) = exp()
La abilite est donc independante de linstant auquel on la calcule. On la note alors
simplement R() = exp(). Cest une autre fa con de considerer que la abilite est
stabilisee. Cest la propriete dabsence de memoire de la loi exponentielle qui explique ce
phenom`ene.
5.3 Estimation de la abilite 53
5.2.5 MTTF
MTTF
t
(n; t
1
, . . . , t
n
) = E[T
n+1
t | N
t
= n, T
1
= t
1
, . . . , T
n
= t
n
]
=
_
+
0
R
t
(; n, t
1
, . . . , t
n
) d =
_
+
0
exp() d
=
1

Donc le MTTF est independant de linstant auquel on le calcule, pour les memes raisons
que precedemment. Par consequent, quel que soit linstant auquel on se place, la duree
moyenne dattente de la prochaine defaillance est
1

.
Ce phenom`ene est parfois connu sous le nom de paradoxe du bus : si les instants de
passage des bus `a un arret se font selon un HPP dintensite , alors la duree moyenne
dattente du bus pour un passager arrivant ` a cet arret sera la meme, quel que soit le temps
ecoule depuis le passage du bus precedent. Bien s ur, dans la pratique, les passages des
bus ne se font pas selon un HPP.
5.3 Estimation de la abilite
Les resultats probabilistes ci-dessus permettent de calculer toutes les mesures interes-
santes de abilite des logiciels. Elles sexpriment toutes `a laide du param`etre inconnu
. Pour avoir une evaluation de ces mesures, il faut donner une valeur ` a , cest-` a-dire
estimer ce param`etre.
Pour cela, on se place ` a linstant de la n
`eme
defaillance t
n
et on va estimer au vu de
la suite des durees inter-defaillances successives x
1
, . . . , x
n
par la methode du maximum
de vraisemblance.
La fonction de vraisemblance associee `a lobservation de variables aleatoires X
1
, . . . X
n
independantes et de meme loi est :
L(; x
1
, . . . , x
n
) = f
(X
1
,...,X
n
)
(x
1
, . . . , x
n
) =
n

i=1
f
X
i
(x
i
)
On obtient donc ici :
L(; x
1
, . . . , x
n
) =
n

i=1
exp(x
i
) =
n
exp(
n

i=1
x
i
)
Lestimateur de maximum de vraisemblance est la valeur de qui maximise cette
fonction, ou, de mani`ere equivalente, son logarithme :
ln L(; x
1
, . . . , x
n
) = nln
n

i=1
x
i
Pour maximiser ce logarithme, on annule sa derivee par rapport `a :

ln L(; x
1
, . . . , x
n
) =
n

i=1
x
i
54
Chapitre 5 - Fiabilite dun logiciel non corrige : le processus de Poisson
homog`ene
Lestimateur de maximum de vraisemblance de est donc :

n
=
n
n

i=1
X
i
=
n
T
n
=
1
Xn
Remarquons que, puisque la duree moyenne entre deux defaillances successives est
E[X
i
] = 1/, il semble naturel destimer par linverse de la moyenne des durees inter-
defaillances observees. Cest le principe de la methode destimation des moments.
Comme dans toute etude statistique, il faut se poser la question de la qualite de cet
estimateur : est-il sans biais, convergent, ecace ?

n
est sans biais si et seulement si E(

n
) = . Or :
E(

n
) = E
_
n
T
n
_
=
_
n
u
f
T
n
(u) du = n
_
+
0
1
u

n
(n 1)!
exp(u) u
n1
du
=
n
n 1
_
+
0

n1
(n 2)!
exp(u) u
n2
du =
n
n 1
_
+
0
f
T
n1
(u) du
=
n
n 1
E(

n
) = , donc

n
est biaise. Mais

n
=
n 1
n

n
=
n 1
T
n
(5.2)
est un estimateur sans biais de .
On peut montrer que cet estimateur est convergent au sens o` u lim
n+
V ar(

n
) = 0. Il
est asymptotiquement ecace, au sens o` u sa variance est asymptotiquement egale ` a la
borne de Cramer-Rao, borne inferieure de toutes les variances possibles destimateurs sans
biais. En fait, on peut montrer que cet estimateur est sans biais et de variance minimale
(ESBVM), donc cest lestimateur optimal de . On peut alors sen servir pour faire des
previsions sur le futur du processus. Par exemple :
La abilite R() = exp() peut etre estimee par

R
n
() = exp(

n
) ou par

n
() = exp(

n
).
Le MTTF =
1

peut etre estime par


1

n
=
T
n
n
= X
n
ou par
1

n
=
T
n
n 1
.
Mais ce nest pas parce que

n
est lestimateur optimal de que exp(

n
) sera
lestimateur optimal de exp() ni que
1

n
sera lestimateur optimal de
1

. En fait, on
montre que :
Lestimateur optimal de R() = exp() est

R() =
_
1

T
n
_
n1
.
5.4 Application aux donnees de lexemple 55
Lestimateur optimal de MTTF =
1

est

MTTF
n
=
1

n
= X
n
.
Remarque : quand il ny a pas de correction, la abilite est stable donc ca na aucun sens
de faire des calculs du type temps de test necessaire pour atteindre un objectif xe de
abilite.
5.4 Application aux donnees de lexemple
Pour notre exemple de reference, on a n = 24, x
1
= 0.63, . . . , x
24
= 545.38, do` u
t
n
=
n

i=1
x
i
= 7063.12. Alors, si on admet que ces donnees sont issues dun HPP, on a :

n
=
n 1
t
n
= 3.256 10
3
.


MTTF
n
=
t
n
n
= 294.3, donc on prevoit une duree moyenne dattente entre defaillances
de 294.3 h.
La prevision de abilite `a 100 heures est

R(100) =
_
1
100
7063.12
_
23
= 0.72. On
estime donc quil y a 72% de chances (seulement) que la prochaine defaillance ne
survienne pas dans les 100 prochaines heures.
Evidemment, ces valeurs numeriques nont de sens que si le mod`ele propose est bien
adapte au jeu de donnees. Or, dune part des corrections ont ete apportees au logiciel au
fur et `a mesure de lapparition des defaillances, et dautre part les donnees semblent bien
exhiber une croissance de abilite. Donc il nest pas logique dappliquer un mod`ele de
processus de Poisson homog`ene ` a ces donnees.
Il parat donc indispensable dutiliser une procedure de validation de mod`eles. Dans
le cas traite ici, puisque les X
i
sont independantes et de meme loi exponentielle, il sut
dappliquer un test dadequation ` a la loi exponentielle. Quand on le fait, lhypoth`ese
dexponentialite est rejetee, ce qui prouve quil faut proposer dautres mod`eles pour ce
jeu de donnees.
5.5 Validation des logiciels
On peut appliquer le cadre de modelisation presente ici au probl`eme de validation des
logiciels. Si on veut baser la validation sur une mesure de abilite, un crit`ere usuel est
de considerer que le logiciel est valide si son intensite de defaillance est inferieure `a un
seuil critique
0
xe `a lavance. Par exemple, pour le cas de Meteor cite dans le chapitre
1,
0
= 10
11
par rame et par heure. Il revient au meme de considerer que le logiciel est
valide si sa abilite depasse un certain seuil puisque <
0
exp() > exp(
0
).
Il sagit donc, au vu des observations, de trancher entre les deux hypoth`eses <
0

et
0
. Cela peut se faire ` a laide dun test statistique dhypoth`eses.
Dans un test, lhypoth`ese que lon cherche `a montrer (ici la validation du logiciel) doit
etre lhypoth`ese alternative. On va donc eectuer un test de H
0
:
0
contre H
1
:
56
Chapitre 5 - Fiabilite dun logiciel non corrige : le processus de Poisson
homog`ene
<
0
.
5.5.1 Validation en presence de defaillances
Un test est determine par sa region critique, ensemble des valeurs des observations
pour lesquelles on rejettera H
0
au prot de H
1
. Le seuil du test est la probabilite
maximale de rejeter ` a tort H
0
. Ici, il est naturel de conclure que <
0
si

n
est
signicativement inferieur ` a
0
. On propose donc une region critique de la forme W =
_

n
< l

_
. Autrement dit, si lintensite estimee est susamment petite, on va conclure
que lobjectif de abilite est atteint, avec une faible probabilite de se tromper.
La valeur de l

est determinee en ecrivant que le seuil du test est la probabilite


maximale de rejeter H
0
alors que H
0
est vraie :
= sup
H
0
P(

n
< l

) = sup

0
P
_
n 1
T
n
< l

_
= sup

0
P
_
T
n
>
n 1
l

_
T
n
est de loi gamma G(n, ), qui est peu maniable. On pref`ere utiliser la loi du chi-deux,
que lon obtient facilement en ecrivant que :
2T
n
;G
_
n,

2
_
= G
_
n,
1
2
_
= G
_
2n
2
,
1
2
_
=
2
2n
On dit que 2T
n
est une fonction pivotale. Alors,
= sup

0
P
_
2T
n
> 2
n 1
l

_
= sup

0
_
1 F

2
2n
_
2
n 1
l

__
(5.3)
Une fonction de repartition est croissante, donc le terme entre crochets est une fonction
decroissante de . Son maximum pour
0
est donc atteint en =
0
. Par consequent :
= 1 F

2
2n
_
2
0
n 1
l

_
= 2
0
n 1
l

= F
1

2
2n
(1 ) = l

=
2
0
(n 1)
F
1

2
2n
(1 )
(5.4)
Et nalement la region critique est :
W =
_

n
<
2
0
(n 1)
F
1

2
2n
(1 )
_
(5.5)
est une probabilite derreur, que lon se xe. Prenons par exemple = 5%. Dans
lexemple, n = 24. La table de la loi du
2
permet detablir que F
1

2
48
(0.95) 65.2, do` u
W =
_

n
< 0.71
0
_
.
On pourra donc conclure avec moins de 5% de chances de se tromper que <
0
si

n
< 0.71
0
, cest-`a-dire si lintensite de defaillance estimee est ` a peu pr`es inferieure aux
trois quarts de lintensite de defaillance objectif.
5.5 Validation des logiciels 57
5.5.2 Validation en labsence de defaillances
Quand la procedure de developpement du logiciel a ete de bonne qualite, il est possible
quaucune defaillance ne survienne sur la periode dobservation. On ne peut alors pas
estimer lintensite de defaillance autrement que par 0 et la procedure ci-dessus est
inapplicable (n = 0).
Pour valider le logiciel, on peut alors utiliser le crit`ere suivant : le logiciel sera valide
si sa duree de bon fonctionnement sans defaillances est superieure ` a un certain seuil.
Autrement dit, si lon na pas observe de defaillance au bout dun temps assez long, on
en conclut que le logiciel est susamment able.
Mathematiquement, cela signie que lon prend une region critique de la forme W =
{T
1
> l

}. Alors, pour xe, l

est choisi de sorte que :


= sup
H
0
P(T
1
> l

) = sup

0
exp(l

) = exp(
0
l

)
puisque T
1
est de loi exp(). Do` u
0
l

= ln et :
l

=
ln

0
= ln MTTF
0
o` u MTTF
0
=
1

0
est le MTTF objectif. Alors la region critique est
W = {T
1
> ln MTTF
0
}
Pour = 5%, ln = 2.996 3. Donc, pour valider un logiciel avec moins de 5%
de chances de se tromper, il faut le faire fonctionner sans defaillances pendant une duree
superieure `a 3 fois le MTTF objectif.
Pour des logiciels ` a haute exigence de securite, cela fait une duree de tests prohibitive.
Dans lexemple de Meteor, lintensite de defaillance objectif etait de 10
11
par rame et
par heure, ce qui fait une duree de test sans defaillance de 3 10
11
heures, cest-`a-dire 30
millions dannees... On peut evidemment reduire cette duree en parall`elisant les tests,
mais il est clair quon narrivera jamais ` a valider un objectif aussi fort de abilite en un
temps raisonnable.
Il nest donc pas possible devaluer avec precision la abilite de syst`emes ` a tr`es haut ni-
veau de s urete. Mais les methodes presentees ici permettent dobtenir des bornes inferieures
pour la abilite, ce qui est quand meme utile pour quantier la conance dans la s urete
du logiciel.
Lapplication aux donnees de lexemple a montre la necessite dutiliser des mod`eles
prenant en compte la qualite des corrections eectuees. Cest ce que nous allons faire
dans les deux derniers chapitres du cours, avec les mod`eles ETBF et NHPP.
58
Chapitre 5 - Fiabilite dun logiciel non corrige : le processus de Poisson
homog`ene