SURETE DE FONCTIONNEMENT

Jean-Marc Mercantini

Département de Génie Industriel et Informatique

Ecole Polytechnique Universitaire de Marseille

 COURS DE SURETE DE FONCTIONNEMENT

1. LA NOTION DE SÛRETÉ DE FONCTIONNEMENT

1.1 Définitions
1.2 La notion de service
1.3 Les entraves à la SdF
1.4 Les moyens d’observation
1.5 Les attributs de la SdF
1.6 Les moyens de protection
2. EVALUATION DE LA SÛRETÉ DE FONCTIONNEMENT
2.1 Rappel sur les probabilités d’événements
2.2 La fonction de probabilité ou fonction de distribution
2.2 La fonction de probabilité cumulée ou fonction de répartition
2.3 La fonction de probabilité conditionnelle
2.4 Le taux d’avarie ou taux instantané de défaillance
2.5 Relation entre l(t) et R(t)
2.6 Relation entre m(t) et M(t)
2.7 Les durées de la SdF
3. LA TOLÉRANCE AUX PANNES
3.1 Introduction
3.2 Les domaines d’application
3.3 Les stratégies de la tolérance aux pannes
4. LES PRINCIPES DE L'ANALYSE PREVISIONNELLE
4.1 Introduction
4.2 L'analyse technique et fonctionnelle
4.3 L'analyse qualitative
4.4 L'analyse quantitative
4.5 Synthèse et conclusion
4.6 Les méthodes d'analyse prévisionnelle
5. L'ANALYSE PRELIMINAIRE DES DANGERS (APD)
6. L'ANALYSE DES MODES DE DEFAILLANCE ET DE LEURS EFFETS (AMDE)
7. LA METHODE DE L'ESPACE DES ETATS (MEE)
8. LA METHODE DE L'ARBRE DES CAUSES (MAC)
 1. LA NOTION DE SURETE DE FONCTIONNEMENT

1.1 DEFINITIONS

D1. La sûreté de fonctionnement d'un système est son aptitude (état) à

délivrer le service attendu (spécifié). (AFNOR)

D2. La Sûreté de Fonctionnement est la science des défaillances ; elle

inclut ainsi leurs connaissances, leur évaluation, leur prévision, leur
mesure et leur maîtrise. (A. Villemeur)

D3. La sûreté de fonctionnement d'un système est la mesure de la

confiance que l'on peut accorder au service délivré par le système.

D4. La sûreté de fonctionnement d'un système est la mesure du

comportement du système en présence de défaillances.
1.2 LA NOTION DE SERVICE

Le service délivré par un système est son comportement tel que perçu par son (ou ses)
utilisateur(s).

Un système est une entité ayant interagi ou interféré, interagissant ou interférant, ou

susceptible d'interagir ou d'interférer avec d'autres entités, c'est à dire d'autres
systèmes. Ces autres systèmes ont constitué, constituent, ou constitueront
l'environnement du système considéré.

Un utilisateur du système est une partie de l'environnement qui interagit avec ce

dernier. Il fournit des entrées au système et/ou en reçoit des sorties ; en d'autres termes,
ce qui distingue un utilisateur du reste de l'environnement est le fait qu'il utilise le
service délivré par le système.

La notion d'utilisateur doit être considérée au sens large, c'est à dire qu'elle représente
aussi bien un opérateur qu'un autre système.
1.2 LA NOTION DE SERVICE

CONCEPTION
DEFAILLANCE SYSTEME

FONCTIONS

ENVIRONNEMENT LE SERVICE
UTILISATEUR SPECIFIE

LA SURETE DE FONCTION- EXPLOITATION

-NEMENT

LE SERVICE
DELIVRE
1.3 LES ENTRAVES A LA SURETE DE FONCTIONNEMENT

Les entraves à la sûreté de fonctionnement représentent les circonstances

indésirables, mais non inattendues, causes ou résultats de la non sûreté de
fonctionnement ; la confiance ne peut plus, ou ne pourra plus, être placée dans le
service délivré.

1.3.1 La défaillance

C’est la cessation de l’aptitude d’une entité à accomplir une fonction requise. On

dira qu’une entité connaît une défaillance lorsqu’elle n’est plus en mesure de
remplir sa (ou ses) fonctions. (A. Villemeur).

Evénement survenant lorsque le service délivré dévie de l’accomplissement de la

fonction du système. (J.C. Laprie)

Une entité connaît une défaillance lorsqu’elle n’est plus en mesure de remplir sa
(ou ses) fonction(s). Par extension, on considère parfois qu’il y a une défaillance
lorsqu’il y a altération de l’aptitude d’une entité à accomplir une fonction
requise : les tolérances associées doivent alors être définies. Afin de préciser
cette notion de défaillance, on réalise plusieurs classifications des défaillances.
1.3.2 Classification des défaillances

1.3.2.1 En fonction de la rapidité de leur manifestation

Défaillance progressive : elle se manifeste par une évolution progressive des

caractéristiques d’une entité.

Défaillance soudaine : elle se manifeste par une perte soudaine des

caractéristiques d’une entité.

1.3.2.2 En fonction de leur amplitude

Défaillance partielle : défaillance résultant de déviation d’une ou des

caractéristiques au-delà des limites spécifiées, mais telle qu’elle
n’entraîne pas une disparition complète de la fonction requise
(Commission Electrotechnique Internationale : CEI).

Défaillance complète : défaillance résultant de déviation d’une ou des

caractéristiques au-delà des limites spécifiées, telle qu’elle
entraîne une disparition complète de la fonction requise (CEI).
1.3.2.3 En fonction de la rapidité et de l’amplitude

Défaillance catalectique : défaillance qui est à la fois soudaine et complète

(CEI).

Défaillance par dégradation : défaillance qui est à la fois progressive et

partielle (CEI).

1.3.2.4 En fonction des causes

Défaillance première : défaillance d’une entité dont la cause directe ou

indirecte n’est pas la défaillance d’une autre entité (A.
Villemeur).

Défaillance seconde : défaillance d’une entité dont la cause directe ou

indirecte est la défaillance d’une autre entité et pour laquelle cette
entité n’a pas été qualifiée et dimensionnée (A. Villemeur).

Défaillance de commande : défaillance d’une entité dont la cause directe ou

indirecte est la défaillance d’une autre entité et pour laquelle
cette entité a été qualifiée et dimensionnée (A. Villemeur).
1.3.2.5 En fonction des effets

Défaillance mineure : défaillance qui nuit au bon fonctionnement d’un système

en causant un dommage négligeable au dit système ou à son
environnement sans toutefois présenter de risque pour l’homme (C.
Lievens).

Défaillance significative : défaillance qui nuit au bon fonctionnement d’un

système sans toutefois causer de dommage notable, ni présenter de
risque important pour l’homme (C. Lievens).

Défaillance critique : défaillance qui entraîne la perte d’une (ou des) fonction(s)
essentielles d’un système et cause des dommages importants au dit
système ou à son environnement en ne présentant, toutefois, qu’un
risque négligeable de mort ou de blessure. (C. Lievens).

Défaillance catastrophique : défaillance qui occasionne la perte d’une (ou des)

fonction(s) essentielle(s) d’un système en causant des dommages
importants au dit système ou à son environnement et/ou entraîne,
pour l’homme, la mort ou des dommages corporels (C. Lievens).
1.3.3 Les modes de défaillance
Un mode de défaillance est l’effet par lequel une défaillance est observée (CEI).

COMPOSANT FONCTIONS

CAUSES DE EFFETS SUR LES MODES DE

DEFAILLANCE FONCTIONS DEFAILLANCE
1.3.4 Un modèle phénoménologique

le triplet < défaut, panne, erreur >

Le défaut

Le défaut est un phénomène adverse qui a une origine physique ou humaine.

Le défaut physique peut être d'origine interne (désordre physico-chimique,
dégradation) ou externe (perturbation de l'environnement) au système
considéré.
Le défaut humain peut être d'origine conceptuelle ou d'interaction. Les défauts
de conception sont des défauts de développement accidentels ou intentionnels,
sans volonté de nuire. Les défauts d'interaction sont d’origine externe au
système, accidentel ou intentionnel sans volonté de nuire.

La panne

La panne est l'effet fonctionnel local du défaut et elle existe dès que le défaut
apparaît. Elle peut être dormante ou active. Si une panne devient active alors
elle produit une erreur.
1.3.4 Un modèle phénoménologique

L'erreur

L'erreur est l'effet fonctionnel global du défaut ; c'est la partie de l'état du

système qui est susceptible d'entraîner une défaillance.
Une erreur peut être latente ou détectée : elle est latente tant qu'elle n'a
pas été détectée. Si l'erreur affecte le service délivré, alors on dit qu'il y
a une défaillance.

Erreur latente

Défaut Panne active

Erreur détectée

Panne dormante
1.4 LES MOYENS D’OBSERVATION

Ces moyens vont nous permettre d'observer le comportement du

système de façon à mettre en évidence les erreurs et les pannes, et
d'aider l'opérateur à éliminer les défauts. Ces moyens sont le test en
ligne et le test hors ligne.

E SYSTEME F
SOUS TEST

SORTIES DE TEST

OBSERVATION

DECISION SYSTEME DE TEST

SIGNATURE
1.4LES MOYENS D’OBSERVATION
1.4.1 Le test hors ligne

Cette technique consiste à placer le système hors de son contexte

habituel de travail et de le soumettre à un ensemble de vecteurs de test
propres à rendre observables les pannes qu'il contient. L'ensemble de
ces vecteurs de test (Et) n'est pas limité à l'ensemble des vecteurs
fonctionnels (Ef) : Ef => Et.

1.4.2 Le test en ligne

Cette technique consiste à maintenir le système dans son contexte de

travail et à analyser son comportement vis à vis des seuls vecteurs
d'entrée fonctionnels.
1.5 LES ATTRIBUTS
Selon la ou les application(s) auxquelle(s) le système est destiné, l'accent peut être mis sur
différentes facettes de la sûreté de fonctionnement :
la fiabilité - la maintenabilité - la disponibilité - la sécurité.

1.5.1 La fiabilité
D1. C'est l'aptitude d'une entité à accomplir une fonction requise, dans des conditions
données, pendant une durée données.
D2. C'est la mesure de la continuité de l'accomplissement du service, ou, ce qui est
équivalent, du temps avant qu'une défaillance ne survienne.
R(t) = Prob { E non défaillante sur [ 0, t ] }

1.5.2 La maintenabilité
D1. C'est l'aptitude d'une entité à être maintenue ou rétablie dans un état dans lequel elle
peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des
conditions données avec des procédures et des moyens prescrits.
D2. C'est la mesure du temps nécessaire pour remettre en service une entité.
M(t) = Prob { E réparée sur [ 0, t ] }
1.5.3 La disponibilité
D1. C'est l'aptitude d'une entité à être en état d'accomplir une fonction
donnée, dans des conditions données et à un instant donné.

D2. C'est la mesure de l'accomplissement du service par rapport à

l'alternance accomplissement interruption.

A(t) = Prob { E non défaillante à l'instant t }

1.5.4 La sécurité
D1. C'est l'aptitude d'une entité à éviter de faire apparaitre dans des
conditions données, des événements critiques ou catastrophiques.

D2. C'est la mesure de la continuité de la délivrance d'un service sûr, ou,

ce qui est équivalent, du temps avant défaillance catastrophique.

S(t) = Prob { E délivre un service sûr sur [ 0, t ] }

1.6 LES MOYENS DE PROTECTION
Ils reposent sur deux approches différentes de lutte contre les défaillances :
- l'approche dite de l'intolérance aux pannes,
- l'approche dite de la tolérance aux pannes.

1.6.1 L'intolérance aux pannes

Le système est conçu avec l’idée de minimiser, voire d’éliminer par construction, la
possibilité d'apparition de défauts

Système intolérant aux pannes

Minimisation de l'occurence des

défauts

Privilégisation de la technologie

Conception
Qualité des surdimentionnement qualité de structurée
composants des composants fabrication et prudente
1.6.2 La tolérance aux pannes
La panne devient un événement naturel pour le système qui doit être
capable de réagir de façon à pouvoir assurer sa mission.

Le système délivre un service conforme au service spécifié, malgré la

présence d'une panne.

Système tolérant aux pannes

Minimisation de l'occurence des erreurs

Choix d'une structure appropriée

Redondance structurelle
Détection des erreurs Restauration du système
Localisation des pannes
TEST TEST DETECTION LOCALISATIO DIAGNOSTIC
EN HORS D’ERREURS N DE DE DEFAUTS
LIGNE LIGNE PANNES

E
M
SURET N
O E DE T PANNE
Y FONCTIONNEMEN
R
E T
TOLERANCE N A
INTOLERANC ERREUR
AUX OBSERVATIONS DEFAUT
S ATTRIBUTS V
PANNES

FIABILITE DISPONIBILITE MAINTENABILITE

SECURITE
 2. EVALUATION DE LA SÛRETÉ DE FONCTIONNEMENT
2.1 Rappel sur les probabilités d’événements

2.1.1 Définitions

D1. Une expérience est qualifiée d'aléatoire si on ne peut prévoir par avance son
résultat et si, répétée dans des conditions identiques, elle peut donner lieu à des
résultats différents. Nous appellerons w le résultat d'une expérience et W l'ensemble
de tous les résultats possibles. W est l'ensemble fondamental ou encore l'univers de
tous les possibles.
D2. Un événement est une assertion ou proposition logique relative au résultat de
l'expérience.

D3. Deux événements sont dits incompatibles si la réalisation de l'un exclut la

réalisation de l'autre, autrement dit si les parties A et B de W, correspondant aux
ensembles de réalisation de chacun des événements, sont disjointes : A  B = 

D4. A1, A2, ..., An, forment un système complet d'événements si les parties A1, A2,
..., An, de W constituent une partition de W :

i  j, Ai I A j  

U A 
i
2.1.3 Lois de probabilités conditionnelles, indépendance.

2.1.3.1 Les probabilités conditionnelles

Nous nous intéressons à la réalisation d'un événement A, tout en sachant qu'un

événement B est réalisé.

A B

1. Si A et B sont incompatibles alors A ne peut se réaliser.

2. Si A et B ne sont pas incompatibles alors A peut se réaliser. L'univers des

possibles n'est plus W tout entier, mais est restreint à B. Nous nous intéressons donc
à la réalisation de A à l'intérieur de B, c'est à dire A  B par rapport à B.
Définition. Soit B un événement de probabilité non nulle. On appelle probabilité
conditionnelle de A sachant B (ou encore A si B) le rapport noté Pr{A / B} :

Pr { A B}
Pr { A / B } = (6)
Pr { B }
2.1.3.2 Indépendance de deux événements

Définition. A est indépendant de B si Pr{A / B} = Pr{A}

La connaissance de B ne change pas les chances de réalisation de A.

Attention ! ne pas confondre les notions d’indépendance et d’incompatibilité

Deux événements sont incompatibles si la réalisation de l’un exclut la réalisation

de l’autre. Pr{A/B} = 0.
Lorsque deux événements sont indépendants, la réalisation de l’un n’exclut pas
la réalisation de l’autre et la réalisation de l’un n’influence pas la probabilité de
réalisation de l’autre. Pr{A/B} = Pr{A}.

Exemple d’événements indépendants : on lance deux pièces de monnaie.

Événement A : la pièce 1 affiche pile
Événement B : la pièce 2 affiche face
Propriétés :

P1. Si A est indépendant de B alors B est indépendant de A.

Prob { A B } (7)
P2. Si Prob{A / B} = Prob{A} alors = Prob{A}
Prob { B }

P3. Si Prob{B / A} = Prob{B} alors

Prob { A B }
(8)
Prob { A } = Prob{B}

Au passage nous obtenons l'importante formule :

Pr{A  B} = Pr{A} . Pr{B} (9)

La notion d'indépendance n'est pas une notion purement ensembliste comme

l'incompatibilité.
1.3.3 Indépendance deux à deux et indépendance mutuelle.

Soient A1, A2, ..., An, des événements ; ils sont dits mutuellement indépendants si
pour toute partie I de l'ensemble des indices allant de 1 à n on a :

Prob { I Ai } =  Prob {Ai} (10)

I
Remarque.

⎧n
⎪ ⎧n ⎫
⎫
⎪ ⎪
Pr⎨
⎪
 Ai⎬  1  ⎨ Ai ⎬
Pr
⎪⎩i 1 ⎪ i1 ⎪
⎩ ⎭

⎪⎭
⎧ n ⎫
⎪ Ai⎬ ⎪
 1  Pr⎨ 
⎪⎩i1 ⎪⎭
n i1
1
Pr
Ai
1.4 Les formules de BAYES

Elles ont pour but d'exprimer la Pr{A / B} en fonction de Pr{B / A}.

Première formule :
Prob { A / B } . Prob { B }
Prob { B / A } = Prob { A }

La relation est obtenue à partir de :

Prob { A B}
Prob{A / B} =

Prob { B }

Prob{B / A} =
Prob { A B}
Prob { A } }  Prob{A/B} . Prob{B} = Prob{B/A} . Prob{A}
La deuxième formule est obtenue en considérant un système complet d'événements
B1, B2, … Bi, … Bn, et permet de calculer l’expression de Pr{Bi/A}.

D’après le théorème des probabilités totales (5) on a :

n

A : PrA PrA  Bi

i1

D’après le théorème des probabilité conditionnelles (6) on a :

Pr { A  B1 } = Pr { A / B1 } . Pr { B1 }
Pr { A  B2 } = Pr { A / B2 } . Pr { B2 }
…
Pr { A  Bi } = Pr { A / Bi } . Pr { Bi }
…
Pr { A  Bn } = Pr { A / Bn } . Pr { Bn }

D’où l’expression :
n n
PrA  Bi PrA / Bi.PrBi PrA
i1 i1
D’où la deuxième formule de Bayes :
Prob { A / Bi } . Prob { Bi } (13)
Prob { Bi / A } =
i Prob{A / Bi} . Prob{Bi}
Exercice. Dans une usine, trois machines fabriquent des boulons de même type. La
machine M1 produit 0,3% de boulons défectueux, la machine M2 produit 0,8% de
boulons défectueux et la machine M3 produit 1% de boulons défectueux. Pour
répondre à une commande de 1000 boulons, l’usine produit 500 boulons avec M1, 350
boulons avec M2 et 150 boulons avec M3. Le service de contrôle qualité tire un boulon
au hasard parmi les 1000. Le boulon étant défectueux, on demande de calculer la
probabilité pour qu’il provienne de M1, de M2 ou de M3.
2.2 La fonction de probabilité ou fonction de distribution
Définition : La fonction p(t) qui prend les valeurs p(t1), p(t2), …, p(tn) est appelée fonction de
probabilité ou fonction de distribution. On utilise aussi l’écriture :
p(ti) = Prob [T=ti] qui se lit probabilité que la variable aléatoire T soit égale à ti.
La fonction de distribution

0,16

0,14

0,12

0,10

0,08

0,06

0,04

0,02

0,00

p(x)

Dans le cadre d’une étude de

la fiabilité, T représente la durée de vie d’une entité, et p(t) est la
probabilité que la durée de vie de cette entité soit égale à t. Exemple :
p(12) = Prob [la durée de vie d’une entité = 12] = 0,14
Dans le cadre d’une étude de la maintenabilité, T représente la durée de réparation et p(t) est la
probabilité que la durée de réparation soit égale à t.
2.3 La fonction de probabilité cumulée ou fonction de répartition
Définition : En cumulant les valeurs p(ti), on obtient une nouvelle fonction appelée fonction de
probabilité cumulée ou fonction de répartition : P[T  ti] =  p(ti).
La fonction P[T > ti] = 1 – P[T  ti] est dite fonction de répartition complémentaire.
La fonction de répartition

1,0
0,9
0,8
0,7
0,6
0,5
0,4
0,3
0,2
0,1
0,0

P[X<=x]

Dans le cas où T est la variable aléatoire associée à la durée de vie d’une entité, la fonction de
répartition représente la DEFIABILITE et on la note F(t). On l’appelle également la fonction de
DEFAILLANCE.
F(t) =  p(t) = P [ T  t ] = P { E défaillante sur [0, t] }
Si T est la variable aléatoire associée à la durée de réparation d’une entité, alors la fonction représente
la probabilité que l’entité soit réparée sur [0, t]. Elle représente la MAINTENABILITE.
Le même raisonnement que précédemment nous amène à la fonction de répartition complémentaire :
P [ T > t ] qui représente la probabilité que la durée de vie d’une entité soit supérieure à une date
donnée. Cette fonction représente la fonction de FIABILITE ou encore fonction de SURVIE. On la
note R(t).
R(t) = P [ T > t ] = 1 – F(t) = P { E non défaillante sur [0, t] }

LA FONCTION DE REPARTITION (LA FIABILITE) COMPLEMENTAIRE

1,0

0,9

0,8

0,7
0,6

0,5

0,4
0,3

0,2

0,1

0,0

P[X>x]

Lorsque T représente la variable aléatoire associée à la durée de réparation, cette fonction représente
l’IMMAINTENABILITE : P { E non réparée sur [ 0, t] }
Remarques :

R1. Les fonctions M(t) et F(t) sont croissantes monotones et varient de 0 à 1 sur l’intervale [0, +
∞[, de plus :

Lim F(t) = 1 Lim M(t) = 1

t +∞ t +∞

C’est une certitude que l’entité sera réparée et c’est une certitude que l’entité sera défaillante.

R2.
R(t) = 1 – F(t) = 1- p(ti)
tit
R(t-1) = 1 – F(t-1) = 1 –  p(ti)
tit 1

R(t) – R(t-1) = -p(t)

p(t) = R(t-1) – R(t) = F(t) – F(t-1)

2.4 La fonction de probabilité conditionnelle
Si T est associée à la durée de vie, elle s’appelle la probabilité d’avarie
Si T est associée à la durée de réparation, elle s’appelle la probabilité de réparation
Définition : On appelle probabilité d’avarie, la probabilité conditionnelle qu’un équipement ayant
atteint une date t-1 sans avarie, ait une avarie dans l’intervalle de temps [t-1, t]. On note pc(t) cette
probabilité conditionnelle :
pc(t) = P { E défaillante sur ]t-1, t] / E non défaillante sur [0, t-1]
} Le théorème des probabilités conditionnelles permet de calculer :
P [ A / B ] = P [ A  B ] / P [B]
Ce qui nous donne
P{ E défaillante sur ]t - 1, t] et E non défaillante sur [0, t -
pc(t)
= 1]} P{ E non défaillante sur [0, t - 1]}

Ce qui s’écrit encore

pc(t) = P [ E défaillante à t ] / P { E non défaillante sur [0, t-1] }
pc(t) = P [ T = t ] / P [ T > t-1 ]
pc(t) = p(t) / R(t-1)
pc(t) = [R(t-1) – R(t)] / R(t-1)
 pc(t) = R(t 1) 
R(t)
R(t 1)

La probabilité d’avarie donne une mesure du risque couru en maintenant en

service un équipement qui a atteint une date t de fonctionnement.

Dans le cadre d’une étude de la maintenabilité :

pc(t) = P { E réparée sur ]t-1, t] / E non réparée sur [0, t-1] }
ce qui conduit, en appliquant le même raisonnement que précédemment, au résultat
suivant :

M (t)  M (t 1)
pc(t) = 1 M (t 1)
2.4 La densité de probabilité

Définition : la densité de probabilité est défini par la relation :

Lim p(t+ Δ t)/ Δ t = j(t)
Δt 0

Application à la fiabilité et à la maintenabilité

Avec p(t + Δt) = R(t) – R(t + Δt)

Lim p(t+ Δ t)/ Δ t = Lim [R(t) – R(t + Δt)] / Δt = - dR(t) / dt
Δt 0 Δt 0

Or R(t) = 1 - F(t) d’où

-dR(t) / dt = dF(t) / dt = f(t)

La relation –dR(t) = f(t).dt représente la probabilité que la première défaillance de l’entité

survienne durant l’intervalle [t, t + dt]. La densité de probabilité est la fonction de probabilité qui
modélise la fonction de distribution (fonction statistique).

Dans le cas d’une étude de la maintenabilité

Lim p(t+ Δ t)/ Δ t = Lim [M(t + Δt) – M(t)] / Δt = dM(t) / dt = g(t)
Δt 0 Δt 0
2.4 Le taux instantané

Le taux instantané est défini par la relation :

lim pc(t) / t = pc(t) / dt = (t)
t  0
Dans le cas d’une étude de la fiabilité, (t) s’appelle le taux d’avarie ou encore le taux instantané de
défaillance et il est noté (t) :
lim pc(t) / t = pc(t) / dt = (t)
t  0
Interprétation :

Supposons qu’une entité ait déjà effectué t heures de service et qu’on veuille calculer la probabilité de
sa défaillance dans l’intervalle de temps dt qui suit.

L’expression pc(t) = (t) dt représente la probabilité qu’une entité ayant atteint l’age t sans
défaillance, ait une défaillance dans l’intervalle de temps ] t, t+dt].

(t) représente le taux de défaillance conditionnel instantané. La condition étant que le composant ait
déjà effectué t heures de service.
Dans le cas d’une étude de la maintenabilité, (t) s’appelle le taux instantané de
réparation et il est noté (t) :
lim pc(t) / t = pc(t) / dt = (t)
t  0

Ainsi, (t) dt représente la probabilité qu’une entité ayant atteint la date t sans
réparation, soit réparée dans l’intervalle de temps ] t, t+dt ].
2.5 Relation entre (t) et R(t)

Nous avons vu, au cours du paragraphe 2.4 que :

Pc(t) = [ R(t-1) – R(t) ] / R(t-1)
D’où

dR(t)
pc(t R ( t )  R( t 
lim = lim = - dt = (t)
) t ) R(t)
t t.R(t)
t  0 t  0

La relation entre (t) et R(t) s’écrit :

dR(t)
 (t)dt  0
R(t)
2.6 Relation entre (t) et M(t)

Le même raisonnement appliqué à l’étude de la maintenabilité, conduit à la relation suivante :

d M (t)
 (t)dt  0
M (t)

La résolution de l’équation différentielle du §2.5 fournit la relation suivante :

t
R(t) = k exp [- (t).dt ]
0

La résolution de l’équation différentielle du §2.6 fournit la relation suivante :

M(t) = 1 – k exp [- t
0 (t).dt ]
Remarque sur λ(t)
La courbe en baignoire

Taux
instantané
de défaillance
(t)

0

Jeunesse Maturité Vieillesse

Dans le cas où on se situe dans la période où λ(t) = λ0 = constante :

R(t) = k.exp [- λ0t]

Si R(0) = 1 alors k = 1 et R(t) = exp [-λ0t]

λ(t) R(t)

1
λ0

Ainsi, les fonctions caractéristiques de cette période sont :

La fonction de fiabilité : R(t) = exp [-λ0 t]

La fonction de défiabilité : F(t) = 1 - exp [-λ0 t] (fonction de répartition)
La fonction de densité de probabilité : f(t) = λ0 exp [-λ0 t] (fonction de distribution)

On dit que la variable aléatoire T (la durée de vie) est distribuée de façon exponentielle
Ou encore que la loi de distribution est de type exponentielle
La loi de Weibull :

Cette loi permet de représenter un grand nombre de distributions expérimentales. En

effet, elle est constituée de trois paramètres (β, γ, σ) grâce auxquels la loi peut être
ajustée de façon à représenter au mieux la fonction de distribution. Suivant cette loi,
nous obtenons les expression suivantes :

La fonction de densité de probabilité f(t) = β ( t – γ)β-1/ σ β exp [-(t – γ)β / σβ ]

La fonction de Fiabilité R(t) = exp [-(t – γ)β / σβ ]
Le taux instantané de défaillance λ(t) = β ( t – γ)β-1/ σ β

Remarques :

R1. Pour β = 1, γ = 0, σ = 1 / λ0 nous retrouvons λ(t) = λ0 et R(t) = exp [-λ0 t]

2.7 Etude de la Disponibilité
1. Introduction
Pour l’étude de la disponibilité, nous distinguons généralement trois classes d’entités
: l’entité n’est pas réparable,
l’entité est réparable et la réparation est entreprise lorsque l’erreur est détectée. A la fin
de la réparation, l’entité est remise en service en étant aussi proche que possible de son
état initial.
L’entité est en attente et elle est périodiquement testée.
Nous ne traiterons pas du dernier cas.
2. L’entité n’est pas réparable
Dans ce cas la disponibilité est réduite à la fiabilité puisque après l’occurrence de la
première défaillance, l’entité ne peut pas être réparée pour être remise en service. Nous
noterons :
A(t) = R(t) =
e   0t
Dans le cas d’un taux de défaillance constant.
3. L’entité est réparable
Une entité E est disponible à l’instant t+dt si :
- l’entité est disponible à l’instant t et n’a pas de défaillance sur l’intervalle ] t, t+dt] ou,
- l’entité n’est pas disponible à l’instant t et elle est réparée sur l’intervalle ] t, t+dt ]
Absence de défaillance
EF

EF

HF Réparation

Ce qui s’écrit, sous forme d’équation :

A(t+dt) = Prob{ E non défaillante à l’instant t } x Prob { E non défaillante sur ]t, t+dt ] } +
Prob { E défaillante à t } x Prob { E est réparée sur ] t, t+dt ] }
Ou encore,
A(t+dt) = A(t) . [ 1 – λ(t) dt ] + [ 1 – A(t) ] μ(t) dt
A(t+dt) = A(t) . [ 1 – (t) dt ] + [ 1 – A(t) ] (t) dt
A(t+dt) = A(t) – A(t) . (t) dt + (t) dt – A(t) . (t) dt

A(t  dt ) A(t)
  – A(t) . (t) + (t) – A(t) . (t)

dt
Ce qui nous amène à l’équation différentielle suivante :

dA(t )
 A(t ).[ (t)  (t )]  (t )
dt  
Déterminons maintenant l’expression de la disponibilité en fonction du temps, suivant
qu’à l’instant initial l’entité est disponible ou pas : A(0) = 1 ou A(0) = 0
Nous considèrerons (t) = et (t) =
Soit alors :
dA(t)
 A(t).[  ]  
dt

La Solution Générale de l’équation Linéaire et Homogène nous donne :

A(t) = k . exp [ -( + ).t ]

La solution particulière donne :


A(t) 


D’où la solution complète :


A(t)  (   )t
   + k.e
Calcul de k à t = 0 :

k A(0).(  )  
 
Pour A(0) = 0 nous obtenons :

A(t) 

[1  e (    )t ]

Pour A(0) = 1 nous obtenons :

A(t) 
 
 e(   )t
 
 A(t)

A(0) = 1




A(0) = 0
 Remarques :
 1
lim A(t)   1

MTTF


t   1   1  1 MTTF  MTTR
 



lim A(t)  1  1 MTTF MTTR
 
t   MTTF  MTTR MTTF  MTTR


Ces deux relations caractérisent la disponibilité intrinsèque d’une entité, telle qu’elle a été
conçue. Lorsque l’entité est en phase d’exploitation, nous parlerons de disponibilité
opérationnelle qui tient compte de la logistique mise en œuvre pour maintenir cette entité
en état d’accomplir son service.
4. La disponibilité opérationnelle

CARACTERISTIQUES INTRINSEQUES CARACTERISTIQUES D’EXPLOITATION

FIABILITE MAINTENABILITE POLITIQUE DE MAINTENANCE

CONTRAINTES D’EXPLO

DISPONIBILITE INTRINSEQUES LOGISTIQUE DE MAINTENANCE

DISPONIBILITE OPERATIONNELLE
La disponibilité intrinsèque se calcule de la façon suivante :

Do 
TCBF
TCBF  TCI

Où TCBF est le Temps Cumulé de Bon Fonctionnement

TCI est le Temps Cumulé d’Immobilisation
n
TCBF  MTTF  MUTi
 i1
TCI  Nc.MTTR  Np.MTTP

Nc : Nombre d’interventions de maintenance corrective

Np : Nombre d ‘intervention de maintenance préventive
MTTP : Mean Time To Prevent
 COMPOSANT COMPOSANT REPARABLE
IRREPARABLE
 (t) = 0  (t) = 0

VALEURS f ( t ) = 0 exp ( - 0t ) f ( t ) = 0 exp ( - 0t )

INSTANTANEES R ( t ) = exp ( - 0t ) R ( t ) = exp ( - 0t )
LIEES A LA
MTTF = 1 / 0 MTTF = 1 / 0
SURETE DE
FONCTION-
NEMENT  ( t ) = 0
(t)=0 g(t) = 0 exp ( - 0t )
g(t)=0
M(t) = 1 - exp ( - 0t )
M(t)=0
MTTR = 1 / 0
MTTR = 
A (t) = R (t) = exp ( - 0t ) A(t) = A1 + A2 exp -( 0 + 0 )t
A'(t) = A2 [ 1 - exp -( 0 + 0 )t ]
A'(t) = 1 - exp ( -0t )
A1 = 0 / ( 0 + 0 )
A2 = 0 / ( 0 + 0 )

VALEURS LIMITES A () = 0 A()=A1= MTTF / ( MTTF+MTTR )

LIEES A LA SURETE A'() = 1 A'() =A2= MTTR / (MTTF+MTTR)
DE FONC-
TIONNEMENT
2.7 LES DUREES DE LA SURETE DE FONCTIONNEMENT

MTTF : Durée moyenne de fonctionnement d’une entité avant la première

défaillance (Mean Time To Failure)

MTTR : Durée moyenne de réparation (Mean Time To Repair)

MUT : Durée moyenne de fonctionnement après réparation (Mean Up Time)

MDT : Durée moyenne d’indisponibilité (Mean Down Time). Elle couvre les
phases suivantes : la détection de l’erreur, la réparation du défaut, la
remise en service.

MTBF : Durée moyenne entre deux défaillances consécutives d’une entité réparée
(Mean Time Between Failure)

Remise en service

1ère 2ème
Défaillance Défaillance

MTTF MDT MUT

MTBF
Calcul de la date moyenne d’apparition d’une avarie (le MTTF)
L’age moyen d’apparition de la première défaillance d’une entité est définie comme la
valeur attendue de la variable aléatoire T. Elle est obtenue en calculant la moyenne
pondérée des valeurs que prend T. Les poids sont les probabilités que ces valeurs soient
prises :

MTTF = t0 p(t0) + t1 p(t1) + … + ti p(ti)

MTTF = t.p(t) (pour T discrète)

t:p(t)0

Et

MTTF = 
0 .
x. f (x) dx

On montre en intégrant par partie que

MTTF = 
(pour T continue)

0R(x).dx
Exercice :
calculer le MTTF dans le cas d’une loi exponentielle : R(t)  exp(0t)

Calcul de la date moyenne d’apparition d’une réparation (le MTTR)

L’age moyen de réparation d’une entité s’obtient de la même façon que le MTTF.
Soit la relation :


MTTR = M (pour T continue)

0(x).dx
Exercice :
Calculer le MTTR dans le cas où (t) = 0 = Cte
3. LA TOLERANCE AUX PANNES

3.1 Introduction

La tolérance aux pannes est vue comme une propriété de l'architecture du système, qui permet à la
machine logique d'accomplir ses tâches spécifiques correctement, du point de vue de l'utilisateur,
alors que son système physique, fait l'objet de divers types de pannes et de défaillances de
composants [4].

L'intérêt de construire des systèmes qui tolèrent les pannes remonte aux années 1940 où les
premières machines à calculer furent construites en utilisant des relais. Les fondements théoriques
sur l'impact des redondances ainsi que le développement formel des concepts du calcul tolérant les
pannes, remontent aux années 1950. Les premières architectures tolérantes aux pannes ont été
développées pour des applications limitées aux secteurs militaires, spatiaux, et des
télécommunications.

Les années 1980 ont vu le nombre des domaines d'application augmenter de façon considérable et
s'étendre jusqu'aux applications commerciales. Deux développements parallèles sont à l'origine de
l'intérêt porté aux calculateurs tolérants les pannes :
- la chute des coûts du matériel informatique,
- l'augmentation de la dépendance du public vis à vis des systèmes informatisés.
 Evolution de la Sûreté de Fonctionnement en Informatique

Facteur
UNIVAC 1 TANDEM
d'amélioration
Date de la mesure 1951 1987
Indisponibilité 0,17 2,8 . 10
-5
6,2 . 10 3
MTTF ( en heures ) 66 2,4 . 10 5 3,6 . 10 3
nb d'instructions 8 15 6
exécutées entre deux 4,7 . 10 2,6 . 10 5,4 . 10
arrêts matériels
3.2 LES DOMAINES D’APPLICATION

Quatre catégories d’application :

- les applications à sécurité critique,
- les applications à longue durée de vie,
- les applications à grande disponibilité,
- les applications commerciales.

3.2.1 Les applications à sécurité critique

Les Systèmes à Sécurité Critique (Safety Critical Systems en anglais) sont constitués
d’une partie commande numérique sur laquelle repose la sécurité du système et de son
environnement. Dans la plupart des cas, la commande est également « temps réelle ».
On retrouve ces systèmes dans les domaines : industriels, médicaux, du transport, etc
…

A titre d'exemple nous pouvons citer le cas de la navette spatiale dont le bon
fonctionnement dépend totalement de ses ordinateurs. Une mission en cours
d'exécution ne peut plus être avortée, si les calculateurs sont défaillants. La tolérance
aux pannes est obtenue en utilisant une architecture redondante constituée de cinq
calculateurs dont le principe est décrit ci dessous.
M1 S1

M2 S2 Interface de puissance

VOTE P.O
M3 S3

S4
M4

Ci
Vote
M5 S5 Si

Mi
3.2.2.- Les applications à longue durée de vie

Ce type d'application correspond à des missions où les équipements ne seront jamais maintenus, ou bien,
lorsque les dates d'intervention sont déterminées à l'avance et avec des espacements de trés longue durée.
Nous pouvons citer en exemple les vols spatiaux non habités où les architectures informatiques sont
fortement redondantes de façon à maintenir un niveau de performance minimum jusqu'à la fin de la
mission. Ces systèmes n'occupent pas forcément une fonction à caractère critique.

L' "Orbiting Astronomical Observatory" ( OAO ) illustre ce type d'application où les concepteurs ont
implanté quatre copies de chaque composant discret : résistances, capacités, transistors. Le tout étant
organisé suivant un réseau qui peut tolérer tout défaut unique de type court-circuit ou circuit ouvert.

3.2.3 Les applications à grandes disponibilité

Elles correspondent à des missions où un arrêt temporaire de la fonction en question peut être toléré. Nous
pouvons citer en exemple le cas d'un système de commutation téléphonique conçu par un laboratoire de
"Bell Telephon" ; le cahier des charges précisait que l'indisponibilité ne devait pas dépasser deux heures,
pour une durée de service de quarante ans.

3.2.4 Les applications commerciales

Les applications où les accès aux informations en ligne tels que les réservations d'hôtels, d'avions et de
trains, sont les principales responsables de l'emploi de telles architectures.