Vous êtes sur la page 1sur 171

Institut National Polytechnique de Lorraine

Ecole doctorale IAEM Lorraine Dpartement de Formation Doctorale en Automatique

THSE
prsente et soutenue publiquement le 13 Janvier 2011 pour lobtention du

Doctorat de lInstitut National Polytechnique de Lorraine


spcialit Automatique, Traitement du signal et Gnie Informatique

tel-00601086, version 1 - 16 Jun 2011

Conception sre des systmes mcatroniques intelligents pour des applications critiques
Par HICHAM BELHADAOUI
Composition du jury Prsident : Rapporteurs : Examinateurs : Pr. Jos RAGOT (CRAN, INPL) HDR Dr. Zineb SIMEU-ABAZI (G-SCOP, INPG) Pr. Frdric KRATZ (PRISME, ENSI de Bourges) Pr. Luc HEBRARD (InESS, UdS) Pr. Jean-Franois AUBRY (CRAN, INPL), Directeur de thse Dr. Olaf MALASSE (A3SI, Arts et Mtiers ParisTech, Metz) , co-Directeur HDR Dr. Nicolas HERAUD (SPE, Universit de Corse) Jean-Claude BOEHM (CETIM) Dr. Karim HAMIDI (IRSN)
Centre de Recherche en Automatique de Nancy UMR 7039 - Nancy Universit - CNRS 2, Avenue de la Fort de Haye 54516 Vanduvre-ls-Nancy Tel. +33 (0) 83 59 59 59 - Fax +33 (0) 3 83 59 56 44

Invits :

Remerciements

Remerciements
Ces travaux ont t effectus au sein de lquipe A3SI (dirige par Mr Olaf MALASSE) du centre Arts et Mtiers ParisTech de Metz qui a cofinance ce travail, et lquipe Architecture des Systmes de lENSEM de Casablanca. Cette thse a t dirige par le Professeur Jean-Franois AUBRY, mon codirecteur de thse franais, qui je tiens exprimer ma reconnaissance et mes profonds remerciements pour son encadrement, pour sa disponibilit pendant nos runions lINPL, ou dans les diverses runions avec les membres du projet de la fondation CETIM. Durant la priode de ma thse, jai assist toutes les runions effectues au sein de lquipe SACSS (Systmes Automatiss Contraints par la Sret de Fonctionnement et la Scurit) dirige par le Professeur Aubry, et qui fait partie du groupe thmatique SURFDIAG (Sret de Fonctionnement et Diagnostic des systmes) du Centre de Recherche en Automatique de Nancy (CRAN). Merci monsieur le professeur pour vos efforts et lintrt que vous avez apport mon travail.

tel-00601086, version 1 - 16 Jun 2011

Je tiens tmoigner toute ma gratitude et ma sincre reconnaissance Mr Olaf MALASSE Directeur de centre de comptence A3SI, de mavoir offert lopportunit dun PFE et loccasion de poursuivre par une thse, ainsi que pour lencadrement direct de ce travail. Merci de votre patience, et de votre implication matrielle et morale. Je tiens galement exprimer mes remerciements Mr Grgory BUCHHEIT, ingnieur de recherche au centre A3SI, pour sa coopration et sa participation ce travail. Je remercie le Professeur Jos RAGOT, Professeur denseignement suprieur (CRAN, INPL), pour l'honneur qu'il me fait en prsidant ce Jury de thse. Je tiens remercier galement : Madame Dr.HDR Zineb SIMEU-ABAZI, Monsieur Pr. Frederic KRATZ, Monsieur Pr. Luc HEBRARD, Monsieur Dr. HDR Nicolas HERAUD, Monsieur Dr. Karim HAMIDI-GEORGES, Monsieur Dr. Nicolae BRINZEI, Pour l'honneur qu'ils me font en participant mon Jury de thse, et particulirement Madame Zineb Simeu-Abazi Matre de Confrences Habilit du G-SCOP de lINP de Grenoble, Frdric Kratz Professeur l'ENSI de Bourge qui ont accept d'tre rapporteurs de mes travaux. Merci tous les membres du consortium CETIM pour leur disponibilit, leur bonne humeur et leur ambiance scientifique trs riche pendant les runions. Je veux remercier l'ensemble des

Remerciements permanents pour leurs critiques et conseils, et l'ensemble des doctorants : Mehdi JELLOULI et Benot DUBOIS pour l'ambiance conviviale qu'ils y mettent. Je remercie la Fondation CETIM, Fondation de France pour son soutien ce projet, et par consquent ma formation. Je remercie Monsieur Jean Claude BOEHM le reprsentant de la Fondation CETIM qui nous a accompagns durant toute cette exprience. Il me reste remercier toutes les personnes que jai rencontres durant cette aventure et avec qui jai travaill durant ces trois annes. Enfin, je ddie ce paragraphe tous ceux qui mont aid et support dans cette preuve. Je pense mes amis et ma famille grce qui jai pu en arriver jusque l.

tel-00601086, version 1 - 16 Jun 2011

tous les tres chers dont le soutien ma t indispensable.

Rsum

Rsum
La criticit des systmes complexes programmables ncessite de garantir un niveau de fiabilit et de scurit convenable. Des tudes de sret de fonctionnement doivent tre menes tout au long du cycle de dveloppement du systme. Ces tudes permettent une meilleure matrise des risques et de la fiabilit. Les points faibles sont mis en vidence et permettent aux concepteurs de spcifier des stratgies de reconfiguration avant la phase de prototype rel et les tests rels. Les tudes de sret de fonctionnement doivent tre menes au plus tt dans la phase de conception, afin de rduire les cots et le nombre de prototypes ncessaires la validation du systme. Le travail prsent dans ce mmoire de thse a pour objectif de dfinir une mthodologie de conception des systmes complexes programmables ddis une application mcatronique [Belhadaoui et al., 2008-a], intgrant ds les premires phases du cycle de dveloppement [At-Kadi et al., 2000], les aspects sret de fonctionnement. Lapport dune telle mthodologie doit permettre de faire face un certain nombre de contraintes propres au domaine des capteurs intelligents (les exigences de cahier des charges, le respect des normes lgislatives en vigueur). La mthodologie dveloppe doit permettre de : Modliser et simuler les comportements fonctionnels et dysfonctionnels des systmes Estimer la fiabilit par modlisation Raliser des mesures de sensibilit afin de connatre la contribution de chaque composant la fiabilit du systme Capitaliser la connaissance sur le systme au cours des diffrentes phases dvaluation (prvisionnelle, exprimentale et oprationnelle) pour affiner les estimations de fiabilit Ce Travail introduit le concept dinformation en sret de fonctionnement. Nous interprtons la dfaillance de celle-ci comme tant le rsultat de linitiation et de la propagation dinformations errones travers larchitecture dun capteur intelligent ddi une application mcatronique. Cette propagation sest accompagne de contraintes (partage de ressources matrielles et informationnelles, modes dgrads dinformation) qui tendent influencer fortement la crdibilit de cette information. Nous dbutons sur un tat de lart pour montrer lintrt de lapproche flux informationnel sur un cas dtude complexe. Ceci est li la prsence dune partie programmable (interaction matriel-logiciel) et videment du systme hybride (signaux mixtes analogique-numrique). Cette nouvelle approche distingue, les phnomnes dapparition et de disparition derreurs (matrielles, logicielles et environnementales), ainsi que les squences de propagation aboutissant un mode de dysfonctionnement du systme. Grce cette distinction nous expliquons les concepts mal traits par les mthodes conventionnelles, tels que la dfaillance simultane, la dfaillance de cause commune et abordons dune manire raliste les problmatiques des interactions matriel-logiciel et celle des signaux mixtes. Les squences de propagation derreurs gnres permettent laide dun modle markovien non homogne, de quantifier dune manire analytique les paramtres de la sret de fonctionnement du systme (fiabilit, disponibilit, scurit) et de positionner le capteur dans un mode de fonctionnement parmi les six que nous avons dfinis suivant les spcifications du cahier des charges.

tel-00601086, version 1 - 16 Jun 2011

Abstract

Abstract
The complexity of critical programmable systems requests the guarantee of high level of reliability and safety. The dependability studies should be conducted throughout the development cycle of the system. These studies provide better risk management and reliability. The weak points are highlighted, and enable designers to specify reconfiguration strategies before the prototype stage and real testing. The dependability studies must be conducted as soon as possible in the design phase, in order to reduce costs and the number of prototypes necessary to validate the system. The work presented in this thesis aims to define a design methodology of complex systems dedicated to a mechatronic programmable application [Belhadaoui et al., 2008-a], integrating as soon as possible dependability aspects in the development cycle [At-Kadi et al., 2000]. The provision of such a methodology must resist face a number of constraints specific to the intelligent sensors field (requirements specifications, compliance with standards legislation). The methodology developed enable to:

tel-00601086, version 1 - 16 Jun 2011

Modeling and simulate the functional and dysfunctional behavior of systems. Estimate the reliability by modelling. Achieve measures sensitivity to deduce the contribution of each component in the reliability of the system. Capitalize the system knowledge during different phases of evaluation (planning, experimental and operational) to refine estimations of reliability. This work introduces the concept of information dependability. It interprets the information failure, as a result of the initiation and propagation of failure information through the architecture. This spread has been accompanied by constraints (sharing hardware resource and information, degraded modes of information), which tend to influence the credibility of this information. We begin on a state of the art to show the interest of the information flow approach in a complex case study. This interest is linked to the presence of programmable part (hardware-software interaction), and obviously to the hybrid character of the system (mixed-signal analog and digital). This new approach distinguishes, the phenomena of appearance and disappearance of errors (hardware, software and environmental), as well as the sequences of propagation resulting to the system failures. With this distinction we explain the concepts badly treated by conventional methods, such as the simultaneous failure, the common cause failure and in a realistic manner convincing the issues of hardware-software interactions, and the mixed signals. The generated errors propagation sequences allows, with using a non-homogeneous Markov model, to quantify an analytical dependability parameters of the system (reliability, availability, security) and to position the sensor in an operating mode among six that have been defined according to the standards specifications.

Table des matires

Table des matires


Chapitre 0 : Introduction gnrale ............................................................. .......1 Chapitre 1: Sret de fonctionnement et ingnierie systme
1.1 Introduction ................................................................................................................ .............. ..8 1.2. Processus de conception ............................................................................................ .............. 10 1.2.1. Structure dun systme selon lEIA-632 .................................................... .............. 12 1.2.2. Prise en compte de la sret de fonctionnement........................................ .............. 13 1.2.2.1 Notions de base ........................................................................................... .............. 14 1.3. Mthode dvaluation des logiciels et des architectures matrielles ..................... .............. 15 1.3.1 Gnralits sur le processus de conception ................................................. .............. 15 1.3.2. Modlisation et valuation ........................................................................... .............. 17 1.3.3. Mthode de sret du logiciel ...................................................................... .............. 17 1.3.4. Mthode en sret des architectures matrielles ....................................... .............. 21 1.3.5 Sret de fonctionnement des systmes de commande programmable ... .............. 23 1.3.5.1. Validation de la conception dune architecture sre de Fonctionnement ................................................................................ .............. 24 1.3.5.1.1. Vrification formelle ............................................................ .............. 26 1.3.5.1.2. Analyse quantitative de la FMDS dune architecture sre ............. 28 1.3.5.1.3. Intgration des approches ................................................... .............. 29 1.4 Conclusion ................................................................................................................... .............. 30

tel-00601086, version 1 - 16 Jun 2011

Chapitre 2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique


2.1 Introduction ................................................................................................................ .............. 33 2.2 Systmes microprocesseurs .................................................................................... .............. 36 2.2.1 Une omniprsence mal matrise ....................................................................... .............. 36 2.2.2 Composants intelligents(SMART components)................................................ .............. 38 2.2.3 Typologie derreurs et mcanismes de protection ............................................ .............. 39 2.3 Place de lvaluation dans le processus de conception ............................................ .............. 42 2.4 Evaluation conjointe logiciel/matriel ...................................................................... .............. 43

Table des matires 2.5 Approche flux informationnel ................................................................................... .............. 44 2.5.1 Le modle flux informationnel ........................................................................... .............. 45 2.5.2 Diagramme de Flux Informationnel .................................................................. .............. 45 2.5.3 Automates dtats finis........................................................................................ .............. 46 Rgles de DEC-blocs ...................................................................................... .............. 48 2.5.4 Gnration des listes globales ............................................................................. .............. 49 2.5.5 Evaluation quantitative....................................................................................... .............. 49 2.6 Capteur intelligent - Description du prototype ..51 2.6.1 Partie sensible du capteur ..52 2.6.2 Unit de traitement analogique pour le conditionnement du signal ..52 2.6.3 Unit de traitement numrique... ..53 2.7 Conclusion ................................................................................................................... ..58

tel-00601086, version 1 - 16 Jun 2011

Chapitre 3 : Application de lapproche flux informationnelle lvaluation dun processeur


3.1. Introduction ............................................................................................................... .............. 60 3.2. Analyse fiabiliste dun microsystme numrique ................................................... .............. 61 3.2.1 Etude dune instruction simple .................................................................... .............. 62 a - Exemple de linstruction DUP ................................................................. .............. 62 b- Exemple de linstruction STORE ............................................................................ 63 3.2.2 Modle de haut niveau de lapproche flux informationnel appliqu sur linstruction DUP........................................................................................... .............. 64 3.2.3 Gnration des squences Exemple de linstruction DUP ................... .............. 65 a- Exemple de liste de fonctionnement nominale ........................................ .............. 66 b- Exemple dune liste de la combinaison de dfaillance ........................................... 66 c- Mot dune liste sans moyen de contrle Checker .............................. .............. 67 d- Mot dune liste avec moyen de contrle Checker ............................. .............. 67 3.2.4 Gnration des squences Exemple de linstruction STORE .............. .............. 67 a- Exemple de liste de fonctionnement nominale ........................................ .............. 68 b- Exemple dune liste de la combinaison de dfaillance ............................ .............. 68 3.3. Descriptive dvaluation quantitative du jeu dinstructions ................................. .............. 69 3.3.1 Exemple de deux instructions DUP et STORE ........................................... .............. 70 3.4. valuation dune application pour le mcanisme de recouvrement de fautes .... .............. 74 3.4.1 Modlisation des fonctions de sauvegarde .................................................. .............. 75 3.4.2 Modlisation des fonctions de restauration ................................................ .............. 76 3.5 Modlisation dune application logicielle Programme de Tri ........................... .............. 79 3.5.1 Programme sans prise en compte de tolrance........................................... .............. 79 3.5.2 Programme avec prise en compte de stratgie de tolrance...................... .............. 81 3.6 Conclusion ................................................................................................................... .............. 84

Table des matires

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique


4.1 Introduction ................................................................................................................ .............. 89 4.2 Etude fiabiliste de larchitecture dun capteur........................................................ .............. 89 4.2.1 Influences des fautes et critre de performance ......................................... .............. 90 4.2.2 Modes de dfaillance de la partie analogique du capteur.......................... .............. 90 4.2.3 Dfaillance par dpassement ........................................................................ .............. 91 4.2.4 Dfaillance par temps de rponse ................................................................ .............. 92 4.2.5 Dfaillance de prcision ................................................................................ .............. 92 4.3 Etude prliminaire et analyse des modes de dfaillance ......................................... .............. 92 4.3.1 Dtermination des contraintes ..................................................................... .............. 92 4.3.2 Dtermination des taux de dfaillance ........................................................ .............. 93 4.3.2.1 Dtermination des taux de dfaillance ou fiabilit des composants.............. 93 4.3.2.2 Calcul des taux de dfaillance ou de la fiabilit des blocs et de systme ...... 93 4.3.3 Gnralits ..................................................................................................... .............. 94 4.3.4 Sources dinformations disponibles ............................................................. .............. 94 4.3.4.1 Ajustement des taux de dfaillance................................................... .............. 94 4.3.4.2 Exemple de donnes de base extraites du MIL-HDBK-217 ........... .............. 96 4.4. Modlisation selon lapproche flux informationnel ............................................... .............. 96 4.4.1 Sources de dfaillance ................................................................................... .............. 96 4.4.2 Modlisation dune instruction simple ........................................................ .............. 98 4.4.3 Cas dtude : Programme de Tri ................................................................. .............. 103 4.5 Exploitation des rsultats pour lamlioration de la fiabilit ................................. .............. 105 4.5.1 Redondance et vote majoritaire ................................................................... .............. 105 4.6 Conclusion ................................................................................................................... .............. 106

tel-00601086, version 1 - 16 Jun 2011

Conclusions gnrales et perspectives ........................................................ ............ 108 Rfrences bibliographiques ....................................................................... ............ 116

Acronymes ..................................................................................................130
Annexe A ....................................................................................................... ............ 142 Annexe B........................................................................................................ ............ 146 Annexe C ....................................................................................................... ............ 151 Annexe D ....................................................................................................... ............ 155

Liste des figures

Table des matires

Chapitre 0
Figure 0.1 Elments de comparaison entre lavionique et lautomobile (source P. Koopmann Carnegie Mellon)................................................................................................................ .............. 2 Figure 0.2 Interaction du systme et son environnement ................................................... .............. 3 Figure 0.3 Synergie des technologies pour construire les systmes mcatroniques .......... .............. 4 Figure 0.4 Moyens dintgration de la sret de fonctionnement [Lap 05]. ...................... .............. 5

Chapitre 1
Figure 1.1 Intgration des processus de dveloppement matriel et logiciel (USA) ........ .............. 10

tel-00601086, version 1 - 16 Jun 2011

Figure 1.2 Processus de dveloppement dune architecture programmable ..................... .............. 11 Figure 1.3 Evolution des principales normes de lIS [Verri10] ......................................... .............. 12 Figure 1.4 Cycle de dveloppement dapplications Matriel/logiciel................................ .............. 16 Figure 1.5 Mthodes qualitatives et quantitatives de la sret de fonctionnement ............ .............. 22 Figure 1.6 Interactions entre conception et validation des architectures ........................... .............. 30

Chapitre 2
Figure 2.1 Architecture gnrale dun systme mcatronique ........................................... .............. 33 Figure 2.2 Processus de reconfiguration dynamique des systmes mcatroniques ........... .............. 34 Figure 2.3 Chane dacquisition sans lment numrisation du signal .............................. .............. 34 Figure 2.4 Chane dacquisition dun capteur muni dun lment intelligent (processeur) .............. 35 Figure 2.5 Infrastructure de technologie dinformation ..................................................... .............. 36 Figure 2.6 Distribution de la mmoire en fonction de la taille du logiciel ........................ .............. 37 Figure 2.7 Vision global dun lment de mesure intelligent.. ............. 42 Figure 2.8 Diffrentes couches dune architecture informatique ....................................... .............. 39 Figure 2.9 Positionnement de lvaluation fiabiliste dans le cycle de conception..42 Figure 2.10 Positionnement modles / traces ..................................................................... .............. 43 Figure 2.11 Positionnement de lvaluation fiabiliste dans le cycle de conception logiciel/matriel ......................................................................................... .............. 44 Figure 2.12 Processus dvaluation .................................................................................... .............. 45 Figure 2.13 Diagramme de flux informationnel pour un arrt durgence .......................... .............. 46

Table des matires Figure 2.14 Modle dun automate dune entit fonctionnelle ........................................ .............. 48 Figure 2.15 Architecture globale de capteur intelligent [mkhida 08] ..51 Figure 2.16 Evolution technologique de llment sensible dun capteur ......................... .............. 52 Figure 2.17 Schma lectronique de la partie analogique du capteur ................................ .............. 53 Figure 2.18 Architecture de processeur pile .................................................................... .............. 55 Figure 2.19 Organigramme dexcution de programme de Tri.......................................... .............. 56 Figure 2.20 Impact du nombre de recouvrement sur le temps dexcution...57 Figure 2.21-a- Surcot protection logicielle scnario 2 ....57 Figure 2.21-b- Surcot protection logicielle scnario 4 ....57

tel-00601086, version 1 - 16 Jun 2011

Chapitre 3
Figure 3.1 Chemin de donnes de linstruction DUP........................................................................ 63 Figure 3.2.a. Modle RTL de linstruction STORE -1er front dhorloge ......................................... 63 Figure 3.2.b. Modle RTL de linstruction STORE 2me front dhorloge .................................... 64 Figure 3.3. Modle informationnel de linstruction DUP sans et avec Checker ............................... 64 Figure 3.4 Modle de bas niveau de linstruction DUP .................................................................... 66 Figure 3.5 Modle de bas niveau de linstruction DUP en prsence dun Checker .......................... 67 Figure 3.6 Modle de haut niveau de STORE................................................................................... 68 Figure 3.7 Modle de bas niveau de linstruction STORE................................................................ 68 Figure 3.8 Arbre de mode dfaillance 2 (recherche de disponibilit) ............................................... 71 Figure 3.9 Interface de cration des vnements de base.................................................................. 71 Figure 3.10 Calcul de probabilit dun vnement en cas de deux composants en parallle72 Figure 3.11 : Calcul de probabilit dun vnement en cas de deux composants en srie.72 Figure 3.12 : Interface du logiciel Aralia en choisissant la loi de Weibull72 Figure 3.13 Vue Globale dune application logicielle ...................................................................... 75 Figure 3.14 Organigramme de calcul des probabilits de dfaillance des zones 2 et 3 .................... 77 Figure 3.15 Modle de boucle de programme pour la sauvegarde de DSP selon les trois niveaux ................................................................................................................................. 78 Figure 3.16 Organigramme de lalgorithme du programme de tri de dix variables avec lajout de tolrance aux fautes ........................................................................................................................... 82

Table des matires Figure 3.17 Arbre de dfaillance de programme de Tri en prsence de recouvrement .................... 83 Figure 3.18 Probabilit dtre dans un mode de dfaillance avec et sans prsence de tolrance...... 84

Chapitre 4
Figure 4.1: Schma lectronique de la partie analogique du capteur ................................. .............. 97 Figure 4.2: Modle de haut niveau de larchitecture du capteur dans le cas dune instruction ADD.. 99 Figure 4.3: Modle de haut niveau en absence de la partie analogique ............................. .............. 99 Figure 4.4: Modle de bas niveau correspond une instruction assembleur ..................... .............. 101 Figure 4.5: Reprsentation graphique des rsultats du tableau 4.4 .................................... .............. 102 Figure 4.6: Modle hirarchique dune application logiciel .............................................. .............. 103

tel-00601086, version 1 - 16 Jun 2011

Conclusion et annexes
Figure C.G.1 Dmarche de la mthode globale propose .................................................. .............. 115 Figure A.C.1 Modle de haut niveau de deux composants ................................................ .............. 155 Figure A.C.2 Modle de bas niveau de la figure A.C.1 ..................................................... .............. 155 Figure A.C.3 Dmarche de lvaluation fiabiliste selon lapproche flux informationnel .. .............. 156 Figure A.C.4 Arbre de cause correspondant la liste Lcorrect ............................................ .............. 157 Figure A.C.5 Arbre de dfaillance correspondant la liste Lincorrect .................................. .............. 157 Figure A.D.1 Taxonomie de la sret de fonctionnement[AVI 04] ..................................... .............. 160 Figure A.D.2 Exemple dun rseau de Petri ....................................................................... .............. 164 Figure A.D.3 Modlisation des tats normaux et de panne dun composant ..................... .............. 168

Liste des tableaux

Table des matires

Chapitre 3
Tableau 3.1. Rsultat sans dispositif de dtection .............................................................. .............. 73 Tableau 3.2 Rsultat avec dispositif de dtection et de recouvrement ............................... .............. 73 Tableau 3.3 Probabilits des instructions simples .............................................................. .............. 74 Tableau 3.4 Rsultats des instructions propres aux fonctions de tolrance ....................... .............. 79 Tableau 3.5 Valeurs de probabilits du programme de Tri sans prise en compte de fonctions de recouvrement ............................................................................. .............. 81 Tableau 3.6 Valeurs de probabilits relatives au programme de Tri avec prise en compte de fonctions de recouvrement ....................................................... .............. 83 Tableau 3.7 Rsultats de comparaison de programme de Tri dans le cas de tolrance et sans tolrance ......................................................................... .............. 83

tel-00601086, version 1 - 16 Jun 2011

Chapitre 4
Tableau 4.1 : Taux de dfaillance des composants standards ............................................ .............. 94 Tableau 4.2 : Coefficients de correction selon lenvironnement de travail........................ .............. 95 Tableau 4.3 : Mcanismes et leurs modes de dfaillance analogique ................................ .............. 98 Tableau 4.4 : Rsultats relatifs une instruction ADD ...................................................... .............. 102 Tableau 4.5 : Effet de lajout de la partie analogique sur ltude de la fiabilit du capteur.............. 104

Annexes
Tableau A.A.1 AMDEC de la partie de traitement analogique ......................................... .............. 146 Tableau A.A.2 AMDEC de la partie logique programmable ............................................. .............. 148 Tableau A.B.1 Bases de donnes de la fiabilit lectronique ............................................ .............. 149 Tableau A.B.2 Rsultats FIDES pour des composants lectroniques ................................ .............. 152

Introduction gnrale

Chapitre 0 : Introduction gnrale

tel-00601086, version 1 - 16 Jun 2011

-1-

Introduction gnrale Le mirage de lre du tout numrique entrane notre socit vers plus dinconscience et dinsouciance envers les systmes intelligents qui sont magnifis des fins mercantiles. La gnralisation du Plug and Play (ajout facilit et transparent de fonctionnalits aux systmes) impacte invitablement la gestion et le traitement des fonctions prcdemment installes: nouvelles interactions ; nouveaux partages des temps La complexit des systmes devient transparente en apparence avec la miniaturisation et linformatisation. Elle existe toujours, mais nest plus aisment apprhendable et visible par lhomme (cela rsulte aussi des outils de CFAO qui permettent de concevoir et de raliser sans parfaite matrise les systmes). Dans une socit mercantile, le Bug est banalis (1 Bug 1 Reset, ou on jette : cest bon pour le commerce !). Le systme industriel a, quant lui, une dure de vie de 4 50 ans !! Et si un Reset est possible sur un systme isol, il existe ici un risque dengagement de la scurit pouvant concerner plusieurs milliers de personnes (plusieurs millions dans le cas du Nuclaire). Lingnierie des systmes complexes, avec ses outils de conception et dveloppement, fait partie des marchs applicatifs reconnus forte valeur ajoute (System@tic, ITEA). Ces systmes (6 Md $ en 2007) embarqus et distribus, haute exigence en sret de fonctionnement, font massivement recours des architectures (circuits et systmes) lectronique programmable, o le logiciel est devenu important. Une demande toujours croissante en performances, des contraintes conomiques plus tendues, une croissance exponentielle de la taille des circuits/systmes et du code grant ces circuits ont pour consquence de rendre la conception, la ralisation et la mise au point de ces systmes de plus en plus dlicate (que penser alors des conditions dun rtrofit ?). Mme les plus grandes socits ne sont plus mme de circonscrire la dure de la phase pr-commerciale et plus grave encore, de commercialiser un circuit/systme exempt derreurs. La vrification fonctionnelle des systmes combinant la fois matriel et logiciel ne seffectue actuellement qu la fin du processus de conception. Cette phase se rvle excessivement coteuse et pnalisante au sein du processus dintgration produit/systme. Les bureaux dingnierie ont tendance dvelopper en premier lieu un modle abstrait du systme, pour ensuite en tester les fonctionnalits, la fiabilit et les performances que des composants bass sur un tel modle seraient mme doffrir. Lenjeu conomique est dimportance [Bergeron et al., 2010], la validation peut reprsenter jusqu 70% de leffort de conception, 80% des lignes de code dun projet, et il existe plus dingnieurs de vrification que de concepteurs.
Automobiles (USA) Units dployes Heures oprationnelles / an Cot par vhicule Mortalit / an Accidents / an Mortalit / million dheures Qualification des oprateurs Niveau de redondance 100 000 000 30 000 millions 20 000 $ 42 000 21 millions 0,71 Faible Uniquement sur les freins Avions commerciaux (USA) 10 000 55 millions 65 millions $ 350 170 6,4 leve Tout systme critique

tel-00601086, version 1 - 16 Jun 2011

Figure 0.1 : Elments de comparaison entre lavionique et lautomobile (source P. Koopmann Carnegie Mellon)

-2-

Introduction gnrale Lingnierie de la sret ne peut se satisfaire da priori, aussi crdibles et partags soientils ! Le risque associ aux transports de masse reste trs suprieur celui du transport individuel (Figure 0.1). Les prcautions et investissements ddis la sret et la scurit dans la conception et lexploitation des aronefs sont parfaitement justifis au regard de la mortalit compare au nombre dheures de fonctionnement. La massification des transports, en ltat actuel des techniques et organisations industrielles, reprsente un risque important mal apprhend par les gestionnaires et la technocratie. Les ingnieries de llectronique numrique et du logiciel occupent donc une place prpondrante dans le processus de conception et de vrification des systmes informatiss. Les niveaux dintgration des composants lectroniques, de complexit et de taille du code embarqu croissent continuellement et cette croissance saccompagne dune plus grande sensibilit aux perturbations (les environnements naturel et technologique devenant eux aussi plus agressifs) et aux autres attaques (exigence forte quant la capacit des systmes communiquer). Un systme est un ensemble complexe de fonctions, soumis des alas (dclenchement derreurs systmatiques, bit flips, dfaillances matrielles), devant rendre un service dfini, quelque soient son tat interne, ltat de son environnement et le niveau de stress appliqu (Figure 0.2).
Situation
criticit de la raction

tel-00601086, version 1 - 16 Jun 2011

conception
Robustesse, err. rsiduelles

Systme SED
mode de fonctionnement

impacts environnement
CEM, accidents, pollutions

environnement
normal-dgrad-extrme stress exognes

sret
FMDS, risque, perf. conomiques

profil de mission
stress oprationnel

interface

tat interne
variables dynamiques

interface qualit de service


performances dynamiques

org. oprationnelle
maintenance

autres entres
interactions autres syst.

SD Systme de dfense

interactions autres systmes


propagation de fautes

stress intrinsques

Fautes
systmatiques-alatoires

prvention-protection-sauvegarde

Figure 0.2: Interaction du systme et son environnement. Tous les systmes mcatroniques (Figure 0.3) sont complexes. Le nombre des combinaisons possibles des tats des parties pose un problme dexplosion combinatoire qui conduit des nombres gigantesques dtats possibles. Cette complexit est un dfi pour la sret de fonctionnement. Pour laugmenter on a souvent recours la redondance, dploiement d'une multitude de versions diffrentes d'un mme schma ou motif (pattern) qui participe ellemme laugmentation de la complexit. On parle de redondance fonctionnelle (exemple : la reprise en mode dgrad ou de secours dune fonction) ou de redondance structurelle qui dsigne des structures diffrentes pour excuter une mme fonction (comme le double circuit

-3-

Introduction gnrale de freinage d'une voiture automobile ou plusieurs ateliers diffrents ou usines diffrentes pour fabriquer une mme pice ou un mme engin).

Figure 0.3 : Synergie des technologies pour construire les systmes mcatroniques.

tel-00601086, version 1 - 16 Jun 2011

La structure fonctionnelle des systmes (ensemble logiciel et matriel) est de facto devenue complexe et variable. Prvenir et liminer les fautes font partie des attendus des processus de dveloppement et de vrification. Les fautes issues derreurs rsiduelles la conception, ou ralisation des composants lectroniques, ou du logiciel, sont certes localisables, identifiables et reproductibles, mais difficilement dtectables ! Les causes potentielles de dfaillance se rvlent multiples : matrielles, logicielles, environnements de dveloppementLa non cohrence, les combinaisons derreurs potentiellement latentes et dormantes dpendant de ltat du systme et la complexit des applications rendent lanalyse difficile. Les types de dfaillance [Aiguo L. et Bingrong H., 2007] peuvent galement se combiner : dfaillance dexcution (non progression, boucle infinie, plantage), fonctionnelle (mauvais traitement), oprationnelle (dlai de traitement non respect, indisponibilit). Le traitement (dtection et recouvrement) des erreurs apporte, au prix dune augmentation des niveaux de complication et de complexit du systme, la garantie dune meilleure probabilit de comportement satisfaisant du systme. Lintgration de mcanismes (matriels et logiciels) de tolrance aux fautes intrinsques par conception, par la commande ou par diagnostic et reconfiguration, modifient sensiblement larchitecture matrielle et logicielle (firmware, application) et impactent la dynamique et la FMDS (fiabilit, maintenabilit, disponibilit et scurit) des systmes. Les aspects fonctionnels et dysfonctionnels doivent tre pris en considration pour lvaluation des performances (en terme fiabiliste et de qualit de service) dun systme. De nombreux rfrentiels encadrent le dveloppement des systmes contraints par des impratifs de sret et de scurit, tel la norme gnrique CEI 61508 [CEI 61058] dcrivant le processus de dveloppement des systmes E/E/EP ddis aux applications relatives la scurit des systmes industriels. La sret de fonctionnement dun systme peut-tre dfinie comme laptitude d'une entit assumer une ou plusieurs fonctions requises dans des conditions donnes [CEI 50191], dont la variation sur occurrence dvnement(s) peut induire une dfaillance du systme. Les dpendances (relles ou potentielles, dans leur acception explicite ou implicite) entre parties dun systme, induisent des interactions entre elles, rendant difficile la compltude des spcifications du systme. Cette complexit, intrinsque lingnierie systmes, la confronte de fait aux problmatiques des interactions multi-physiques et inter-disciplinaires. La

-4-

Introduction gnrale mcatronique, combinaison synergique et systmique de mcanique des solides et des fluides, d'lectronique, et d'informatique temps relprocde de cette complexit (Figure 0.3) Les moyens de garantie de la Sret de Fonctionnement (Dependability) (Figure 0.4) sont gnralement assimils llimination, la prvention et la tolrance aux fautes [Lap 04]. Ltude de ses proprits mle analyse de la Fiabilit (Reliability), de la Maintenabilit (Maintenability), de la Disponibilit (Availability), de la Scurit innocuit (Safety), de la Confidentialit (Security) et de lIntgrit (Intgrity) de linformation. Des attributs secondaires ont galement t dfinis : la Robustesse (persistance dun comportement correct en prsence de fautes), la Rsilience (capacit dadaptation), lAuthenticit, la Survivabilit

tel-00601086, version 1 - 16 Jun 2011

Figure 0.4 : Moyens dintgration de la sret de fonctionnement [Lyonnet P., 2006]. Lvaluation des performances fiabilistes (FMDS) des systmes embarqus complexes ncessite le dveloppement de nouvelles approches. Dans les systmes intgrant du logiciel, la structure fiabiliste des fonctions dpend du logiciel. La recherche des squences dvnements menant la dfaillance du systme doit donc associer logiciel et matriel. La mthode doit contribuer lanalyse qualitative et quantitative de la sret des systmes et microsystmes. Ce rapport de thse est structur pour aborder en dtail chacun de ces volets : Les dfinitions indispensables la comprhension des concepts de base de la sret de fonctionnement sont abordes au dbut du chapitre I. Les mthodes et les outils ncessaires pour entreprendre les analyses prvisionnelles de sret de fonctionnement pour des systmes en cours de conception sont classs selon la mention qualitative et quantitative dans le chapitre I.

-5-

Introduction gnrale Lintgration de la sret de fonctionnement en ingnierie systme et notamment dans la conception des composants dautomatismes intelligents [Seung J.R. et Kosuke I., 2003], [Wen Y.K. 2001] est prsente dans le chapitre II. Nous proposons une architecture de capteur intelligent pour une application mcatronique. Nous dtaillons dans le mme chapitre les problmatiques lies la sret de fonctionnement des capteurs intelligents. Lanalyse fiabiliste pour la conception des systmes intelligents signaux mixtes, et la gnralisation de la mthode du flux informationnel [Hami et al.,2005] dans la partie logique programme du capteur sont des points traits dans le chapitre III. Ltude globale de larchitecture dun capteur intelligent, illustre par une valuation fiabiliste de lexcution dune application logicielle, embarque sur une architecture de processeur pile, est ralise en dtail dans le chapitre IV. La robustesse de ce type de capteur est troitement lie aux techniques de tolrance aux fautes utilises. Nous consacrons la dernire partie du chapitre IV ltude de limpact de ces techniques sur les performances.

tel-00601086, version 1 - 16 Jun 2011

-6-

Chapitre1 : Sret de fonctionnement et ingnierie systmes

Chapitre 1 :
Sret de fonctionnement et ingnierie systme

tel-00601086, version 1 - 16 Jun 2011

-7-

Chapitre1 : Sret de fonctionnement et ingnierie systmes

1.1 Introduction
Les systmes numriques de contrle/commande ont conquis quasiment tous les domaines dapplications [Barana et al., 2004] [Khobare et al., 1998], quelque soit leur niveau de criticit. Parmi les caractristiques partages par ces systmes nous citons leur complexit intrinsque croissante (intelligence distribue, redondances, fonctionnalits hirarchises...) et leur interaction avec lenvironnement (contraintes temps rel, applications critiques). Cette complexit croissante rend obsolte les mthodes de conception et dvaluation actuelles. Il est illusoire de matriser compltement la conception et la pratique des systmes complexes. Les mthodes de conceptions ne permettent quune approche partielle et parcellaire des problmes : simplifications des contraintes mal matrises, modles inadquats, compltude du prototypage, outils de conception et technologies limits Il nexiste pas de solution entirement satisfaisante pour la rsolution de ces problmes. Cest la raison pour laquelle nous recherchons amliorer et valider sa conception. Lenjeu actuel est de dfinir un systme, intgrant des interactions internes (matriel/logiciel, fonctionnelles, dysfonctionnelles) et externes (environnements).

tel-00601086, version 1 - 16 Jun 2011

Lors de la conception dun systme, les concepteurs doivent respecter des exigences (les dlais, les cots, la sret de fonctionnement, les performances) exprimes par diffrentes parties : concepteur (chercheurs et ingnieurs), matre duvre (intgrateurs), matres douvrages, exploitants Dans le domaine des systmes programmables, de nombreuses mthodes et outils ont t dvelopps pour faire face la complication et la complexit croissante. Une mthodologie systmique savre ncessaire pour garantir que le systme conue respecte les exigences du cahier des charges. Une recherche bibliographique montre que les principaux dfauts de conception sont dus : des besoins mal spcifis, incomplets ou errons ou des exigences (cahier des charges) mal formules, lvolution des besoins ou des exigences dans le temps, la non accumulation de savoir-faire et le manque de retour dexprience, lvolution technologique, la dfinition errone dinterfaces, la pression de la concurrence, lextension dexigences fonctionnelles. Gnralement, dans la conception des systmes complexes, chaque fonction pouvait tre tudie et dveloppe indpendamment des autres et limplication de la sret de fonctionnement se rsumait la rutilisation de modles gnriques bass sur le retour dexprience. Cette approche conventionnelle ne permet pas la prise en compte des risques lis linteraction entre ces fonctions matriel/logiciel. Il est donc important de formuler les exigences de sret de fonctionnement non seulement localement (pour chaque sous systme), mais globalement (pour le systme entier). Cela revient formuler ces exigences au niveau du systme complet et, ensuite, les dcliner des niveaux plus bas (jusquaux simples composants). Le cycle en V est traditionnellement utilis dans la description du cycle de dveloppement dun systme embarqu. Le cycle est compos de deux branches. La branche descendante, qui -8-

Chapitre1 : Sret de fonctionnement et ingnierie systmes correspond une dmarche de raffinements successifs, dcrit les phases de conception allant de labstrait, qui dmarre avec lexpression des besoins, au particulier. La branche ascendante dtaille les phases dintgration et de validation correspondant chaque phase de conception. La conception dun systme suivant le cycle en V gnre un retarder du au choix de la technologie de ralisation. Dans cette optique, les efforts sont concentrs que sur la spcification et non sur les interactions au moment de lintgration, ce qui entrane le non matrise du comportement rel du systme intgr. Les systmes actuels sont de plus en plus complexes car ils intgrent des fonctionnalits supplmentaires, des technologies varies et doivent tre oprationnels sur des priodes longues. Ces systmes demandent aussi de longues priodes de dveloppement pendant lesquelles les besoins et les technologies voluent. Rsultat les cots et les dlais deviennent rdhibitoires compte tenu dun environnement o la comptitivit mondiale est de rigueur. Pour prendre en considration ces conditions, une discipline a t dfinie, il s'agit de l'Ingnierie Systme (IS).

tel-00601086, version 1 - 16 Jun 2011

La particularit de lIS est de considrer la fois les aspects techniques et les aspects logistiques (financiers, stockage, transport). LIS a t traditionnellement une discipline applique aux systmes physiques ; depuis une dizaine dannes, lIS sapplique dans la conception des systmes complexes. Les domaines concerns sont la tlcommunication, les systmes dinformation, les systmes de transport, les services financiers et autres applications allant du domaine mdical au gnie des procds. Lingnierie systme, science transdisciplinaire par obligation [Angeli A.M., 1996], a t dfinie ds les annes soixante dans le standard Mil-Std-499. Elle doit intgrer des spcialistes de disciplines diffrentes dans un projet commun. Une grande partie des secteurs de lingnierie est concerne (lectronique, automatique, informatique, mcanique). Ces domaines sont concerns par cette discipline agrgative qu'est l'ingnierie systme, et qui a engendr de nouvelles appellations, comme la mcatronique (1) Elle propose un processus structur de la conception dun systme. Elle a pour objectif de formaliser et d'apprhender la conception des systmes complexes. Les premiers organismes s'y intresser ont donc t les grandes institutions de la dfense amricaine (NASA, USAF), afin de cadrer le dveloppement de leurs programmes au travers d'approches industrielles plus rationnelles. Ils ont donn une dfinition assez ambitieuse lingnierie systme : Systems engineering is a robust approach to the design, creation, and operation of systems. In simple terms, the approach consists of identification and quantification of system goals, creation of alternative system design concepts, performance of design trades, selection and implementation of the best design, verification that the design is properly built and integrated, and post-implementation assessment of how well the system meets (or met) the goals.

Mcatronique : nologisme form en 1969 par un ingnieur de Yasukawa, ce terme dsigne une dmarche qui regroupe les savoir-faire mcanique, lectronique et informatique pour concevoir des produits plus performants, plus compacts et moins onreux.

(1)

-9-

Chapitre1 : Sret de fonctionnement et ingnierie systmes Si lingnierie des systmes matriels et celle des logiciels ont volu en toute indpendance, les normes et directives rcentes mettent l'accent sur la ncessit d'intgrer ces deux processus [Al-Dhaher A. H. G., 2001] (figure 1.1).

tel-00601086, version 1 - 16 Jun 2011

Figure 1.1 : Intgration des processus de dveloppement matriel et logiciel (USA) Lacclration des dveloppements technologiques, ces dernires annes, sest traduit par laugmentation du nombre des composants lmentaires dans les systmes. Un systme complexe est un systme compos d'un grand nombre d'entits en interaction locale et simultane. Il n'existe pas de dfinition formelle de ce qu'est un systme complexe, mis part un seul consensus qui stablit autour de certaines proprits comme la complexit des interactions, boucles de rtroaction, et intgration de sous-systmes. Un systme complexe est un systme structur. Sa structure subit une variation selon lapplication [Goldenfeld et al., 2006], dans laquelle le nombre de composants indpendants en interaction est grand. Il existe de multiples voies par lesquelles le systme peut voluer [Whitesides et al., 2007], elles sont trs sensibles aux conditions initiales ou aux petites perturbations. Lingnierie systme intgre le dveloppement et l'organisation des systmes complexes.

1.2. Processus de conception


Les systmes complexes requirent une grande rigueur, lors de leur conception, dans les choix des architectures et lintgration de leurs composants. Do la ncessit dactivits dingnierie complmentaires telles l'ingnierie du contrle/commande, de la conception d'interface (extensibilit des systmes), lingnierie de la performance, le gnie logiciel (SysML, CMMI, mthodes orientes objet, ingnierie des exigences, langage formels), lingnierie de la fiabilit (s'applique tous les aspects du systme, lment essentiel de l'ingnierie de la scurit, s'appuie trs largement sur les statistiques, la thorie des probabilits), lingnierie de la scurit (identification, minimisation des risques essentiels - 10 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes la scurit), lingnierie de la sret (domaine interdisciplinaire qui intgre lingnierie du contrle/commande, de la fiabilit, de la scurit et des systmes), lingnierie de la maintenance (maintien oprationnel des fonctions).

tel-00601086, version 1 - 16 Jun 2011

Figure 1.2 : Processus de dveloppement dune architecture programmable Le processus de dveloppement au sens de la MIL-STD-499A (Figure 1.2) est constitu de : Transformation dun besoin oprationnel en termes de performances, la configuration dun systme est le fruit d'un processus itratif allant de sa dfinition aux essais et son valuation, via les phases de synthse, danalyse et de conception. Intgration des paramtres techniques permettant dassurer la compatibilit physique, fonctionnelle, et informatique optimisante.

- 11 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes Intgration de la fiabilit, la maintenance, la scurit, et tout facteur influenant les cots de possession financier et techniques du systme. Lors de la conception dun systme complexe incluant de nouvelles technologies, afin de mener dans les meilleures conditions le projet, les concepteurs utilisent des normes qui les aident accomplir leur mission durant le dveloppement. Parmi ces normes, on peut citer la norme EIA-632 [STA-EIA], ISO 15288 et IEEE 1220.

tel-00601086, version 1 - 16 Jun 2011

Figure 1.3 : Evolution des principales normes de lIS [Verri10].

1.2.1. Structure dun systme selon lEIA-632


La norme EIA-632 est lune des normes les plus utilises dans le domaine de lIngnierie Systme [Sadou et al., 2005]. Une telle norme a t dploye principalement dans des industries de laronautique, de production et militaires. Cette norme complte les processus techniques de dfinition du systme en couvrant la ralisation des produits jusqu leur mise en service (mise en utilisation). De plus, elle inclut les processus contractuels dacquisition et de fourniture. Un processus est un ensemble dactivits interactives [AFIS] coordonnes pour transformer progressivement des lments d'entre en produits. Un processus normalis dcrit les types dactivits raliser et de rsultats attendus de ces activits. Ces processus doivent rpondre un certain nombre d'exigences selon des normes [EIA 1999]. La norme EIA-632 dfinit 13 processus de dveloppement : 3 processus de Management Technique 2 processus d'Acquisition et de Fourniture 2 processus de Conception 2 processus de Ralisation 4 processus d'Evaluation Technique

Ces processus sont utiliss chaque niveau de hirarchisation des produits finaux, pour chaque module, pour les spcifier, les modliser et, bien sr, pour les dvelopper.

- 12 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes Selon les informations recueillies sur lchec de projets industriels [Sahraoui A.E.K.,2006], gnralement la cause de lchec du projet est la ngligence des produits qui contribuent la conception du systme en question. En effet, la plupart des partenaires se focalisent uniquement sur le dveloppement des produits finaux (End products). La norme EIA-632, introduit le concept de produit capacitant (enabling product). Il sagit des tapes qui permettent dobtenir un produit final et peuvent tre utiliss par plusieurs produits finaux. Le dveloppement du systme selon la norme industrielle (EIA-632) consiste dcomposer le systme entre produits finaux et tapes suivre et dexplorer un ensemble de processus qui sera appliqu pour le dveloppement des produits finaux. L'infrastructure pour le dveloppement se base sur les problmes de la logistique, qui sont considrs comme des produits capacitants dans le cadre de lEIA-632. Ces produits capacitants seront utiliss pour excuter lensemble des processus associs au dveloppement, la production, au dploiement, et la formation des oprateurs afin dutiliser les produits finaux.

tel-00601086, version 1 - 16 Jun 2011

Gnralement il y a sept types de produits capacitants (tapes suivre) contribuant la production dun produit final : la phase de dveloppement, la production, le test, le dploiement, la formation des oprateurs pour savoir utiliser le produit, le support du produit, et la retraite du produit (recyclage). Le dveloppement dun systme (produit dsir) est dcompos en une hirarchie de soussystmes dfinis en tant que modules. Le dveloppement dun module de niveau infrieur est lanc ds que le module de niveau suprieur est compltement spcifi. A partir de l, le module est considr comme un produit qui a des caractristiques et des exigences identifies et fait l'objet d'un dveloppement de mme type que le systme dsir. La dcomposition se poursuit jusqu lidentification de trois catgories de produits finaux : Produits finaux sur tagre, Produits finaux pouvant tre implments directement, Produits finaux pouvant tre fournis par un sous-traitant.

1.2.2. Prise en compte de la sret de fonctionnement (SdF)


Dans plusieurs cas dtude les attributs de la SdF sont pris en compte une chelle composant/quipement, ou plus gnralement pour chaque sous-systme homogne (mcanique, lectronique...) dune manire ascendante. Beaucoup dautres pistes sont ouvertes dans la dmarche systmatique de type descendante. Dans lapproche systme [Sadou et al., 2005], la prise en compte de la sret de fonctionnement doit tre faite toutes les tapes de conception. Si on considre, une exigence de fiabilit dfinie globalement sur le systme, sa formalisation et son analyse devront permettre de sassurer que les solutions techniques choisies au fur et mesure de lavancement de la conception et de la ralisation permettent de prendre en compte correctement cette exigence au niveau des sous systmes et de leur intgration. Le processus de vrification et de validation doit apporter les techniques et les solutions pour garantir le degr de fiabilit spcifie. Les diffrentes mthodes et outils de lanalyse de la sret de fonctionnement sont ainsi dterminants dans le choix des solutions techniques envisager. La - 13 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes conception dun systme en prsence dune exigence de fiabilit donne, ncessite ltude des dfaillances possibles ; cest une tude sur les scnarios redouts qui permet dorienter la recherche des solutions techniques (reconfiguration, redondance, rduction des taux de dfaillances), autrement dit cest le respect de lexigence en sret tout au long de la dmarche Ingnierie Systme. 1.2.2.1 Notions de base Les notions de sret de fonctionnement des systmes (ensemble de matriel et de logiciel) se basent sur la dfinition suivante la Sret de Fonctionnement dun Systme (SdF) est la proprit qui permet ses utilisateurs de placer une confiance justifie dans le service quil leur dlivre [Laprie J.C.,1995]. Nous pouvons tirer un ensemble de dfinition de ses attributs dans le sens large: Etre en mesure de raliser instantanment une fonction, cest la Disponibilit. Capable dassurer la fonction trop longue temps, cest la Fiabilit. Non-occurrence de consquences catastrophiques, cest la Scurit-innocuit. Non-occurrence de divulgations non-autorises de linformation, cest la Confidentialit . Non-occurrence daltrations inappropries du systme, cest lintgrit . Aptitude aux oprations et aux volutions, cest la Maintenabilit. Dans la terminologie de la sret de fonctionnement, nous distinguons entre faute, erreur et dfaillance [Laprie J.C.,2004], gnralement selon la succession suivante : Faute Erreur dfaillance Faute est une cause adjuge ou suppose dune erreur. Erreur est la partie de ltat du systme qui est susceptible dentraner une dfaillance. Dfaillance survient lorsque le service offert par le systme ne correspond pas la fonction qui lui en est demande. Dans la pratique, les fautes et leurs sources sont naturellement diverses. Nous pouvons les partager selon plusieurs points de vue : Cause phnomnologique (fautes physiques ou fautes dues lhomme). Nature (fautes accidentelles, fautes intentionnelles avec ou sans volont de nuire). Phase de cration ou doccurrence (fautes de dveloppement, fautes oprationnelles). Situation par rapport lenvironnement du systme (fautes internes, fautes externes). Persistance (fautes permanentes, fautes temporaires). La distinction entre diffrentes classes de fautes permet de penser des contres mesures appropries. Nous pouvons citer quatre catgories dvaluation pour la sret de fonctionnement : Prvention aux fautes : comment empcher l'occurrence ou l'introduction de fautes, cest le choix et la mise en uvre dun ensemble de processus visant matriser la conception, la ralisation et la validation du systme, et assurer le bon fonctionnement du systme durant sa vie oprationnelle.

tel-00601086, version 1 - 16 Jun 2011

- 14 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes Tolrance aux fautes : comment fournir un service et remplir la fonction du systme mme en cas de faute. Elle vise quiper le systme de certains mcanismes de traitement derreurs (supprimer les erreurs avant leur propagation) ainsi que le traitement de fautes (viter quune faute ne soit active de nouveau). Elimination des fautes : comment rduire la prsence (nombre, svrit) des fautes. Prvision des fautes : comment estimer la prsence, la cration et les consquences des fautes. La prvision des fautes est conduite en effectuant des valuations du comportement du systme par rapport loccurrence des fautes et leur activation. Les mthodes de tolrance aux fautes, sont implantes tant au niveau matriel, que logiciel, sont destines rendre le systme robuste aux fautes provoques par lenvironnement (radiations, lectromagntisme, dfauts lectriques, perturbation mcanique, vibration). Ces mthodes font partie intgrante de limplmentation, leur fonctionnement est parfois test par lutilisation de techniques formelles. Les mthodes dinjection de fautes sont trs utilises pour la simulation des mcanismes de tolrance qui apportent un durcissement de lapplication. Elles se traduisent en pratique par lajout dinstructions, de vrification, de signature aux diffrents blocs du code. Ces techniques permettent de dtecter les flux de commande errons. Lors dune dtection de faute, selon les mthodes, lexcution du programme est alors arrte, ou dirige vers une routine de correction qui lui permet de reprendre le flux dexcution escompt. Lobjectif de notre travail tant la prvision des fautes, nous distinguerons deux types de prvision : Evaluations ordinales qui consistent identifier, classer et ordonner les dfaillances, et envisager les mthodes et techniques pour viter ces dfaillances (une tude prliminaire de dfaillance). Evaluations probabilistes, sont destines valuer en termes de probabilits le degr de satisfaction de certains attributs de la sret de fonctionnement. Nous classons notre mthode dvaluation quantitative nomme approche flux informationnel [Hami et al.,2005] dans ce deuxime type dvaluation. Les systmes multi-composants tolrants aux fautes et hautement fiables sont trs prsents dans les technologies modernes. Il est important dtre en capacit de dterminer des mesures telles que la fiabilit, le temps moyen datteinte dun tat de dfaillance ou la disponibilit pour ces systmes. Pour cela nous construisons un modle stochastique permettant lanalyse (gnralement par une chane de Markov temps continu). Cependant, lespace dtats savre trop grand de tel sorte quen pratique nous ne pouvons pas esprer de calculer directement les mesures [Chen et al.,2008].

tel-00601086, version 1 - 16 Jun 2011

1.3. Mthode dvaluation des logiciels


1.3.1 Gnralits sur le processus de conception
Les systmes automatiss complexes requirent des mthodes de modlisation et de quantification de mtriques fiabilistes (Fiabilit, Maintenabilit, Disponibilit, Scurit), ou de performance (notamment temps rel), pour leur conception, leur analyse et leur validation. Le dveloppement de ces systmes complexes (matriel/logiciel) robustes repose sur un cycle - 15 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes tabli au cours duquel les concepteurs ont leur disposition de nombreux environnements de dveloppement [Harel et al., 2002], [Sutherland et al., 2003], [Yalamanchili S., 2001], et de vrification [Dabny et al., 2008], [Kopf T., 1999], [Berar B et al., 2001]. Malgr lexistence de tels environnements, la conception matriel/logiciel est actuellement la frontire dune crise importante [Zhan J. et G. Xiong 2006], [ITRS 2004]. Cette crise est directement lie la taille et la complexit des systmes, ce qui a des consquences sur la phase de vrification. Les techniques formelles se heurtent la barrire des explosions combinatoires, tandis que les procdures de simulation ncessitent des temps de calcul trop grands [Wu Y-F.2007], [Kropf T. 1999]. Une partie de la communaut scientifique semble saccorder sur le fait que la solution rside en partie dans llvation du niveau dabstraction des modles, base sur des mthodes de modlisation et vrification agissant des niveaux dabstraction plus levs [Monstand et al., 2006], [ITRS 2004]. Le cycle de dveloppement est une approche descendante qui consiste en un amalgame des mthodes de conception matrielles et logicielles [Gorse et al., 2004].

tel-00601086, version 1 - 16 Jun 2011

Figure 1.4 : Cycle de dveloppement dapplications Matriel/logiciel. Le cycle commence avec les ides prliminaires relatives au systme dvelopper, partir desquelles sont crits les documents nonant la description du systme et les exigences requises par rapport ses fonctionnalits. Les documents, aussi appels documents informels consistent en la description, en langue naturelle, du systme et de ses fonctionnalits. Ces descriptions sont la plupart du temps accompagnes de figures, tableaux [Belhadaoui et al., 2007-a], automates, algorithmes reprsentatifs, et parfois mme, de dtails particuliers concernant limplmentation. Ce sont ces documents qui servent de point de dpart de la phase de modlisation transactionnelle et fonctionnelle [Donlin A. 2004]. Durant cette phase est dlivr un premier modle haut niveau du systme. Les divers composants du modle sont ensuite affects une implmentation matrielle ou logicielle en fonction des - 16 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes contraintes de modularit ou contraintes temporelle. Le reste du cycle consiste en deux branches parallles au cours desquelles les implmentations matrielles et logicielles sont raffines et vrifies par simulation, ou par des techniques formelles [Givargis T. et Vahid F., 2002].

1.3.2. Modlisation et valuation


La modlisation consiste en une reprsentation abstraite dun systme rel, dans le but de lanalyser mathmatiquement. Le processus de modlisation doit tre bas sur des hypothses motives par deux considrations contradictoires [Mercier et al., 2006] : Simplicit : il faut veiller liminer les dtails sans intrt (expression volontairement vague, car tout dtail a son importance). La simplification permet dutiliser des mthodes danalyse beaucoup plus simples et plus rapides. Adquation des rsultats avec le systme rel : les rsultats obtenus avec le modle doivent tre trs proches des valeurs relles.

tel-00601086, version 1 - 16 Jun 2011

Lobjectif est dobtenir un compromis entre ces deux notions. Les modles mathmatiques utiliss sont des modles vnements discrets, des processus stochastiques, et bien souvent des chanes de Markov en raison de leurs bonnes proprits (exploitables). Afin de diminuer la complexit des modles manipuls, il est souhaitable de commencer par une description de plus haut niveau du systme, partir de laquelle un modle mathmatique peut tre algorithmiquement construit. Le modle mathmatique obtenu, se pose la question de son valuation. Les mesures qui nous intressent sont typiquement la fiabilit du systme, sa disponibilit, le temps de rponse, et la capacit au recouvrement dans le cadre de lvaluation des performances. Dans le cas idal, lvaluation peut tre ralise analytiquement, cest dire rsolue exactement [Belhadaoui et al., 2008-a]. Cependant ceci ne peut tre obtenu que dans le cas de modles relativement simples, avec des contraintes fortes (Markov...). De plus, il est important de noter que mme quand ces hypothses sont respectes, lvaluation nest pas toujours possible. La technique ncessitant le moins dhypothses est la simulation (technique dvaluation utilisant des nombres alatoires, souvent dfinie alors par simulation Monte Carlo).

1.3.3. Mthode de sret du logiciel


Nous visons dans ce travail quantifier la fiabilit dune architecture matrielle excutant un logiciel dune manire analytique tout en vitant toute sorte de simulation lente. Il est ncessaire de poser la question quest-ce que la fiabilit des logiciels ? Comme repose cette question est dans le sens large, La fiabilit du logiciel est dfinie comme tant : La probabilit dun logiciel accomplir lensemble des fonctions spcifies dans son document de rfrence, dans un environnement donn et pour un temps de fonctionnement donn . Cest une dfinition de fiabiliste, qui peut tre value par des modles mathmatiques. Cette dfinition est plus restrictive que la dfinition de la fiabilit du logiciel donne dans la norme ISO/IEC 9126 comme laptitude du logiciel maintenir un niveau de performance requis lorsquil est utilis dans les conditions spcifies . Cette dfinition soulve dans le monde informatique principalement deux difficults selon [Valle F.et Vernos D., 2000].

- 17 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes Un logiciel ne peut fonctionner quavec un support matriel muni de ses interfaces ad-hoc. Cette constatation a dclench le besoin de matriser la conception dun systme compos de logiciel et de matriel. En terme de fiabilit, nous examinons les diffrences qui existent entre un produit matriel et un produit logiciel donn par rapport : La dure dutilisation : Pour le matriel, la vie utile dcrot avec le temps si nous ne le rparons pas ; La fiabilit logicielle crot avec le temps si nous arrivons corriger les dfauts de conception ou si nous arrivons corriger le matriel sur lequel sexcute le logiciel. Lorigine de la dfaillance : Pour le matriel comme pour un logiciel, les causes de dfaillances prennent naissance pendant leur conception et leur production, Pour le matriel comme pour un logiciel, lobsolescence peut tre la consquence des effets des dfaillances (non rpares), de ceux de la mode ou bien du progrs technologique.

tel-00601086, version 1 - 16 Jun 2011

Si le logiciel nest pas soumis aux contraintes physico-chimiques, le phnomne de vieillissement ne se traduit pas par un changement de ses performances intrinsques, mais par un changement de son environnement. Il sagit en loccurrence de la contrainte dure de vie du logiciel. Il apparat que lapplication de la courbe en baignoire du matriel au cas du logiciel est non raliste, la courbe en baignoire ne sapplique pas strictement au logiciel. Cependant, le cycle de dveloppement du logiciel peut tre compar avec le cycle de vie du matriel. Ainsi, pendant les phases du cycle de dveloppement, le taux de dfaillance logiciel peut tre prsent par la courbe en baignoire (sans partie vieillissement, vue que le logiciel ne veiller pas). Rappelons que cette forme est due la priode de jeunesse, suivie de la priode o le taux de dfaillance est constant, et la priode de fin de vie. Si nous considrons les diffrentes modifications apportes au logiciel pendant lexploitation, nous constatons des courbes en baignoires qui se succdent. Il est ncessaire de prouver que ces dites baignoires sont bien leffet de phnomnes intrinsques la phase de dveloppement du logiciel. La premire phase commence avec les tests et est considre comme la phase de correction. Les erreurs de programmation ou les oprations non conformes aux spcifications sont identifies et corriges [MIL-HDBK-338B 1998] ; La deuxime phase reprsente la priode de vie utile du logiciel dans laquelle le taux de dfaillance est constant. La distribution utilise lors de cette phase est la loi exponentielle [MIL-HDBK-338B 1998] ; La dernire phase commence juste aprs la fin de la vie utile. La plupart des erreurs observes pendant cette priode rsultent de lincapacit du logiciel satisfaire des nouveaux besoins sans modification des spcifications initiales. Nous pouvons considrer ce phnomne comme l"usure" du logiciel. Les "dfauts" observs pendant cette priode peuvent servir comme base pour un nouveau logiciel. En plus, il y a le phnomne de vieillissement du logiciel, comme notamment les problmes lis aux systmes dexploitation [MIL-HDBK-338B 1998].

- 18 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes Les risques induits par une dfaillance peuvent tre prdits, prvus, valus. Un nombre de mthodes prdictives dvaluation, ont t tudies. Avant de dtailler les principes de ces mthodes, il est ncessaire dentreprendre une rflexion et de lister les lments sur lesquels vont sappuyer ces diffrentes mthodes. Au cours de la conception et la ralisation dun produit logiciel, certaines tches sont automatises, dautres font appel lintervention humaine. Les tudes de fiabilit dun systme doivent tenir compte des diffrents lments qui sont en interaction avec lui. La fiabilit du systme est la rsultante de la fiabilit du matriel, du logiciel, des interfaces matriel-logiciel, de la fiabilit humaine, des interfaces homme-matriel-logiciel. Des modles de croissance de la fiabilit logicielle [Rook 1990], [Mihalache et al., 2005]ont t dvelopps. Ces modles restent peu utiliss dans les applications industrielles [Everett et al., 1998], ils ne permettent pas davoir une ide claire sur le niveau de risque dutilisation dun tel logiciel ce qui est le but principal de la quantification de la fiabilit. La fiabilit dun systme, est lie son aptitude assurer une mission dans des conditions denvironnement donnes et pendant une dure donne. En dautres termes, la fiabilit caractrise la confiance que lutilisateur peut placer dans le service rendu par ce systme.

tel-00601086, version 1 - 16 Jun 2011

Lapparition dune dfaillance systme est le fruit dun processus de propagations, combinaisons et interactions de fautes, selon Yasuura H. Si le code programme (ensemble dobjet et de routine), apparat parfaitement dterministe, le processus dapparition dune dfaillance, gnralement rcursif vis--vis de larchitecture hirarchique du systme, peut tre vu comme probabiliste en combinant aux fautes dites de premier type (de spcification par incompltude ou mauvaise comprhension, de conception, de ralisation), des fautes de deuxime type (activation dune erreur lors de sa rvlation au cours de lexcution du programme). Il existe une autre constatation dans le domaine du logiciel qui consiste dire quil suffit de corriger tous les erreurs du code pour liminer toute possibilit de dfaillance du logiciel associ et rendre le taux de dfaillance nul. Cest une confusion entre la fiabilit et le comptage des erreurs. Les concepteurs font souvent appel des mtriques qui se basent notamment sur le comptage des erreurs dans le code, ils ne sintressent pas aux sources de ces erreurs. Cette confusion fait partie de la problmatique de quantification de la fiabilit du logiciel. La quantification de fiabilit du logiciel, ncessite de remonter lorigine du besoin de lutilisateur. En effet le logiciel nest pas une vision abstraite mais il est matrialis par un systme dans lequel le code binaire sexcute afin dachever lobjet dune mission de service. Selon les besoins et spcifications du cahier des charges, la fiabilit sexprime par exemple en termes de MTTF (Mean Time To Failure), de taux de dfaillance, de la probabilit de pouvoir excuter la mission avec succs. Le systme est constitu du logiciel et dune architecture matrielle, chacun pouvant tre lorigine dune dfaillance. Cependant, pour pouvoir valuer la fiabilit globale de ce systme, il est naturel de prendre en compte la part de chacun de ses composants. Il sensuit assez clairement quil est indispensable de trouver une approche globale de modlisation de tout le systme. La dmarche SdF dans la phase de conception commence par une analyse prliminaire de risques du systme, afin didentifier les fonctions et les composants risque [Bel 07-a]. Cette

- 19 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes analyse permettra de prendre en compte les ncessits disoler les parties risques dans le choix de larchitecture. La dmarche repose essentiellement sur une analyse prvisionnelle des risques. Le but de lanalyse prvisionnelle des risques est didentifier les parties critiques du systme complexe et les actions pour rduire les risques associs. Lanalyse de risques peut tre ralise au moyen dune analyse inductive ou dune analyse dductive. Lanalyse inductive correspond une approche montante, o lon identifie toutes les combinaisons dvnements lmentaires possibles qui entranent la ralisation dun vnement unique indsirable. La dmarche de lanalyse dductive est inverse, puisque nous partons de lvnement indsirable et nous recherchons par une approche descendante toutes les causes possibles. Ces analyses qui sappuient sur la description du systme sont dites techniques danalyse statique [Darricau et al., 1999]. Des techniques danalyse dynamique sont galement utilises en complment. Ces analyses se droulent en parallle et en liaison troite avec les activits danalyse/spcification et de conception, de manire continue et itrative. Lanalyse statique ncessite de disposer en entre : des vnements redouts pour le systme ;

tel-00601086, version 1 - 16 Jun 2011

dune description du systme (au niveau de spcifications, puis au niveau de larchitecture, afin de comprendre les interactions entre les diffrents sous-systmes). Ces analyses mettent en vidence les scnarios susceptibles de conduire la dfaillance. A partir de ces scnarios, des actions de rduction des risques sont ensuite identifies, telles que : Spcification des modes de fonctionnement dgrad pour supprimer ou diminuer la gravit des consquences du dysfonctionnement considr. La spcification de ces modes de fonctionnement dgrad doit tre cohrente avec les exigences de tolrance aux fautes ; Etudes complmentaires spcifiques visant dmontrer limprobabilit du risque (modlisation, simulation) ; Identification dessais de validation spcifiques visant dmontrer que le scnario ne va pas se produire ; Contraintes sur larchitecture du matriel et du logiciel ; Contraintes sur la testabilit et lobservabilit en opration ; Implantation de mcanismes de dtection et de traitement de dfauts ; Choix de conception minimisant les risques (choix darchitecture, de structures de donnes, ...) ; Identification de tests permettant de dmontrer lefficacit des mcanismes implments. Lanalyse dynamique du comportement dun systme ainsi que sa modlisation dynamique permettent de vrifier des proprits supplmentaires de cohrence, de compltude, ... Elle permet aussi de tester les modes dgrads du systme et lefficacit des techniques de tolrance aux fautes. Les analyses dynamiques ou de performances permettent de mettre en vidence des problmes de : Dfinition incorrecte ou incomplte des modes de fonctionnement ou des transitions entre modes et donc des spcifications ;

- 20 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes Dimensionnement et de partage de ressources ; Synchronisation des traitements et des entres/sorties ; Ordonnancement des tches ; Protocole de communication. Ce type de modlisation est surtout utile pour aider ou valider le choix entre plusieurs dveloppements possibles. Les techniques de modlisation pour la quantification de la fiabilit sont qualifies de prvisionnelles ou dexprimentales pour le matriel ou le logiciel : Techniques prvisionnelles : se situent en amont dans le cycle de vie. Lobjectif de ces techniques est de valider la conception du systme par rapport aux spcifications FMDS (fiabilit, maintenabilit, disponibilit et scurit) de sret de fonctionnement. Dans le cas du logiciel, il nexiste actuellement pas de technique suffisamment mature pour valuer la fiabilit prvisionnelle. Ce qui voque un vaste domaine de recherche.

tel-00601086, version 1 - 16 Jun 2011

Techniques exprimentales : consistent valuer le niveau de fiabilit atteint par le systme partir des essais raliss sur ce systme dans sa phase dexcution. Ces techniques se situent en aval dans les phases du cycle de vie. Elles ont pour objectif principal de vrifier lobtention du niveau de fiabilit requis en analysant les faits techniques observs. Les mthodes et modles dvaluation de logiciels commencent tre reconnus et permettent de mener bien des tudes de fiabilit exprimentale. Par extrapolation du comportement dj observ du logiciel, les modles de fiabilit du logiciel apportent des lments quantifis de la qualit de service tout en reposant sur des tests [Vall .F et Vernos .D, 2002]. La norme ISO/CEI 61508 [CEI 61508] qui fait rfrence dans le domaine dans le domaine de la scurit fonctionnelle, donne des taux de dfaillance quantifis aux niveaux dintgrit des systmes, avec prise en compte du logiciel. Cela invite les industriels et les concepteurs particulirement justifier ce niveau de dfaillance accept, laide dvaluation par modlisation ou laide dessais de qualification employant les techniques actuelles.

1.3.4. Mthode en sret des architectures matrielles


La notion de sret de fonctionnement dans le sens large selon [Villemeur A., 1997] est la science des dfaillances. Elle inclut leur identification dune manire exhaustive, leur valuation probabiliste, leur prvision par des observations et proposition des mthodes, leur mesure statistique ainsi que leur matrise par rduction, prvision et tolrance. La sret de fonctionnement dans le sens strict est laptitude dune entit assumer une ou plusieurs fonctions requises dans des conditions donnes. Ltude de la sret de fonctionnement dans les deux sens est lun des meilleurs moyens pour assurer la qualit de service. Une dfaillance dans le domaine de la sret de fonctionnement est un vnement qui indique la cession de laptitude dune entit accomplir une fonction requise. Lentit signifie

- 21 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes tout lment, composant, sous systme, unit fonctionnelle, quipement ou systme que lon peut considrer individuellement. Elle peut tre constitue par du matriel ou de logiciel. Une classification dans la terminologie des architectures des systmes peut tre : Pice Composant Sous-systme Systme lmentaire Systme Les dfaillances peuvent tre classes selon plusieurs critres, en fonction de leur importance, de la rapidit de leur apparition, de linstant de leur occurrence, de leurs causes et de leurs effets [CEI 50 191] [Villemeur A., 1997] [Laprie J.C.,1995], ces critres sont donns par :

Rapidit de manifestation : dfaillance progressive : de lvolution dans le temps (on peut la prvoir). dfaillance soudaine : non prvisible. Importance : dfaillance partielle : signifie la disparition de quelques fonctions du systme. dfaillance complte : disparition totale de toutes les fonctions du systme. dfaillance pertinente : elle a une consquence directe sur les calculs. dfaillance non pertinente : nentrane pas dinterprtation du calculs. Rapidit et importance : dfaillance catalectique : soudaine et complte. dfaillance par dgradation : progressive et partielle Date dapparition : dfaillance de la jeunesse : taux dapparition baisse. dfaillance par vieillissement : taux dapparition augmente. Par leurs effets : dfaillance mineurs : dommage ngligeable au systme, pas de risque humain. dfaillance significative : dommages significatives au systme, risque humain. Evaluation de la sret

tel-00601086, version 1 - 16 Jun 2011

Mthodes Qualitatives HAZOP PHA FMEA FTA

Mthodes Quantitatives ETA Markov

Figure 1.5 : Exemples de mthodes qualitatives et quantitatives de la sret de fonctionnement.

- 22 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes Les mthodes danalyse de la sret de fonctionnement des architectures matrielles sont nombreuses. Parmi les mthodes souvent utilises dans ce domaine, nous distinguons des mthodes qualitatives et quantitatives pour lvaluation de la sret de fonctionnement (en premier lieu nous nous intressons ltude qualitative). Nous pouvons les classer selon la figure 1.5. Les mthodes qualitatives souvent utilises pour les systmes simples sont le PHA, HAZOP. Elles permettent un examen relativement rapide des situations dangereuses sur larchitecture du systme, leur simplicit se termine par la rencontre des systmes complexes. Nous trouvons les mthodes AAD (Analyse par Arbre de Dfaillances) et AMDEC (Analyse des modes de dfaillance de leurs criticit) qui consistent dterminer lenchanement des vnements pouvant conduire ou non un accident partir dun vnement initiateur, dans ces mthodes il faut dfinir avec discernement lvnement initiateur ce qui rend lourde leur mise en uvre surtout pour des systmes complexes. La mthode qualitative traite, dans ce travail, est la mthode AMDEC. Cette mthode est prcde par deux tapes fondamentales. Aprs la dfinition des spcifications standards du cahier des charges et les spcifications des paramtres FMDS (fiabilit, Maintenabilit, Disponibilit et Scurit). Nous ralisons une tude danalyse fonctionnelle qui consiste dfinir avec prcision les limites matrielles du systme, les diffrentes fonctions et oprations ralises par ce systme et les diverses configurations dexploitation. Cette tude se situe en amont, elle prsente ltude danalyse prliminaire de risque qui a pour but court terme dtablir une liste exhaustive des incidents ou accidents pouvant avoir des consquences sur la scurit de personnel et du matriel [Villemeur A., 1997] et long terme didentifier les dangers de chaque composant du systme, les modes de dfaillance les plus rencontrs, leurs causes possibles, et dvaluer leurs effets sur le reste de larchitecture du systme par calcul de leurs gravits.

tel-00601086, version 1 - 16 Jun 2011

1.3.5. Sret de fonctionnement des systmes de commande programmable


Le contexte de notre travail est la conception dune architecture sre et structure de haut niveau (au sens de fiabilit et de robustesse) dun capteur. Ce capteur est spcifique aux systmes mcatronique en interaction avec un environnement physique ayant sa dynamique propre. Ces systmes se caractrisent par leur hybridit (continu/discret), leur complexit (diversit des aspects prendre en compte), et la criticit de leur sret. Ils se retrouvent dans des contextes applicatifs divers, et leur modlisation doit prendre en compte ce caractre mixte. Dans le domaine du contrle de procds physiques le problme est de trouver le compromis entre la rgulation et les lois de commande. Les systmes mcatroniques sont en extension et se sont dvelopps avec une cadence trs leve dans ces dernires dcennies. Lintelligence de ces lments est lie lexistence dun lment de calcul interne (processeur), qui requiert lusage de techniques particulires pour assurer leur programmation, dune part du fait de leur complexit, et dautre part la criticit de leur sret. En particulier, un modle global est ncessaire pour fournir un support des outils danalyse qui offrent une assistance la validation.

- 23 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes Les motivations se prsentent la fois dans la conception et le dveloppement des systmes multi-formalismes et dans la prise en compte des exigences spcifiques en sret de fonctionnement de ces systmes complexes. Systmes complexes : Un systme dont la conception ncessite des techniques et des comptences diverses pour leur valuation, leur mise en uvre, et la dfinition de leurs missions, en termes de modes de fonctionnement, et de confrontation et commutation entre ces modes. Ceci suggre une structuration, distinguant diffrents niveaux dintervention. Systmes scurit critique : Un systme dont la consquence de son dysfonctionnement met souvent en danger les personnes (transportes dans le cas dun avion ou dun train par exemple), ou les biens (coteux, intervention difficile). Ceci induit un besoin dassistance la conception ou lopration de ces systmes par des mthodes de modlisation, danalyse, de validation et de mise en uvre correcte avec le support doutils efficaces. Devant lincapacit des mthodes classiques dvaluation de la sret de fonctionnement vis-vis des systmes complexes, lapproche flux informationnel [Hami et al.,2005] donne une ouverture et une piste pour rpondre ce besoin, elle fournit un ensemble de scnarios de dysfonctionnement, fond sur un modle dynamique des automates dtats finis, qui sert lanalyse de cohrence des spcifications et leur vrification. Lintgration de tels outils, peut tre une mthodologie de conception. Dans la suite de ce travail, nous allons montrer lextension de lapproche flux informationnel pour construire un modle global qui prend en compte la mixit continu/discret du systme de cas dtude (capteur intelligant). Il permet de structurer la spcification de faon dcoupler ces aspects (continu/discret). Il repose sur un modle dynamique qui offre des outils dassistance la spcification, lanalyse et la mise en uvre du prototype final. Nous avons considr lapproche flux informationnel comme tant une piste par laquelle nous posons la problmatique diffremment ce qui existe dans ltat de lart et nous apportons une contribution vers une solution. 1.3.5.1. Validation de la conception dune architecture sre de fonctionnement Les spcifications du systme ont pour but dtablir une premire description du futur systme. Pour la ralisation des spcifications, le concepteur systme doit disposer comme donnes dentres des rsultats de lanalyse des besoins et des considrations techniques et de faisabilit. En phase de spcification, il est ncessaire de recenser toutes les exigences lies la fiabilit du systme : Exigences qualitatives : Listes dvnements redouts, classification des dfaillances ; Dfinition des modes dgrads et des conditions de passage entre modes, comportement dans chacun des modes ; Types de fautes considrer et stratgie de tolrances aux fautes ; Mthodes employer et normes respecter ; Exigences quantitatives : Probabilit de bon fonctionnement ;

tel-00601086, version 1 - 16 Jun 2011

- 24 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes Dure de fonctionnement ; MTTF (ou MTBF); Taux de dfaillance ; Taux de rparation. Ltude dun systme ne se limite pas la phase de spcification et ralisation, mais ncessite une phase en aval de vrification et validation, cest une activit que nous pouvons mettre en place mme ds le dbut du projet, afin de dtecter au plus tt les risques de non fiabilit et sassurer que les dispositions prises et les analyses effectues rpondent aux exigences dfinies. Un manque de fiabilit constat en phase finale du dveloppement peut tre irrmdiable pour le systme. Pendant les activits de vrification et de validation dun systme, effectues dans les tapes montantes du cycle en V, la fiabilit a un impact sur : Confirmation des choix effectus lors des activits de construction dans les tapes analyse/spcification et conception ; Vrification de lefficacit des dispositions prises, par des actions spcifiques, notamment lors des tapes de validation du systme complexe ; Finalisation des principes lis lexploitation oprationnelle du systme en sassurant de lefficacit des moyens et procdures mis en place pour le diagnostic et/ou les reconfigurations. La vrification exhaustive du comportement du systme est souvent impossible, car elle se heurte aux limites des outils existants. La vrification consiste en des essais et des tests au niveau module (unitaire) et au niveau systme (intgration). La vrification au niveau module (unitaire) entrane : Excution de lensemble des tests unitaires dfinis et la vrification de la conformit des rsultats obtenus aux objectifs ; Excution des tests des mcanismes relatifs la fiabilit ; Evaluation de la robustesse des modules systme. La vrification au niveau systme (intgration) entrane : Excution de lensemble des tests dintgration dfinis et la vrification de la conformit des rsultats obtenus aux rsultats attendus ; Excution des tests des mcanismes inter-modules relatifs la fiabilit ; Evaluation de la robustesse des interfaces entre modules systme. La validation du systme est prononce la suite de : Excution de lensemble de tests de validation dfinis et la vrification de la conformit des rsultats obtenus aux rsultats attendus ; Evaluation du taux de couverture fonctionnelle ; Excution des tests de robustesse du systme (incluant les cas de fonctionnement dgrad du systme) ; Conformit aux exigences de fiabilit du systme ;

tel-00601086, version 1 - 16 Jun 2011

- 25 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes Evaluation de la robustesse du systme et du niveau de fiabilit atteint. Lvaluation de la fiabilit dun systme consiste en la dtermination des dfaillances affectant ses composants matriels en phase oprationnelle. Cette valuation repose sur une analyse base sur les structures du systme, de linfluence des probabilits de dfaillance de ses composants sur la probabilit de dfaillance globale. La dmarche consiste alors observer le comportement du systme considr et effectuer les calculs statistiques sur les donnes relatives aux dfaillances observes. La collecte des donnes de dfaillance est une dmarche qui doit tre intgre ds le dbut du projet. Pour que ces relevs de dfaillance puissent tre utiles, il est important que lutilisation du systme soit la plus reprsentative possible des conditions de sollicitation relle du systme dans son environnement oprationnel. Lobjectif principal de cette observation est dvaluer le niveau de fiabilit du systme dans les conditions dutilisation prvues. Pour obtenir une bonne tude statistique, il est ncessaire de recueillir un nombre suffisant de donnes, afin den dduire la ou les lois de modlisation les plus proches de ce que lon a pu constater pendant la priode de temps considre. Une vue globale sur les mthodes utilises sur un cycle de dveloppement montre que dans les premires phases du cycle les mthodes AMDE/AMDEC (Analyse de Mode de Dfaillance de leurs Effets et de leurs Criticit), AdD (Analyse de Dfaillance) et APR (Analyse Prliminaire de Risque) sont prfres pour dterminer les lments redouts et que dans les dernires phases du cycle les mthodes RdP et MEE sont utilises pour matriser le comportement fonctionnel/dysfonctionnel (RdP et MEE) ou laspect dynamique du systme (RdP). 1.3.5.1.1. Vrification formelle Les mthodes formelles sont trs prises, en ingnierie systme, pour le dveloppement dapplications critiques quant la sret. Leur utilisation pour la spcification et la vrification des proprits des systmes est de plus en plus recommande par les normes et directives internationales. Il sagit de techniques mathmatiques utilises pour la modlisation, lanalyse et la conception. Leur intgration dans des environnements de dveloppement devrait aider leur diffusion. Plusieurs approches coexistent : de la simple description des spcifications, la gnration de code automatise et la vrification, en association avec des techniques de validation plus conventionnelles. Leur acceptation industrielle est non seulement lie la maturit des ateliers logiciels disponibles et de leur facilit dapprhension, et donc de leur cot de possession (acquisition, formation, gain sur les temps de dveloppement et de mise au point). En dpit de leurs qualits relles [Liu S.et Wang H., 2007]. Ces techniques et mthodes formelles sont plus souvent utilises quen phase de validation et non sur lensemble du processus de dveloppement. Les mthodes et outils de vrification formels peuvent tre classs en deux catgories : les approches par modle et les approches par preuve. Selon lapproche par modle, le comportement du systme est traduit par une reprsentation d'tat finie. La vrification est effectue par des algorithmes de model checking, ou des relations d'quivalence. Les conditions de scurit fonctionnelle peuvent, par exemple, tre exprimes sous forme dquations de logique temporelle et tre vrifies partir du modle. Les approches par modles permettent certes une vrification automatique directe des proprits des systmes. Malheureusement, elles souffrent de

tel-00601086, version 1 - 16 Jun 2011

- 26 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes l'explosion combinatoire de leur espace d'tat. Les systmes composs de plusieurs soussystmes associs un modle d'tat fini voient leur nombre dtats augmenter exponentiellement. Ces techniques de vrification [Clarke D-W., 2000] sont donc longtemps restes moins utilises par lindustrie. L'utilisation rcente de techniques de manipulation symbolique des modles [Burch E.et H-J.Kung, 1999], o les relations de transition permettent le traitement de systmes de tailles importantes. Ces techniques sont reprsentes implicitement au moyen dquations boolennes ou dcrites au moyen de Diagrammes Binaires de Dcision (BDDs) [Bryant et al., 2008]. Selon lapproche par preuve, le systme est modlis par lensemble des structures sur lesquelles sont dfinis des invariants, et les oprations par des indications de pr et post conditions. Les proprits respecter sont dcrites par les invariants, et on doit dmontrer quau cours de son fonctionnement le systme respecte les thormes dicts. Ces techniques sont gnralisables et ne sont pas affectes par le problme de l'explosion d'tat. Elles exigent par contre une grande comptence dans leur utilisation, car le processus ne peut tre entirement automatis. La tendance actuelle semble tre au rapprochement de ces deux approches.

tel-00601086, version 1 - 16 Jun 2011

Analyse de lordonnancement des tches


La dfaillance d'une application temps rel peut tre provoque, non seulement par une faute fonctionnelle ou matrielle, mais galement par une incapacit tenir les dlais imposs. Cest en gnral le rsultat dune charge de traitement trop importante au regard des capacits de la ressource. La validation des contraintes temporelles (Scheduling) consiste gnralement en la recherche d'une charge de traitement des tches, pour laquelle il peut tre prouv que chaque tche sera compltement excute avant une date limite. Il existe des approches statiques et dynamiques, pour des garanties dterministes ou probabilistes. Les hypothses faites lors de la modlisation se rvlent souvent peu ralistes : nombre de tches, temps d'excution maximum, contraintes de priorit, conflits de ressources Les tudes sur les systmes temps rel tolrants aux fautes [Gergeleit et al ., 2005], [Wang Y., 2004] se sont dveloppes au cours de la dernire dcennie. Le besoin dun environnement de dveloppement intgr global, pour un processus de conception cohrent, permet dvaluer l'impact des diffrents algorithmes et mcanismes.

Validation par injection de fautes


Les approches analytiques, bases sur des modles, montrent parfois leurs limites. Il faut tudier des comportements exprimentaux spcifiques, en prsence de mcanismes de dtection et de tolrance aux fautes. L'injection de fautes permet dvaluer ces mcanismes. Indpendamment du niveau d'abstraction, les campagnes d'injection de fautes contribuent lvaluation des taux de dfaillance, par ltude de la propagation d'erreurs [Chillarege et al., 1994], [Steininger A., 2000], ou d'erreurs latentes [Chillarege et al., 1994], [Geist et al., 1984], ainsi que des performances des mcanismes de recouvrement [Patton et al., 2006]. De nombreuses techniques et outils ont t dvelopps [Arlat et al., 2004], [Kanawati et al., 1995]. Il convient de considrer la dimension dynamique des processus de traitement et de mener lvaluation des mcanismes de recouvrement en fonction du temps [Kim K. et T. Lawrence 1992]. La raison dun recouvrement imparfait est soit une mauvaise connaissance des mcanismes initiateurs de faute soit une mauvaise stratgie de recouvrement.

- 27 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes La validation exprimentale des systmes tolrants aux fautes requiert une rflexion sur le niveau d'abstraction du modle utilis et le type d'injection de fautes appliqu. Le systme peut tre reprsent par un modle de simulation dcrivant sa structure et/ou son comportement. Le type d'injection appliqu peut tre physique (les fautes correspondent des altrations mcaniques ou lectromagntiques sur les composants physiques), ou logique (altration de variables boolennes ou de donnes). La premire mthode (injection de fautes au niveau des broches des circuits intgrs) est confronte au problme de lextrme niveau dintgration des composants actuels, ainsi que de leur frquence de travail. Un compromis a t dvelopp : l'injection hybride, les fautes sont injectes au niveau logique des composants physiques. Le mme principe est appliqu des niveaux plus abstraits [Bernard V. 2004] pour la validation formelle des mcanismes de tolrance aux fautes. 1.3.5.1.2. Analyse quantitative de la FMDS dune architecture sre La modlisation et lanalyse des performances fiabilistes (Fiabilit Maintenabilit Disponibilit Scurit) des systmes sont ralises par de multiples mthodes et outils. Deux grandes familles coexistent : les approches combinatoire et lespace dtat, cette dernire incluant les modles markoviens [Malhotra M. et K. S. Trivedi, 1994]. Modles combinatoires : ils incluent des schmas fonctionnels de fiabilit (RBD), des arbres de fautes et les graphes de fiabilit... Des dveloppements associent arbre de fautes et vnements rpts (FTRE) : cette mthode combine la simplicit des arbres de fautes, la puissance de l'approche dtat [Karacal S, 1998]. Chanes de Markov : ce sont des processus markoviens tat discret et temps continu. Ce sont des modles largement admis par la communaut fiabiliste en raison de leur puissance et de leur facilit dutilisation. Les taux de dfaillance sont considrs constants (non vieillissement des composants), sur chacun des pas de calcul. Cette approche largement accepte pour des composants lectroniques (matriel), a galement t applique aux dfaillances de logiciel. Le taux de dfaillance pour le logiciel peut tre calcul comme le produit d'un taux d'excution du logiciel constant (i) et de sa probabilit de dfaillance (Pj). Une telle approche a t adopte pour modliser des architectures logicielles tolrantes aux fautes [Arlat et al., 2004]. Modles de haut niveau (dabstraction) : cest une dclinaison de lapproche markovienne pour la modlisation et lvaluation fiabiliste des systmes complexes. Lexplosion combinatoire de l'espace d'tat est invitable par une approche markovienne classique. Elle engendre dimportantes difficults de traitement. Les approches de types : Rseaux de file dattente, Algbres des Processus Stochastiques, Rseaux de Petri Stochastiques permettent dobtenir des modles trs compacts et peuvent tre associes des algorithmes de rduction de l'espace d'tat. Les modles base de Rseaux de Petri sont trs populaires pour leur approche graphique, ils permettent dapprhender facilement les reprsentations de la simultanit, de la concurrence et de la synchronisation. De nombreuses classes de Rseaux de Petri existent : des RdP autonomes, des RdP temporiss et des RdP Stochastiques [Molloy M. K. 1981]. Ils sont limits par la distribution exponentielle de lensemble de leurs variables alatoires. Pour tenir compte de la prsence dactivits stochastiques et instantanes, les Rseaux de Petri Stochastiques Gnraliss [Ajmone et al., 1991] ont t introduits. Ces modles sous-tendent

tel-00601086, version 1 - 16 Jun 2011

- 28 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes un processus markovien homogne temps continu et espace dtat discret. Le formalisme RdPSG est intgr un grand nombre doutils destins l'valuation fiabiliste comme UltraSAN, SPNP et TimeNET...Les rseaux de Petri permettent davoir dautres extensions telles les Rseaux d'Activits Stochastiques [Sanders et al., 1995] et les Rseaux Stochastiques de Rcompense [Azgomi M.A. et Movaghar A., 2005] qui ont abouti aux outils UltraSAN et SPNP. Ces formalismes engendrent encore des processus markoviens. Il existe des classes de Rseaux de Petri qui ne reposent pas sur le formalisme tel que le RdPSG : Rseaux de Petri Stochastiques Gnraliss [Ajmone et al., 1995], loutil ddi est TimeNET [German et al., 1995] et RdPSMR Rseaux de Petri Stochastiques Markoviens Rgnratifs [German et al., 1995]. L'analyse quantitative des paramtres de la sret partir dun modle stochastique est un processus qui exige la comptence et lexprience. La sensibilit aux divers paramtres ne pouvant tre connue a priori, les exigences en simplifications et abstractions sont susceptibles dengendrer des erreurs importantes sur les rsultats finaux. Lors de la modlisation de systmes complexes [Kanoun et al., 1996], [Nelli et al., 2008], plusieurs problmes apparaissent : interactions entre matriel et logiciel, rigidit de modles (taux de transitions non quilibrs), explosion de lespace d'tat. En dpit de la modularit du modle, le maintien des proprits markoviennes exige une rsolution globale. Une hirarchisation des modles (o les modles secondaires peuvent tre rsolus sparment et les rsultats obtenus utiliss par un modle de plus haut niveau) nest pas simple dobtention. Par consquent ces modles tendent tre trs abstraits, voire simplistes, faisant limpasse sur des dtails parfois importants. Lobligation de choisir soigneusement les caractristiques reprsenter est probablement la cause de la difficult lautomatisation du processus de modlisation. 1.3.5.1.3. Intgration des approches Lvaluation fiabiliste des composants dautomatisme intelligent, consiste, dans lobjectif laborer un modle du systme en fonction des besoins et des contraintes fonctionnelles du cahier des charges. Le client exprime ces contraintes entant quutilisateur direct du systme, lenvironnement de lapplication de ce systme joue aussi un rle dans lvaluation fiabiliste. Toutes ces techniques exigent la dfinition dun modle adapt particulier. Lingnierie systme ne peut se satisfaire de cette situation : juxtaposition de techniques indpendantes. La validation dArchitectures de systmes temps rel, srs de fonctionnement, ne doit pas engendrer des cots de validation et de certification draisonnables. Lindustrie souhaiterait disposer de modles gnriques dclinables rapidement selon les exigences clients. Cela conduit la rutilisation de composants dj valids, la coexistence de composants logiciels de diffrents niveaux de criticit, la limitation la validation dun nombre restreint de soussystmes. L'environnement de validation prconis (projet europen GUARDS) illustre les rapports entre les composants et leurs interactions avec l'architecture de lenvironnement de dveloppement. Le projet europen GUARDS [Bonda et al., 2000] a abouti la cration dune trousse outils (modles de fiabilit, modles formels, diagrammes HRT, code) (Figure 1.6), plutt qu' un environnement rellement intgr. Le projet HIDE portait, quant lui, sur le dveloppement d'un environnement intgr pour la conception de systmes srs par l'intermdiaire dun langage de modlisation unifi (UML). Ce langage [Fowler et al., 2007], [Rumbaugh et al., 1991] permet de dcrire les aspects statique et dynamique (Statechart) du

tel-00601086, version 1 - 16 Jun 2011

- 29 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes systme. Il est possible partir de ce langage semi-formel de traduire automatiquement ou semi-automatiquement les spcifications du systme en un modle mathmatique pour valider sa fiabilit. Il sagit de traduire des diagrammes structurels UML en Rseaux de Petri stochastiques gnraliss synchroniss pour l'valuation de la sret [Bonda et al., 2002].

tel-00601086, version 1 - 16 Jun 2011

Figure 1.6 : Interactions entre conception et validation des architectures

1.6 Conclusion
La complexit importante des systmes mcatroniques et la rduction des cots de conception et dexploitation incitent les industriels matriser davantage la sret de fonctionnement. Afin doptimiser le dveloppement des systmes complexes, des mthodes sont utilises dans chaque tape du cycle de dveloppement pour analyser la fiabilit. Lensemble de ces mthodes constitue un processus part entire : le processus de fiabilit. Les notions cites dans ce chapitre montrent que la sret de fonctionnement est lun des piliers importants permettent de rduire les cots des systmes en cours de conception et contribue de faon remarquable des gains de productivit. La conception sre est une dmarche rationnelle et structure et exige de la part des concepteurs une vision globale et systmique des mthodologies existantes pour inclure tous les facteurs contribuant la sret de fonctionnement. Ltude de sret de fonctionnement rend obligatoire une approche transverse qui fdre toutes les comptences technologiques. Ce chapitre montre lintrt dune tude fiabiliste quantitative pour les systmes complexes programmables. Il clarifie le rle de la sret de fonctionnement comme une obligation dans le domaine de lingnierie systme et notamment dans la phase de conception. La complexit croissante de ces systmes est troitement lie des proprits dintelligence, tel que la dtection et la tolrance aux fautes, voire des procdures de rparation et de

- 30 -

Chapitre1 : Sret de fonctionnement et ingnierie systmes recouvrement. Ce qui implique une vrification de lexactitude des modles et mthodes dvaluations quantitatives appliques pour ces systmes. Cette introduction sur les systmes complexes dans le prsent chapitre, sera utile dans le chapitre suivant pour dtailler les problmes lis notre systme (capteur intelligent). Certains problmes tels que linteraction matriel-logiciel, signaux mixtes dans un systme hybride, restaient encore mal traits ou mal rsolus par les mthodes conventionnelles, malgr les efforts fournis par la technologie actuelle. Nous dtaillons dans le chapitre suivant larchitecture du systme en question et les tches globalement destines pour chaque partenaire du projet CETIM. Lapproche flux informationnel sera largement dtaille pour comprendre son intrt dapplication et voir comment la gnraliser pour ce genre de systme complexe.

tel-00601086, version 1 - 16 Jun 2011

- 31 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique

Chapitre 2 :
Problmatique lie la sret de fonctionnement dun sous-systme mcatronique

tel-00601086, version 1 - 16 Jun 2011

- 32 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique

2.1 Introduction
Ce travail propose une mthodologie de conception dun capteur intelligent ddi des applications mcatroniques, capable dassurer une reconfiguration matriel et/ou logiciel en cas de besoin (dfaillance). Une des originalits de ce travail rside dans lapproche transdisciplinaire de la conception de ce type de composant. La prsence de ressources programmables, capables de traiter des fonctions diffrentes, multiplie les risques de causes communes de dfaillance et dinteractions entre fonctions logicielles et entits matrielles. Garder la qualit du service pour ce type de composant ncessite une tude en parallle des performances fiabilistes (valuation de la fiabilit fonctionnelle) et performances temporelles (capacit temporelle au recouvrement de fautes). Laspect htrogne de leur architecture (mcanique, lectronique analogique et numrique), impose la coexistence de signaux continus et vnementiels. Un systme mcatronique est un systme combinant des technologies qui relvent des domaines de la mcanique, de lhydraulique, de la thermique, de llectronique, et des technologies de linformation [Jang et al., 2007]. Dune manire gnrale, les systmes mcatronique est de complter des parties des systmes mcaniques ou hydrauliques par des commandes lectroniques programmables. Il peut tre dcompos de trois entits en interaction figure 2.1. Les capteurs intelligents mesurent des grandeurs physiques continues caractristiques de la partie oprative. Le systme de commande et de reconfiguration tablit en fonction de ces mesures les actions raliser de faon garantir le service avec un niveau de performance donn. Les actionneurs agissent sur la partie oprative.
Actionneur

tel-00601086, version 1 - 16 Jun 2011

Systme physique

Systme de commande
Commande et Reconfiguration (Processeur)

Partie oprative du systme

Capteur

Composant intelligent

Dfaillances

Figure 2.1 : Architecture gnrale dun systme mcatronique. La disponibilit de ce type de systme est traduite par labsence de linterruption de la partie intelligente (processeur). Les systmes mcatroniques sont des systmes configurations dynamiques. La prise en compte des interactions entre le processus continu (partie oprative) et le processus discret (systme de reconfiguration) (figure 2.1) ncessite une modlisation hybride. Nous parlerons dans ce cas de la fiabilit dynamique. Les reconfigurations matrielles sont souvent bases sur le choix dune nouvelle architecture physique pour raliser la fonction considre, tandis que et les reconfigurations logicielles sont assures par des redondances analytiques pour la reconstruction de donnes plus accessibles. La vitesse dexcution dans le cas de reconfiguration matrielle dpond du changement du matriel (partiel ou total). En revanche, la reconfiguration logicielle est plus

- 33 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique au moins rapide, puisquelle ne demande pas de changement au niveau de larchitecture matrielle. Lefficacit du recouvrement de dfaillance(s) dpend de lefficacit de la mthode du diagnostic. Processus continu Processus discret
Apparition dune dfaillance

(nouvel) tat du systme


volution des variables

Reconfiguration

atteinte de seuils

Dtection de dfaillance et changement de reconfiguration

tel-00601086, version 1 - 16 Jun 2011

Figure2.2 : Processus de reconfiguration dynamique des systmes mcatroniques. Lvolution des technologies et des fonctionnalits des capteurs a suivi lvolution des contraintes des industriels relatives aux cots de conception, dinstallation et de mise au point des quipements dans un contexte fortement concurrentiel. Du transducteur associ un amplificateur, au capteur intelligent plug and play , lintgration des technologies a permis de doter, mme les plus miniaturiss dentre eux, dun microprocesseur en une vingtaine danne. Cependant, malgr leur haut niveau dintgration, ces capteurs reprennent pour lessentiel la chane de traitement classique : partie sensible, interface de traitement analogique et partie numrique programmable. Dans la partie programmable, nous citons la prsence des fonctionnalits telles le diagnostic, la communication Lapparition de capteurs intelligents dans la chane de conditionnement du signal numrique permet une gestion plus aise des redondances (figure 2.3 et figure 2.4). Les capteurs intelligents sont capables de sauto diagnostiquer, de se reconfigurer, de mmoriser et de reconnaitre le contexte (fonction indispensable dans le domaine de la sret). Ainsi, lintelligence distribue dans le rseau de terrain a rduit sensiblement les cots de cblage, et donne une meilleure matrise de la charge rseau.

Elment sensible

Conditionneur

Transmission

Partie capteur

Rception

CAN

Contrleur

Figure2.3 : Chane dacquisition sans lment de numrisation du signal.

- 34 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique

Elment sensible

CAN

Processeur

Transmission

Partie capteur tudie Partie capteur intelligent Rception Contrleur

Figure2.4 : Chane dacquisition dun capteur muni dun lment intelligent (processeur). Lvolution de llectronique et de la microinformatique permet d'exploiter les caractristiques frquentielles autant que temporelles des signaux issus des capteurs (transforme de Fourier rapide). Dans le mme contexte, nous tenons signaler aussi l'utilisation des mthodes probabilistes et les varits de la thorie des croyances base sur la modlisation bayesienne [Weber et al., 2007]. La prise en considration des notions de sret de fonctionnement est un phnomne assez rcent dans le cadre de la conception des composants dautomatisme intelligents. Les composants conventionnels bnficiaient dune tude rudimentaire de la fiabilit et du retour dexprience (REX). Les composants intelligents, qui sont des systmes complexes, leurs srets de fonctionnement nest pas encore trait. Leur complexit lie lintgration de puissants processeurs (souvent surdimensionns) rend en effet difficile leurs analyse fonctionnelle et dysfonctionnelle. Nanmoins, ces composants ralisent des fonctions de diagnostic et de validation de donnes supposes amliorer la sret du systme. Cependant, certains modes de fonctionnement non souponns ou sous valus du composant intelligent peuvent se rvler dangereux pour linstallation instrumente. Le point fort dun capteur intelligent est sa capacit mmoriser et traiter des fonctions de conduite, de diagnostic et de scurit. Sa versatilit et sa facilit de configuration/reconfiguration le rendent un composant conomiquement intressant. Cependant, les normes actuelles dvaluation des systmes au niveau de la confiance fonctionnelle, ne permettent pas toujours la cohabitation de nimporte quel type de fonction sur un mme cur de processeur. Un tel capteur intelligent prsente les avantages suivants: Mtrologique : accroissement de la prcision (fusion de donnes, auto-calibrage). Fonctionnel : aide la maintenance par autotest intgr susceptible de dterminer automatiquement quel est l'lment dfaillant, de transmettre des indications derreurs, mmorisation des vnements redouts, configuration distance. Economique : rduction des dures d'talonnage et de calibration, fiabilit accrue, allgement de la charge du travail du calculateur central qui n'a plus effectuer de calculs de corrections diverses. Dans le cas dun capteur intelligent cela signifie : Dfinition dune relation bijective entre lensemble des valeurs prises par le mesurable pour cette application et lensemble des valeurs que peut prendre la mesure fournie par le capteur intelligent, associ un systme dunits (dfinition des bornes de lintervalle de mesure). - 35 -

tel-00601086, version 1 - 16 Jun 2011

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique Dfinition des actions effectuer en cas de dpassement. Dfinition et activation de la relation caractrisant la relation entre grandeur et mesure. Validation du calibrage du capteur. Toutes ces prcisions montrent pourquoi un capteur intelligent va se rvler plus intressant en matire de crdibilit et de sret de fonctionnement.

2.2 Systmes microprocesseurs


2.2.1 Une omniprsence mal matrise Vue que la dpendance de notre socit aux systmes processeurs est quasi-totale (Figure 2.5), nous somme oblig daccord un intrt particulier aux systmes qui lintgrent. Le degr de confiance accordable ces systmes demeure fort limit. Lorigine des fautes y est dvidence diffuse et variable, elles peuvent tre : - Physiques : bruits (lectromagntique, vibration, lectronique de puissance, temprature, particules), dfaut de composants (vieillissement, migration lectronique), variation du processus. - Humaines involontaires : incompltude des spcifications, erreurs de spcification et de conception, erreurs dans les processus de fabrication et de test, erreurs logicielles, erreurs dans les outils de conception/test/systme dexploitation ; ou volontaires : modification de lenvironnement (augmentation des stress), modification du type de missions, attaques en phase de conception/fonderie/test et exploitation (virale). - Dinteractions : de systme systme/systme humain/humain humain, paralllismes (architectures multiprocesseurs, distribues).

tel-00601086, version 1 - 16 Jun 2011

nergie environnementale

Scurit Fiabilit Stabilit

Efficacit de production

Rgime sociale Services gouvernementale, activits conomiques Services de transportation, services de communication

Technologie dinformation rseau

Technologie SoC (MP)

Technologie logicielle embarqu

Figure 2.5 Infrastructure de technologie dinformation

- 36 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique On peut raisonnablement attendre dun systme (limites de responsabilit dfinir) une certaine capacit fournir les services attendus, mme en prsence dvnements imprvus. Cette capacit se doit dtre quasi-totale (impratifs conomiques ou thiques) dans un certain nombre de domaines : installations nuclaires, production et transport dnergie, ferroviaire, aronautique, systmes gouvernementaux. Cependant, un gros problme se pose, il n'existe pas de mesures gnriques ou dindicateurs pertinents de la fiabilit pour ce type de systme, mais une profusion de mtriques : MTBF, MTTR, BER (Bit Error Rate) malgr une trs forte demande socitale et juridique. La science se trouve influencer par des impratifs purement conomiques! Laccroissement de la complexit des systmes et services, du nombre de services fournis par un systme, de la diversit des missions des systmes (authentification, calculs numriques, navigation / Internet), sest accompagne dune augmentation de la complexit des architectures informatiques, de la puissance et de la complexit darchitecture des processeurs, dune rpartition des services sur plusieurs calculateurs communicants par des bus locaux, rseaux locaux, rseaux sans fil La complexit de conception est aggrave par limplication dun nombre important dacteurs dans la phase de dveloppement, la production artisanale des logiciels et prototypes matriels, les pressions du Business model (Rutilisation, Composants, Middleware, Standardisation) avec des cycles de renouvellement des produits de 6 mois pour llectronique Grand Public. Mais, dans un pareil contexte, que dire de lexpression des besoins, de la proprit intellectuelle, de la responsabilit, de la validation et de limbrication entre sret de fonctionnement et qualit (FMDS vis--vis qualit perue et performances dynamiques et oprationnelles) et paradigmes de conception (design for cost, performance, safety ). Les tudes de sret de fonctionnement doivent aujourdhui prendre en considration les problmes de diversit des fautes (physiques, humaines), de diversit des relations entre fautes et dfaillances (sauts de couches et de limites de sous-systmes, interactions entre fautes), de dfinition des fautes (changement dynamique des spcifications).

tel-00601086, version 1 - 16 Jun 2011

Taille mmoire A330 = 12 Mo 10Mo A320 = 5 Mo 1Mo


A ir bus m uto ob i le .

A340 = ?? MULTIMEDIA

607 Peugeot = 2 Mo.

100Ko A300 = 23 Ko 10Ko


A

1Ko

CX Citron = 1,1 Ko.

Extrait de la prsentation de Joseph Beretta / PSA 16 et 17 Juin 2003 http://www.systemes-critiques.org/SECC/

1970

1980

1990

2000

2010

Figure 2.6 : Distribution de la mmoire en fonction de la taille du logiciel

- 37 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique La vrification des systmes (garantie dterministe, garantie probabiliste, certification) est un challenge difficile, les dysfonctionnements pouvant rsulter de problmes de conception ou de choix de conception (risque assum / problme de cot, impossibilit de gestion du risque). Concevoir, programmer et vrifier le paralllisme (intrinsque des activits des systmes embarqus), valuer la sret de fonctionnement densembles mlant intimement matriel et logiciel reste des problmatiques ouvertes. Et si les dfaillances peuvent tre caractrises par leur domaine (en valeur, temporelles : avance ou retard, par arrt : plus de sorties perceptibles par lutilisateur ou retard , dfaillances erratiques), leur dtectabilit (signales / non signales), leur perception par les utilisateurs (cohrentes / incohrentes /byzantines) et leur consquences (notion de svrit ou gravit), les problmes dinteractions, de causes communes de dfaillance et autres rendent obsoltes de nombreuses mthodes. 2.2.2. Composants intelligents (SMART components) Le terme capteur dsigne en ralit un ensemble constitu dun capteur proprement dit, qui transforme une grandeur physique observe en une grandeur utilisable (temprature intensit lectrique), et de conditionneurs, transmetteurs de signaux, alimentation Le dveloppement des MEMs (mmoire), dans les annes 1980, et de lintelligence embarque, a permis lmergence de composants intelligents (Figure 2.7)capables dautodiagnostic, dautoajustage, de corriger les erreurs de mesure, de reconfiguration, dune communication numrique bidirectionnelle [NF 60770-3].

tel-00601086, version 1 - 16 Jun 2011

Figure 2.7 : Vision global dun lment de mesure intelligent Il en rsulte de nombreuses interactions matrielles et fonctionnelles, des rponses de composants difficiles apprhender en cas de dfaillance, un flux informationnel important, avec peu de retour dexprience. Do des difficults dvaluation de la Sret de Fonctionnement, dont les mthodes se rvlent peu appropries : problme dexhaustivit et de dfinition des interactions (AMDEC), limitation en nombre et type dinformation des outils boolens (AdD, BDF), dfinition des tats pour les modles tats-transition (Markov, RdP). De nombreuses questions restent en suspend quant aux bnfices vis--vis de la sret de fonctionnement. La Fiabilit ptit des nombreux lments additionnels (composants - 38 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique lectroniques, units programmables, aspects logiciels), des sources derreurs, des causes et modes de dfaillance supplmentaires, de la compensation par des procdures de tolrance aux anomalies, de la prsence de rseaux de terrain. La Maintenabilit est ralisables dans des meilleurs conditions de : autodiagnostics, stockage et traitements des donnes, communication numrique. Quant la Scurit, elle pourrait bnficier dune meilleure couverture des dfaillances dtectes, dune meilleure dfinition des positions de repli, dun management plus ractifMais quant est-il rellement ? 2.2.3. Typologie derreurs et mcanismes de protection En gnral, une architecture informatique est quivalente une srie de couches et niveaux d'abstraction : matriel, firmware, assembleur, noyau, systme d'exploitation et applications (Figure 2.8)

tel-00601086, version 1 - 16 Jun 2011

Figure 2.8 : Diffrentes couches dune architecture informatique Dans la suite de ltude, nous nous concentrerons sur larchitecture matrielle. Les niveaux dintgration atteints (gravure < 0,10 micron) et limportante complexit des systmes actuels rendent utopique lradication des erreurs systmatiques (de spcification, de conception, de ralisation). Leur nombre rsiduel peut cependant tre limit par une plus grande prcision de dveloppement. Dans le cas de llectronique (plusieurs centaines de millions de transistors par CPU) et du logiciel (plusieurs millions de lignes de code par application), la vrification (analyse statique, preuves mathmatiques, analyse de comportement, excution symbolique, tests structurels et fonctionnels) et les tests de non rgression. Quant aux conditions dexploitation et denvironnements oprationnels (technologiques et naturels), toujours plus agressifs, ils multiplient les risques derreurs alatoires (matrielles ou informationnelles). Laugmentation des stress (intensit et dure dexposition) acclre la dgradation des proprits physiques des composants, provoquant courts-circuits, ouvertures intempestives de jonctions, modifications des dlais de propagation des signaux, ou des niveaux de seuil, entranant des erreurs permanentes lorigine de dfaillances. Les fautes transitoires sont plus difficiles cerner et peuvent tre locales ou globales. Llectronique de puissance frquence variable (fortement gnratrice de rayonnements lectromagntiques issus de multiples sources, de formes d'onde, d'amplitude et de frquences trs diffrents) est aujourdhui omniprsente. Mme l'application de contraintes hors bande passante (de par les nombreuses non linarits toujours prsentes : diodes de protections ESD/ElectroStatic Discharge) peut perturber un composant (cf. bruit dun ordinateur lorsque l'on allume un portable 0,9 ou 1,8 - 39 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique Ghz) et les tlcommunications (modulation dans les amplificateurs RF) perturbent galement les logiques de traitement, voire peuvent les dtruire par effet thermique. De plus, en 20 ans, on est pass en haute altitude, dune particule stellaire/avion/an 2/avion/vol en moyenne altitude. Ces particules (ions lourds, protons nergtiques, neutrons) notamment, dessence naturelle ou technologique, peuvent dclencher des phnomnes du type SEE (Single Event Effect). Ce sont des effets localiss soumis des lois probabilistes (probabilit dagresser n circuits redondants trs faible). Ils se dcomposent en : Effets rversibles : dfauts transitoires non destructifs, appels alas logiques ou erreurs logicielles, tels les SET (Single Event Transient), les SEU (Single Event Upset) gnrateurs dinversion de bit(s) (bit-flip ou upset) et les MBU (Multi Bit Upset) o plusieurs bits sont corrompus par la mme particule. Ces derniers peuvent affecter plusieurs structures voisines. Leur probabilit doccurrence est plus faible, mais devienne importante cause de miniaturisation. Effets rversibles sur rinitialisation : tel les SEFI (Single Event Functional Interrupt) caractriss par un comportement erratique du circuit. La rcupration de ltat normal sobtient par rinitialisation complte, ou aprs coupure de lalimentation. Effets irrversibles : dgradations permanentes destructives, appeles erreurs permanentes ou erreurs matrielles, tels les SEL (Single Event Latchup) gnrateurs de courts-circuits, les SHE (Single Hard Error) ou collage de bit non reprogrammable, les SEGR (Single Event Gate Rupture) ou destruction dune structure MOS par claquage de loxyde de grille et les SEB (Single Event Burn-out) ou destruction dun composant par effet thermique. Un march spcifique sest dvelopp pour les composants fortement immunes (LETth/Linear Energy Transfer threshold > 100 MeV.cm/mg 125 C), tel lAT697 RF dAtmel Corporation, entirement durci, destin aux missions spatiales, il dispose dune puissance de calcul de 90 Mips/23 MFlops 100 MHz (0,7 W) et reste extrmement fiable avec un taux d'erreur par SEU/SET < 10-5 erreurs/composant/jour jusqu 300 Krad. Il intgre les dernires techniques de durcissement (Full Triple Modular Redundancy, EDAC/Error Detection And Correction, bit de parit). Lagression par rayonnement lectromagntique diffre de celle par SEU : le circuit peut tre agress dans son ensemble (tous les circuits redondants et de contrle peuvent tre perturbs). Lamlioration de l'immunit lectromagntique des systmes embarqus exige lassociation de mesures matrielles et logicielles (prvention, tolrance, ou prvision de fautes) [Alaoui R. 2007]. Quant aux fautes de dlai transitoires (origine lectromagntique, SET, vieillissement), elles correspondent des perturbations temporaires (fluctuation de lalimentation, interfrence lectromagntique, radiations, temprature) capables de produire des mmorisations de valeurs errones par dpassement du dlai du chemin critique (temps de cycle dhorloge) : une baisse de la tension dalimentation diminue les tensions internes du circuit ce qui augmente les temps de transitions des composants. Lorsquun dlai est dpass et quune valeur errone est mmorise sur un bit, son effet peut tre assimil un bit-flip lentre de la mmorisation, au moment du front dhorloge. Les fautes engendres peuvent ainsi se rvler permanentes (persistante jusqu rparation), intermittentes (sporadique), ou encore transitoire (apparition isole). On aboutit ainsi une multiplicit de type de dfaillances : dfaillance dexcution (arrt dexcution des

tel-00601086, version 1 - 16 Jun 2011

- 40 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique traitements, bouclage infini, excution errone, dfaillance sur interruption), dfaillance fonctionnelle (rsultats incohrents, pannes arbitraires), dfaillance oprationnelle (temps de rponse inadapt, utilisation abusive de ressources/saturations, indisponibilit). Pour garantir la robustesse dune fonction, il apparat ncessaire de mettre en uvre un ensemble appropri de dispositions prtablies et systmatiques (prvention, limination, inhibition de fautes) destines assurer une qualit de service digne de confiance. Lobjectif est dviter la propagation derreurs sur activation de fautes internes ou externes pouvant mener une dfaillance systmique. La tolrance aux fautes permet au systme de continuer fournir un service conforme la spcification malgr lapparition de fautes. Cest la redondance de certaines fonctions qui prvient la transformation de la faute en erreur. Lorsque des fautes apparaissent dans un systme, on peut minimiser leur nombre et rduire leur impact : cest llimination de fautes (cloisonnement des fonctions pour limiter la propagation dune erreur). Lorsque lon connat le type, le nombre ou les consquences des fautes, on tente de faire de la prvision de fautes, pour adapter les protections du systme (duplication de code par expression rgulire, gestion par signature ou par identifiant). La sret de fonctionnement exige ainsi le recours des mcanismes de type contrle de dfaillances, dtection derreurs, par contrle temporel, contrle dexcution, diversit, redondance dexcution, redondance matrielle, redondance informationnelle et recouvrement :

tel-00601086, version 1 - 16 Jun 2011

Dtection : destine scuriser lexcution dune application par construction dun systme Fail Silent, la base des mcanismes de tolrances aux fautes. Caractrise par sa latence (dlai de dtection de lerreur) et son taux de couverture (% derreurs dtectes), elle peut tre obtenue par contrle temporel (Watchdog rafrachi ou rarm priodiquement par le processeur), autotests priodiques ou ponctuels (tests spcifiques, Checksum, CRC, comparaison de signaux), contrle de cohrence (comparaison de donnes, vrification des traces dexcution), contrle dintgrit, contrle de signature. Elle peut tre gographique, spatiale (duplication de composants), temporelle (traitements multiples, contrle de lvolution des dlais associs aux vnements, du paramtrage ou de lapplication), informationnelles (codes et signatures), ou modale (multiplicit de moyens). Diversit logicielle : algorithmes, logique et architecture de programme, squences et ordonnancement dexcution, langages de programmation, environnement de programmation. Redondance dexcution : utilisation de ressources diffrentes et autotests (Self Testing Checkers), dissymtrie de codage ou de donnes. Redondances matrielles (homogne/htrogne) : architecture matre/esclave, calcul de plausibilit, Lock-Step Dual Processor Architecture, par contrle dautotests, architecture nom froide/chaude/tide. Redondance informationnelle : contrle de parit, Checksum et compteur de processus, CRC/Cyclic Redundancy Check , Code de Hamming, codes arithmtiques. Dans le cas dun processeur scuritaire cod, nous parlons de compensation et de recouvrement de la manire suivante :

- 41 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique Compensation (error masking) : dtection et correction des erreurs (par EDAC/Error Detection And Correction code, ECC/Error Correction Code) de manire maintenir la qualit de service. Recouvrement (error recovery) : par reprise (par blocs depuis un tat antrieur rput correct), poursuite (en avant sur exception avec reconstruction totale ou partielle de ltat atteindre), ou par programmation dfensive (vrification de consistance du changement dtat).

2.3 Place de lvaluation dans le processus de conception


La complexit des systmes et lintgration de la vrification dans le processus de conception pour rpondre aux spcifications fonctionnelles exigent dimportants efforts qui obrent les problmatiques de la sret de fonctionnement (FMDS). Ces paramtres sont introduits trop tardivement, par consquence leur intgration dans le processus de conception est mdiocre, bien quelles influent au mme titre que la vrification des proprits fonctionnelles sur la phase de conception (Figure 2.9).

tel-00601086, version 1 - 16 Jun 2011

rfrentiels - spcifications

injection de fautes + exigences Validation Vrification

Conception

Modle

prototype virtuel

Figure 2.9: Positionnement de lvaluation fiabiliste dans le cycle de conception Lobjectif de la vrification/validation est de rvler les fautes qui ont pu tre introduites au cours de nimporte quelle phase du cycle de dveloppement (spcification, conception, ralisation, fabrication, mise en service). Elle doit accompagner le processus de dveloppement afin de diminuer le cot de leur limination [Laprie J.C.,2004]. Minimiser le nombre derreurs rsiduelles, lradication des erreurs systmatiques ntant quune utopie, est lun des objectifs majeur de la validation. La prsence derreurs alatoires en phase oprationnelle exige la validation des architectures, tant matrielle que logicielle. Les attendus sont autant dordre qualitatif (longueur des squences dfaillantes, localisation des points structurellement faibles), que quantitatif (valuation de mtriques telles la FMDS). En fonction du niveau dabstraction concern, du niveau de dtail des modles (granularit) et du type de traces recherches, de multiples approches sont disponibles.

- 42 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique

valuation Qualitative Validation Vrification Quantitative

Niveau dabstraction Haut

Gnration de traces Formelle par mthode dterministe ou stochastique

Haut

Numrique par simulation Numrique par rsolution analytique

Bas

Figure 2.10: Positionnement modles / traces Le niveau dabstraction courant conduit lutilisation dune famille de modles et lobtention dun type de trace (Figure 2.10). Que ces traces soit qualitatives (formelles), ou quantitatives (numriques), que la solution soit analytique, ou obtenue par simulation, do la ncessit dun modle. De son niveau dabstraction dpendra sa capacit manipuler des objets complexes. Dans le domaine de lvaluation probabiliste prvisionnelle de la sret de fonctionnement, lmergence du logiciel dans les systmes de contrle industriels a favoris lapplication des mthodes formelles lors de la conception logicielle et le recours la vrification (model checking). Certaines approches consistent ne sintresser quaux squences dvnements menant aux tats redouts pour la mise en place des barrires de dfense. Les approches combinatoires peuvent tre synthtises par des arbres de dfaillances, des diagrammes ou graphes de fiabilit Leurs extensions (cf. logiques temporelles) ont donn naissance par exemple aux arbres de dfaillance dynamiques [Bechta et al., 2000] qui intgrent certains aspects temporels, mais ne permettent plus de gnrer simplement la fonction de structure. Lapproche markovien, malgr lhypothse forte sur le vieillissement, reste fortement usite dans le cas de composant matriel et logiciel [Laprie et al., 1995]. La modlisation sous forme dautomates et de langages associs, les rseaux de Petri, les rseaux de files dattente, lalgbre des processus stochastiques permettent de manipuler aisment des modles de grande taille (adapts la modlisation des systmes complexes). Ces modles compacts peuvent tre associs des mthodes de rduction de la dimension de lespace dtat. On doit regretter cependant dans toutes ces approches le peu de proccupation considrer les interactions entre le logiciel et le matriel.

tel-00601086, version 1 - 16 Jun 2011

2.4 valuation conjointe logiciel /matriel


Au sein de la Partie Commande, la conception de lensemble logiciel/matriel exige plusieurs niveaux de granularit et dabstraction. Dans le cas des microsystmes, partir du modle TLM (transactionnel) sont labors par niveau de granularit dcroissant le PV (voir figure 2.11) destin au dveloppement logiciel, puis le PV+T (Timing) orientant les choix architecturaux et lestimation des performances. Ct architectural, la synthse matrielle sexprimera au travers du modle RTL (diffrent de forme/PV). Chaque modle est en capacit de gnrer une trace permettant sa validation. Les proprits fonctionnelles peuvent tre vrifies pour chacun des niveaux dabstraction, par mthode formelle, ou par simulation (rapidit dpendante du niveau de granularit). La comparaison entirement formelle de traces de niveaux dabstraction diffrents, en loccurrence TLM (PV, PV+T) et RTL, devient possible [Hami et al.,2005] partir de traces RTL issues dautomates synchrones - 43 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique dterministes et dont lexcution produit (via un traducteur) une trace dans la forme PV+T. Cependant, lanalyse de la robustesse des proprits fonctionnelles et non fonctionnelles a encore recours aux techniques dinjection de fautes. Notre proposition est dutiliser le modle RTL et le code gnr pour, paralllement la phase de validation fonctionnelle, valider lensemble logiciel/matriel quant aux aspects dysfonctionnels qualitatifs et quantitatifs (Figure 2.11).
environnement systme CAO (partie oprative)

spcifications (partie commande)

exigences vrification formelle Modlisation TLM PV PV-T choix darchitecture

conception du logiciel
spcifications conception prliminaire conception dtaille

conception du matriel
spcifications conception prliminaire conception dtaille

vrification architecture

tel-00601086, version 1 - 16 Jun 2011

vrification logiciel code

modle RTL architecture

simulateur fonctionnel
(co-simulation SW/HW)

modles fiabilistes
(intractions SW/HW)

mthodes analytiques ou simulation

qualit de service
(injection de fautes)

vrification robustesse vrification interne

valuation

analyse de sret

estimation de performances

analyse ralisation

Figure 2.11: Positionnement de lvaluation fiabiliste dans le cycle de conception logiciel/matriel La vrification des proprits, qualitative et quantitative, dysfonctionnelles de lensemble logiciel/matriel sera base sur lutilisation de modles formels et dune solution analytique.

2.5 Approche flux informationnel [Hami et al., 2005]


Dans cette approche, la phase de modlisation se ralise en 2 tapes : un modle de haut niveau permettant la construction dun automate tats finis. Les squences dysfonctionnelles menant des dfaillances systmiques sont obtenues partir de langages gnrs partir de lautomate tats finis. Ces squences sont la base de lanalyse qualitative : longueur des squences, localisation de points faibles Pour palier lincontournable explosion combinatoire de lespace dtats, une variante de BDD (z-BED) est progressivement construite partir des tats finaux du modle de haut niveau. A partir de la dfaillance du systme, des squences ou des coupes minimales sont obtenues, une approche markovienne multi phase permet de calculer les probabilits de dfaillance de chaque ressource matrielle, permettant ainsi de quantifier les probabilits d'apparition de chacune des listes (combinaison dvnement) correspondant aux diffrents modes de - 44 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique fonctionnement du systme (productif, improductif, dangereux ...). Le processus est dcrit dans la figure 2.12 :
Spcification Modle hirarchis de haut niveau Modle hirarchis de bas niveau Gnration et rduction des listes Simulation avec un outil de calcul

Figure 2.12: Processus dvaluation gnrale

tel-00601086, version 1 - 16 Jun 2011

2.5.1 Le modle flux informationnel : Nous nous sommes surtout intresss deux situations de dfaillance diffrentes du systme: - Les incidents dangereux, qui pourraient conduire des accidents - Les incidents non dangereux intempestifs. Nous voulons gnrer tous les scnarios menant l'un de ces deux vnements indsirables de tout le systme. Particulirement les points uniques de dfaillance, les dfaillances de cause commune et la propagation de dfaillance. Ces types de dfaillances ne sont pas souvent vidents, ils peuvent tre facilement oublis dans une tentative directe visant crer un arbre de faute. Ce problme sera rsolu par une approche hirarchique. Nous utilisons un schma bloc orient reprsentant le flux d'information par l'intermdiaire du modle de haut niveau d'automates dtats finis et les rgles pour la modlisation de bas niveau. Ce diagramme de flux d'information (IFD) et les automates sont des versions gnralises des diagrammes et des automates prsents dans [Arnold et al., 2000]. 2.5.2 Diagramme de Flux Informationnel : Pour les diagrammes de flux informationnel, nous utilisons diffrents types de blocs qui reprsentent diffrentes entits fonctionnelles. Nous distinguons: - WD-blocks pour les fonctions de contrle (par exemple chiens de garde) - SRC-blocks comme source dinformation - DEC-blocks pour les dcisions logiques - ST-blocks pour toute autre fonction (stockage dinformation, transformation dinformation, self-tests...) Le bloc du type WD (watch dog) est spcialement utilis pour les units de contrle, avec un chien de garde. Le bloc WD a une entre et une sortie et permettent de dtecter l'absence

- 45 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique d'informations sensibles, afin de ragir par consquence la transmission par dfaut des valeurs d'erreur particulire. Les SRC-blocs crent l'information qui circule dans le diagramme. Ils reprsentent par exemple les capteurs du systme et ont une seule sortie. Les ST-blocks (blocs standard) sont les lments les plus polyvalents, ils ont une entre et une sortie, et ils sont utiliss pour toutes les entits fonctionnelles qui ne peuvent pas tre reprsents par les autres blocs, par exemple le stockage ou la transformation de l'information. Le dernier type de blocs, DEC-blocs, reprsentent des entits de dcision logique, ils ont plusieurs entres et une sortie, permettant de dcrire le comportement de multiples sources interconnectes dinformation, ils ne dcrivent pas des entits physiques. Les lments qui contribuent cette dcision doivent tre matrialiss par l'ajout de STblock successifs. Un des blocs dans le diagramme, normalement un ST ou DEC-bloc, peut tre marqu comme dernier bloc, ce bloc n'a pas de sortie et est utilis pour gnrer les scnarios de dfaillance comme il le sera dcrit dans le paragraphe suivant. Un exemple d'un IDF prsent dans [Hami et al.,2005] est montr dans la Figure 2.13, on peut y voir des blocs pour les diffrents modules du systme, quelques blocs de dcision supplmentaire et les flux d'information partir des blocs source jusquau bloc final, en un seul pas le temps T. Pour les blocs source, les capteurs gnrent les informations qui se propagent travers le schma, l'information produite par les blocs successifs est traite et propage. L'change entre les blocs est toujours exempt de fautes. Bien que le traitement des donnes se fasse dans les blocs, des erreurs peuvent apparatre. Cela signifie que l'tat du signal peut changer dans un bloc.

tel-00601086, version 1 - 16 Jun 2011

Figure 2.13: Diagramme de flux informationnel pour un arrt durgence Nous distinguons trois diffrents tats errons du signal : - Pas de dfaillance dtecte (tat de dfaillance sur S) - Dfaillance non dtecte (tat de dfaillance dangereux D) - Perte de signal (tat dinhibition I) 2.5.3 Automates dtats finis La thorie des automates tats finis ( nombre dtats finis) a t associe avec la thorie des langages. Ces modles reviennent spcifier des ensembles dtats et des transitions entre ces tats [Hami et al.,2005]. Les langages et les automates permettent de traiter mathmatiquement les problmes relatifs aux Systmes vnements Discrets (SED), essentiellement dun point de vue logique (analyse qualitative). - 46 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique

Chaque SED a un ensemble dvnements qui lui est associ. Ces vnements font valuer le SED. Cet ensemble peut tre vu comme un alphabet dun langage et les squences dvnements sont des mots (aussi appels chanes) de ce langage. Un automate est alors un dispositif qui engendre un langage en manipulant lalphabet (les vnements). Aprs avoir modlis le flux d'information, il est ncessaire de prciser les changements d'tat de l'information. Pour les non-DEC-blocs finis, des automates dtats finis acycliques sont utiliss pour reprsenter une fonction de liaison entre entits. Un automate dterministe fini est un quintuple (S,, , x0, F) avec : - Ensemble des tats finis S - Alphabet dentre - Fonction de transition : S S - Etat initial x0 S - Ensemble des tats finaux F S

tel-00601086, version 1 - 16 Jun 2011

Pour notre exemple (figure 2.14), nous avons un tat initial prdfinis x0 et trois tats finaux prdfinis XS, XD, et XI, qui reprsentent les trois tats dfectueux de l'information. Les alphabets utiliss dans ces automates sont les symboles qui reprsentent diffrents types d'checs. Ils sont dsigns comme suit: - input(i) avec i {S,D, I} (pour ST- et WD-blocks) - d(x, y) avec x comme ressource matriel et y {0, S, D, I} - bf(e) avec e reprsente source de faute de type bit flip - tf (f) avec f reprsente le test de ressource matriel - mot vide L'avantage des automates pour notre proposition, c'est qu'ils sont en mesure d'inclure diffrents types danomalies et plusieurs modes de dfaillance. En outre, ils sont trs intuitifs et on peut les dduire assez facilement pour les sous-systmes. Nous prendrons lexemple, dautomate du bloc Store1, qui est montr dans la figure 2.14. Tout en stockant les rsultats, diffrentes dfaillances peuvent se produire. Dans un premier temps, le composant mmoire peut tre endommag physiquement, de sorte qu'il y ait plusieurs bits immobiliss un (S), enferm zro (S) ou que la mmoire ne soit plus disponible du tout (I). Il y a aussi la possibilit d'un bit flip dans la mmoire changeant la valeur des donnes stockes ; input(i) est utilise pour la propagation dune faute du bloc prdcesseur, il se produit uniquement l'tat initial x0. Les valeurs possibles pour i dpendent du type du bloc courant. Dans ST-blocs, i ne peux tre que S ou D tel que ST-blocs ne sont pas capables de traiter les informations perdues. En revanche, WD-blocs ne contiennent que des input(I). Pour les dfaillances matrielles, le symbole d(x, y) est utilis. y indique l'tat de la ressource matrielle x : fonctionnement correct (0) ; dfaillance non dangereuse (S) ; dfaillance dangereuse potentielle (D) ; absence de sortie (I). bf(e) reprsente les erreurs

- 47 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique environnementales comme bit flips d'une ressource e. ft(f) indique qu'il y a pas derreur dtecte dans une ressource durant un test. Pour simplifier le calcul, nous supposons que l'effet du bit flips ou faute de tester dune ressources est toujours le mme dans un chantillon de temps. Notez que tous les trois tats finaux ne sont pas toujours ncessaires. Cela sera expliqu plus en dtail dans le paragraphe suivant. Les automates dfinissent un langage qui dcrit tous les scnarios conduisant un chec de diffrents blocs (rponse inattendu du bloc). On peut distinguer trois sous langages du langage gnr diffrents correspondants aux trois tats finaux, pour les dfaillances non-dangereuses, les dfaillances dangereuses potentielles, et les dfaillances sans aucune sortie. Ces langages peuvent tre extraits et sont enregistrs dans les trois listes LS (B), LD (B), et LI (B) pour le bloc B. L'automate de la figure 2.14 dfinit les langages suivants: - LS(Store1) = {d(mem, S); input(S)d(mem, 0); input(D)d(mem, 0)bf(m)} - LD(Store1) = {d(mem,D); input(D)d(mem, 0); input(S)d(mem, 0)bf(m)} - LI(Store1) = {d(mem, I)}

tel-00601086, version 1 - 16 Jun 2011

FIGURE 2.17:

The Automaton for the block Store1

Figure 2.14: Modle dun automate dune entit fonctionnelle Rgles spcifique aux DEC-blocs Les blocs de dcisions utilisent un autre modle de bas niveau pour dcrire leur comportement. cet effet, des rgles boolennes sont introduites. Ces rgles utilisent les tats des signaux (soit S, I ou D) de chaque entre. Il y a trois rgles, ces rgles seront reprsents les listes LS, LD et LI. Si on prend le dernier bloc de l'IFD indiqu en figure 2.13, les rgles suivantes sont choisies: -S:V1=SV2=S -D:V1=DV2=D - I : false Remarque : Pour V1et V2 voir la figure 2.13 Ainsi, le bloc final propagera une erreur si au moins l'une des deux vannes injuste une. Une dfaillance dangereuse ne se produira que si les deux vannes dfaillent. Comme nous sommes

- 48 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique la recherche d'une liste complte, nous devons dfinir la manire de l'extraire. Les disjonctions dans les rgles seront traites par l'unification de deux listes, les conjonctions seront traites par le produit des deux listes. Pour notre exemple, nous pouvons conclure: - LS(Safe) = LS (V 1) LS (V 2) - LD(Safe) = LD (V 1) LD (V 2) - LI(Safe) = {} 2.5.4 Gnration des listes globales : L'intrt principal est de gnrer tous les scnarios de dfaillances dangereuses et la propagation de ces dernires vers le bloc final. Elles seront stockes dans les listes de LD et LS. Pour obtenir ces listes, les listes de LD(Bf) et LS(Bf) du dernier bloc Bf sont crs afin de les connecter avec les listes locales des autres blocs. Il est ncessaire de distinguer deux cas: DEC-blocs et non-DEC-blocs. Pour DEC-blocs, la mthode prsente dans le paragraphe prcdent pour relier les blocs est utilise.

tel-00601086, version 1 - 16 Jun 2011

Pour les non-DEC-blocs, tous les init(i) dans la liste sont substitus. La squence aprs une entre input(i) est combine avec toutes les squences d'une liste locale LI(B) du bloc B par une concatnation. Pour illustrer cela, les trois listes suivantes sont utilises: - LS (Bf ) = {input(S)d(x, S)d(y,D); input(D)d(y,0)} - LS (B) = {input(S)d(v,0); input(D)d(v,S)d(w,D)} - LD (B) = {input(D)d(v,D); input(S)d(w,D)} Si input(S) et input(D) sont substitus avec LS (B) et LD (B), nous obtenons: LS(Bf) = {input(S)d(v,0)d(x,S)d(y,D); input(D)d(v,S)d(w,D)d(x,S)d(y,D); input(D)d(v,D)d(y,0); input(S)d(w,D)d(y,0)} 2.5.5 Evaluation quantitative Lestimation de mtriques tels les PFD (probabilit de dfaillance sur demande) et PFS (probabilit de dfaillance sure) ncessite 3 phases : - modlisation de lvolution des stress environnementaux auxquels est soumise larchitecture (temprature, pression, radiations) et de maintenance des composants. Limpact oprationnel des paramtres environnementaux sur les composants sont disponibles dans de nombreux domaines tels laronautique [FIDES 2004], lautomobile, les industries verrire et ptrolire La prise en compte de contraintes humaines (oprations de maintenance) nest pas considre dans les cas prsents ici. - modlisation stochastique de lvolution des probabilits derreurs matrielles, des fautes environnementales et dchec aux tests. - gnration des listes caractristiques des squences (combinaisons derreurs) menant aux tats recherchs. Par exemple, une liste conduisant de manire ncessaire et suffisante une absence de raction de la fonction de scurit sous lhypothse dune prsence de demande au

- 49 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique moment dacquisition, une autre conduisant un dclenchement intempestif des actions de raction de la fonction ddie scurit (raction en absence de demande). Aprs valuation des stress environnementaux, les probabilits conditionnelles des processus markoviens associs lvolution de ltat des ressources matrielles, et des vnements internes et externes sont actualises. Les probabilits derreurs pour chaque ressource matrielle sont alors actualises par itration de processus markovien. On utilise finalement ces probabilits derreurs values prcdemment pour calculer les probabilits doccurrences pour chacune des listes au temps t=kT. La probabilit doccurrence de chacune des listes est donne par la somme des probabilits de chaque combinaison des erreurs simultanes quelle contient. Par intgration par morceaux jusqu t=Tlife, on obtiendra les probabilits recherches. A partir de la construction d'automate tats finis, si le systme a une taille raisonnable, les listes (squences d'vnements menant l'tat de dfaillance du systme) sont construites et simplifie. Dans le cas des modles de grande taille, des modles z-BDD sont construits progressivement partir de l'tat final (tats du systme global), pour permettre l'obtention de coupes minimales (squences d'vnements non ordonns). Cette approche, permet le calcul analytique des probabilits de dfaillance du systme. Le processus de gnration de listes est toutefois maintenu pour l'analyse qualitative des dfaillances systmiques. Le 2me niveau de la reprsentation dcrit le comportement fonctionnel et dysfonctionnel de chaque sous-entit fonctionnelle. Les automates tats finis bass sur la thorie de langage exprimant des squences d'vnements menant ces deux modes oprationnels : la raction est active en l'absence de situation dangereuse (PFS) et la non activation ou bien absence de la raction en prsence d'une situation dangereuse (PFD). Les indicateurs de performance de scurit ddie (PFDavg et PFSavg) sont lis la notion de risque rsiduel par [Hami et al.,2005]:
Rres =

tel-00601086, version 1 - 16 Jun 2011

Tlife 1 1 ).I fT.PFD(kT).Idem + Tlife .(1 f.T)PFS(kT abs = f.PFDavg.Idem + ( T f).PFSavg.Iabs Tlife k=0..N k=0..N

Avec f, probabilit moyenne doccurrence de demande Idem: limpact daccident Iabs: limpact de dclenchement de dfaillance Si la situation dangereuse dtecte par la fonction de scurit (prsence de la demande) mne certains accidents : f sera gal la frquence moyenne d'occurrence d'un accident avant l'ajout d'une fonction ddie la scurit. Une fois la relation entre le risque rsiduel et les mtriques PFDavg et PFSavg dfini, il devient possible de juger la qualit de service d'une fonction de scurit en dfinissant une mthode pour estimer les pertes conomiques causes par son dclenchement. On note cette mtrique:
* c. gva SFP.)f

c*: induced average cost (in terms of economic loss per unit of time T) associated to an unavailability

T E..1 k T T ( )Tk( c.)Tk(SFP. Tk ,dnamed(p 1 * ) efilT


efil

{[

}=

dni C

- 50 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique Compte tenu de niveau de risque rsiduel acceptable et un niveau de perte conomique maximale accepte, il est possible d'tablir les exigences relatives aux deux seuils des indicateurs de performance PFDavg et PFSavg afin dassurer la conformit avec les objectifs noncs dans les hypothses mentionnes et de constater que les propagations ne provoque pas un accident. 2.6 Capteur intelligent - Description du prototype Dans les paragraphes prcdents, nous avons montr une vue globale sur les capteurs intelligents, tel que lintelligence de ce dernier rside dans sa capacit de vrification du bon droulement dun algorithme [Belhadaoui et al., 2008-b], test du rsultat dune opration arithmtique. Les avantages de ces capteurs sont : Mtrologique : accroissement de la prcision (fusion de donnes, auto-calibrage) Fonctionnel : aide la maintenance par autotest intgr susceptible de dterminer automatiquement quel est llment dfaillant, de transmettre des indications derreurs, mmorisation des vnements redouts, configuration distance.

tel-00601086, version 1 - 16 Jun 2011

Economique : rduction des dures d'talonnage et de calibration, fiabilit accrue, allgement de la charge du travail du calculateur central

Capteur Intelligent
Automatisation

Capteur "Smart"

Mtrologie Intgration

Capteur "Classique"

Traitement du Signal Compensation Rseau(x) de Terrain

Connexion Point Point

Connexion Point Point

Figure 2.15 : Architecture globale de capteur intelligent [mkhida 08]. La figure ci-dessus (figure 2.15) reprsente le modle fonctionnel dun tel capteur. Les fonctions surveiller, laborer et dcider sont essentielles. La fonction surveiller associe la fonction laborer va permettre de transformer des informations brutes en informations valides auxquelles sera associe une crdibilit maximale compte tenu de ltat du capteur un instant donn. Cette fonctionnalit de validation est insparable de la fonctionnalit acqurir. Elle est la base du concept dinstrument intelligent.

- 51 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique 2.6.1 Partie sensible du capteur Le laboratoire de physique des matriaux de Nancy (LPM), spcialiste dans ltude des proprits lectromagntiques des matriaux et des capteurs fortement miniaturiss, a dvelopp des comptences trs avances en lectronique du spin et dans lexploitation des proprits magntiques. Ce laboratoire, titulaire de plusieurs brevets, est aujourdhui capable de raliser des ttes sensibles de quelques micromtres carrs. Cest donc une quipe de ce laboratoire qui a dvelopp la jonction magntique effet tunnel utilise pour le dmonstrateur. La photo suivante (Figure 2.16) montre lexploitation la technologie des couches minces et lapproche LPM dans la construction des capteurs sensibles.

tel-00601086, version 1 - 16 Jun 2011

Figure 2.16 : Evolution technologique de llment sensible dun capteur. 2.6.2 Unit de traitement analogique pour le conditionnement du signal Lquipe dInESS (Institut dElectronique et de Solide de Strasbourg) possde une solide exprience dans lexploitation des proprits (linaires et non linaires) des capteurs magntiques. Ses comptences en physique des composants ont permis dlaborer une architecture rpondant aux critres fiabilistes recherchs dans cette tude en collaboration avec le LPM. Larchitecture retenue, hors redondances, sera tudie en dtail dans le chapitre 4 de ce mmoire. Le signal issu de la MTJ (la tte magntique sensible dvelopp par lquipe LPM) est filtr avant dtre amplifi et cod puis transmis lunit de traitement numrique conue par le LICM. Lanalyse du circuit de la partie analogique du capteur dveloppe (Figure 2.17) permet de dfinir 4 grands blocs fonctionnels :

- 52 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique

Alimentation_Stable Suiveur

Codeur Amplificateur

Matriau magntique sensible

Filtre passe haut

tel-00601086, version 1 - 16 Jun 2011

Figure 2.17: Schma lectronique de la partie analogique du capteur. Bloc alimentation. Le bloc MTJ : on exploite la proprit physique de leffet hall des matriaux pour faire varier un rapport cyclique en fonction du champ magntique mesurer. Ltage de filtrage est constitu dun filtre de 1er ordre. Les deux tage suiveur et amplificateur se ralise sur des circuits intgrs.

2.6.3 Unit de traitement numrique Lensemble des traitements numriques est ralis par un cur de processeur rpondant aux spcifications des systmes mcatroniques. Avec des objectifs et des proprits complmentaires, on distingue diverses architectures de processeurs la complexit de leur jeu dinstructions : CISC (Complex Instruction Set Computer) : grand nombre dinstructions (longueur variable), plusieurs modes dadressage, surface importante, compilateur complexe. RISC (Reduced Instruction Set Computer) : limitation du nombre dinstructions (longueur fixe) et des modes dadressage. Lacclration des accs mmoire et la gestion des sauts de fonctions imposent lutilisation de mmoire cache et de registres supplmentaires. MISC (Minimal Instruction Set Computer) : jeu dinstructions rduit, limitation du nombre de ressources matrielles. Inclut la famille des processeurs Piles (partages entre le cur de processeur et la mmoire).

- 53 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique La prsence de processeur dans notre capteur nous a pousss chercher une architecture de processeur qui rponde correctement nos besoins. La simplicit du jeu dinstructions et de larchitecture matrielle ont constitu les critres de slection pour lapplication retenue (processeur ralisant des fonctions haute exigence de sret de fonctionnement, intgr dans un capteur et donc faible cot). Les comptences du LICM ont permis de dvelopper une architecture de type processeur pile, gage de robustesse et de moindre complexit. Dautres exigences ont prsid aux choix dun processeur pile, parmi ces exigences nous citons : Economie de la ressource matrielle (utilisation minimale des composants) et rapidit dexcution. Dterminisme de la machine: le microprocesseur pile est bas sur le principe de la machine de TURING (squence dinstructions dtermines), donc facile modliser par un processus markovien. Simplicit du codage.

tel-00601086, version 1 - 16 Jun 2011

Aisance du dveloppement dun compilateur. Rduction de la taille du programme (minimisation du code par sub-routines). Limitation du nombre dexceptions traiter. Rduction de la taille architecturale par rapport dautres architectures (exemple : Von Neumann). Bonne adaptation de la robustesse et de la simplicit aux systmes temps rel embarqus. En raison de ces avantages, ltude que nous prsentons dans ce projet portera sur la conception dun processeur MISC Piles disposant dun jeu de quatre groupes dinstructions : transfert de donnes, manipulation de mmoires, manipulation de registres, arithmtiques et logiques. Avec ses besoins en ressources mmoire minimaux (bonne immunit au SEU : Single Event Upset), son contexte fortement synthtique (peu de ressources mmoire utiliser pour une sauvegarde de contexte), sa facilit et sa rapidit de dveloppement (seule la dmonstration de la mthode dvaluation nous intresse), le processeur double piles (une pour les adresses de retour, une seconde pour le passage de paramtres ou lvaluation dexpressions) convient parfaitement notre projet (Figure 2.18). Les piles sont des mmoires avec une gestion de type LIFO (Last In First Out), elles sont compltes par une mmoire programme et une mmoire explicite (extension de la pile de donnes). Ce processeur disposera dune pile de donnes (Data Stack) associe une mmoire externe (Data Stack Memory) et une dadresses (Return Stack) pour les interruptions, les appels fonctions associe une seconde mmoire (Return Stack Memory). Ces piles sont gres via des pointeurs (Data Stack Pointer et Return Stack Pointer) dsignant les sommets (Top Of Stack et Top Of Return Stack) et sous-sommet (Next Of Stack et Next Of Return Stack).

- 54 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique

Figure 2.18 : Architecture de processeur pile Sil est acquis que la conception intgre de composants mcatroniques require une approche systmique pluridisciplinaire, lintgration de critres de sret de fonctionnement dans leurs spcifications impose de nouvelles approches et interactions mtiers. Ces systmes intelligents et communicants, sont constitus de sous-systmes interconnects, dots de circuits de contrle et de boucles de rtroactions, associant composants matriels et logiciels. La recherche dune augmentation de la disponibilit de ces systmes, du moins de leur capacit terminer une mission, a entran lutilisation darchitectures de commande lectronique programmable dont les processus de dcision sont distribus, engendrant des structures fiabilistes variables difficilement valuables par les mthodes conventionnelles. Ltablissement dun modle de comportement intgrant les modes de dfaillance fonctionnelle et leur propagation, les modes de reconfiguration, dactivation des fonctions tests et dlaboration du diagnostic, ne peut qutre le fruit dune collaboration interdisciplinaire. Cette obligation dcoule du besoin dune dfinition de mcanismes de dtection des dfaillances efficaces et robustes, et dune meilleure comprhension des mcanismes de vieillissement, ncessaires pour accorder un niveau de confiance suffisant aux modles devant dboucher sur une meilleure matrise de la fiabilit des sous-systmes analogiques. Les choix architecturaux (matriel et logiciel) ont une influence sur les performances dynamiques et la robustesse des systmes embarqus. Les temps de cycle de lapplication et des processus de dtection et recouvrement, ventuellement multiples en fonction des taux derreurs temporel, sont des paramtres notoirement critiques dans le cas des systmes de contrle-commande. La robustesse peut tre value via des techniques dinjection derreurs. On supposera un taux de couverture la dtection (matrielle) de 100% et une interruption sera gnre chaque occurrence dapparition dune erreur. Pour une sauvegarde priodique des sommets et pointeurs de piles, du compteur ordinal et des donnes traites, lexcution dune procdure de recouvrement sur interruption (toutes les N instructions) raliser intensivement, le jeu dinstructions doit tre adapt en consquence. Une machine virtuelle est ralise, elle supportera plusieurs types de Benchmark (programmes de rfrence), dont : - Application de contrle-commande : traitements logiques et arithmtiques avec entres et rsultats stocks en mmoire. Soit une centaine dinstructions. - Tri bulle (de dix variables stockes en mmoire) : utilisation de la mmoire (Figure 2.19).

tel-00601086, version 1 - 16 Jun 2011

- 55 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique

tel-00601086, version 1 - 16 Jun 2011

Figure 2.19 : Organigramme dexcution de programme de Tri. Un exemple de choix architectural entrant dans le cadre de la recherche dun optimum dans le compromis cot/performances et pouvant tre guid par la simulation dune machine virtuelle est le nombre de bus dadressage. Une architecture 2 bus (1 bus ddi mmoire programme et 1 bus mmoires piles et explicite) engendrera des dures dexcution suprieures en moyenne de 30% une architecture 3 bus (1 bus ddi mmoire programme, 1 bus mmoire pile de donnes et 1 bus mmoires pile de retour et explicite), quelque soit le Benchmark. Lanalyse de la robustesse requiert plusieurs scenarii dapparition de fautes : priodiques (1 erreur toute les N instructions) ou alatoires (frquence variable), isole ou par salves (cas dun dmarrage moteur par exemple). Si le rsultat nest pas original, on peut vrifier quune salve derreurs de frquence leve ne permet la routine de sauvegarde et de recouvrement de ne sexcuter quaprs sa fin : la perte de temps nest pas proportionnelle au nombre derreurs, mais au nombre de tentatives de recouvrement (Figure 2.20). Le cas le plus dfavorable tant celui o la routine de recouvrement peut sexcuter entirement aprs chaque erreur. Une salve intervenant tardivement, lorsque les traitements logiques et arithmtiques sont raliss, se rvle moins pnalisante que dans le cas dune apparition prcoce. Il demeure cependant impratif de pouvoir raliser une premire sauvegarde en dbut de cycle de traitement pour esprer un recouvrement consistant.

- 56 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique


Nombre de cycle ncessaires lapplication (sans erreur) Nombre de cycle ncessaires la routine de protection : Nombre de cycle ncessaires lapplication (4 erreurs en cours dexcution et recouvrement)
occurrence derreur occurrence derreur

Nombre de cycle ncessaires lapplication (8 erreurs en cours dexcution et recouvrement)


occurrence derreur

Figure 2.20 : Impact du nombre de recouvrement sur le temps dexcution Dans le cas du Benchmark Tri bulle, 4 scnarii ont t traits : frquence fixe avec 10 erreurs par cycle de traitement du programme (1833 cycles de traitement de lapplication sans occurrence derreur), frquence variable avec 73 erreurs par cycle de traitement du programme, par salves de 40 erreurs sur un intervalle de 200 cycles dhorloge, et par salves alatoires jusqu 818 erreurs sur un intervalle de 818 cycles dhorloge. Pour le second scnario (le plus dfavorable), le surcot temporel de lintgration dun mcanisme de sauvegarde priodique (sans procdure de recouvrement suite apparition derreurs) est de 29%. Et dans lhypothse dun recouvrement derreur toutes les 250 instructions, on atteint 47% (Figure. 2.21-a). Nonobstant la sauvegarde des donnes tries, la correction de 73 erreurs priodiques sur 1 cycle programme imposera une division par 3 de la frquence utilisable (surcot de 200%). En tenant compte des dlais de sauvegarde des 10 donnes du Benchmark, le surcot peut atteindre 1000% pour 249 erreurs ! Dans le cas dune salve continue choisit sur 800 cycles dhorloge alatoirement (scnario 4), le surcot atteint 70%, sans sauvegarde des donnes tries, 103% avec sauvegarde (Figure 2.21-b).

tel-00601086, version 1 - 16 Jun 2011

Figure 2.21a : Surcot protection logicielle scnario 2

Figure 2.21b : Surcot protection logicielle scnario 4

- 57 -

Chapitre2 : Problmatique lie la sret de fonctionnement dun sous-systme mcatronique Lvaluation de ces surcots temporels permet de vrifier la compatibilit des capacits de traitement du systme (impratifs de temps rel ncessaire lapplication vs nombre derreurs pouvant apparatre sur un cycle de traitement) et doptimiser son durcissement en consquence.

2.7 Conclusion
Dans ce chapitre, nous avons parl de la tche de chaque membre du projet de la Fondation CETIM. Nous avons commenc par la partie sensible jusquau traitement numrique de linformation. Vers la fin du chapitre, nous avons montr le choix dune architecture de la partie lectronique programm et de la partie traitement analogique de notre capteur intelligent. Nous avons propos galement, une mthode dvaluation quantitative qui permet une prise en compte accrue des phnomnes de dfaillance simultane, les causes communes de dfaillance, les modes latents, larrt intempestif. Cette mthodologie garde une place particulire la reprsentation temporelle de lvolution des probabilits calcules en fonction des contraintes externes. Cette mthodologie permet lvaluation dysfonctionnement sous lhypothse : de probabilit davoir un mode de

tel-00601086, version 1 - 16 Jun 2011

Description raliste des profils de stress environnementaux. Modlisation correcte des processus stochastiques. Exactitude dans les rgles de corrlation entre lois dvolutions des modles stochastiques et stress environnementaux. Dtermination exhaustive et prcise de probabilit de chaque mode parmi les six modes de dfaillance dfinie par la suite dans le prochain chapitre. La construction des listes caractristiques par lapproche flux informationnel est la phase la plus importante. Elle permet de prendre en considration les mesures de stress environnemental, les contraintes architecturales en termes de dpendance temporelle entre les composants et le partage de ressources entre les fonctions de programme. Une application de cette mthode sur une architecture de processeur pile sera le but du prochain chapitre. Nous montrons dans ce chapitre comment nous aboutissons ces listes dune faon systmatique partir des deux modles, de haut niveau et de bas niveau. La construction du processus stochastique permet de justifier lintrt de lutilisation des chanes de Markov non-homognes et des rgles dvolution de leurs attributs vis--vis de lvolution du stress de lenvironnement au cours du temps.

- 58 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur

Chapitre 3 :
Application de lapproche flux informationnelle lvaluation dun processeur

tel-00601086, version 1 - 16 Jun 2011

- 59 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur 3.1. Introduction La gnralisation dune approche originale base sur le flux dinformations [Hami et al., 2005], nous permet de combler en partie le hiatus entre les valuations des parties matrielle et logicielle. Cette mthode permet une description de la ralisation de fonctions logicielles sur une architecture matrielle reconfigurable. Les mthodes conventionnelles dvaluation de la sret (RBD [Villemeur A., 1997], Rseaux de fiabilit [Hout M.et Apostolakis G., 2002], FTA [Vesely et al., 1981] se rvlent revches dcrire aisment certains types de dfaillances (dfaillance de cause commune [CHARPENTIER P. 2002], modes latents de dfaillance [Bier V. 1988], autotests, prise en compte des arrts intempestifs). Une partie de la difficult dvaluation de la sret de fonctionnement des systmes complexes est lie aux difficults de comprhension et de modlisation des interactions entre parties matrielle et logicielle [Belhadaoui et al., 2008-a]. La prsente tude intgre aspects fonctionnels, dysfonctionnels et dfinition des modes de dfaillance possibles dtre adopts par le systme. Dans ce chapitre, nous appliquons, aprs adaptation, une mthode d'valuation fiabiliste de systmes critiques programms [Camar et al., 2001], pendant sa phase de conception [Wirk N. 2003]. Lobjectif principal consiste valuer la probabilit quune architecture matrielle du processeur excute correctement ou incorrectement des instructions assembleur. Cette probabilit est calcule partir des taux de dfaillance d'excution des instructions logicielles sur une architecture matrielle [Belhadaoui et al., 2008-a]. La mthode utilise, hirarchisable et modulaire, peut ainsi tre utilise pour lvaluation de larchitecture (HW et SW) de processeurs pouvant inclure des mcanismes de tolrance aux fautes. Des mcanismes de tolrance aux fautes et de reconfiguration pouvant galement tre implants au niveau de lapplication et du systme complexe tudi, on peut ainsi imaginer valuer globalement des mcanismes de dtection/recouvrement. Les aspects de propagation de linformation, inhibition de linformation, et les causes communes de dfaillance devenant incontournables lchelle dun systme de systmes (intgrant de plus des rseaux de communication). Les applications mcatroniques, associant composants numriques et analogiques, peuvent aussi tre traits par cette mthode. Il est ainsi possible dvaluer limpact de mcanismes de tolrance aux fautes sur la fiabilit dun microprocesseur [Lei et al., 2007]. Chaque instruction assembleur est value individuellement selon la mthode dcrite. Ensuite, nous supposons que lensemble dinstructions sexcute squentiellement, dans ce cas de figure nous calculons directement les probabilits pour des vnements linaires. En outre des mcanismes de dtection/tolrance aux fautes sont galement prsent ce niveau, nous appliquons les mmes dmarches de calcul sur un niveau hirarchiquement suprieur afin de prendre en compte ces mcanismes. Dans un premier temps, nous considrerons une architecture basique, sans dispositif de dtection et de recouvrement de fautes. Le travail ralis permettra danalyser limpact dun mcanisme de tolrance aux fautes. Enfin, la mthode sera tendue lvaluation de la partie intelligente, lobjectif tant la validation, en termes de sret, de la conception dun processeur. Cette validation consiste quantifier des paramtres lis la sret par une modlisation dynamique de propagation de linformation. Ce modle dynamique peut tre gnr automatiquement partir dun modle VHDL-RTL qui permet lobtention du modle de haut niveau de la mthode flux informationnel. La modlisation des ressources matrielles pendant lexcution des instructions assembleur, permet une valuation de larchitecture matrielle vis--vis du code de programme en termes de fiabilit, disponibilit et crdibilit de linformation.

tel-00601086, version 1 - 16 Jun 2011

- 60 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur Notre cas dtude est un capteur se compos dlments sensibles lectromagntiques multiples associ une lectronique de traitement ralisant linterface avec un processeur. Le choix de la simplicit de conception comme gage de sret [Robert C. 1992], a fait privilgier une architecture MISC (Minimal Instruction Set Computer) [Jallou et al., 2007]. Ceci permet davoir une comprhension assez fine des mcanismes dchanges et de traitement dinformations internes. Sa structure interne inclut un processeur deux piles gres en mmoire externe pour ne pas avoir de restriction sur leurs profondeurs, un adressage par des pointeurs internes au cur, des instructions oprande de 8 bits, et un bus de donnes de 16 bits. Linterface entre la tte de mesure et le cur du processeur est ralise par un tage analogique. Les circuits numriques sont essentiellement sensibles aux particules ionisantes, gnralement responsables de la modification inopine de la valeur d'une information (bitflip) stocke dans un point mmoire (bascules, RAM). Les dfaillances matrielles, notamment celle dune porte logique (effet daugmentation de courant) ou celle du une surcadence (altration par augmentation de la temprature pouvant conduire une dfaillance totale) sont gnratrices de fautes qui seront propages lors du traitement ultrieur dinformation. La conception de systmes programmables implique une valuation globale de lensemble matriel/logiciel.

tel-00601086, version 1 - 16 Jun 2011

3.2. Analyse fiabiliste dun microsystme numrique Toutes dmarches de sret de fonctionnement sentament par une analyse qualitative prliminaire des spcifications. Elle permet de circonscrire les contraintes dues au cahier des charges (analyse prliminaire des risques). Elle dtermine ainsi des scnarii aboutissant loccurrence de dfaillance. Cette tude se base sur diffrentes mthodes telles HAZOP, FMEA, ou doutils de spcifications [Henley E.J.K. 1992], et permet la dtermination et la slection des modes de dfaillance, ainsi que leur criticit [Belhadaoui et al., 2007]. Le but de cette phase est de classifier les modes de dfaillance en catgories (modes de dfaillance) selon leurs natures, leurs degrs de criticit, et leurs impacts sur larchitecture globale. Elle nous permet de caractriser les transitions entre les tats (modle de bas niveau sous forme dautomate dtat fini [Bolch et al. 2000]) par lajout dattributs significatifs sur linformation propage, qui figurera sur les squences menant dfaillance. Linformation correcte ou errone se propage dune entit lautre suivant lordre logique dexcution dune instruction. La dfaillance dun composant de larchitecture peut induire la propagation dune information errone. La dfaillance de linstruction et de la fonction peut tre transitoire ou permanente, selon la nature de la dfaillance signale. Ce travail prliminaire permet dans un premier temps lanalyse qualitative, et dans un deuxime temps de quantifier, valuer la probabilit dapparition des modes (dys)fonctionnels. Suite lanalyse qualitative, la quantification des mtriques de performance fiabiliste de larchitecture est ralise partir de lidentification des squences (dys)fonctionnelles : mode de fonctionnement correct, fonctionnement erron tolr, non tolr, pires cas Lanalyse prliminaire de notre architecture a permis de dfinir six modes de fonctionnement. Ces modes correspondent un niveau de crdibilit de linformation dlivre par le capteur. En sinspirant de la norme [IEC61508 1999], les modes suivants ont t dfinis :

- 61 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur Modes disponibles : Mode 1: mesure correcte, pas de dfaillance dtecte. Mode 2: mesure incorrecte, dfaillance dtecte mais tolre (recherche de disponibilit). Modes indisponibles : Mode 3: mesure incorrecte, dfaillance dtecte mais non tolre (recherche de scurit). Mode 5: mesure correcte et dfaillance dtecte (arrt intempestif). Mode 6: absence de mesure (arrt du systme). Modes dangereux : Mode 4 : mesure incorrecte, dfaillance non dtecte (mode dangereux). Les squences de propagation derreurs gnres partir du modle de bas niveau (langage marqu des automates dtats finis) permettent, laide dun modle markovien non homogne (outil de calcul bas sur les arbres de dfaillance) de quantifier et dobtenir de manire analytique [Laprie J.C.,2004] quelques paramtres de sret de fonctionnement du systme telle que la fiabilit ou la disponibilit. Elles permettent de caractriser ltat de fonctionnement du capteur selon les six modes dfinis prcdemment. 3.2.1. Etude dune instruction simple
a - Exemple de linstruction DUP

tel-00601086, version 1 - 16 Jun 2011

Une modlisation prliminaire RTL se fait pour linstruction DUP pour rendre facile sa modlisation selon lapproche flux informationnel [Belhadaoui et al., 2008]. Avant d'expliquer cette instruction, il convient de mentionner quil sagit de processeur deux piles. La pile utilise pour le traitement de donnes est appele pile de donnes (DS).Le haut de la pile (TOS) et llment suivant (NOS) correspondent respectivement au premier et au deuxime lment de cette pile. La deuxime pile est utilise pour les adresses de retour des sous-routines, l'adresse d'interruption et les copies temporaires de donnes, elle est appele retour pile (RS). Le haut de la pile de retour (TORS) correspond au premier lment de cette pile. Les piles sont gres dans une mmoire externe du processeur afin de ne disposer d'aucune restriction de profondeur de la pile. Elle est adresse par les pointeurs internes (pointeur de pile de donnes DSP et pointeur de pile de retour RSP). tant donn que certaines caractristiques d'architecture sont expliques, nous pouvons clairement dtailler l'instruction DUP. Linstruction DUP copie le contenue de la pile (TOS) dans le sous-sommet de la pile (NOS). Le contenue de NOS, avant quil soit cras, il est empil dans le troisime lment de la pile de donnes qui se trouve dans la mmoire pile de donnes (Mem_DS). Le pointeur de pile de donnes (DSP) est incrment a travers lentre de slection du multiplexeur se trouvant en amont du DSP (Mux_DSP) afin dallouer une nouvelle zone mmoire dans Mem_DS. Sous couvert de la ralisation correcte des fonctions de contrle (pile mmoire de

- 62 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur donnes en mode criture, MUX_DSP en position incrment, MUX_NOS en position lecture et connexion de TOS slectionne), lexcution de la fonction DUP ncessite : - DSPDSP +1 incrmentation du pointeur de pile de donnes pour empiler un nouveau lment - 3rd DS Elment (Memory value addressed by the new DSP) NOS deuxime lment devient le 3rd de la pile des donnes - NOS TOS duplication de llment sommet

Figure 3.1 Chemin de donnes de linstruction DUP


b- Exemple de linstruction STORE

tel-00601086, version 1 - 16 Jun 2011

L'instruction STORE permet le stockage de la valeur de NOS ladresse mmoire stocke en TOS. Linstruction STORE consomme 2 cycles dhorloge en raison de la double dcrmentation du pointeur de pile DSP. Ainsi, son modle RTL est prsent en deux parties. Le 1er cycle de contrle logique de l'excution de STORE ncessite lexcution de microcodes selon la squence suivante : - Pile de mmoire de donnes en mode lecture ; - Mmoire explicite en mode criture ; - Signaux de contrle de MUX_DSP dans la position telle que lentre (-1) est slectionne ; - Signaux de contrle de MUX_TOS dans la position telle que la connexion de bus de donnes de mmoire DS est slectionne.

a- 1st cycle

Figure 3.2.a : Modle RTL de linstruction STORE -1er front dhorloge Au prochain front montant de l'horloge, la valeur de NOS est stocke dans la mmoire adresse la position donne par la valeur de TOS, le 3me lment de la pile est stock dans le TOS. Le 2me cycle de contrle logique de l'excution de STORE (lignes gras Figure 3.2 b) est caractris par : - 63 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur - Mmoire explicite non valide; - Signaux de contrle de MUX_DSP tels que lentre (-1) est slectionne; - Signaux de contrle de MUX_NOS tels que la connexion du bus de donnes de la mmoire DS est slectionne.

b- 2nd cycle

Figure 3.2.b : Modle RTL de linstruction STORE 2me front dhorloge

tel-00601086, version 1 - 16 Jun 2011

Au prochain front montant de l'horloge, le 4me lment de la pile est stock dans llment NOS. Ainsi, aprs deux cycles, toutes les oprations sont effectues et linstruction STORE est entirement excute. La description du mcanisme dexcution de chaque instruction permet de connatre les composants critiques mis-en jeux. Ainsi, on tablit les transitions possibles entre les tats internes du systme pendant de lexcution. 3.2.2 Modle de haut niveau de lapproche flux informationnel appliqu sur linstruction DUP A partir des modles RTL (Register Transfer Level) et des microcodes de chaque instruction, une description du mcanisme dexcution est obtenue, permettant de dterminer les chemins critiques, ainsi que les transitions possibles entre tats internes du systme. Des mcanismes de dtection de fautes peuvent tre ajouts (Figure 3.3). Les exigences de scurit et de qualit de service souvent requises en mcatronique ncessitent la mise en uvre de techniques de dtection et de recouvrement de fautes. Limplmentation (matrielle ou logicielle) de ces mcanismes ncessite une analyse de limpact des fautes sur le comportement de larchitecture. La dtection de fautes, dans ltat de lart actuel, se rpartit selon les contraintes de lapplication, entre des techniques bases sur des solutions matrielles (Checker) ou logicielles (algorithme de vrification).
TOS MUX_NOS NOS Mem_DS MUX_DSP DSP TOS MUX_DSP MUX_NOS DS P CT NOS Mem_DS IP

Figure 3.3 : Modle informationnel de linstruction DUP sans et avec Checker Les problmes les plus critiques au niveau de larchitecture RTL sont les problmes daiguillage de Multiplexeur (lment MUX) et les problmes dincrmentation de pointeurs. La technique de Checker est capable de dtecter les erreurs tant transitoires, que permanentes. - 64 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur Elle require lintroduction de blocs fonctionnels de codage de linformation et de contrle pour la surveillance [Carter W.C et Schneider P.R., 1968] [Anderson D.A. 1971]. Lincrmentation du pointeur est une opration critique, un test dincrment est implment la sortie du pointeur par Checker. 3.2.3 Gnration des squences Exemple de linstruction DUP La deuxime phase de modlisation consiste traduire chaque entit sous-fonctionnelle du modle de haut niveau en un automate dtat fini appropri dcrivant son comportement dysfonctionnel. Cette phase permet de dcrire la propagation des fautes au niveau de larchitecture du systme et de dfinir les modes de fonctionnement rsultants. On obtient, suite cette tape, un ensemble de listes caractristiques. Ces listes constituent un langage constitu de mots. Les mots de ces listes reprsentent les transitions entre les tats des automates. Les transitions entre tats reprsentent soit la perturbation de linformation, linhibition de linformation, ou labsence totale de linformation. Les listes ainsi gnres reprsentent de manire exhaustive tous les cheminements vers les modes de dfaillance possibles. Les dfaillances traites sont les consquences derreurs slectionnes partir de cas types souvent rencontrs et de stress environnementaux (voir paragraphe 2.4 du deuxime chapitre). Les dfaillances transitoires (bit-flip), qui peuvent changer la crdibilit de l'information, sont principalement modlises par rfrence des vnements alatoires. Ces vnements peuvent tre coupls, si ncessaire par un vnement externe supplmentaire. En gnral, dans ce travail, nous traitons les trois types de bit-flip pour les composants numriques : SEU (Single Event Up-Set), MBU (Multiple-Bit Up-Set), SET (Single Event Transient). Les modes de dfaillance matrielle (dM) relatives aux sous entits fonctionnelles sont galement modliss, dans ce dernier nous parlons du mode de dfaillance permanent. Ainsi, il est possible de modliser les modes suivants : tat non ralisables, comportement correct, la situation de dead-lock, boucle infinie, les types interdits de communication entre les composants. La probabilit de dfaillance de chaque lment de base est calcule partir des valeurs de la matrice de transition du processus markovien non-homogne de chaque entit matrielle. Aprs la traduction de lentit fonctionnelle du modle de haut niveau par l'automate dtats finis, nous utilisons le processus markovien pour calculer le taux de transition vers chaque tat final. Cette mthode peut prendre en compte des dfaillances cause commune, les tats de dfaillance multiples, et les taux de dfaillance variable. Les arcs entre les tats dun automate reprsentent les valeurs de taux de dfaillance de linformation propage entre ces tats. Ces valeurs reprsentent galement les lments de la matrice du processus markovien. Les valeurs calcules dans le processus markovien seront remplaces par des lois de probabilit pour chaque lment de base dans un arbre de dfaillance afin de chiffrer la probabilit de son lment sommet. La figure 3.4 reprsente le modle de bas niveau de linstruction DUP. A partir de cet automate tats fini (graphe), est gnr un ensemble de langages, image de squences ordonnes. Les listes caractristiques de ce langage dcrivent tous les chemins possibles menant un tat dfaillant. Les listes gnres vont permettre de quantifier la probabilit de dfaillance des diffrents modes dysfonctionnels rsultant dun vnement externe (exemple : bit-flip), ou interne (exemple : erreur matrielle, erreur logicielle).

tel-00601086, version 1 - 16 Jun 2011

- 65 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur

Absence of information Bf dM NOS Bf


Busy state End(false)

P_DSP dM

Etat initial

P_DSP+1

Failed End(true) state Stuck-At Fault state Valid state

Absence of information dM
End(true)

Correct shunting

TOS Bf End(false)

Bf

tel-00601086, version 1 - 16 Jun 2011

Incorrect shunting

Figure 3.4 : Modle de bas niveau de linstruction DUP. a- Exemple de liste de fonctionnement nominale : LT_va_Bien={P_DSP.P_DSP+1.TOS.End(true).Correct_schunting.NOS.End(True).Valid_State} b- Exemple dune liste de la combinaison de dfaillance : Ldef={TOS.Bf.End(false).Incorrect_Shunting.NOS.End(true).P_DSP.dM.Stuck_At_Fault_St ate.Busy_State } Cette liste donne une combinaison de dfaillance. TOS.Bf.End(false) signifie que linformation issue de TOS est incorrecte. Cette information errone se propage le long de MUX (lment aval dans le modle de haut niveau). Le mot Incorrect_Shunting traduit lerreur daiguillage provoque par un Bf (Bit-flip). Les mmes explications peuvent tre appliques au niveau de NOS qui est une zone de mmoire de mme nature que le TOS. Finalement, le mot P_DSP.dM.Stuck_At_Fault_State.Busy_State signifie quune dfaillance de type matriel provoque une erreur et se traduit par un bit coll et par consquence par un tat de mmoire occup. La figure 3.5 montre le modle de bas niveau obtenu pour linstruction DUP dans le cas de la prsence dun Checker. Dans cette configuration, le problme dincrmentation du pointeur est critique au regard du reste des erreurs. Un test dincrmentation est implment la sortie du pointeur par un lment du Checker. A partir du modle de bas niveau on montre, aprs la gnration des listes caractristiques, que lajout dun tel lment a un effet sur la probabilit doccurrence de lvnement erreur dincrmentation.

- 66 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur


Abs_Info Sig_circuit

dM

Fin(True)

Bf
Abs_Sig
Bf

P_DSP
P_DSP+1

Fin(False)

Compa Abs_info Sig_checke

dM

Fin (true)
NOS Bf Stuck_At_Fa ult_State

Valide_State Fin (false) Abs_info End(true) TOS Corr_Shunting

tel-00601086, version 1 - 16 Jun 2011

Bf Bf

End(true)

Incorrect _Shuntin g

Figure 3.5 : Modle de bas niveau de linstruction DUP en prsence dun Checker. Lanalyse qualitative fait apparatre leffet de sa prsence sur la squence de propagation de linformation. Dans le cas de llaboration de la squence menant ltat de Dfaillance (exemple :Etat_occup), nous obtenons : c- Mot dune liste sans moyen de contrle Checker : Ldfaillant= {TOS.Fin(true).Aig_corr.NOS.Fin(true).P_DSP.dM.Val.coll.Etat_occup} d- Mot dune liste avec moyen de contrle Checker : Ldfaillant = { TOS.Fin(true).Aig_corr.NOS.Fin(true).P_DSP.dM.Val.coll.Etat_occup.Compa.Fin(False); TOS.Fin(true).Aig_corr.NOS.Fin(true).P_DSP.dM.Val.coll.Etat_occup.Compa.Fin(True)} Dans ces deux extraits de listes, nous constatons que la probabilit davoir le mot TOS.Fin(true).Aig_corr.NOS.Fin(true).P_DSP.dM.Val.coll.Etat_occup dpend de la rponse du Checker. Cette rponse a un impact sur la probabilit doccurrence puisquelle est prsente dans ces deux cas. 3.2.4 Gnration des squences Exemple de linstruction STORE La mme dmarche est applique pour linstruction STORE. Les ressources matrielles utilises dans cette opration sont explicites dans le modle de haut niveau la figure 3.6.

- 67 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur


MUX TOS MUX DSP TOS

Mem Add

D_SP

P_Mem
MUX NOS NOS

Mem Exp

Figure 3.6. Modle de haut niveau de STORE. La figure 3.8 montre les chemins de donnes entre ces ressources matrielles au niveau infrieur du modle. Ce modle de bas niveau dcrit la propagation de linformation errone et ltat du systme aprs chaque dfaillance probable.
Failed_State Absence_of_information Bf Busy_State dM P_DSP TOS Stuck At Fault State End(False) Fault_Mem_Adr End(True) Bf Mem_Adr_correc

tel-00601086, version 1 - 16 Jun 2011

P_DSP+1

Valide_State Bf NOS Bf

Fault_Mem_Exp

Incorrect_shunting Mem_Exp_correc Absence_of_information

Figure 3.7 : Modle de bas niveau de linstruction STORE. a- Exemple de liste de fonctionnement nominale : LTous_va_bien ={TOS.End(true).Mem_Adr_correc.NOS.End(true).Mem_Exp_correc.P_DSP.P_DSP+1.Vali deState.DSMem1.TOS.DSM2.NOS} b- Exemple dune liste de la combinaison de dfaillance : LDefaillance = { TOS.End(true).Mem_Adr_correc.NOS.End(true).Mem_Exp_correc.P_DSP.Bf.Busy_State ou Failed_State} La dfaillance peut avoir lieu au niveau de nimporte quelle entit du systme, savoir les zones mmoires NOS et TOS, la mmoire explicite, ladressage de la mmoire, lincrmentation du pointeur de la pile, et ventuellement la mmoire de donnes. Dans lexemple suivant, vue la complexit du systme (processeur), on se limite au cas dune erreur sur lincrmentation du pointeur de pile cause dun vnement de type bit-flip due une particule charge externe. Cette erreur va altrer le fonctionnement du pointeur et se traduit sous forme dun changement de valeur du bit.

- 68 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur

3.3. Descriptive dvaluation quantitative du jeu dinstructions


Un des objectifs de notre travail est de quantifier les mtriques fiabilistes de performance de micro-systmes. La quantification de ces mtriques de sret de fonctionnement (fiabilit, maintenabilit, disponibilit, scurit) permet de caractriser le fonctionnement du capteur selon les six modes dfinis prcdemment. Nous utilisons pour lvaluation, une approche markovienne non homogne prenant en considration la dgradation due aux stress environnementaux. Une chane de Markov est dite homogne si sa matrice de transition associe A(t) est constante au cours du temps. Dans le cas inverse le processus markovien sera dit non homogne. La possibilit de modliser lvolution temporelle de probabilit derreur pour une ressource matrielle non rparable par une chane de Markov, de pas ditration t=T et de nature non homogne est indispensable. Dans ce cas de figure la matrice de transition varie en fonction de contraintes environnementales. Cette approche nest pas aberrante, puisque nous avons prcdemment suppos quune ressource matrielle conservait le mme tat sur une priode de rfrence T (pas de calcul T, cf. chapitre 2). La probabilit de ces tats est, par consquent, constante sur ces priodes. La matrice de transitions entre les tats du processus markovien [Jing et al., 2005] est constitue de valeurs des taux de dfaillance des composants tudis. Les taux de dfaillance sont les transitions entre les tats de lautomate (tat dentre Ei, et de sortie Si) du modle de bas niveau. La variation en fonction du temps des taux de dfaillance permet de prendre en compte lexistence des stress environnementaux. Lutilisation correcte de processus markoviens, consiste en lutilisation de quelques hypothses de base : Les transitions correspondant la dfaillance dune squence de composants, dpendent du niveau dusure quon suppose ici nul, et des contraintes environnementales auxquelles ils sont soumis. Le cycle prsent ne tient compte que des erreurs matrielles du cycle prcdent. Les contraintes environnementales doivent voluer assez lentement sur un cycle, ce qui revient dire quelles sont quasiment constantes. Chaque ressource matrielle ne peut prsenter au plus quun mode de dfaillance sur un cycle. Il est nanmoins tout fait possible de prendre en compte la dgradation progressive du systme modlis par lajout dtats supplmentaires. Nous considrons que le taux de dfaillance dun composant (taux de panne) rsulte la fois dun niveau dusure du composant et de lexposition aux stress environnementaux. Nous proposons lquation suivante portant sur le taux dapparition de panne dun composant, not i(t), comme tant gal, sous lhypothse dune sollicitation effective du composant sur un cycle dhorloge T (un pas de calcul), la probabilit dapparition de panne sur lintervalle [t, t+T]. Nous supposons sur un cycle dhorloge, lexistence dune fonction c portant sur les stress environnementaux (temprature, pression, niveau de rayonnement, susceptibilit lectromagntique, prsence de neutrons et de particules alpha) auxquels le composant est soumis. Ainsi le taux de dfaillance a pour expression gnrale: i (t) = .i(t+T) +
c

tel-00601086, version 1 - 16 Jun 2011

(stress, T)

[1]

- 69 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur O la fonction est lie au mode de sollicitation de la ressource (elle permet la prise en compte dune usure progressive du composant; on ne la prendra pas en compte dans ce chapitre, = 1). Certaines bases de donnes de taux de dfaillances des composants comme [EADS/Thales 2004], Siemens [SN29500 2005], [MIL-HDBK-217F 1991] donnent les fonctions c sous forme dun produit de facteurs correctifs lis aux diffrentes contraintes environnementales : c(stress, T) = F(T).F(P).F(R) ref [2]

Exemple dapplication pour un composant lectronique ; famille de semi-conducteur : c(stress, T) = ref. e


( NT ) TJ

[(

TJ S )P ( )] TO NS

[3]

tel-00601086, version 1 - 16 Jun 2011

Nous illustrons notre dmarche par une tude du cas dtaill dans lannexe B. Dans ce cas dtude nous aboutissons un taux de 8.18 10-5 h-1 pour la famille des circuits intgrs utiliss dans notre application. Les systmes lectroniques numriques imposent de sintresser aux causes des dfaillances transitoires, et notamment aux changements de valeur des bits (bitflip). Les causes principales sont souvent lies leffet lectromagntique, la prsence de particules Alpha, des rayonnements cosmiques, et des particules charges plus gnralement. Ltat de lart nous permet de constater que les neutrons atmosphriques ont des niveaux dnergie suffisants pour faire basculer le contenu de cellules mmoires, ou mme pour perturber les oprations logiques dans des circuits. En gnral, il y a trois types derreurs de type bit-flip pour un circuit numrique : Single Event Up-Set (SEU), Multiple-Bit Up-Set (MBU), Single Event Transient (SET). Daprs ltat de lart prsent en annexe B, sous certaines conditions environnementales de stress, nous obtenons le rsultat suivant dans le cas dune zone mmoire : 64.28 10-12 bit-flip/Cycle. 3.3.1 Exemple de deux instructions DUP et STORE A partir du modle de bas niveau (ensemble dautomates dtats finis) montr dans la figure 3.7, nous citons quelques listes caractristiques pour chaque mode de fonctionnement (six modes dfinies). Cela signifie que pour chaque mode correspond une liste forme de plusieurs mots. Lmode1 = LTous_va_bien ={TOS.End(true).Mem_Adr_correc.NOS.End(true).Mem_Exp_correc.P_DSP.P_DSP+1.Vali deState.DSMem1.TOS.DSM2.NOS} De mme, nous aurions Lmode2, Lmode3, Lmode4, Lmode5 et Lmode6. Chacune est constitue de plusieurs mots de type : Lmode2 = { TOS.End(true).Mem_Adr_correc.NOS.End(true).Mem_Exp_correc.P_DSP.Bf.Busy_State ou Failed_State, moti .} Pour avoir la probabilit de chaque liste (probabilit dtre dans un mode parmi les six dfinies), nous utilisons un outil logiciel comme Arlia ou Gagrif de la manire suivante :

- 70 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur

Mode 2

Mot1

Mot2

Mot I.....

TOS

Mem

NOS

DSP

Figure 3.8 : Arbre de mode de dfaillance 2 (recherche de disponibilit). La dfaillance (mode non correcte), cest cause au moins dun vnement ou une combinaison de dfaillance reprsent par un moti, cela traduit par des portes logiques {OU} entre ces mots dans larbre de dfaillance. La dfaillance dune liste cest cause de la dfaillance traduite par le mot1 ou bien le mot2 ou bien le moti

tel-00601086, version 1 - 16 Jun 2011

Dans la dfaillance dun mot, si les composants sont en srie, nous traduisons la relation entre les composant dans larbre de ce mot par une porte logique {OU}. Dans le cas o ces composants sont cbls dans une configuration parallle, nous devons traduire la relation par une porte logique {ET}. Chaque sous arbre de chaque mots qui constituent la liste dun mode quelconque, est constitu des lments de base. Ces lments de base donnent une ide sur les ressources matrielles participant cette combinaison de dfaillance. Loutil logiciel utilis demande, avant de lancer les calculs, le taux de dfaillance de chaque lment de base. Dans le cas o le composant suit une loi exponentielle (figure suivante), loutil demande le taux (paramtre ). Puis il injecte ce taux pour calculer la fiabilit de llment sommet de larbre. Sachant que la fiabilit est : R(t) = exp(-t)

Figure 3.9 : Interface de cration des vnements de base

- 71 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur Dans le cas o les composants sont cbls en parallle nous utilisons le principe suivant :

Figure 3.10 : Calcul de probabilit dun vnement en cas de deux composants en parallle. Dans le cas o les composants sont cbls en srie, nous utilisons le principe suivant :

tel-00601086, version 1 - 16 Jun 2011

Figure 3.11 : Calcul de probabilit dun vnement en cas de deux composants en srie. Dans notre cas dtude, nous estimons que nos composants lectroniques suivent une loi de Weibull, en tenant compte du vieillissement de ces derniers. Dans ce cas de figure, loutil demande les paramtres (, et ), comme le montre la figure suivante :

Figure 3.12 : Interface du logiciel Aralia en choisissant la loi de Weibull.

- 72 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur Les tableaux suivants prsentent les probabilits du systme de se retrouver dans un des modes de fonctionnement, en prsence, ou absence dun dispositif de dtection et de recouvrement. Probabilit Instruction DUP STORE Mode 2 --Sans Checker Mode 3 Mode 4 --38 10-5 45.7 10-3 Mode 5 ---

Tableau 3.1 : Rsultat sans dispositif de dtection Probabilit Instruction DUP STORE Mode 2 72 10-3 11.3 10-4 Avec Checker Mode 3 Mode 4 72 10-5 11.3 10-3 8.99 10-6 4.49 10-5 Mode 5 4.9 10-11 9.72 10-9

tel-00601086, version 1 - 16 Jun 2011

Tableau 3.2 : Rsultat avec dispositif de dtection et de recouvrement A lanalyse de ces deux tableaux, on constate que cette technique de dtection est plus efficace dans le cas de linstruction DUP puisque la probabilit de non dtection diminue lors de lajout de Checker. De fait, linstruction DUP utilise moins de ressources matrielles, do sa probabilit dtre dans lun des modes 3, 4 et 5 est infrieure celle de STORE [Belhadaoui et al., 2008-a]. Lintrt dimplmenter les dispositifs de dtection est de diminuer le risque davoir un systme en Mode 4 (existence de dfaillance avec non dtection), ce qui est favorable laugmentation de la crdibilit de linformation. La probabilit dtre dans le mode de fonctionnement Mode 2 (dfaillance dtecte et tolre) pour linstruction DUP est plus importante que pour linstruction STORE. Cest un rsultat logique en rapport avec la complexit de linstruction STORE face linstruction DUP, qui ncessite plus de ressources matrielles et de nombre de cycles dhorloge pour lexcuter. Chaque instruction assembleur est ainsi value partir du micro code et de larchitecture utilise. Lvaluation dune application logicielle revient traiter squentiellement une suite dinstructions assembleurs. Il est alors possible dvaluer la fiabilit, la disponibilit, ou la scurit dune fonction de contrle/commande et de mesurer limpact de lintroduction de mcanismes de tolrance aux fautes sur ces mtriques. Les conclusions de ltude permettent, en association avec lanalyse des performances dynamiques, une correction au sein du processus de conception, si ncessaire. Le choix du type de mcanisme de tolrance aux fautes et les taux de dfaillance utiliss a t fait de manire relativement arbitraire car notre seul but a t de montrer la pertinence de notre dmarche. Dans tous les calculs raliss dans ce chapitre, nous supposons que le moyen de dtection de fautes du systme est parfait. La mthode est applique lensemble du jeu dinstruction cr pour le processeur, les rsultats dune partie de ce jeu est prsent ci-dessous :

- 73 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur Mode 1 PUSH_DSP PUSH_RSP DLIT STORE DUP FETCH POP_DSP POP_RSP SWAP Mode 2 Mode 3 Mode 4 Mode 5 Mode 6

4.199 10-1 3.882 10-1 3.779 10-2 9.069 10-3 4.190 10-2 1.944 10-1 9.12 10-1 1.89 10-1 4.665 10-1

4.552 10-3 3.366 10-3 1.002 10-2 11.3 10-3 72 10-3 1.028 10-2 0.85 10-3 0.79 10-3 5.01 10-3

1.99 10-4 0.14 10-4 1.004 10-5 1.13 10-4 72 10-5 1.003 10-4 8.96 10-5 11.2 10-5 1.999 10-3

1.11 10-6 0.99 10-6 3.2 10-5 4.49 10-5 8.99 10-6 15 10-5 2.1 10-6 1.99 10-6 1.2 10-6

14.34 10-11 12.23 10-11 11 10-10 9.72 10-9 4.9 10-11 132 10-9 14 10-11 17.9 10-11 120 10-11

75 10-12 69 10-12 155 10-11 30.4 10-11 55.7 10-11 11.578 10-11 34.4 10-12 54.3 10-12 277 10-11

Tableau 3.3 : Probabilits des instructions simples. Le calcul de probabilit des modes de dfaillances, notamment des modes 2 et 3 de chaque instruction, prends en compte la stratgie de tolrance sur les donnes sensibles de larchitecture de processeur pile (DSP, TOS, NOS, RSP, TORS .). Pour chaque lment sensible nous avons prvus deux fonctions de sauvegarde et de restauration. Lvaluation des probabilits des mode 2 et mode 3 de ces fonctions de sauvegarde et de restauration ncessite la connaissance des probabilits des lments de base, car ces fonctions sont constitues dinstructions assembleur que nous devons valuer aussi. Cest une relation de rcurrence entre instruction-fonction.

tel-00601086, version 1 - 16 Jun 2011

3.4. valuation dune application pour le mcanisme de recouvrement de fautes


La prise en compte des dfaillances envisageables permet, vis--vis des contraintes de la mission, de prvoir les actions de recouvrement juges pertinentes. En gnral, le dveloppement (tenant compte des contraintes environnementales de la mission) devra fournir des moyens permettant dintgrer les ractions aux dfaillances (mcanismes de tolrance et de recouvrement). Le dveloppement dun systme programm est souvent entach de fautes, lors de sa phase de conception et/ou de son implmentation, sans quelles soient corriges lors de la phase de validation. Ces erreurs systmatiques restent latentes lors de la phase dexploitation jusqu ce quelles soient actives [Colwell R.P. et Lethin R.A., 1996]. L'origine d'une erreur est une faute, qui peut tre dans un certain nombre de cas d'ordre conceptuelle ou physique (dfaillance matrielle). L'origine d'une erreur est, en gnral, une faute humaine au niveau de la conception, ou une faute physique d'un composant matriel de ce systme. Lactivation dune erreur dun composant dans le systme, peut affecter le service que rend le systme. Le composant est dans ce cas dclar dfaillant. Par ailleurs, la dfaillance dun composant reprsente une faute auprs des autres composants avec lesquels il interagit. Les dfaillances, les erreurs et les fautes, en prsence de mcanismes de tolrance aux fautes, ne doivent plus entraner la dfaillance du systme. La dtection de faute est une fonctionnalit importante embarque dans les capteurs intelligents. La tolrance aux fautes, indispensable, est utile en cas dimpossibilit de recouvrement. La stratgie de recouvrement logiciel dveloppe dans lmulateur du processeur pile, se base sur la sauvegarde du contexte de lexcution du programme, dune faon priodique (aprs une dizaine dinstructions). Larrive dun vnement porteur derreur, provoque une interruption de lexcution, dans ce cas la mthode de sauvegarde prend le relais. La modlisation selon lapproche flux informationnel permet dvaluer lefficacit et la pertinence de ce type de stratgie. - 74 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur La tolrance aux fautes reprsente la capacit dun systme remplir sa fonction en dpit des fautes [Aiguo L. et Hong B., 2007]. Plusieurs moyens de la sret de fonctionnement peuvent tre envisags pour btir des systmes srs de fonctionnement (i.e. llimination, la prvention ou encore la prvision des fautes). Ltude de la tolrance aux fautes englobe l'ensemble des techniques de conception et de fabrication des architectures qui peuvent continuer fonctionner, mme en prsence de la panne de l'un de leurs composants. L'ensemble de l'architecture considre continue de rendre le service attendu en prsence de types de fautes prvues, grce des stratgies de recouvrement spcifiques. Un exemple concret est le cas de lexcution dun jeu d'instructions respectant l'intgrit des donnes en mmoire et le temps de traitement conforme aux spcifications [Qin X. et Jiang H., 2005]. Le Hardware/Software Co-conception [Wayne W. 2007] [Sosnowski J. 2006]est un domaine de recherche rcent et trs actif, gnrant des mthodologies de conception efficaces. Les premires tentatives datent du dbut des annes 1990. Les mthodes de conception conventionnelles faisaient la distinction entre la conception de la partie matrielle (HW) et de la partie logicielle (SW). Le HW est la partie physique (UAL, transistors et connecteur), tandis que le SW est la partie abstraite (sous forme de squences dinstructions). La conception RTL ncessite une tape amont de validation ncessaire la description du HW par le modle VHDL. Suivant une modlisation hirarchise, lapproche flux informationnel participe la mouvance HW/SW Co-conception. Lobjectif de ces dmarches est de mettre en vidence les points faibles de larchitecture et de dtecter au plus tt les chemins dfaillants menant aux six modes de dysfonctionnement dcrits prcdemment. 3.4.1 Modlisation des fonctions de sauvegarde La stratgie de tolrance fait appel un ensemble de fonctions de sauvegarde des donnes juges sensibles dans larchitecture du processeur pile. Ces bouts de programme montrent que les blocs du programme excuts sont des fonctions de plusieurs instructions assembleurs. Le nombre de ces instructions varie selon la boucle de programme considre.

tel-00601086, version 1 - 16 Jun 2011

Software

Bloc1

Bloc2

Bloc3

Fonction1

Fonction2

Fonction3

Figure 3.13 : Vue Globale dune application logicielle.

- 75 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur Ci-dessous, nous prsentons quelques fonctions de sauvegarde des lments sensibles de larchitecture de processeur piles. La stratgie de tolrance aux fautes consiste enregistrer les lments (DSP, RSP, TOS...) priodiquement via des fonctions de sauvegarde : Sauvegarde_DSP : Push_DSP DLIT @_Sauv_DSP STORE Sauvegarde_RSP : Push_RSP DLIT @_Sauv_RSP STORE Sauvegarde_TOS : DUP DLIT STORE Sauvegarde_NOS : SWAP DUP DLIT STORE SWAP

tel-00601086, version 1 - 16 Jun 2011

3.4.2 Modlisation des fonctions de restauration Lvnement redout pendant lexcution du programme se traduit par linterruption de ce dernier et ncessite lappel des donnes sauvegardes priodiquement (appel du contexte du programme) pour son recouvrement. La restauration des donnes est ralise par les fonctions de rcupration des donnes. Nous dcrivons quelques fonctions de rcupration utilises dans la stratgie de recouvrement, il sagit des fonctions de rcupration des donnes les plus sensibles de lapplication. Rcuprer_DSP : DLIT @_Sauv_DSP FETCH STORE Rcuprer_RSP : DLIT @_Sauv_RSP FETCH STORE Rcuprer_TOS : DLIT @_Sauv_TOS FETCH Rcuprer_NOS : DLIT @_Sauv_NOS FETCH Les instructions utilises dans ces boucles de sauvegarde et de restauration sont des instructions assembleur spcifiques au processeur piles. Les plus usites parmi ces instructions pour les fonctions de sauvegarde et de tolrance sont : PUSH_DSP, PUSH_RSP, DLIT, STORE, DUP, FETCH, POP_DSP, POP_RSP, SWAP. Nous considrons la fonction de sauvegarde de la DSP Sauvegarde_DSP qui fournit un exemple intressant de relation de rcurrence fonction-instruction. Nous trouvons linstruction DLIT (supprimer la valeur qui se trouve dans TOS) parmi les instructions de cette fonction, dont larbre de dfaillance est donn par la figure 3.14. Nous remarquons lexistence de llment DSP dans cet arbre. La tolrance sur cet lment est assure par la bonne excution de la fonction de sauvegarde Sauvegarde_DSP et la fonction de restauration

- 76 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur Rcuprer_DSP. La relation de rcursivit fonction-instruction entre linstruction DLIT et la fonction de sauvegarde de DSP Sauvegarde_DSP est donne par le logigramme suivant : Sauvegarde_DSP

PUSH_DSP DLIT

STORE

Probabilit des modes de dysfonctionnement de DLIT

Tolrance sur TOS

Tolrance sur NOS Tolrance sur DSP

tel-00601086, version 1 - 16 Jun 2011

Restauration de DSP

Sauvegarde de DSP

Probabilit de Tout_Va_Bien des instructions : PUSH_DSP, DLIT et STROE

Ensemble de probabilit de dfaillance des instructions PUSH_DSP, DLIT et STROE

Figure 3.14 : Organigramme de calcul des probabilits de dfaillance des zones 2 et 3. A partir de la fonction Sauvegarde_DSP, nous construisons le modle dinstruction, suivi par le modle de haut niveau de chaque instruction et finalement le modle de bas niveau (figure 3.15). Pour chaque instruction, nous avons dj tabli le modle de haut niveau, ce modle caractrise les ressources matrielles du processeur pile consommes pendant son excution. Pareillement, le modle de bas niveau substitue chaque ressource ou composant matriel, un automate dtat fini permettant son tour de caractriser les flux dinformation entre ces diffrents composants. La construction de ce modle dans sa globalit montre la corrlation entre ces instructions, et notamment au niveau de la gnration des listes de dfaillances de lensemble (trois instructions). Il reste compliqu dans le cas de plusieurs instructions, ce qui conduit au problme de lexplosion combinatoire et la non matrise du modle (non fondamentalement gnant grce lautomatisation possible du processus dtablissement des modles, mais plus handicapant pour sa rsolution analytique).

- 77 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur

tel-00601086, version 1 - 16 Jun 2011

Figure 3.15 : Modle de boucle de programme pour la sauvegarde de DSP selon les trois niveaux Aprs cette nouvelle phase de modlisation, hirarchise, partant du modle dinstructions, au modle de bas niveau, via le modle de haut niveau, se pose le problme du calcul de la probabilit dchouer dans lun des six modes de fonctionnement par lutilisation des probabilits propres chaque instruction. La probabilit du mode 1 est la probabilit la plus simple calculer. Il existe un seul chemin menant ce mode de fonctionnement. La probabilit du mode 2, quand elle, privilgiant la recherche de la disponibilit, caractrise le cas dune mesure incorrecte, avec une dfaillance dtecte, mais tolre. La valeur de cette probabilit pour la fonction Sauvegarde_DSP se calcule via la concatnation des listes caractristiques dune dfaillance dtecte et tolre des trois instructions (PUSH_DSP, DLIT, et STROE). Cette concatnation des mots dans une liste permet de construire la combinaison finale dysfonctionnelle. La probabilit davoir cette liste se calcule partir de sa traduction en un arbre de dfaillance, de telle manire que chaque mot de cette liste compte pour un lment de base pour cet arbre. La subdivision de larbre global en sous-arbres de chaque instruction, permet de remplacer chaque sous-arbre par sa valeur de probabilit pour un mode de dysfonctionnement. La valeur globale de la probabilit

- 78 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur pour la fonction Sauvegarde_DSP est donne par le calcul de la probabilit du sommet de larbre global. Rsultats des probabilits de dfaillance des fonctions de recouvrement : Mode 1
75 10 Sauvegarde_DSP 89.6 10-12 Sauvegarde_RSP 123 10-12 Sauvegarde_TOS 12 10-12 Sauvegarde_NOS 167.9 10-12 Rcuprer_DSP 12.5 10-12 Rcuprer_RSP 11.23 10-12 Rcuprer_TOS 23.6 10-12 Rcuprer_NOS Tableau 3.4 : Rsultats des instructions propres aux fonctions de tolrance. 1.439 10-1 1.173 10-2 1.44 10-2 6.829 10-2 6.662 10-1 7.662 10-1 1.58 10-3 1.58 10-3

Mode 2

1.594 10-2 3.09 10-2 7.308 10-2 55.2 10-2 1.332 10-2 1.332 10-2 1.128 10-2 1.128 10-2

Mode 3

1.23 10-3 0.06 10-3 2.193 10-3 11.24 10-5 2.107 10-3 2.107 10-3 1.99 10-4 1.99 10-4

Mode 4

1.15 10-6 1.99 10-6 17 10-6 180 10-6 85 10-6 94 10-6 720 10-6 167 10-6

Mode 5

55 10-11 32 10-11 12 10-11 19 10-11 45.6 10-11 67.4 10-11 12.4 10-11 45.5 10-11

Mode 6

-12

tel-00601086, version 1 - 16 Jun 2011

Aprs lvaluation des probabilits de toutes les fonctions de sauvegarde et de rcupration, on peut tenter dvaluer leur impact dans le cas dune application relle. Cette valuation permet de valider la stratgie de recouvrement propose.

3.5 Modlisation dune application logicielle Programme de Tri


3.5.1 Programme sans prise en compte de tolrance Lexemple de programme tudi dans cette partie est celui du tri de dix variables. partir dun tableau contenant dix variables, lalgorithme de ce programme consiste lire les donnes du tableau deux par deux, swapper en cas de dsordre et remplir le tableau avec des valeurs ordonnes. Linitialisation des variables comparer, entrane le dclenchement du programme. Le programme initialise dabord les variables dans la mmoire, via les instructions suivantes : /*initialisation des pointeurs*/ DLIT 0x0090 D2R DLIT 0x00B1 DLIT 0x00A1 /*initialisation des mesures lentre*/ DLIT 0x0001 --donne i DLIT 0xe000 --adresse i STORE Aprs linitialisation des variables, le programme de tri appelle la fonction de comparaison, cette fonction de comparaison se rsume en 9 instructions assembleur :

- 79 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur fct_comparaison_2_donnees: //condition initiale : data1 data2 (le TOS est gauche) SUB // data2-data1 SIGNE // si data2>=data1 --> 0x00 sinon 0xFF ZBRA 0x03 // Si TOS=0 --> Saut de 3 octets (vers DLIT 0x0001) sinon pas de saut SWAP // permuter --> data2 data1 SBRA 0x07 // Saut 7 octets (vers RETURN) DLIT 0x0001 DLIT 0XC000 // flag_permut<--1 // a se traduit par une fonction ou un autre CALL STORE RETURN Ce bloc dinstructions se rpte selon le nombre ditrations du programme (fonction du nombre de variables traiter). Dans notre cas, il y a dix variables initialiser. Par consquent il faut considrer ce bloc programme dix fois dans le calcul. Le bloc de base du programme est celui qui traite les variables, aprs leur initialisation. Pour raliser la tche de comparaison, ce bloc appelle la fonction fct_comparaison_2_donnes chaque fois quil rencontre deux variables non ordonnes. Ce bloc se dcrit comme suit : //flag_permut<--0 condition initiale DLIT 0x0000 DLIT 0xc000 STORE DLIT 0xe000 FETCH //mesure0 @mesure1 @mesure0 DUP //mesure0 mesure0 @mesure1 @mesure0 DLIT 0xe002 FETCH //mesure1 mesure0 mesure0 @mesure1 @mesure0 SWAP //mesure0 mesure1 mesure0 @mesure1 @mesure0 DLIT 0xe002 FETCH //mesure1 mesure0 mesure1 mesure0 @mesure1 @mesure0 CALL @_fct_comparaison_2_donnees //si mesure0>=mesure1 --> rien (mesure1 mesure0 @mesure1 @mesure0) sinon //permuter (mesure0 mesure1 @mesure1 @mesure0) ; le plus petit se trouve sur //le sommet. DLIT 0xe000 STORE DLIT 0xe002 STORE //Pour faire lenregistrement dans les bonnes adresse (le plus petit est //stock dans 0xe000 (@mesure0) A la fin de la comparaison de toutes les variables, le programme se clt avec les instructions suivantes (il sagit dun test sur le flag de permutation pour vrifier la fin du programme) : /* Si (flag != 0) ALORS CALL fct_comparaison_10_donnees FinSi */

tel-00601086, version 1 - 16 Jun 2011

- 80 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur DLIT 0XC000 FETCH ZBRA 0x0003 //Si TOS=0 --> Saut, sinon pas de saut LBRA @_fct_comparaison_10_donnees HALT Nous dcomposons le programme global en blocs de sous-programme afin de simplifier le calcul des probabilits. Le programme global de Tri est constitu de plusieurs blocs de programme concatns (bloc dinitialisation, fonction de comparaison, test de fin de programme). Nous supposons une hypothse qui consiste en lexcution dinstructions dune manire squentielle, les unes aprs les autres. Pour calculer la probabilit totale du programme, aprs le tri des dix variables, on considre le pire cas. Cest le cas le plus dfavorable dans lequel les variables sont totalement dsordonnes, le programme excute alors le bloc Bloc_tri un maximum de fois : Mode1 Mode2 Mode3 Mode4 Mode5 Mode6 4.894 10-1 0.0 3.091 10-3 77.3 10-6 95 10-9 12.9910-12 Bloc_initiation -3 -3 -6 -9 1.27 10 0.0 10.5 10 145 10 591.4 10 123.5 10-11 Bloc_tri 9.17 10-2 0.0 4.59 10-3 12.1 10-5 55 10-10 55.7 10-12 Test_Flag -2 -4 -5 -11 58.49 10 0.0 7.9 10 123 10 280.1 10 312.12 10-11 Fonc_Comparaison 7.49 10-2 0.0 6.67 10-2 128.45 10-6 17.8 10-10 98.61 10-11 Programme_tri Tableau 3.5 : Valeurs de probabilits du programme de Tri sans prise en compte de fonctions de recouvrement. 3.5.2 Programme avec prise en compte de stratgie de tolrance Considrons maintenant lexemple du programme prcdent de Tri des variables. La stratgie de recouvrement se traduit par lajout des fonctions de sauvegarde et de recouvrement que nous avons modlises au dbut de ce chapitre. Ces fonctions ont pour objectif de minimiser lerreur sur les donnes sensibles lors de lexcution du programme sur larchitecture de processeur pile. Parmi ces donnes critiques nous citons DSP, TOS, NOS Comme le montre lalgorithme du programme (figure 3.16), limplmentation du bloc de code de ces fonctions se fait avant chaque itration du programme de tri, afin de garder en mmoire toutes les donnes de pointeurs juges correctes. La diffrence par rapport au programme prcdent, cest lajout de la stratgie de recouvrement. Cette stratgie est base sur la sauvegarde des pointeurs avant chaque dbut de cycles de comparaison. En cas de problme pendant le droulement du programme, la stratgie de recouvrement consiste restaurer le dernier enregistrement de ces pointeurs. Aprs cette restauration le programme continue sexcuter avec des donnes sres.

tel-00601086, version 1 - 16 Jun 2011

- 81 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur

Initialisation des variables dans la mmoire

Ajout de stratgie de recouvrement

Programme de comparaison de dix variables: - Initialisation du Flag de comparaison Empilement des donnes compars dans les piles de donnes - Appel de la fonction de comparaison . Une boucle qui se rpte un nombre de fois avant de passer au test de Flag

tel-00601086, version 1 - 16 Jun 2011

Test sur le Flag de permutation

Fin de programme
Figure 3.16 : Organigramme de lalgorithme du programme de tri de dix variables avec lajout de tolrance aux fautes. La dmarche pour calculer la probabilit de dfaillance dexcution de ce programme (avec recouvrement), est la mme quau paragraphe prcdent. Lajout de la partie sauvegarde du contexte, aprs chaque aller-retour sur le tableau de dix valeurs, ncessite la prise en compte des valeurs de probabilit afin de pouvoir rcuprer tout moment les valeurs des pointeurs (TOS, NOS, DSP, TORS). La probabilit de dfaillance du programme sera influence par la probabilit de dfaillance des fonctions de sauvegarde et de rcupration comme le montre larbre de dfaillance figure 3.17 Il est important de connatre chaque instant les valeurs des probabilits des six modes fonctionnel/dysfonctionnel pour lensemble du programme [Belhadaoui et al., 2009]. Ceci peut se raliser par lexploitation des rsultats relatifs aux instructions simples, ainsi que lexploitation des rsultats relatifs aux blocs du programme. La probabilit de llment sommet (figure 3.17) sobtient facilement par la connaissance des probabilits des lments de base (sommets des sous-arbres). La subdivision de larbre de dfaillance global en sous-arbres est une mthode pratique et efficace pour le calcul de la probabilit globale. Pour calculer la probabilit pour que le programme soit dans un mode dysfonctionnel quelconque, il suffit de remplacer les lments de chaque sous-arbre (figure 3.17) par leur valeur de probabilit du mme mode de dysfonctionnement.

- 82 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur

tel-00601086, version 1 - 16 Jun 2011

Figure 3.17 : Arbre de dfaillance de programme de Tri en prsence de recouvrement. Mode 1 Mode 2 Mode 3 Mode 4 Mode 5 Mode 6 4.894 10-1 1.430 10-2 3.091 10-3 77.3 10-6 95 10-9 12.9910-12 Bloc_initiation -3 -2 -3 -6 -9 1.27 10 1.57 10 10.5 10 145 10 591.4 10 123.5 10-11 Bloc_tri 9.17 10-2 3.55 10-3 4.59 10-3 12.1 10-5 55 10-10 55.7 10-12 Test_Flag 58.49 10-4 3.70 10-2 7.9 10-4 123 10-5 280.1 10-11 312.12 10-11 Fonc_Comparaison -2 -2 -4 -6 7.44 10 1.55 10 2.2 10 3.23 10 7.45 10-9 156 10-9 Fonc_Sauvegarde 11 10-2 0.33 10-2 1.9 10-5 54.3 10-6 89.1 10-9 117.5 10-9 Fonc_restauration -2 -2 -4 -5 -9 6.32 10 1.57 10 2.39 10 55.8 10 73 10 45.91 10-11 Programme_tri Tableau 3.6 : Valeurs de probabilits relatives au programme de Tri avec prise en compte de fonctions de recouvrement. Mode 1
98.61 10 Programme_tri (Sans prise en compte de toelarance) 6.32 10-2 1.57 10-2 2.39 10-4 55.8 10-5 73 10-9 45.91 10-11 Programme_tri (Avec prise en compte de tolerance) Tableau 3.7 : Rsultats de comparaison de programme de Tri dans le cas de tolrance et sans tolrance. 0.0 7.49 10-2

Mode 2

Mode 3

6.67 10-2

Mode 4

128.45 10-6

Mode 5

17.8 10-10

Mode 6

-11

- 83 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur Les graphes en gnral parlent mieux que les tableaux, nous traduisons les rsultats, avant de commencer la discussion, au graphe suivant :
0,08 0,07 0,06 0,05 0,04 0,03 0,02 0,01 0 Mode Mode Mode Mode 1 2 Mode 3 4 5 Avec Tolerance Sans Tolerance Mode 6 Sans Tolerance Avec Tolerance

tel-00601086, version 1 - 16 Jun 2011

Figure 3.18 : Probabilit dtre dans un mode de dfaillance avec et sans prsence de tolrance Les avantages quon constate aprs lajout des fonctions de sauvegarde et de restauration (technique de tolrance) : Tendance dexcution du programme de Tri dans le mode 2 (probabilit nulle au dpart avant lajout de la fonction tolrance) et diminution de la probabilit du mode3. Les fonctions de recouvrement (sauvegarde et restauration), sont constitues par des instructions qui ont la caractristique de favoriser le mode 2 par son excution. Ces rsultats numriques, permettant la confirmation de lintrt de ce type de fonctions de recouvrement (ses instructions amliorent tendent lexcution vers le mode 2 le plus sr), de cette manire nous avons pu augmenter la probabilit pour que le programme fonctionne dans le mode 2. Avant lajout de la stratgie de recouvrement, les parties de programme Bloc_initialisation, Bloc_Tri, Bloc_Test_Flag et Bloc_Fonct_Comparaison ont des probabilits nulles dtre dans le mode 2, et une probabilit non ngligeable pour que ces erreurs soient non tolres (signifie le mode 3). Aprs lajout de fonctions de recouvrement, la probabilit du mode 2 de ces blocs de programme devient non nulle et plus importante devant la probabilit du mode 3. Ceci dit que leffet de ces fonctions est incontournable, et les instructions qui constituent ces fonctions sont lorigine de laugmentation de la probabilit du mode 2 de ces fonctions et par la suite de tout le programme de Tri.

- 84 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur

3.6 Conclusion :
Lapproche de modlisation et dvaluation dune architecture de processeur pile, prsente dans ce chapitre, met en vidence les points critiques de larchitecture en termes de fiabilit. Il sagit dune mthode de modlisation qui entre dans le cadre de ltude fiabiliste ncessaire lvaluation des architectures de systmes complexes. La gnration de listes caractristiques (squences ordonnes) permet de mettre en vidence les chemins de donnes les plus critiques menant la dfaillance du systme tudi. Elle permet de discriminer les faiblesses de larchitecture conue, ds la phase de conception [Schoenig R. et Aubry J-F. 2006] et dvaluer rapidement la pertinence des modifications et ajouts (mcanismes de dtection et de recouvrement) envisags et de leur impact. Lobjectif dans ce chapitre tait de proposer une approche qui permette de vrifier les qualits fiabilistes dune architecture lors de la phase de conception, complmentairement la phase de tests et validation. Parmi ses intrts, elle permet dvaluer limpact des mcanismes de dtection et de recouvrement, ainsi que la tolrance aux fautes. Cette tude vise garantir une certaine crdibilit de l'information fournie par le systme.

tel-00601086, version 1 - 16 Jun 2011

Nous avons dtaill globalement la stratgie de la mthode flux informationnel. En utilisant la modlisation RTL-VHDL. Nous avons dmontr quil est possible dvaluer et de quantifier les mtriques de la sret de fonctionnement. La mthode de modlisation se compose d'un modle de haut niveau et d'un modle de bas niveau. Le premier dcrit l'ensemble des ressources matrielles utilises par lapplication logicielle. La seconde consiste crer un automate dtats finis permettant de dcrire les cheminements et les tats possibles de linformation au sein de cette architecture. Ainsi, grce au langage gnr par les automates dtat fini pour chaque entit sousfonctionnelle, il est possible de dterminer toutes les combinaisons de dfaillances possibles. Chaque combinaison est une liste qui caractrise ltat de tous les composants de larchitecture et par consquence le mode de fonctionnement du systme (un mode parmi six). Les listes caractristiques sont transformes en arbres de dfaillance dont en nous calculons la probabilit de l'lment sommet. Les matrices de transitions relatives aux automates dtat fini sont constitues des taux de dfaillance de chaque composant. Pour calculer ces taux de transition en prsence des diffrentes perturbations, nous utilisons un modle de Markov nonhomogne. Ltude des cas sur les instructions assembleur, permet dvaluer le niveau de performances atteint et les faiblesses structurelles inhrentes ces instructions. Nous remarquons dans ltude prcdente que la probabilit de prsence dans le mode 2 (dfaillance dtecte, mais tolre) est suprieure celle de prsence dans le mode 3 (dfaillance dtecte, mais non tolre), cela clarifie la pertinence dadapter la technique de dtection choisie. Nous pouvons galement remarquer que la probabilit de prsence dans ltat dfaillance dtecte, mais tolre pour linstruction DUP est plus leve que dans le cas de l'instruction STORE. Cela signifie une meilleure tolrance aux pannes pour l'instruction DUP. C'est un rsultat logique, linstruction STORE tant plus complexe que l'instruction DUP, en plus linstruction STORE a besoin de plus de ressources matrielles et de cycles dhorloge. Lutilisation de lapproche flux informationnel sur les instructions assembleurs DUP et STORE est un exemple dillustration. Les mmes dmarches peuvent tre appliques sur le reste des instructions assembleurs de ce type de processeur. Ces rsultats sur les instructions

- 85 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur simples ont un intrt dans lvaluation dune application logicielle constitue de plusieurs instructions (application embarque). Lobjectif principal est dintgrer des mthodes de la SdF ds le dbut du cycle de vie (phase de conception) du systme, afin damliorer la disponibilit, la fiabilit et la scurit. La cohrence des outils choisis et la pertinence de leur organisation sont des gages dapplicabilit dune tude fiabiliste. Jusqu' ces dernires annes, les solutions proposes pour lanalyse de la sret se rvlaient souvent incapables de modliser ce type de systmes, qui intgrent composants matriels et logiciels, et leurs interactions. En revanche, lapproche flux informationnel montre son adaptation valuer ces architectures o la complexit fausse les rsultats issus des approches classiques. Ltude de limplmentation de stratgies de tolrance aux fautes a permis de slectionner et valider les concepts et mthodes retenues la conception. Cette dmarche permet un dveloppement clair de lintelligence embarque dans les capteurs et actionneurs en mcatronique.

tel-00601086, version 1 - 16 Jun 2011

Le travail prsent dans ce chapitre permet damliorer la conception des systmes lectronique programmable, donc complexes, pour les applications critiques. En associant aspects fonctionnels et dysfonctionnels (travail commun avec le LICM), nous avons montr lutilit et la possibilit du couplage entre tude dynamique ( partir dun mulateur) et fiabiliste (en utilisant lapproche flux informationnel), par gnration automatique du modle de haut niveau modlisant le modle RTL du processeur piles. Dans le cas dune application relle, le programme embarqu est constitu de diffrentes routines et son excution seffectue sous forme de tches. Nous intgrons les fonctions de conduite et de scurit utilises dans les routines de traitement logiciel. Au niveau le plus bas, le code source est compos de fonctions et de sous-fonctions (niveau structurel). Dans cette hirarchie, nous avons modlis un programme de Tri prsentatif dune application relle. Dans le modle hirarchique de la figure 3.17, linformation de donnes et de mesures, gnre par modlisation, est propage dun niveau un autre. Au premier niveau (niveau dinstruction), les entres sont les valeurs des probabilits dj calcules relatives aux instructions simples. ce niveau de modlisation, nous reprsentons les diffrents blocs (modules) de programme. Ces blocs sont constitus des fonctions et des routines de plusieurs instructions. La reprsentation de ressources matrielles consommes par chaque instruction pendant lexcution par le systme est lobjectif du deuxime modle de haut niveau (premier sous-modle). Ce modle est facilement traduit en automates dtats finis (deuxime sous modle), afin de gnrer toutes les combinaisons de dfaillances ncessaires et suffisantes au dysfonctionnement du systme. La modlisation du systme sans stratgie de recouvrement dans un premier temps, et la modlisation avec protections logicielles dans un deuxime temps, a permis de comparer plusieurs approches et de vrifier limpact et lutilit de telles protections dans un environnement critique. La rpartition des probabilits de chacun des modes de fonctionnement des blocs de programme a une dichotomie trs diffrente aprs lajout des techniques de recouvrement. A un mode de fonctionnement 2 inexistant avant, lajout des fonctions de recouvrement (sauvegarde et restauration) change les donnes. Ces fonctions, constitues dinstructions qui favorisent le mode2, permettent dentraner le programme de Tri vers le mode 2, ceci par protection de ses donnes sensibles.

- 86 -

Chapitre3 : Application de lapproche flux informationnelle lvaluation dun processeur Grce notre collaboration troite avec les autres quipes de consortium CIMtronic, nous avons pu mener des tudes de fiabilit et de robustesse des capteurs mcatroniques de manire plus rationnelle ds la phase de conception et contribuer au dveloppement de la co-ingnierie dans le domaine des systmes complexes hautement intgrs.

tel-00601086, version 1 - 16 Jun 2011

- 87 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique

Chapitre 4 :
Evaluation fiabiliste de larchitecture dun capteur mcatronique

tel-00601086, version 1 - 16 Jun 2011

- 88 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique

4.1 Introduction :
Du point de vue fonctionnel, le systme (capteur mcatronique) est constitu de diffrentes parties : une tte sensible, une partie analogique de conditionnement de signal, une partie numrique de traitement de linformation. Dans ce chapitre, nous allons montrer notre proposition de modlisation du systme complet associant partie analogique (amplificateur, alimentation stabilise, adaptation dimpdance) et numrique. Grce la mme approche base sur le flux dinformation, nous avons modlis ces diffrents composants analogiques, passant par plusieurs niveaux dabstraction, nous serons srs que linformation finale est gnre sous forme de listes caractristiques et sans perte. La mme approche permet galement de suivre linformation jusqu' la partie processeur, et de proposer un modle englobant la fois la partie analogique et numrique. Selon une tude qualitative, nous citons, les types de dfaillance qui peuvent tre rencontrs dans la partie analogique. La prise en compte de ces types de dfaillance est une tape ncessaire dans la construction des scnarii et les combinaisons derreur possibles.

tel-00601086, version 1 - 16 Jun 2011

4.2 Etude fiabiliste de larchitecture dun capteur :


Un des problmes des systmes industriels complexes est de prendre en compte, dune faon raliste dans leurs tudes de la fiabilit, les interactions dynamiques existant entre les paramtres physiques (comme la pression, la temprature, le dbit dun liquide, etc) et le comportement nominal ou dysfonctionnel des composants [Dutuit et al., 1997]. En outre, nous pouvons ajouter le problme de la complexit lie la prsence dune couche logicielle qui sexcute sur larchitecture matrielle se traduisant par linteraction matriel/logiciel. Notre systme mcatronique est un systme hybride par nature, sa description prendra en compte laspect continue et laspect discret. La dynamique continue est reprsente par des variables continues, la dynamique discrte est reprsente par ses diffrents tats et leur changement li loccurrence dvnements. Ces deux aspects rendent la modlisation hybride indispensable. Globalement ltude des systmes hybrides se fait selon deux approches :

Approche intgre prenant en compte au sien dun mme formalisme, les aspects continus et discrets. Lapproche intgre runit des modles continus comme les Bond Graph commutation [Buisson J. 1993] et ceux issus de modles vnements discrets comme les rseaux de Ptri hybrides [David R et Alla H. 1989]. Approche spare qui fait cooprer deux modles diffrents : un pour les aspects continus et un pour les aspects discrets. Lapproche spare regroupe les modles base dAutomates hybrides, de Statecharts hybrides, de rseaux de Petri mixtes ou de rseaux de Petri Prdicats-Transitions-Diffrentiels (RdP PTD) [David R et Alla H. 1997] [Medjouji M . 2006].

La vision des automaticiens pour un systme dynamique hybride consiste dcrire ce systme par deux modles en interaction : un ensemble dquations dtats sur des variables continues et un automate tats finis sur un ensemble dvnements discrets.

- 89 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique Pour les fiabilistes, la fiabilit dynamique des systmes (dynamic reliability) ou encore Probabilistic Dynamics [Devooght J. et Smidts C. 1992], est une nouveaut dans le domaine la sret de fonctionnement, dfinie dans ltat de lart comme [Labeau et al., 2000] : Une partie de sret de fonctionnement qui tudie de manire intgre le comportement des systmes industriels complexes affect par une volution dynamique continue sous-jacente . Diffrentes approches traitant le problme de lvaluation de la fiabilit dynamique sont proposes[Chabot et al., 2003] [Labeau et al., 2000] [Perez et al., 2007] [Laulheret R. et Cabarbaye A. 2005]. Un systme mcatronique selon les automaticiens, est un systme dynamique puisque la dfaillance dun composant peut ne pas avoir au cours du temps la mme consquence, comme il peut tre considr comme un problme hybride puisque la dfaillance du systme dpend de son tat continu. Toute approche pour ltude de la sret de fonctionnement de tels systmes doit donc tenir compte de ces deux aspects (dynamique hybride).

tel-00601086, version 1 - 16 Jun 2011

4.2.1 Influences des fautes et critre de performance :


Le but de notre tude est d'analyser linfluence des fautes transitoires et permanentes sur notre systme de capteur intelligent en particulier linfluence de la partie analogique signaux continus et les consquences de ses fautes (transitoires et permanentes) sur la fiabilit des mesures. Il nous semble judicieux en premier lieu de mettre l'accent sur linfluence des fautes transitoires et quantifier leur probabilit et, en second lieu, sur les fautes permanentes. On appellera faute de capteur tout vnement capable dentraner une erreur sur la mesure. Une mesure tant la dlivrance dune information reprsentative dune grandeur physique un instant donn, nous pouvons distinguer trois catgories de fautes menant labsence dinformation, son altration et son retard La qualit dun systme capteur se dfinit en caractrisant lensemble des comportements admissibles de ce systme : volution des informations reprsentatives des diffrentes grandeurs en cas de dfaillance, ou bien raction face une perturbation. Ainsi, un systme est dit en quilibre quand il ny a plus de variation des donnes quil dlivre autres que celles lies aux grandeurs physiques. La qualit du systme peut sexprimer par sa capacit atteindre lquilibre. Plus prcisment, dans le cas dun changement de grandeur, il sagit de quantifier la capacit atteindre lquilibre dsir (rgime permanent) au bout dun temps fini. Gnralement trois paramtres sont importants pour un capteur : le dpassement, le temps de rponse une entre en chelon et la stabilit. Il sagit de concevoir un capteur avec un minimum de dpassement et un temps de rponse aussi court que possible et de prouver que le systme reste stable.

4.2.2 Modes de dfaillance de la partie analogique du capteur :


Les dfaillances en valeur : dans ce cas de figure le capteur envoie des donnes errones. Par exemple, un capteur de temprature peut, suite un dfaut de fabrication, dlivrer une valeur fixe indpendante de la valeur de la grandeur physique. Ce type de dfaillance est constat dans les REX (retour dexprience). Il est galement imaginable que la mesure de la temprature soit momentanment modifie par une perturbation lectromagntique, dans le cas d'un capteur numrique.

- 90 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique Les dfaillances temporelles : dans ce cas le capteur envoie les donnes en dehors des limites temporelles prescrites. Elle peut se produire chaque sollicitation, mais souvent elle peut se produire alatoirement. Les dfaillances par arrt : les capteurs nenvoient plus de donnes (silence) ou une valeur constante en permanence gale la dernire valeur valide. Les dfaillances incohrentes ou dfaillances byzantines : dans le cas o le capteur est li deux rgulateurs, les dfaillances de capteur peuvent tre perues diffremment par les rgulateurs. Il est possible par exemple que le capteur envoie deux valeurs diffrentes aux deux rgulateurs [Poledna S. 1995-b]. Il est possible aussi que des combinaisons entre ces diffrents modes de dfaillance se prsentent. Par exemple, les valeurs dun capteur peuvent tre la fois errones en valeur et dcales dans le temps. De nombreuses techniques de tolrances aux fautes sont employes afin dassurer le fonctionnement correct du systme global mme en prsence de dfaillances des capteurs, comme la rplication du capteur ou la relecture du mme capteur qui permet surtout de tolrer des fautes transitoires. Si on dfinit la mission du systme capteur comme tant la mesure dune grandeur physique avec une qualit de service (ou qualit de contrle) dfinie par un certain nombre de critres : dpassement born, temps de rponse minimaux, et tendance la stabilit, ce systme doit tre capable de dtecter une erreur sur la valeur mesure et capable de corriger cette erreur. Alors tout comportement du systme en dehors de ces spcifications doit tre considr comme une dfaillance de celui-ci. Les sources de dfaillances que nous avons envisages tant probabilistes, cette dfaillance du systme revt en consquence un caractre probabiliste que lon pourrait assimiler au concept de fiabilit. On dfinit la dfaillance par critre comme tant la probabilit quun critre ne soit pas vrifi, par exemple la dfaillance par dpassement aura lieu si un moment donn la sortie dpasse la consigne dun cart spcifi. La dfaillance de systme entier aura lieu si au moins une dfaillance sur un des critres se prsente. Il serait alors idal didentifier la relation existant entre fiabilit du systme et probabilit des dfaillances aux multiples causes de dfaillances voques. Ces dfaillances comme nous lavons vu font que le calcul des paramtres de performance et plus forte raison la dtermination de non satisfaction des critres (ensemble de critres dfinies dans le cahier des charges) sont difficilement ralisables dune manire analytique avec les mthodes conventionnelles. Cest pourquoi nous proposons une approche de calcul de la probabilit de dfaillance sur chaque critre base sur le flux dinformation.

tel-00601086, version 1 - 16 Jun 2011

4.2.3 Dfaillance par dpassement :


La dfaillance par dpassement dun capteur consiste fixer un cart maximum entre la donne mesure et la rponse idale de ce capteur pour une grandeur physique. Si un moment donn le dpassement en prsence de fautes transitoires excde lcart considr, on dtecte une dfaillance par dpassement. On peut justifier physiquement ce choix car dans de nombreuses applications industrielles le dpassement de certaines variables mme transitoirement peut avoir un caractre dangereux. Citons par exemple le courant lectrique - 91 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique dans un composant dlectronique de puissance (phnomne davalanche), la tension lectrique aux bornes dune charge (arc lectrique), le couple mcanique sur un arbre de transmission (rupture de larbre), etc [Rony et al., 2008]

4.2.4 Dfaillance par temps de rponse et de prcision :


La dfaillance par temps de rponse est tudie avec la mme approche que la dfaillance par dpassement : on fixe un cart maximum Trponse entre le temps de rponse en prsence de perturbations et le temps de rponse idal du systme. Si un moment donn lcart en prsence de fautes transitoires excde Trponse, on dtecte une dfaillance par temps de rponse. On peut justifier ce choix puisque le temps de rponse caractrise la dure du phnomne transitoire qui dans de nombreux cas est source de perte nergtique. De telles pertes doivent tre systmatiquement vites lorsquelles risquent par exemple de rduire dangereusement lautonomie nergtique dun systme, une problmatique non trait dans ce cadre du travail effectu par [Rony et al., 2008]. On cherche ici identifier des situations o les perturbations ont une tendance rendre le systme infidle. Pour dfinir la dfaillance de prcision, on surveille les rponses successives de mesure en prsence de ces fautes transitoires. Si on observe des rponses diffrentes sur la mme mesure, on constate que lon est dans une situation de tendance la non prcision et on dclare une dfaillance de prcision. Dans le cas gnral, une tude antrieure doit prcder la phase dvaluation de cette probabilit pour dcider du nombre de mesures inacceptables, ce paramtre dpend du contexte de lapplication. Dans cette tude on a suppos que ce paramtre est une donne pour ltude de la sret de fonctionnement.

tel-00601086, version 1 - 16 Jun 2011

4.3 Etude prliminaire et analyse des modes de dfaillance :


4.3.1 Dtermination des contraintes :
Les listes des composants ayant t utiliss, on devra procder pour chacun deux lanalyse des modes de dfaillance possibles. Ces modes ayant t dtermins, on calculera les contraintes auxquelles les composants sont soumis, soit partir des documents de calcul du projet, soit partir de mesures si elles sont possibles. Pour des pices usage lectrique, les contraintes sont relatives la tension, au courant, la puissance, la temprature, etc , auxquelles elles sont normalement soumises ; pour des pices mcaniques, ce sont les forces, vibrations, chocs, frottement et la temprature. On devra ensuite dterminer un indice de contrainte par comparaison aux contraintes normales prvues par les constructeurs et auxquelles les donnes de fiabilit, quand on en a, correspondent, (il est bien vident que si les contraintes changent au cours de lutilisation normale, on devra calculer plusieurs indices de contraintes.) Apres dtermination, les contraintes et indices seront reports sur les listes des composants tablis pralablement.

- 92 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique

4.3.2 Dtermination des taux de dfaillance :


4.3.2.1 Dtermination des taux de dfaillance ou de la fiabilit des composants : Si on dispose de sources de renseignements convenables et suffisamment rcentes qui sont gnralement donns sous forme de taux de dfaillance constants, il sera relativement facile pour la plupart des composants de calculer le taux de dfaillance prvoir, en tenant compte des indices de contrainte. De telles donnes ont t runies dans des mmentos tels que le MIL-HDBK-217 publi aux Etats Unis il y a de nombreuses annes dj. Ces donnes doivent tre tenues jours et cest la tche dun service de fiabilit que de publier des documents gnraux sur les taux de dfaillance utiliser dans les calculs prvisionnels. On verra dans la suite du chapitre comment modifier les taux de dfaillance de rfrence pour tenir compte des contraintes relles. Les donnes concernant les composants taux de dfaillance variables ou les composants destructibles (fusibles, boulons explosifs), sont gnralement fournies sous forme de probabilit de survie et une mention particulire doit en tre faite dans les listes. Si on ne dispose pas de donnes rpertories, ou si le dispositif est nouveau, on devra procder des essais pralables. 4.3.2.2 Calcul des taux de dfaillance ou de la fiabilit des blocs et des systmes : Ayant obtenu au moins partiellement, les taux de dfaillance ou de la fiabilit prdite des composants des diffrents blocs (sous-entit fonctionnelle), on devra alors calculer les taux de dfaillance de chaque bloc, en tenant compte des redondances si elles existent ; ceci en appliquant les quations tablies antrieurement. On notera soigneusement pour chaque bloc les taux dutilisation adopts pour la prvision afin den tenir compte dans le calcul de fiabilit du systme. Le calcul de la fiabilit prdite du systme termine la tche de prvision de fiabilit ; suivant la complexit et la configuration du systme, les taux dutilisation des diffrents composants, etc., on pourra, soit faire un calcul de taux de dfaillance global, do le M.T.B.F. se dduit immdiatement, soit, dans les cas de redondance ou de taux de dfaillance variables, calculer un nombre suffisant de valeurs de la fiabilit diffrentes poques afin dobtenir une dtermination du M.T.B.F. par intgration (graphique ou numrique) de la fonction fiabilit. On doit tenir compte des redondances pour prvoir la fiabilit dun systme, cest--dire pour prvoir la probabilit de dfaillance du systme. Par contre si on sintresse au nombre de dfaillances prvoir en vue de chiffrer les dpenses de maintenance corrective, on ne doit pas tenir compte des redondances au niveau des sous systmes.

tel-00601086, version 1 - 16 Jun 2011

- 93 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique

4.3.3 Gnralits :
Les donnes numriques sur les taux de dfaillance des composants sont essentielles pour mener bien les prvisions de fiabilit. Ces donnes doivent tres sres. Les diffrents recueils de donnes sont malheureusement bass sur des critres de dfaillance diffrents et sur des utilisations peu comparables, si bien que les taux minimaux, moyens et maximaux provenant de quatorze sources dinformations diffrentes : on peut constater des variations de lordre de 1000 peuvent exister entre diffrentes donnes, publies avant 1963 aux Etat-Unis. Il est vident quen fonction des applications, on devra disposer, pour effectuer des prvisions convenables, de donnes mieux adaptes. Taux de dfaillance horaire

Mini

Moyen

Maxi

Rapport 1000 26 3700 50 1250 170

tel-00601086, version 1 - 16 Jun 2011

Composant Condensateur 1.10-8 300.10-8 1000.10-8 -8 -8 Diode silicium 15. 10 154. 10 385. 10-8 Moteur C.A 15. 10-8 6700. 10-8 55600. 10-8 Rsistance 2. 10-8 40. 10-8 100. 10-8 couche Relais 10. 10-8 2300. 10-8 12500. 10-8 -8 -8 Transistors 10. 10 730. 10 1700. 10-8 Tableau 4.1 : Taux de dfaillance des composants standards. 4.3.4 Sources dinformations disponibles :

Il existe un certain nombre de sources de donnes sur les taux de dfaillance, plus particulirement en lectronique. Parmi les plus importantes, on peut citer le MIL-HDBK-217 prpar par R.C.A. sur un contrat de lU.S. Air Force et le rapport A.R.I.N.C n203-1-344. Les donnes du MIL-HDBK-217 ont t reprises par le centre de fiabilit du C.N.E.T. et publies dans la revue Fiabilit . Cependant, les donnes correspondantes doivent tre manies avec prcautions et on prconise de diviser par deux les taux de dfaillance indiqus dans cet ouvrage si on les applique des circuits digitaux. Des renseignements complmentaires plus rcents ont t publis, correspondant des composants de calculateurs lectroniques digitaux dans une ambiance de laboratoire ou dexploitation normale, par G.E.C. Ltd. Un extrait sera donn plus loin. 4.3.4.1 Ajustement des taux de dfaillance : Les taux de dfaillance de base, donns dans les recueils, correspondent des conditions de contrainte diffrentes de celles rencontres dans les matriels tudis, et il est ncessaire de les modifier pour tenir compte des contraintes mcaniques, thermiques, lectriques et dambiance envisages pour le matriel. - 94 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique Pour chiffrer les facteurs de modification, on doit frquemment procder une analyse pousse des contraintes et ce travail complexe se montre souvent trs utile pour mettre en vidence des zones potentielles de fiabilit rduites ; tout en conservant prsent lesprit que la fiabilit prdite ne sera pas aussi prcise quon le souhaiterait. Dune faon trs gnrale, le taux de dfaillance modifi sera donn par une fonction : des contraintes propres son emploi ; par exemple, la puissance dissipe pour un semi-conducteur ou une rsistance, la tension applique pour un condensateur, les efforts de traction ou de compression pour une pice mcanique ; des contraintes dambiance, reprsentes, par exemple, par un facteur multiplicatif fonction du mode dutilisation (laboratoire, matriel, militaire sol, sur bateau, sur avion, sur fuse, sur satellite, etc.). On remarque alors que les diverses valuations de ces facteurs multiplicatifs du taux de dfaillance peuvent diverger considrablement, et quune prvision correcte ne pourra se faire dans une spcialit que grce des informations sur le comportement en exploitation analyses avec toute la rigueur possible. A titre dexemple, le tableau ci-dessous donne les facteurs multiplicatifs proposs, dune part dans Reliability Engeneering de A.R.I.C. Research Corporation, dautre part dans un article de W.P. Cole, Prediction and Engineering Assessment in Early Design paru dans The Radio and Electronique Engeneering de janvier 1966 :

tel-00601086, version 1 - 16 Jun 2011

Environnement A.R.I.N.C W.P.Cole Laboratoire -1 Satellite 1 1 Matriel sol 1 8 Bateau 1 15 Train -22 Avion 6,5 50 Fuse 80 900 Tableau 4.2 : Coefficients de correction selon lenvironnement de travail. de facteurs correctifs, tenant compte du type de matriel. Par exemple, en lectronique, certains auteurs distinguent les alimentations avec un coefficient de correction (k=1), les circuits de commande de mmoire avec un coefficient de (k=0.5), les circuits de commutation (k=0.3). En ralit, le facteur k permet de tenir compte grossirement des contraintes propres lemploi, indiques plus quil est souvent impossible de dterminer avec exactitude ; de facteurs correctifs divers : par exemple un facteur pour tenir compte du rapport entre le nombre des dfaillances alatoires et celui des dfaillances de drive, un facteur pour tenir compte des procdures de maintenance, un facteur pour tenir compte de la complexit du systme, etc.

- 95 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique 4.3.4.2 Exemple de donnes de base extraites du MIL-HDBK-217 Semi-conducteur, Les taux de dfaillance minimaux annoncs pour les diodes sont de 10.10-8 dfaillances par heure et de 20.10-8 pour les transistors. Ces chiffres sont probablement convenables pour des diodes pointe au germanium de fabrication relativement ancienne et pour des transistors jonctions allies au germanium, mais ne sont pas reprsentatifs des composants actuels. Rsistances, On trouvera ci-dessous les taux de dfaillance indiqus pour une puissance gale la puissance nominale de la rsistance et pour une temprature ambiante de 40 c. Rsistance agglomres : Rsistance couche de carbone Rsistance bobines de puissance 6.10-8 h-1 65.10-8 h-1 220.10-8 h-1

tel-00601086, version 1 - 16 Jun 2011

La conclusion qui simpose, au point de vue prdictions de fiabilit, est de ne pas utiliser un recueil de donnes sans tre assur que les composants utiliss dans le projet sont de mme nature que ceux sur lesquels ont t relevs les taux de dfaillance.

4.4. Modlisation selon lapproche flux informationnel :


Dans ce paragraphe, nous avons modlis la fois les deux parties du capteur : partie analogique constitue du schma de la figure 4.1, et partie processeur traite dans le chapitre prcdent. Vu la diffrence radicale entre linformation analogique continue et linformation numrique discrte (des bits), il fallait rpondre certaines questions qui simposent, par un modle adquat (approche flux informationnel), pour pouvoir unifier ces deux informations de nature diffrente.

4.4.1 Sources de dfaillance :


Daprs les spcialistes, les principales sources de fautes en lectronique intgre sont les courts-circuits, les circuits ouverts, les perturbations extrieures et le vieillissement des composants lmentaires. Les courts-circuits et les circuits ouverts sont la consquence du phnomne dlectromigration, cest--dire du dplacement de matire (le mtal des pistes dinterconnexion) induit par lcoulement des charges lectriques. Ce phnomne peut tre vit en respectant quelques rgles simples de dimensionnement des pistes en fonction du courant maximal quelles doivent supporter. Les perturbations lectromagntiques (CEM) et les perturbations engendres par les particules ionisantes peuvent provoquer lapparition de signaux parasites indiscernables du signal utile. Leurs effets sur les circuits analogiques peuvent tre attnus laide de techniques de traitement du signal au niveau systme (filtrage). Les circuits numriques, quant eux, sont

- 96 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique essentiellement sensibles aux particules ionisantes qui sont gnralement responsables de la modification inopine de la valeur dune information (bit) stocke dans un point mmoire (bascules, RAM, . . .). Le vieillissement des transistors sous leffet des porteurs chauds a des consquences sur les performances des circuits analogiques. En effet, leurs proprits essentielles (gain, bande passante, offset, . . .) drivent lentement au cours du temps. La nature de linformation porte par un systme analogique fait que la sret de tels dispositifs ne peut pas tre optimise laide des mmes mthodes que celles employes pour les systmes numriques. La drive dans le temps des caractristiques dun circuit analogique se traduit par une erreur sur linformation qui est par nature difficile estimer. On peut cependant dfinir des intervalles pour les diffrents paramtres dun circuit analogique et on considre alors que la fonctionnalit de ce circuit est correcte tant que ces paramtres restent dans ces intervalles (par exemple : gains minimal et maximal pour un amplificateur). Pour maximiser la dure de vie dun circuit analogique, il faut donc minimiser les drives des paramtres importants de sorte quils restent le plus longtemps possibles dans les intervalles dfinis.

tel-00601086, version 1 - 16 Jun 2011

Le vieillissement des transistors MOS sous leffet des porteurs chauds est la principale cause de drive des paramtres des circuits analogiques. Sur la base dune modlisation de la drive des caractristiques des transistors base sur des lois physiques [Chen et al.,2008], nous avons dvelopp une mthode permettant au concepteur destimer les effets du vieillissement des transistors sur le comportement du circuit complet. A laide de ce modle, le concepteur peut alors valuer la dure de vie dun circuit donn ou encore intgrer les contraintes de la sret de fonctionnement ds la conception du circuit de manire maximiser sa dure vie [Dubois et al., 2007].

Alimentation_Stable Suiveur

Codeur Amplificateur

Matriau magntique sensible

Filtre passe haut

Figure 4.1: Schma lectronique de la partie analogique du capteur.

- 97 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique Nous avons commenc notre tude de fiabilit par une tude qualitative sous forme danalyse prliminaire de risque, traduit par tableau AMDEC. Lanalyse fine de ltude prcdente (AMDEC) de ce circuit permet de classer les problmes les plus frquents et quon ne peut pas nier, parmi ces problmes lis la partie analogique du capteur analogique ci-dessus (figure 4.1): Bloc alimentation : la dfaillance de lune des Diodes de ce bloc peut ne pas assurer lalimentation demande. Le bloc MTJ : on exploite la proprit physique de magnto-rsistance des matriaux pour faire varier un rapport cyclique en fonction du champ. Pour sassurer de la bonne rponse de la MTJ, il faut imaginer une vrification sous forme de test priodique de sa rponse avant mme de commencer les mesures. Ltage de filtrage est constitu dun filtre de 1er ordre. Dans cette partie, dans nimporte quel instant on peut perdre la prcision de la bande passante.

tel-00601086, version 1 - 16 Jun 2011

Les deux tages suiveur et amplificateur se ralise sur des circuits intgrs dont on ne peut pas assurer 100% leur adaptation dimpdance. Dans le mme cadre nous pouvons citer quelques mcanismes de dfaillance incontournables dans le monde des composants analogiques dont quelques un sont cits dans le tableau 4.3. : Mcanisme de dfaillance Dcharge lectrostatique Zones affectes Interconnexion, MOS, bipolaire Claquage de loxyde de grille Courant de fuite, court circuit MOS Effet des porteurs chauds Dcalage de la tension de MOS, bipolaire seuil, rduction du gain en courant Electromigration Court-circuit, circuit ouvert Interconnexion Corrosion Circuit ouvert Interconnexion Latchup Court circuit CMOS Radiation Soft errors Mmoires Tableau 4.3 : Mcanismes et leurs modes de dfaillance analogique. Ces mcanismes de dfaillance microscopiques sont lorigine de dfaillance macroscopique des composants et par la suite de la dfaillance du systme. Mode de dfaillance Court-circuit, circuit ouvert

4.4.2 Modlisation dune instruction simple :


La premire phase traiter dans cette tude, est la traduction de chaque composant de larchitecture matriel par une entit sous fonctionnelle approprie pour lapproche flux informationnel, savoir :
Transformation du signal (TF) Stockage du signal (SB) (Modlise par exemple les registres internes et temporels) Dcision (IP) (Modlise par exemple le Multiplexeur et lUAL)

- 98 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique


Contrle de flux (CT) (Modlise par exemple les Bus internes) Test en ligne (ST) (Modlise par exemple le contrle de trafic)

Selon la librairie des entits sous fonctionnelles, et par application de lapproche flux informationnel sur larchitecture globale de notre capteur (partie analogique plus partie numrique), nous obtiendrons le modle global de haut niveau pour une simulation daddition de deux mesures :
Tv_po SB Compa rateur IP MTJ_ Pulse TF MU XTO S MU X DSP D_SP SB MUX X TF Mux NOS NOS SB Mem Exp TOS SB Mem_ Add UAL IP TOS SB

Alim SB

MTJ TF

Filtr e ST

Suiv CT

tel-00601086, version 1 - 16 Jun 2011

Figure 4.2: Modle de haut niveau de larchitecture du capteur dans le cas dune instruction ADD.
MUX TOS MUX DSP D_SP SB MUX TF Mux NOS NOS SB Mem Exp TOS SB Mem_ Add

UAL IP

TOS SB

Figure 4.3 : Modle de haut niveau en absence de la partie analogique. Naturellement, la prochaine tape de la modlisation selon lapproche flux informationnel, ncessite le passage par le modle de bas niveau sous forme dautomate dtats finis. Le problme qui se pose est linterconnexion entre les deux mondes, lautomate qui reprsente la partie analogique (information continue) et lautre qui reprsente larchitecture numrique du processeur (information discrte). Pour comprendre mieux ce problme, dans la partie analogique, nous rencontrons des types de dfaillance diffrents de ceux de la partie numrique. Dans la partie analogique nous trouvons trois tats finaux savoir : Dfaillance en valeur ou de prcision. Dfaillance temporelle : - soit par dpassement - soit par temps de rponse Dfaillance par arrt ou perte de mesure.

- 99 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique En revanche dans la partie numrique, nous avons caractris et class chaque fois notre architecture selon six modes de fonctionnement, savoir : Mode 1: mesure correcte, pas de dfaillance dtecte. Mode 2: mesure incorrecte, dfaillance dtecte mais tolre (recherche de disponibilit). Mode 3: mesure incorrecte, dfaillance dtecte mais non tolre (recherche de scurit). Mode 4 : mesure incorrecte, dfaillance non dtecte (mode dangereux). Mode 5: mesure correcte et dfaillance dtecte (arrt intempestif). Mode 6: absence de mesure (arrt du systme).

tel-00601086, version 1 - 16 Jun 2011

Dans cette logique, il est normal de dire que les types de dfaillance dans la partie analogique peuvent provoquer les dfaillances de la partie numrique. En effet il y aura une continuit de propagation de linformation (flux dinformation) entre les deux parties. Les trois tats finaux analogiques seront lorigine de lun des six modes au dessus. Par la suite nous considrons la concatnation et le regroupement des automates concernant les deux parties (analogique et numrique), afin de construire un modle global. Dans la figure 4.4, nous trouvons plusieurs automates en cascade, chaque automate en amont alimente un autre en aval par une information propage. Les six premiers automates prsentent les diffrents composants de la partie analogique. A titre dexemple nous considrons lautomate de bloc alimentation Alim, il comporte les tats dentre et de sortie suivants : Etat de fonctionnement nominal o il ny pas danomalie. E-N Etat de dfaillance en valeur (peut tre une valeur non prcise) E-D-V Etat de dfaillance temporel E-D-T Etat de perte de linformation. E-D-P

Le passage de lun lautre de ces tats peut se faire par lintermdiaire dtats qui reprsentent les modes de dfaillance lorigine du changement de linformation, ces tats pour lautomate en question sont : Etat de dcharge lectrostatique Etat dlctromigration Etat de corrosion D-Elc Elcmi Corro

Lorsque linformation nominale (pas de dfaillance) au niveau du composant Alim passe par lun de ces tats intermdiaires, cette information se dirige vers lun des tats de dfaillance cits ci dessus comme il est montr dans lautomate en jaune de la figure 4.4. Les autres automates se comportent de la mme manire, sauf quils ne comportent que deux tats intermdiaires:

- 100 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique

Etat de dfaillance par dcharge lectrostatique Etat de dfaillance par effet des porteurs chauds.

D-Elc D-P-CH

Failed_State Absence_of_information Bf Busy_State dM H L P_DSP+1 Valide_State Bf NOS Bf Fault_Mem_Exp TOS Stuck At Fault State End(True) Bf Mem_Adr_correc

P_DSP

End(False)

Fault_Mem_Adr

tel-00601086, version 1 - 16 Jun 2011

Incorrect_shunting Mem_Exp_correc Absence_of_information

MTJ_Pulse
H E-N D-Elc L E-D-V Elcmi H L E-D-T E-D-P Corro E-D-P E-D-P E-D-V E-D-T E-D-T E-D-V E-N E-N

Suiveur
E-N

Alim
E-N D-Elc E-D-V E-N

D-Elc

E-D-V E-D-T E-D-T

Elcmi

E-D-V E-D-T E-D-P

E-D-P E-P-CH

E-D-P

Corro

H L

E-N

E-N E-N D-Elc

E-N E-D-V

E-D-V

D-Elc

E-D-V

E-D-V E-D-T

Elcmi E-D-T

E-D-T H E-D-P L E-P-CH

E-D-T E-D-P E-D-P E-D-P Corro

MTJ

Comparateur

Filtre

Figure 4.4: Modle de bas niveau correspond une instruction assembleur. Nous combinons les deux mondes dautomates, de la partie numrique (en haut, couleur mauve), et de la partie analogique (en bas, les autres couleurs). Le fruit de cette unification est davoir la possibilit de gnrer des listes globales contenant la fois des informations sur la - 101 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique partie analogique et la partie numrique pour chaque instruction lorsquelle sexcute sur larchitecture propose du capteur. Le suivi de linformation commence ds le premier composant de la partie analogique jusquau dernier lment de larchitecture numrique. La dfaillance de linformation peut tre due la dfaillance de diffrentes parties ou composants. Les listes globales gnres sont capables de localiser la partie dfaillante et leffet de cette partie sur le reste de larchitecture. La quantification des probabilits de chaque mode de fonctionnement se fait de la mme manire quexpliqu en dtail dans le chapitre prcdent. Nous trouvons les valeurs numriques cits dans le tableau 4.4 ci-dessous : Mode de fonctionnemt
Instruction

Mode 1

Mode 2

Mode 3

Mode 4

Mode 5

Mode 6

tel-00601086, version 1 - 16 Jun 2011

ADD (Sans partie analogique) ADD (Avec partie analogique)

3.3 10-2

0.7 10-2

2.9 10-4

1.1 10-5

0.99 10-9

1.11 10-11

72 10-5

32 10-3

893 10-3

87 10-4

4.99 10-4

45.7 10-3

Tableau 4.4 : Rsultats relatifs une instruction ADD.

Probabilit des modes de fonctionnement instruction ADD


0,09 0,08 0,07 0,06 0,05 0,04 0,03 0,02 0,01 0 Mode Mode Mode Mode 1 Mode Mode 2 3 4 5 6

Sans partie analogique Avec partie analogique

Sans partie analogique

Figure 4.5 : Reprsentation graphique des rsultats du tableau 4.4 La diffrence entre ces rsultats et les rsultats du modle figure 4.3, est lajout de la partie analogique, cette partie pour effet daugmenter en quelque sorte la probabilit darrt du systme (mode 3), ainsi que diminuer la probabilit du mode nominal (mode 1).

- 102 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique Les rsultats obtenus ce niveau sont relatifs une instruction assembleur simple, sans oublier que notre objectif est dvaluer des fonctions de programme, sachant que chaque fonction est constitue de plusieurs instructions. Pour illustrer cet effet, nous reprenons le programme de Tri dj trait dans le chapitre 3, afin de constater lajout de la partie analogique dans le calcul des probabilits.

4.4.3 Cas dtude : Programme de Tri :


Du point de vue fonctionnel d'un systme numrique hirarchique, le logiciel est conu pour remplir des fonctions que le systme numrique effectue au niveau 0. Le logiciel est compos de modules. Ces modules logiciels de niveau 1 ralisent leurs tches grce la combinaison de jeux d'instructions fournies par le microprocesseur. Des parties des composants matriels du niveau 3 (des parties de processeur comme exemple la mmoire) sont utilises pour le traitement d'une instruction de niveau 2. Afin que le systme numrique complte sa fonction requise, le logiciel dtermine l'ordre correct dans lequel les ressources du matriel devraient tre utilises. La dfaillance du systme, ainsi, se produit lorsque le logiciel ne peut pas organiser correctement la squence des ressources matrielles utilises ou lorsque l'une ou plusieurs des ressources matrielles utilises ont des dfauts bien que le logiciel ait dtermin les squences correctes des ressources matrielles. Niveau 0 H/S Systme Systme

tel-00601086, version 1 - 16 Jun 2011

Niveau 1 H/S Modules

m1

m2

Niveau 2 H/S Instructions

i0

i1

i2

Niveau 3 H/S Composants

c1 c0

c3

c5

c4 c2 Figure 4.6: Modle hirarchique dune application logiciel.


- 103 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique Dans ce travail, nous tudions un modle combinatoire pour estimer la fiabilit du systme numrique embarqu au moyen dune description multifonctionnelle. Ce modle ne considre pas seulement la manipulation des fautes imputables la partie numrique, mais aussi l'interaction entre le logiciel et le matriel avec l'examen du profil de fonctionnement du logiciel. Le profil oprationnel du logiciel dtermine la frquence de l'utilisation de chacun des modules logiciels qui contrlent la frquence d'utilisation des composants matriels. Le profil oprationnel du logiciel est modlis par l'adaptation de contrle de flux logiciel multifonctionnelle. Le modle fonctionnel (dysfonctionnel) de bas niveau montr dans la figure 4.4, permet de gnrer lensemble des listes relatives au niveau 3 (H/S composants) de la figure 4.6. Cet ensemble remonte dans le niveau 2 (H/S instructions) pour donner une ide sur lexcution dune instruction assembleur. LInstruction = LAlim.LMTJ.LFiltre.LSuiveur.LComparateur.LMTJPULSE.LProcesseur LAlim : liste caractristique de bloc alimentation. LMTJ : liste caractristique de la tte sensible. LFiltre : liste caractristique de bloc Filtre. LSuiveur : liste caractristique de bloc Suiveur. LComparateur : liste caractristique de bloc Comparateur. LMTJ-PULSE : liste caractristique de bloc MTJ-PULSE. LProcesseur : liste caractristique de la partie processeur pile, dj tudi dans le chapitre 3. LFonction = LInstruction1, LInstruction2, LInstruction3, LInstruction4. LInstruction i Lmodule = LFonction1, LFonction2, LFonction3, LFonction4. LFonction i. Lapplication = Lmodule1, Lmodule2, Lmodule3, Lmodule4, Lmodule5 Lmodule i Appliquant la mthode de calcul et de quantification de chaque mode de fonctionnement (voir dtail dans le chapitre 3), nous avons abouti ces rsultats numriques cits dans le tableau suivant : Mode 1
6.32 10 1.57 10 2.39 10 55.8 10 73 10 45.91 10 Programme_tri (Sans prise en compte de la partie analogique) 5.22 10-4 1.1 10-3 5.5 10-4 67.3 10-3 12.2 10-6 45.2 10-9 Programme_tri (Avec prise en compte de la partie analogique et sans tolrance) 11.49 10-2 1.2 10-2 9.67 10-4 99.3 10-5 27.8 10-9 98.61 10-11 Programme_tri (Avec prise en compte de la partie analogique et avec tolrance) Tableau 4.5 : Effet de lajout de la partie analogique sur ltude de la fiabilit du capteur.
-2

tel-00601086, version 1 - 16 Jun 2011

Mode 2

-2

Mode 3

-4

Mode 4

-5

Mode 5

-9

Mode 6

-11

- 104 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique

Les rsultats numriques montrent combien lajout de la partie analogique diminue globalement la fiabilit du systme. Nous remarquons la diminution de cette fiabilit dans les indices mesurs dans le tableau (six modes de fonctionnement). La partie analogique connait certains modes de dfaillance spcifiques comme la drive de linformation qui est la consquence directe du phnomne de vieillissement.

4.5 Exploitation des rsultats pour lamlioration de la fiabilit :


4.5.1 Redondance et vote majoritaire :
Dans la partie numrique, nous avons propos en collaboration avec lquipe LICM une redondance pour augmenter la fiabilit de cette partie, cette stratgie de redondance est de type logiciel pur. Nous avons montr lintrt de limplantation de cette redondance pour tolrer les fautes de famille numrique en cas de besoin.

tel-00601086, version 1 - 16 Jun 2011

En gnral, amliorer la sret de fonctionnement d'un systme peut tre fait par 2 moyens essentiels: i- Amliorer la sret de fonctionnement des constituants, cest dire rduire la probabilit d'apparition de leurs dfaillances : Par le choix d'lments plus fiable (test selon la mthode propose avant). Par l'tude pousse des conditions de fonctionnement, dfinir toutes les conditions et vnements possibles, et comment faire des barrires de protection contre l'influence des ces vnements. Par la maintenance prventive des constituants ii- Amliorer la structure du systme en introduisant des redondances dont l'objectif est d'augmenter le nombre et la probabilit de bon fonctionnement par rapport aux tats de dfaillance. De la mme manire que la redondance logicielle de la partie processeur, nous proposons dans la partie analogique une redondance matrielle, lide se base sur limplmentation dun capteur tmoin. Dans cette tude, nous ne nous intressons pas ltude du coup supplmentaire de son installation, mais nous nous focalisons sur la valeur ajoute aprs limplmentation du capteur tmoin en terme de disponibilit, fiabilit ainsi que les interventions de maintenances prvues afin daugmenter la disponibilit de lensemble.

4.5.2 Capteur tmoin et sa stratgie de maintenance [Annexe D]:


En collaboration avec lquipe InESS, aprs une rflexion justifie, nous avons dcid dajouter un lment tmoin pour le capteur analogique. Ce type de redondance ne permet pas dassurer le fonctionnement en cas de panne du capteur principal, mais plutt, il va donner une information sur la drive du capteur et notamment en cas de vieillissement de

- 105 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique ce dernier. Par consquence, nous devons proposer une stratgie de maintenance de ce capteur tmoin pour assurer son fonctionnement en permanence. Les prvisions de fiabilit tudies jusquici reposent sur lhypothse du taux de dfaillance constant. On a vu au chapitre prcdent que la fiabilit dun systme dpendait de lge des pices lorsque celles-ci taient sujettes la drive ou lusure ; en pratique les changes de telles pices entraneront assez tt une grande diversit dans les ges des constituants de telle sorte quon peut se demander sil nest pas possible, pour un systme comportant beaucoup dlments dges diffrents et sujets lusure, de dfinir un taux de dfaillance constant quivalent.

4.6 Conclusion :
tel-00601086, version 1 - 16 Jun 2011
Les prvisions de fiabilit ne contribuent pas essentiellement la fiabilit dun systme, mais elles doivent constituer un lment de jugement pour apprcier les actions mener pour lamliorer et elles doivent galement servir valuer ltat actuel de la fiabilit dun systme vis--vis des objectifs qui ont t fixs. Les objectifs essentiels de ces prvisions sont : lvaluation de la possibilit de ralisation de ce systme, la comparaison de solutions et mthodes concurrentes, la dtermination des objectifs requis, la mise en lumire des problmes de fiabilit, la recherche des donnes numriques insuffisantes, ltude de compromis avec dautres lments de cot dans le systme, lapprciation des progrs accomplis et les prvisions concernant la maintenance de ce systme. Lensemble de ces points se rsume comme suit : Evaluation des possibilits : vrifier la compatibilit des principes de fonctionnement avec les objectifs de fiabilit qui ont t proposs. Comparaison des solutions et mthode concurrentes : tat de lart. Rpartition des objectifs de fiabilit en phase de conception sur les partenaires du projet. La mise en vidence du problme de fiabilit. Exploitation des donnes de fiabilit : au cours de lanalyse ncessite par la prvision ; on mettra en vidence les points pour lesquels les donnes de fiabilit ne sont pas parfaitement convenables cause de conditions dutilisation trs diffrente ou bien suite un changement dun composant diffrant du composant initial. Suivi de progrs : vrification de la situation du projet vis--vis de lobjectif fix. Prvision de maintenance : finalement, les prvisions de la fiabilit permettent dvaluer la charge de maintenance de dpannage pour faire face aux dfaillances alatoires du systme.

- 106 -

Chapitre 4 : Evaluation fiabiliste de larchitecture dun capteur mcatronique Dans ce chapitre, nous avons rpondu aux objectifs mentionns dans le cahier des charges de ce projet, concernant ltude des signaux de nature diffrente (signaux mixtes). Grce lapproche propose base sur le flux dinformation, nous avons tir tous les scnarios de combinaisons des possibilits dtre dans un mode de fonctionnement quelconque parmi ceux qui sont dfinis le long de ce travail. Ltude de fiabilit mene par lquipe SACSS a permis de montrer lutilit de lajout stratgie de tolrance et son apport sur la fiabilit de lensemble, comme elle a montr lintrt de la prise en compte de la dgradation et du vieillissement du capteur. Dans le chapitre prcdent, ltude de la partie numrique (processeur), nous avons constat au dpart que la fiabilit ncessite une amlioration, do lintrt dimplanter une redondance de type logiciel (stratgie de recouvrement). Lapproche base sur le flux dinformation a montr sa capacit dvaluer la fois les deux modes de fonctionnement (avec et sans tolrance aux fautes). Dans ce chapitre, ltude de la partie analogique, ltude montre que les modes de dfaillance sont radicalement diffrents par rapport la partie numrique, tenant compte de la nature de linformation (signal continu). Nous avons montr de mme leffet du vieillissement des composants sur la fiabilit. Heureusement que lapproche flux informationnelle est valable et nous a permis dvaluer les deux parties du capteur (processeur, partie analogique) ensemble dans un modle qui unifie les deux La prsence de la partie analogique a videment chang les valeurs de probabilit, dans ce cas de figure le capteur a tendance tre dans ltat 3 et 4 avec une probabilit faible dtre dans ltat 1. La prise en compte de la tolrance a permis de remettre le capteur dans un tat normal (une probabilit importante de ltat 1) et deux avec une probabilit ngligeable de ltat 3 et 4.

tel-00601086, version 1 - 16 Jun 2011

- 107 -

Conclusions gnrales et perspectives

Conclusions gnrales et perspectives

tel-00601086, version 1 - 16 Jun 2011

- 108 -

Conclusions gnrales et perspectives Les systmes programmables complexes suscitent un intrt croissant dans lindustrie du fait des enjeux considrables quils reprsentent par la capacit de progrs technologiques, par limportance des marchs concerns et par la ncessit dexpertises multi-mtiers. Ils traduisent un besoin de services labors afin daccrotre lefficacit des systmes oprationnels. Ce travail de recherche fait apparatre la ncessit dune analyse spcifique des systmes complexes critiques rpondant des exigences de qualit et de sret de fonctionnement trs strictes, et propose des mthodes et outils de conception pour y parvenir. Cependant leur large dploiement au sein de la socit va de manire croissante impliquer la prise en compte effective de diffrents types de risques qui leur sont associs : la sret de fonctionnement : il sagit de sassurer que des systmes complexes remplissant notamment des tches critiques divers gards, font bien ce pourquoi ils ont t conus, ne font que cela et sont capables de survivre des pannes de leurs composants. la scurit : face la multitude des individus qui peuvent avoir accs ce systme, il va sagir de prserver la disponibilit de ces systmes contre des agressions volontaires et la confidentialit et lintgrit des informations quils traitent. le respect de la vie prive: lindividu lui-mme se doit dtre protg contre toute atteinte aux donnes qui concernent sa vie prive et au-del il importe de pouvoir garantir les droits de proprit dinformations numriques. Pour rpondre ces besoins, les travaux de recherche prsents dans ce mmoire porte sur la problmatique de la conception des systmes complexes lectronique programmable, en prenant en compte les interactions entre matriel et logiciel spcifiques ce type darchitecture. Une dmarche mthodologique, de la modlisation lvaluation a t propose. Elle est base sur lapproche flux informationnel. Les points globalement traits dans ce travail se rsument en :

tel-00601086, version 1 - 16 Jun 2011

Intgration de la sret dans les processus dingnierie systme


Devant la complexit de ces systmes, il nous est apparu ncessaire de proposer une approche globale danalyse de sret de fonctionnement qui permette de prendre en compte les risques lis lintgration de plusieurs technologies. Nous proposons une approche permettant dintgrer la sret de fonctionnement dans les processus de conception du systme. Les normes dans ce domaine dcrivent le processus du cycle de vie, du dveloppement des systmes depuis la formulation des exigences, jusqu leur dmantlement. Ceci permet une traabilit des exigences de sret de fonctionnement et permet de sassurer de la prise en compte de ces exigences tout au long du cycle de vie du systme. Pour mettre en vidence les scnarios redouts, [Hami et al.,2005] dans sa thse, a propos une mthode dextraction de scnarii partir dune modlisation base sur le flux dinformation le long dune architecture de scurit fonctionnelle. Ses travaux ont donn naissance un premier outil permettant dautomatiser la mthode de gnration de scnarios redouts.

- 109 -

Conclusions gnrales et perspectives Nous avons gnralis les travaux prcdents dans le but damliorer lapproche et daborder certains aspects qui nont pas t traits lors de ce premier travail [Belhadaoui et al., 2008-a] et [Belhadaoui et al., 2008-b].

Bilan
Ce travail concerne la conception de systmes programmables, complexes, ddis des applications de type mcatronique, contraintes par des impratifs de sret, voire de scurit. Nous allons revenir sur les problmes poss en proposant et en mettant en vidence quelques perspectives dextension des rsultats obtenus. Au dpart, nous avons distingu conventionnellement les fautes de conception de celles induites par l'environnement, ces dernires tant subdivises en deux classes : les fautes fonctionnelles (mauvaises utilisations du systme) et non-fonctionnelles (induites par l'environnement physique : temprature, rayonnements, etc.). De cet ensemble de fautes, nos tudes abordent les mauvaises conceptions et ne considrent qu'une classe de fautes nonfonctionnelles environnementales : celles induites par les champs lectromagntiques (bitflip). Nous avons ainsi consacr un effort particulier : La prvention et la protection des dysfonctionnements lis aux champs lectromagntiques sous forme de perturbation de linformation et de la susceptibilit des composants ces champs, La prvention des fautes relevant du processus de conception (analyse de dfaillance par approche informationnelle) ou de la technologie de programmation et de modlisation (automate tats finis). Nous avons dvelopp, dans cette thse, une mthodologie dvaluation de la fiabilit prvisionnelle, en prservant une solution analytique afin de permettre aux concepteurs de mieux apprhender les variations des mtriques fiabilistes. La mthodologie propose dpend des choix techniques matriels et logiciels, dans le cas de capteurs, ou dactionneurs intelligents intgrables dans des applications mcatroniques. Selon la nature dynamique complexe de ces systmes, nous avons propos une tude comparative sur les principales mthodes classiques dvaluation de la fiabilit travers le cycle de dveloppement, de retenir lapproche flux informationnel. Quatre raisons principales justifient ce choix. En effet, lapproche flux informationnel permet : Modlisation dun systme mcatronique intgrant diffrentes technologies Utilisation dans chaque tape du cycle de dveloppement Analyse du comportement fonctionnel et dysfonctionnel Prise en compte de laspect dynamique du systme La mthodologie dvaluation fiabiliste prvisionnelle sappuie sur une :

tel-00601086, version 1 - 16 Jun 2011

- 110 -

Conclusions gnrales et perspectives Modlisation fonctionnelle (permettant de donner les temps de fonctionnement) Modlisation dysfonctionnelle (donnant les instants de dfaillance) du systme mcatronique Recueils des donnes pour chaque composant Nous avons appliqu la mthodologie propose pour lvaluation de fiabilit prvisionnelle de la partie programmable de sous-systmes mcatroniques. Cest le cur du capteur intelligent. Nous voulons valider lapplicabilit de cette mthodologie sur un cas dtude relle, et dmontrer son intrt par rapport aux autres mthodes conventionnelles. Sur lexemple retenu (partie de traitement programmable), nous avons identifi les instructions les plus susceptibles dentraner un chec de lapplication logicielle. Ceci par valuation de sa probabilit dexcution sur une architecture de processeur pile [Belhadaoui et al., 2008-b].

Perspectives
tel-00601086, version 1 - 16 Jun 2011
Beaucoup de points restent amliorer. Une particularit des modes de dfaillances des systmes mcatroniques concerne les dfaillances lies aux interactions entre les diffrentes technologies. Cet aspect est peu tudi et constitue un verrou technologique. En effet, lanalyse de la fiabilit de chaque composant du systme nest pas suffisante. Il devient ncessaire dtudier le systme dans son ensemble, ses composants, les interactions entre les diffrents composants et dintgrer ces aspects dans une mthodologie globale destimation de la fiabilit. Lalgorithmique de recherche de scnarii propos dans ce travail pour un systme hybride, ncessite encore quelques adaptations en vue de lappliquer dans un contexte industriel. Il est ncessaire de le valider sur des exemples rels. Ceci nous permettra de valider la mthodologie propose et les outils associs sa mise en uvre, voir lautomatisation de toutes les dmarches dapplication de cette mthode comme ctait ralis dans [Belhadaoui et al., 2006]. Un autre point important pour lequel il reste beaucoup de travail est lapproche de lintgration de la sret de fonctionnement dans le processus dingnierie systme. Lapproche propose nest quun travail prliminaire qui a besoin dtre dvelopp. Pour faciliter lutilisation future de notre mthodologie dans un contexte industriel, il est ncessaire de concevoir un outil informatique automatisant les traitements. Lanalyse quantitative est un point important explorer pour estimer la probabilit dapparition des tats redouts. Car mme si ltude qualitative prsente un intrt rel, elle ne peut qutre complmentaire dune tude quantitative.

Proposition dune mthodologie globale


Pour une matrise fiabiliste entire dun systme mcatronique, trois phases doivent tre intgres dans un processus mthodologique global. Cette dmarche doit tre initie le plus en amont possible du cycle de dveloppement. Elle permet de consolider toutes les informations collectes au cours du processus de fiabilisation. Lors de ltude de la fiabilit prvisionnelle, lvaluation de la fiabilit du systme est gnralement dduite de celle des composants. La - 111 -

Conclusions gnrales et perspectives fiabilit exprimentale et la fiabilit oprationnelle sont estimes de manire quantitative, aprs une phase de modlisation imposant de nombreuses hypothses simplificatrices. Les connaissances acquises dans une phase sont exploits dans la suivante. A chaque phase, si les objectifs de fiabilit du systme ne sont pas atteints, une tude dvaluation dtecte les composants responsables de la dfaillance et permet de rtroagir sur la conception. La figure C.G.1 donne le synoptique de la mthodologie globale propose.

tel-00601086, version 1 - 16 Jun 2011

Figure C.G.1 : Dmarche de la mthode globale propose. Notre contribution propose une partie de cette dmarche de conception, nous cherchons par la suite de complter cette mthodologie de conception jusqu un niveau de mise en exploitation du systme. Nous avons abord les problmatiques lies la partie logique programme (processeur pile). La prochaine tape est lintgration des problmatiques propres la conception de la partie traitement analogique (ceci en collaboration troite avec lInESS). Afin de gnraliser ltude sur des systmes signaux mixtes (boolens/numriques/analogiques). Au sein du consortium pluridisciplinaire financ par la fondation CETIM, notre rle a consist aider les laboratoires partenaires comprendre les problmatiques de la sret de - 112 -

Conclusions gnrales et perspectives fonctionnement et de les intgrer dans leurs problmatiques propres. Il a fallu sentendre sur les concepts, les contraintes et objectifs des uns et des autres, afin de dfinir les travaux prliminaires ncessaires la mise en uvre dune vritable mthodologie de co-conception des systmes intelligents hautement intgrs, appels couramment mcatroniques. Notre contribution sest focalise sur la conception de la partie numrique, lapproche utilise semble adapte la modlisation de la complexit des systmes actuels. Ce travail va tre poursuivi afin dy intgrer la partie analogique, et permettre lanalyse fiabiliste dun systme (ici un capteur mcatronique) complet.

Vers une mthodologie de conception :


Les concepteurs de systmes modernes doivent grer des projets associant plusieurs disciplines et plusieurs technologies. Depuis des annes, les systmes lectroniques ne sont plus conus isolment : Ils intgrent des proccupations de systmes et de microsystmes multidisciplinaires, dans divers secteurs dapplications scientifiques et industrielles. En raison de la complexit et de lhtrognit de ces sous-systmes, il est indispensable de mettre en place des mthodes et des outils facilitant l'intgration de solutions analogiques, numriques, mixtes (analogique-numrique), matrielles et logicielles dans des approches pluridisciplinaires. Ce problme pluridisciplinaire plus le besoin de matriser le processus de sa conception afin daugmenter sa fiabilit, a conduit au dveloppement de techniques telles que la modlisation et la validation haut niveau, la modlisation fonctionnelle, la rutilisation et la gnration de modules Ces composantes doivent tre considres ds les premires tapes de la conception. Nos propositions auront tenir compte de nombreuses exigences, et donc sappuyer sur des modlisations et des procdures standardises. Les mthodes actuelles doivent aussi prendre en compte la conception cooprative et la rutilisation des acquis REX (retour dexprience). Elles doivent donc tre bases sur des procdures et des langages normaliss ou standardiss facilitant les changes. Le but est alors de proposer des outils gnraux et des mthodes capables de soutenir le travail coopratif entre divers participants d'un projet de conception. Dans une premire tape, les mthodes utilises doivent sappuyer sur des modles de haut niveau, fonctionnels, excutables, que nous pouvons appeler des Prototypes Virtuels. Ces prototypes permettent de vrifier, par simulation, leur conformit fondamentale avec le cahier des charges, avant dentamer les dmarches de matrialisation et de ralisation technologique. Dans le contexte de la conception des systmes et de la rutilisation des savoir-faire, le Codesign dfinit un domaine nouveau et prometteur dans le dveloppement doutils de Conception Assiste par Ordinateur (CAO). Ses objectifs principaux sont de faire, de faon simultane, la conception du matriel et du logiciel afin de rduire les temps de dveloppement et d'laboration, de faciliter la dtection des fautes et des erreurs, et de permettre le test des prototypes virtuels avant la mise en fabrication des produits. Nous devrons trouver et dfinir quelle est la place prcise du Co-design dans notre dmarche mthodologique. Lintgration pluridisciplinaire autour de projets ncessite dadopter des normes et des mthodes dans la dfinition des spcifications aussi bien que dans la description et la mise en place des modles crs partir de telles spcifications. Les concepteurs sont galement obligs de trouver des solutions aux dfis techniques poss par les cahiers des charges dans des crneaux de temps de plus en plus serrs. En rsum, la complexit croissante des - 113 -

tel-00601086, version 1 - 16 Jun 2011

Conclusions gnrales et perspectives systmes et les contraintes lies aux dlais imposent la dfinition de nouvelles mthodes et de nouveaux outils capables de rpondre simultanment aux besoins des concepteurs et la coordination de tous les acteurs du problme. Les motivations de recherche et dindustrie, et linfluence de la concurrence crent des intrts forts chez les chercheurs, pour le dveloppement, l'utilisation et l'optimisation de technologies de la conception systme. Le dveloppement des prototypes virtuels et la ncessit de valider leur cohrence avec les spcifications, demande lappui doutils informatiques permettant de modliser, ds les niveaux dabstraction les plus levs, les aspects suivants: Les interactions du systme avec son environnement oprationnel, Lvaluation et la dfinition des entres/sorties, Ltude et le dveloppement des modles comportementaux des constituants, La reprsentation graphique des relations fonctionnelles proposes, Lexploration architecturale, Lestimation des performances et les tats critiques de fonctionnement.

tel-00601086, version 1 - 16 Jun 2011

Les exigences gnrales se situent au niveau de la gestion de ces aspects et de la recherche de techniques permettant de rduire le temps de dveloppement des produits et daccrotre les performances de la conception sur des points essentiels comme la robustesse, la sret de fonctionnement (avec ses quatre paramtres FMDS) et la vrification. Plusieurs axes de rflexion et de dveloppement devront tre explors :
La rutilisation, autant que possible, des acquis et des modles prcdemment valids. Dans ce contexte, lextension de lutilisation des outils de CAO pour llectronique vers dautres domaines peut reprsenter une source de progrs important. Lutilisation de techniques telles que le Co-design, la Co-simulation, la cration et la gestion de modules de proprit intellectuelle ont amen le monde de llectronique numrique au sommet de ce quil est convenu dappeler lEDA (Electronic Design Automation) jusque dans les applications commerciales. La partie analogique qui pourtant reste en retard par rapport ces techniques cause de la complexit du problme et de la difficult mettre en place une vraie politique de standardisation des mthodes, et des langages : Il nest pas facile dy tablir une base commune de ressources informatiques et mthodologiques, limage de la modlisation VHDL ou de la gestion des IPs dans le domaine de llectronique numrique.

La plus grande difficult de lapproche est de gnraliser les mthodes et de considrer la conception systme comme un tout. De cette manire, en partant des spcifications ou des cahiers des charges, les concepteurs pourraient tablir et valider des modles fonctionnels et proposer des solutions architecturales. Une tape essentielle de cette problmatique est la traduction ou linterprtation des spcifications sous forme de modles fonctionnels. Nous pouvons illustrer globalement cette problmatique et le contexte de nos activits par le biais de la figure suivante :

- 114 -

Conclusions gnrales et perspectives


Situation
feedback criticality

design
robustness, undetected err.

System DES
operational mode

environment impacts
EMC, accidents, pollution

environment
standard-degraded-extreme exogenous stress

dependability
RAMS, hazard, economic perf.

mission profile
operating stress

interface

internal state
dynamic variables

interface quality of service


dynamic performances

operating organization
maintenance

other inputs
other syst. interactions

DS Defense System

other systems interactions


faults propagation

intrinsec stress

Faults
systematic-stochastic

prevention-protection-saveguard

tel-00601086, version 1 - 16 Jun 2011

Dans ce contexte, notre approche concerne la mise au point dune mthodologie de Hautniveau de dveloppement de modles fonctionnels excutables permettant aux concepteurs daborder les problmes du choix des technologies et des architectures, des partitionnements analogique/numrique dun part et logiciel/matriel dautre part, sur la base sre d'une proposition structurellement fiable et cohrente avec les spcifications. Cette mthodologie intervient avant ltablissement des choix technologiques, il ny a pas donc lieu, ce stade, de distinguer les micros systmes et les systmes. Nous parlerons, pour simplifier le discours, uniquement des systmes dans les dveloppements suivants. La proposition dune mthodologie pour la conception de haut-niveau devra rechercher et prendre en compte les langages standards utilisables aussi bien pour la description systme que pour les descriptions de niveaux infrieurs dabstraction. L'utilisation de normes et de standards facilitera l'application d'une mthodologie dans les cas rels, en vitant quelle reste isole comme une proposition seulement thorique. Lobjectif de notre travail est de concevoir, de dvelopper et de mettre en uvre les fondements dun outil de Co-design pris au sens gnral : Matriel/logiciel/pluridisciplinaire, permettant dappliquer une mthodologie de conception descendante dans le processus de conception systme. Nous aurons tester cet outil par le biais dexemples concrets de gestion du Co-design dans le processus de conception : intgration de la partie analogique et arbitrages matriels / logiciels. Une fois cette mthodologie et cet outil tablis, nous analyserons quel est limpact de leur mise en place sur la vrification systme que nous pouvons envisager partir du prototype virtuel. Pour cela, nous nous appuierons sur la gestion standardise de linformation vis--vis de la rutilisation des savoir-faire et da la gnration de modules de proprit intellectuelle IP. Finalement, nous rflchirons une premire approche vers la vrification et la validation des modles et des prototypes, notamment dans le domaine de lavionique.

- 115 -

Rfrences bibliographiques

Rfrences bibliographiques

tel-00601086, version 1 - 16 Jun 2011

- 116 -

Rfrences bibliographiques [AFIS] Association Franaise pour lInformation Scientifique.

[Aiguo L. et Hong B., 2007] Aiguo Li and Bingrong Hong, Software implemented transient fault detection in space computer. Aerospace Science and Technology, Volume 11, Issues 2-3, March-April 2007, Pages 245-252 [At-Kadi et al., 2000] At-Kadi, D., El Khair El Idrissi, A. & Gouget, N. (2000). "Prise en compte de la fiabilit et de la maintenabilit au stade de la conception". IDMME'2000, 3eme Confrence internationale sur la conception et la fabrication intgres en mcanique -Actes, Montral. [Ajmone et al., 1991] M. Ajmone Marsan, G. Balbo, G. Chiola, G. Conte, S. Donatelli and G. Franceschinis, An introduction to generalized stochastic Petri nets. Microelectronics and Reliability, Volume 31, Issue 4, 1991, Pages 699-725 [Ajmone et al., 1995] M. Ajmone Marsan, G. Balbo, G. Conte, S. Donatelli et G. Franceschini, Modelling with generalized stochastic Petri nets. Wiley series in parallel computing. 1995.

tel-00601086, version 1 - 16 Jun 2011

[Al-Dhaher A. H. G., 2001] A. H. G. Al-Dhaher, 'Integrating hardware and software for the development of microcontroller-based systems' Microprocessors and Microsystems, Volume 25, Issue 7, 15 October 2001, Pages 317-328 [Alaoui R. 2007] Rim MRANI ALAOUI, conception dun module de diagnostic a base des suites de bandes temporelles en vue de la supervision des procdes nergtique . Application en ligne un gnrateur de vapeur, thse doctorat, Universit des Sciences et Technologies de Lille, 2007. [Angelini A.M., 1996] A. M. Angelini, 'A note on the role of system engineering in the industry of a changing society' Technology in Society, Volume 18, Issue 4, 1996, Pages 461- 466 [Anderson D.A. 1971] D.A. Anderson, Design of self-checking digital networks using coding techniques, Coordinates, Sciences Laboratory, Report R/527, University of Illinois, Urbana, September 1971. [Arlat et al., 2004] Mohamed Kaniche, Yannick Le Gudart, Jean Arlat and Thierry Boyer, An investigation on mutation strategies for fault injection into RDD-100 models. Safety Science, Volume 42, Issue 5, June 2004, Pages 385-403 [Arnold et al., 2000] Arnold, A., A. Griffault, G. Point, et A. Rauzy (2000). The AltaRica formalism for describing concurrent systems. Fundamenta Informaticae 40, 109124. [Azgomi M.A. et Movaghar A., 2005] Mohammad Abdollahi Azgomi and Ali Movaghar, 'A modelling tool for hierarchical stochastic activity networks'. Simulation Modelling Practice and Theory, Volume 13, Issue 6, September 2005, Pages 505-524

- 117 -

Rfrences bibliographiques [Barana et al., 2004] O. Barana, A. Luchetta, G. Manduchi and C. Taliercio, 'Progress in realtime feedback control systems in RFX'. Fusion Engineering and Design, Volume 71, Issues 1-4, June 2004, Pages 35-40 [Bechta et al., 2000] Bechta Dugan J., Sullivan K.J., Coppit D., Developing a low-cost highquality software tool for dynamic fault-tree analysis, IEEE Transactions on Reliability, vol. 49(1), pp. 4959, 2000. [Belhadaoui et al., 2006] H.Belhadaoui, O.Malasse, H.Medromi. Dveloppement dun outil logiciel pour lvaluation du Niveau de scurit de fonctionnement de contrle Relatif a la scurit. (Calcul des paramtre de sret de Fonctionnement des systmes de commande.). MOSIM Syrie, 2006 [Belhadaoui et al., 2007-a] H.Belhadaoui, C.Cassier, O.Malass, J.F. Aubry, Outil daide la conception des systmes mcatroniques. Qualita-Tanger Maroc, Mars 2007. [Belhadaoui et al., 2007-b] H.Belhadaoui; B.Dubois; M.Jallouli; O.Malass; J.F.Aubry; H.Medromi. 'Instrumentation sre de fonctionnement, Une synergie multidisciplinaire'. 4me Colloque Interdisciplinaire en Instrumentation Nancy France. October 2007. [Belhadaoui et al., 2008-a] M.Jalouli, H.Belhadaoui, C.Diou, F.Monteiro, O.Malasse, JF.AUBRY, A.DANDACHE, G.BUCHHEIT, H.MEDROMI. 'Dependability Consequences of Fault-Tolerant Technique Integrated in Stack Processor Emulator using Information Flow Approach'. Design & Technology of Integrated Systems, Tozeur Tunisia, March 2008. [Belhadaoui et al., 2008-b] M.Jalouli, H.BELHADAOUI, C.DIOU, F.MONTEIRO, O.MALASSE, J-F.AUBRY, A.DANDACHE, G.BUCHHEIT, H.MEDROMI. Evaluation of Important Reliability Parameters using VHDL-RTL modelling and Information Flow Approach. ESREL Valencia Spain, September 2008. [Belhadaoui et al., 2009] H.BELHADAUOI, G. BUCHHEIT, O.MALASSE, J-F.AUBRY, H.MEDROMI. Mthode quantitative dEvaluation de la Fiabilit des Systmes Critiques Programms Lamda_Mu16, Avignon, Septembre 2009. [Bergeron et al., 2010] Bergeron S., Imbeau D., Giraud L., Infante Campos C. Scurit des travaux lectriques in Au-del de nos perceptions... une culture de prvention : 32e Congrs de l'Association qubcoise pour l'hygine, la sant et la scurit du travail / AQHSST, (32e 12-14 mai, 2010 : Lvis, Canada), 2010. [Bernard V. 2004] V. Bernard, Evaluation de la sret de fonctionnement des systmes complexes, base sur un modle fonctionnel dynamique : la mthode SAFESADT, Thse de doctorat de lUniversit de Valenciennes et du Hainut Cambresis, dcembre 2004. [Brar et al., 2001] Brar B et al. Systems and software validation, model-checking techniques and tools. Springer; 2001. - 118 -

tel-00601086, version 1 - 16 Jun 2011

Rfrences bibliographiques

[Bier V. 1988] BIER, Vicky, Illusions of Safety, Nuclear Safety- Engineering, Dpt of Industrial Engineering, University of Wisconsin. [Bonda et al., 2000] A. Burns, D. Prasad, A. Bondavalli, F. Di Giandomenico, K. Ramamritham, J. Stankovic and L. Strigini, The meaning and role of value in scheduling flexible real-time systems. Journal of Systems Architecture, Volume 46, Issue 4, January 2000, Pages 305-325 [Bonda et al., 2002] A. Bondavalli, S. Chiaradonna, F. Di Giandomenico and J. Xu, An adaptive approach to achieving hardware and software fault tolerance in a distributed computing environment. Journal of Systems Architecture, Volume 47, Issue 9, March 2002, Pages 763-781 [Bolch et al. 2000] C.Bolchini, R.Montandon, F.Salice and D.Sciuto, Finite State Machine and Data-Path Description. IEEE Transactions on very large scale integration (VLSI) systems, Vol.8, No.1, February 2000 pp. 98-103.

tel-00601086, version 1 - 16 Jun 2011

[Bryant et al., 2008] Rune M. Jensen, Manuela M. Veloso and Randal E. Bryant, State-set branching: Leveraging BDDs for heuristic search. Artificial Intelligence, Volume 172, Issues 2-3, February 2008, Pages 103-139 [Buisson J. 1993] Buisson J., Analysis of switching devices with Bond Graphs , journal of the Franklin Institute, vol. 330, n6, p. 1165-175, 1993] [Burch E.et H-J.Kung, 1999] Evangeline Burch and Hsiang-Jui Kung, Modeling software maintenance requests: A case study. Computer Standards & Interfaces, Volume 21, Issue 2, 15 June 1999, Page 174 [Cabarbaye A. 1998] A.Cabarbaye - Apports, difficults et prospectives dans le domaine de l'valuation quantitative en Sret de Fonctionnement, Qualit Espace, supplment au N33, septembre 1998. [Camargo et al., 2001] J.B. Camargo, E. Canzian, J.R. Almeida, S.M. Paz, B.A. Basseto, Quantitative analysis methodology in safety-critical microprocessor application, Reliability Engineering and Systems Safety 74 (2001) 53- 62. [Carter W.C et Schneider P.R., 1968] W.C., Carter, P.R. Schneider, Design of dynamically checked computers, Proc. 4th Congress IFIP, vol.2, Edinburgh, Scotland, 510 Aug. 1968, pp. 878883. [CEI 9126] Norme CEI 9126. Gnie du logiciel Qualit des produits Partie 1 : Modle de qualit, Genve 2001.

[CEI 61058] Norme CEI 61508. Scurit fonctionnelle des systmes lectriques/lectroniques/lectroniques programmables relatifs la scurit, Genve 2001. [CEI 50 191] International Electro-technical Vocabulary, Chapter 191: Dependability and quality of service. CEI. (1990)

- 119 -

Rfrences bibliographiques [CEI 9126 01] Norme CEI 9126. Gnie du logiciel Qualit des produits Partie 1 : Modle de qualit, Genve 2001. [Chabot et al., 2003] J.-L. Chabot, Y. Dutuit, A. Rauzy & J.-P. Signoret. An engineering approach to optimize system design or spare parts inventory. Risk Decision and Policy, 8:1-11, 2003. [CHARPENTIER P. 2002] CHARPENTIER Philippe, Architecture dautomatisme en scurit des machines : Etudes des conditions de conception lies aux dfaillances de mode commun, Thse de doctorat, Institut National Polytechnique de Loraine (CRAN), octobre 2002, 129p. [Chen et al.,2008] Kun-Yue Chen, Sheng-Hung Wu, Yih-Wen Wang and Chi-Min Shu, Runaway reaction and thermal hazards simulation of cumene hydroperoxide by DSC. Journal of Loss Prevention in the Process Industries, Volume 21, Issue 1, January 2008, Pages 101-109

tel-00601086, version 1 - 16 Jun 2011

[Chillarege et al., 1994] Michael Halliday, Inderpal Bhandari, Jarir Chaar and Ram Chillarege, 'Experiences in transferring a software process improvement methodology to production laboratories'. Journal of Systems and Software, Volume 26, Issue 1, July 1994, Pages 61-68 [Clarke D-W., 2000] D. W. Clarke, Intelligent Instrumentation, Transactions of the Institute of Measurement and Control 22,1 pp. 3-27, 2000. [Colwell R.P. et Lethin R.A., 1996] ROBERT P. COLWELL and RICHARD A LETHIN, Latent design faults in the development of the multiflow TRACE . IEEE Transactions on Reliability, 34(4), 557 (December 1994). Microelectronics and Reliability, Volume 36, Issue 4, April 1996, Page 537 [Dabny et al., 2008] Richard W. Dabney, Letha Etzkorn and Glenn W. Cox, A fault-tolerant approach to test control utilizing dual-redundant processors. Advances in Engineering Software, Volume 39, Issue 5, May 2008, Pages 371-383 [David R et Alla H. 1989] DAVID, R. et ALLA, H. Du grafcet aux rseaux de Petri. Hermes.1989. 500 p. ISBN : 2-86601-195-3. [David R et Alla H. 1997] Alla, H. and David, R. 1998. Continuous and Hybrid Petri Nets. Journal of Circuits, Systems & Computers 8(1): 159-188. 3. [Devooght J. et Smidts C. 1992] Devooght J., Smidts C. Probabilistic reactor dynamics I: The theory of continuous event trees. Nuclear science and engineering, 111, 1992, p. 229 240. [Donlin A. 2004] Donlin A. Transaction level modeling: flows and use models. In: IEEE international conference on hardware/software codesign and system synthesis, September; 2004.

- 120 -

Rfrences bibliographiques [Dubois et al., 2007] Brini A., Boughanem M., Dubois D., Rseaux possibilistes pour un modle de recherche dinformation, , Confrence francophone en Recherche dInformation et Applications, Lyon, 15/03/2006-17/03/2006, Association Francophone de Recherche dInformation et Applications (ARIA), http ://www.irit.fr/ARIA, p. 143-154, mars, 2006. [Dutuit et al., 1997] Dutuit Y., Rauzy A., Signoret J.-P., Thomas P. Dependability modelling and evaluation by using stochastic Petri nets: application to two test cases. Reliability Engineering and System Safety 55, 1997, p. 117-124. [EADS/Thales 2004] EADS/Thales, FIDES et Ingnierie fiabilit en lectronique, Actes de confrence, Lambda Mu 04, 12-19/10/2004. Bourges, France. [EIA 1999] EIA STANDARD, Processes for engineering a system, January 1999, Electronic industries alliance.

[Everett et al., 1998] EVERETT .W, KEENE .S et NIKORA .A, Applying Software Reliability in the 1990s IEEE Transactions on Reliability, September 1998.

tel-00601086, version 1 - 16 Jun 2011

[Fowler et al., 2007] Amit Gadkari, Michele Pfund, Yan Chen and John W. Fowler, Scheduling jobs on parallel machines with setup times and ready times. Computers & Industrial Engineering, In Press, Accepted Manuscript, Available online 4 November 2007 [FIDES, 2004] FIDES (2004). Mthodologie de fiabilit pour les systmes lectroniques. DGA-DM/STTC/CO/477. [Geist et al., 1984] Kishor Trivedi, Joanne Bechta Dugan, Robert Geist and Mark Smotherman, Hybrid reliability modeling of fault-tolerant computer systems. Computers & Electrical Engineering, Volume 11, Issues 2-3, 1984, Pages 87108 [Gergeleit et al., 2005] L.B. Becker, E. Nett, S. Schemmer and M. Gergeleit Robust scheduling in team-robotics Journal of Systems and Software, Volume 77, Issue 1, July 2005, Pages3-16 [German et al., 1995] Reinhard German, Christian Kelling, Armin Zimmermann and Gnter Hommel, 'TimeNET: a toolkit for evaluating non-Markovian stochastic Petri nets'. Performance Evaluation, Volume 24, Issues 1-2, November 1995, Pages 69-87 [Givargis T. et Vahid F., 2002] Vahid F, Givargis T. Embedded system design: a unified hardware/software introduction. Wiley; 2002. [Goldenfeld et al., 2006] Akio Wakabayashi, Simon Baron-Cohen, Sally Wheelwright, Nigel Goldenfeld, Joe Delaney, Debra Fine, Richard Smith and Leonora Weil, Development of short forms of the Empathy Quotient (EQ-Short) and the Systemizing Quotient (SQ-Short). Personality and Individual Differences, Volume 41, Issue 5, October 2006, Pages 929-940

- 121 -

Rfrences bibliographiques [Gorse et al., 2004] Gorse N, Belanger P, Aboulhamid EM, and Savaria Y, Mixing linguistic and formal techniques for high-level requirements. engineering. In: IEEE international conference on microelectronics, December; 2004. [Hami et al.,2005] Hamidi K., Malass O., Aubry J-F., Coupling of information flowregation method and dynamical model for a more accurate evaluation of reliability, ESREL, Gansk, 2005. [Harel et al., 2002] David Harel, Hagi Lachover, Amnon Naamad, Amir Pnueli, Michal Politi, Rivi Sherman, Aharon Shtull-Trauring and Mark Trakhtenbrot, Statemate: A Working Environment for the Development of Complex Reactive Systems. Readings in Hardware/Software Co-Design, 2002, Pages 135-146 [Henley E.J.K. 1992] Henley, E.J, K., 1992 Probabilistic Risk Assessment, Reliability Engineering, Design, and Analysis. IEEE PRESS, Piscataway, New Jersey. [Houtermans M.et Apostolakis G., 2002] M. Houtermans, G. Apostolakis, The dynamic flowgraph methodology as a safety analysis tool: programmable electronic system design and verification, Safety Science 40 (2002) 813-833. [IEC61508 99] IEC 61508, 1999 Functional Safety of Electrical/ Electronic/ Programmabel Electronic Safety-Related Systems, Part 1-7. International Electrotechnical Committee. [ITRS 2003] International Technology Roadmap for Semiconductors Design; 2003. [Jallou et al., 2007] M. Jallouli, C. Diou, F. Monteiro and A. Dandache Stack processor architecture and development methods suitable for dependable applications, in Proc. 3rd International Workshop on Reconfigurable Communication Centric System-On-Chips (ReCoSoC07), June 2007. [Jing et al., 2005] Jing-An Li, Yue Wu, King Keung, Ke Liu, Reliability estimation and prediction of multi-state components and coherent systems, Reliability Engineering and System Safety 88 (2005) 93-98. [Kanawati et al., 1995] Roland Baiter, Slim Ben Atallah and Rushed Kanawati, Architecture for synchronous groupware application development. Advances in Human Factors/Ergonomics, Volume 20, Part 1, 1995, Pages 371-376 [Kanoun et al., 1996] Nicolae Fota, Mohamed Kaniche and Karama Kanoun, Dependability evaluation of an air traffic control computing system. Performance Evaluation, Volume 35, Issues 3-4, May 1999, Pages 253-273 [Karacal S. 1998] S. Cem Karacal, A novel approach to simulation modeling. Computers & Industrial Engineering, Volume 34, Issue 3, July 1998, Pages 573-587 [Khobare et al., 1998] S. K. Khobare, S. V. Shrikhande, Umesh Chandra and G. Govindarajan, 'Reliability analysis of microcomputer circuit modules and computer based control systems important to safety of nuclear power plants'. Reliability

tel-00601086, version 1 - 16 Jun 2011

- 122 -

Rfrences bibliographiques Engineering & System Safety, Volume 59, Issue 2, February 1998, Pages 253258 [Kim K. et T. Lawrence 1992] KH (Kane) Kim and Thomas F Lawrence, 'Adaptive faulttolerance in complex real-time distributed computer system applications'. Computer Communications, Volume 15, Issue 4, May 1992, Pages 243-251 [Kropf T. 1999] Kropf T. Introduction to formal hardware validation. Springer Verlag; 1999. [Laprie J.C.,1995] Laprie, J. C. (1995). Dependable computing : concepts, limits, challenges. In 25th International Symposium on Fault-Tolerant Computing (FTCS-25) Special Issue, pages 4254, Pasadena - USA. [Laprie J.C.,2004] J.-C.Laprie, Sret de fonctionnement informatique : concepts, dfis, directions, ACI Scurit et Informatique - Toulouse, 15-17 novembre 2004. [Laprie J.C.,2002] J.C.Laprie, M.Kaniche and J.P.Blanquart, A framework for dependability engineering of critical computing systems Safety Science, Volume 40, Issue 9, December 2002, Pages 731-752. [Laulheret R. et Cabarbaye A. 2005] Cabarbaye A., Laulheret R. Evaluation de la sret de fonctionnement des systmes dynamiques par modlisation rcursive. 6me Congrs International pluridisciplinaire, qualit et sret de fonctionnement, Qualita 2005, Bordeaux, 2005. [Lei et al., 2007] Z.Lei, H.Yinhe, L.Huawei, L.Xiaowei, Fault Tolerance Mechanism in Chip Many-Core Processors, Tsinghua Science and Technology, ISSN 1007-0214 30/49, vol. 12, No. S1, July 2007 pp.169-174. [Liu S.et Wang H., 2007] Shaoying Liu and Hao Wang, An automated approach to specification animation for validation. Journal of Systems and Software, Volume 80, Issue 8, August 2007, Pages 1271-1285. [Lyonnet P., 2006] Lyonnet, P. (2006). Ingnierie de la fiabilit. Lavoisier. [Malhotra M. et K. S. Trivedi, 1994] M. Malhotra, K. S. Trivedi. Power-hierarchy of dependability-model types. IEEE Transactions on Reliability, vol 43. pp, 493502. 1994. [Medjouji M . 2006] M. Medjouji, Contribution lanalyse des systmes pilots par calculateurs : Extraction de scnarios redouts et vrification de contraintes temporelles. Thse de lUniversit Paul Sabatier de Toulouse. Mars 2006. [Mercier et al., 2006] David Mercier, Benjamin Quost and Thierry Denux, Refined modeling of sensor reliability in the belief function framework using contextual discounting. Information Fusion, In Press, Corrected Proof, Available online 12 October 2006 [Mihalache et al., 2005] Mihalache, A., Guerin, F., Barreau, M., Todoskoff, A., et Dumon,

tel-00601086, version 1 - 16 Jun 2011

- 123 -

Rfrences bibliographiques B. (2005). Reliability estimation of embedded mechatronic systems. In IEEE The 6International Workshop on Research and Education in Mechatronics REM 2005, pages 208213, Annecy, France. ISBN2-9516453-6-8. [MIL-HDBK-338B 1998] MIL-HDBK-338B, MILITARY HANDBOOK: ELECTRONIC RELIABILITY HANDBOOK (1 OCT 1998). [MIL-HDBK-217F 1991] MIL-HDBK-217F, Reliability prediction of electronic equipment, Department of Defense/Reliability Analysis Center and Rome Laboratory at Griffiss AFB, NY, USA, December 1991. [MIL-HDBK 95] Department of Defense, Washington DC, MIL-HDBK-217F "Reliability prediction of electronic equipment (+ notice 1and 2) (dernire rvision en 1995). [Molloy M. K. 1981] M. K. Molloy, On the integration of delay and throughput measures in distributed processing models. Th. 1981. Universit de Californie, Los Angeles, EU.

tel-00601086, version 1 - 16 Jun 2011

[Monstand et al., 2006] Myrto Konstandinidou, Zoe Nivolianitou, Chris Kiranoudis and Nikolaos Markatos, A fuzzy modeling application of CREAM methodology for human reliability analysis. Reliability Engineering & System Safety, Volume 91, Issue 6, June 2006, Pages 706-716 [Nelli et al., 2008] Alberto Landi, Alberto Mazzoldi, Chiara Andreoni, Matteo Bianchi, Andrea Cavallini, Marco Laurino, Leonardo Ricotti, Rodolfo Iuliano, Barbara Matteoli and Luca Ceccherini-Nelli, Modelling and control of HIV dynamics. Computer Methods and Programs in Biomedicine, Volume 89, Issue 2, February 2008, Pages 162-168 [NF 60770-3] AFNOR, NF EN 60770-3 Transmetteurs utiliss dans les systmes de conduite des processus industriels - Partie 3 : Mthodes pour l'valuation des performances des transmetteurs intelligents. Norme AFNOR, 2006. [Patton et al., 2006] R.J. Patton, C. Kambhampati, A. Casavola and G. Franz, 'Fault-tolerance as a key Requirement for the Control of Modern Systems'. Fault Detection, Supervision and Safety of Technical Processes 2006, 2007, Pages 13-22 [Perez et al., 2007] Prez Castaneda G. A., Aubry J-F., Brinzei N. Modlisation et simulation dun systme dynamique hybride pour calculer sa fiabilit dynamique en utilisant le toolbox Scicos de Scilab. 7me dition du Congrs International pluridisciplinaire Qualita 2007 Tanger (Maroc), p. 311 318, 2007. [Poledna S. 1995-b] S. Poledna. Tolerating sensor timing faults in highly responsive hard realtime systems. IEEE Transaction on computers. Vol (44), No 2, p:181-191, February (1995) [Qin X. et Jiang H., 2005] Xiao Qin and Hong Jiang, Estimation of software reliability with execution time model using the pattern mapping technique of artificial neural

- 124 -

Rfrences bibliographiques network. Computers & Operations Research, Volume 32, Issue 1, January 2005, Pages 187-199 Nidhi Gupta and Manu Pratap Singh [Robert C. 1992] Robert C. (1992), Lanalyse statistique bayesienne, Economica, Paris. [Rony et al., 2008] R.Ghostine, J.M. Thiriet, J.F. Aubry, M. Robert. A framework for the reliability evaluation of networked control systems. To appear in the 17th IFAC World Congress. July 6-11, 2008, Seoul, Korea. [Rook 1990] Rook, Software Reliability Handbook. Springer. P. (1990). [Rumbaugh et al., 1991] J. Rumbaugh, M. Blaha, W. Premerlani, F. Eddy, Object Oriented Modeling and Design, Prentice Hall International, 1991. [Sadou et al., 2005] Sadou N, H Demmou, J. C Pascal , R Valette. Object oriented approach for deriving feared scenarios in hybrid system. 2005 European Simulation and Modelling Conference, Porto (Portugal), 24-26 October 2005, pp.572-578.

tel-00601086, version 1 - 16 Jun 2011

[Sahraoui A.E.K.,2006] A.E.K.SAHRAOUI "Processes for engineering a system. An introduction to processes, methods and tools" 2nd IEEE International Conference on Information & Communication Technologies: from Theory to Applications (ICTTA'06), Damas (Syrie), 24-28 Avril 2006, 6p. [Schoenig R. et Aubry J-F. 2006] Raphal Schoenig, Jean-Franois Aubry, Thierry Cambois and Tony Hutinet, 'An aggregation method of Markov graphs for the reliability analysis of hybrid systems'. Reliability Engineering & System Safety, Volume 91, Issue 2, February 2006, Pages 137-148 [Seung J.R. et Kosuke I., 2003] Seung J. Rhee, Kosuke Ishii. "Using cost based FMEA to enhance reliability and serviceability". Advanced Engineering Informatics 17 (2003) 179188 [SN29500 2005] Siemens SN29500 Siemens internal Data Base for failure rate evaluation of electronically components, dernire actualisation mai 2005. [Sosnowski J. 2006] Janusz Sosnowski, Software-based self-testing of microprocessors. Journal of Systems Architecture, Volume 52, Issue 5, May 2006, Pages 257271. [Steininger A., 2000]Andreas Steininger, 'Testing and built-in self-test A survey'Journal of Systems Architecture, Volume 46, Issue 9, July 2000, Pages 721-747 [Sutherland et al., 2003] Sutherland S, Davidmann D, Flake P, SystemVerilog for design: a guide to using SystemVerilog for hardware design and modeling. Kluwer; 2003. [Vall .F et Vernos .D, 2000] VALLE .F et VERNOS .D, Le test et la fiabilit du logiciel sont-ils antinomiques ?. 12me Colloque national de Fiabilit et Maintenabilit, Montpellier, 2000.

- 125 -

Rfrences bibliographiques [Vall .F et Vernos .D, 2002] VALLE .F et VERNOS .D, Comment utiliser la fiabilit du logiciel comme critre darrt du test. 13e Colloque national de Fiabilit et Maintenabilit, Lyon, 2002. [Vesely et al., 1981] W.E. Vesely, F.F. Goldberg, N.H. Roberts, D.F.Haasl, Fault Tree Handbook, Systems and Reliability Research Office of Nuclear Regulatory Research U.S. Nuclear Regulatory Commission Washington, 1981. [Villemeur A., 1997] VILLEMEUR; Alain, Sret de fonctionnement des systmes industriels , dition Eyrolles, 03/1997, ISBN 2-212-01615-8, disponibilit http://www.eyrolles.com/ [Wang Y., 2004] Y. Wang, Development of a computer-aided fault tree synthesis methodology for quantitative risk analysis in the chemical process industry. PhD thesis, Texas A & M University, 2004. [Wayne W. 2007] Wayne Wolf, Hardware and Software Co-design. High-Performance Embedded Computing, 2007, Pages 383-432.

tel-00601086, version 1 - 16 Jun 2011

[Weber et al., 2007] C. Simon, P. Weber et E. Levrat, Bayesian Networks and Evidence Theory to Model Complex Systems Reliability, Journal of Computers, 2, 33-43, 2007. [Wen Y.K. 2001] Y.K. Wen, "Reliability and performance-based design". Structural Safety 23 (2001) 407428 [Whitesides et al., 2007] Xingyu Jiang, Shuichi Takayama, Robert G. Chapman, Ravi S. Kane and George M. Whitesides, Micro-scale patterning of cells and their environment. Principles of Tissue Engineering (Thir Edition), 2007, Pages 265278 [Wirk N. 2003] N.Wirk, Hardware/Software co-design then and now, Information Processing Letters 88 (2003) 83-87. [Wu Y-F.2007] Yun-Fu Wu, Correlated sampling techniques used in Monte Carlo simulation for risk assessment. International Journal of Pressure Vessels and Piping, In Press, Corrected Proof, Available online 13 November 2007 [Yalamanchili S., 2001] Yalamanchili S. Introductory VHDL, from simulation to synthesis. Prentice Hall; 2001. [Zhan J. et G. Xiong 2006] Jinyu Zhan and Guangze Xiong, Optimal hardware/software cosynthesis for core-based SoC designs. Journal of Systems Engineering Electronics, Volume 17, Issue 2, June 2006, Pages 402-409

- 126 -

Annexe A

Acronymes
AMDEC : Analyse des Modes de Dfaillance, de leurs Effets et de leur Criticit ANSI: (American National Standards Institute) APD : Analyse prliminaire de dangers API : Automates Programmables Industriels APR : Analyse Prliminaire de Risques BPCS : (Base Process Control System) systme de commande de processus de base CD : couverture de diagnostic CIM : (Computer Integrated Manufacturing), fabrication intgre sous le contrle de linformatique CEI : Commission Electrotechnique Internationale CRC : (Cyclic Redundancy Check), Contrle de Redondance Cyclique E/E/PE : systmes lectriques, lectroniques et programmables E/E/EP EN: Norme Europenne EUC : (Equipment Under Control), FPL : (FPL, Fixed program language), langage de programme fig ISA: (Instrumentation, Systems and Automation Society) ISO : (International Standardardisation Organization), Organisme international de normalisation MDT : (Mean Down Time), dure moyenne dindisponibilit, MTBF : (Mean Time Between Failures), ou dure moyenne entre deux dfaillances successives MTTF : (Mean Time To Failure), dure moyenne de bon fonctionnement avant la premire dfaillance MTTR : (Mean Time To Repaire), Dure moyenne de rparation NCS, (Networked Control System), Systmes commands par rseau, NF : Norme franaise OMT : (Object Modeling Technique) technique oriente objet OSI : (Open Systems Interconnection) PES : (Programmable Electronic System), systme lectronique programmable PFD : (Probability of Failure on Demand), probabilit de dfaillance la demande PFDavg : (Average Probability of Failure on Demand), moyenne de la probabilit de dfaillance la demande PFH : (Probability of a dangerous Failure per Hour), probabilit de dfaillance dangereuse par heure PFS : (Probability of Failure to Safe), probabilit de dfaillances en scurit, RdP : Rseaux de Petri RFF : (Risk Reduction Factor), facteur de rduction de risque, SADT : (Structured Analysis and Design Technique) ou Analyse Structure et Technique de Conception SAID : Systmes dAutomatisation Intelligence Distribue SAP : Systme Automatis de Production SIF : (Safety Instrumented Function), fonction instrumente de scurit SIL : (Safety Integrity Level), niveaux dintgrit de scurit SIS : Systmes Instruments de Scurit - 127 -

tel-00601086, version 1 - 16 Jun 2011

Annexe A SISID : (Systmes Instruments de Scurit Intelligence Distribue) SFF : (Safe Failure Fraction), taux des dfaillances en scurit SNCC : Systmes Numriques de Contrle Commande SRS : (Safety related systems) systmes relatifs la scurit TOR : Tout Ou Rien (capteurs) USOM : (USer Operating Mode) Accident : vnement rsultant dune drive de linstallation et se traduisant par des dommages, cest dire des blessures physiques ou atteintes la sant affectant des personnes soit directement soit indirectement comme consquence un dgt caus aux biens ou lenvironnement [CEI1050] [Situation] accidentogne : (ou situation dangereuse (hazard)): situation potentiellement dangereuse car pouvant entraner un accident, en absence de la mise en uvre effective dactions permettant son vitement. Accessibilit : proprit pour un graphe orient, correspondant lexistence dau moins un chemin, cest dire une squence de transition, permettant le passage dun tat initial fix un tat but. Ltat but est alors dit accessible . Activation derreur matrielle : sollicitation dune ressource matrielle sous un mode pour lequel ltat derreur de la ressource induit sa dfaillance Activation derreur environnementale : perturbation lors de sa transmission ou de son stockage dun signal du fait de contraintes environnementales (EMI, temprature). Agrgation dtat : mthode de simplification dun modle consistant fusionner plusieurs tats, dont une proprit est juge quivalente. Cette opration aboutit la rduction de la complexit du modle de dpart (nombre dtat plus faible) et doit permettre destimer lvolution des nouveaux tats rsultant de cette opration. Alphabet : ensemble de caractre (ou de lettres) permettant de gnrer les mots dun ensemble de langages. Amont (respect. aval) : se dit dune entit sous- fonctionnelle dont le signal de sortie (resp. dentre) peut tre utilis par (resp. provient de) lentit sous- fonctionnelle considre. Approche dysfonctionnelle : tude des consquences de dfaillances locales sur les lois fonctionnelles dun systme. Architecture distribue : Organisation dcentralise des ressources matrielles et logicielles d'une architecture, induisant la rpartition des processus de traitement dinformation et de dcision entre des ressources matrielles distantes. Architecture matrielle : dcomposition de larchitecture suivant les ressources matrielles permettant de dtailler les connections physiques existantes entre celles-ci, ainsi que leurs composants (lectroniques, lectriques, mcaniques). Architecture fonctionnelle : dcomposition sous- fonctionnelle dune architecture.

tel-00601086, version 1 - 16 Jun 2011

- 128 -

Annexe A Architecture logicielle : spcification abstraite consistant dcrire un ensemble de fonctions en dfinissant leurs oprations, leurs sources dinformations, leurs interfaces et leurs interactions [Hayes94] Automate dtat fini : dfinition usuelle (alphabet, ensemble fini dtat, fonction de transition, tat initial, ensemble marqu) cf. chapitre 3 (notions de base) Automate hybride dterministe : Un automate hybride est (Hlias01) un 5-uplet {S, X, u, I, E, F} avec : S : un ensemble fini de sommets, X : un espace dtat continu de dimension finie, u un vecteur dtats voluant sur lensemble S * X, A est lensemble des transitions (auxquelles sont associes une condition de passage portant sur u, appele Gard, et une opration de transformation des valeurs de u, appele saut

tel-00601086, version 1 - 16 Jun 2011

I une fonction qui tout sommet associe lensemble des variables continues invariantes E un ensemble dvnement li aux transitions, F un ensemble dapplication qui associe chaque sommet de lautomate une rgle dvolution des composants continus de u Un automate hybride est dit dterministe si lvolution du vecteur dtat u lest. Entit sous fonctionnelle : procd de traitement de signal utilisant un ensemble fini de signaux dentres et devant dlivrer un signal de sortie unique, il est bas sur lapplication dune rgle dutilisation de ressources matrielles sur lensemble des signaux dentres. Cette rgle est choisie sur un ensemble fini de rgles dutilisation possibles des ressources matrielles, en regard de ltat des signaux dentre traiter Boucle de scurit : architecture oprationnelle (matrielle + logicielle) visant transformer un ensemble dinformation issu de lobservation de ltat de demande au niveau des interfaces dacquisition (capteurs) en une action adquate (activation des moyens de raction ou absence daction) suivant le cahier des charges de la fonction de scurit. Capteurs (ou actionneurs) intelligents (smart sensor/actuator) : se dit dun capteur (ou actionneur) possdant intrinsquement des capacits De test permettant la dtection de fautes internes De dcision, permettant son adaptation fonctionnelle Et de communication, permettant la transmission ou la rception de donnes de diagnostic avec dautres modules distants. Chemin : squence de transition, quivalent la squence des vnements correspondant chacune de ces transitions (tiquettes) .

- 129 -

Annexe A Concatnation : oprateur de manipulation de mots. Si u = u1 un et v= u = v1 vp (avec u1,, un et v1,,vp lettre dun alphabet), alors la concatnation de u et v est le mot u.v = u1 un v1 vp. Cet oprateur est non commutatif et possde comme lment neutre le caractre e. Conflit : prsence de propositions explicite et directement contradictoire Combinaisons derreurs matrielles minimales : combinaison derreurs matrielles rvles sur une priode de rfrence T, se traduisant par une dfaillance du systme dans un mode de dfaillance fix. Consommation dune information : utilisation et destruction dune information par une sousentit fonctionnelle, visant la dlivrance dun signal de sortie. Contrainte environnementale (stress) : facteurs pouvant dgrader (stress environnementaux) ou restaurer (rparation) ltat dune ressource matrielle, ou contribuer loccurrence dune faute environnementale.

tel-00601086, version 1 - 16 Jun 2011

Contraintes environnementales partages : exposition de plusieurs parties du systme (ressources) une contrainte environnementale. Cette contrainte est alors partage . (Evnements) contributeurs : vnement influenant les mcanismes de propagation dun accident (et donc limpact associ celui-ci), mais non suffisants eux seuls son occurrence. COTS : de langlais component on the shell , ressource matrielle ou logicielle existante et pouvant tre utilise dans une architecture, fournie par un tierce. Ces composants imposent des justifications en termes de fonctionnement, de qualit et de tests. Coupes minimales : plus petite combinaison dentits entranant lchec de la mission du systme (elle ne contient aucune autre coupe). Coupure (coupe-circuit = de-energizing process) : procdure visant la mise en position sre du systme par lintermdiaire de relais de coupure sur le circuit de contrle des actionneurs du systme. Cot dimplantation : cot totale de mise en uvre dune modification (dveloppement, test et matriel). Cot de maintenance : cot induits par les oprations de maintenance (cot humain + cot dinspection + cot de remplacement) portant sur un ensemble fini non vide de ressources matrielles. Criticit : produit de la frquence estime dun accident et de son impact. Dcision : Capacit de faire des choix en fonction dinformations disponibles Dclenchement intempestif dune fonction de scurit : (spurious trip of a safety- related function) activation des moyens de raction dune fonction ddie scurit en labsence de demande. Cette dfaillance peut se traduire par une perte dexploitation, une baisse de la

- 130 -

Annexe A qualit des missions de linstallation et/ou une mise en danger de linstallation et de son environnement. Dfaillance : cessation de laptitude dune ressource accomplir une fonction requise (CEI61508-4) Dfaillance systmatique : dfaillance lie de manire certaine une cause, qui ne peut tre limine que par modification de la conception, du procd de fabrication, du mode demploi, de la documentation ou dautres facteurs appropris. (IEC61508) Dfaillance de cause commune (CCF) : dfaillance du systme dtude d plusieurs vnements de dfaillances simultanes, rsultat derreurs dont lapparition simultane peut tre attribue une cause unique (partage). Dlivrance dune information : mission par une sous- entit fonctionnelle dun signal de sortie.

tel-00601086, version 1 - 16 Jun 2011

Disponibilit : capacit dun systme ou dune entit de fournir un service correct quand celui-ci est demand (notion instantane). Dfectueux (composant matriel) : tat dun composant matriel le rendant inapte remplir correctement lensemble de ses spcifications fonctionnelles. Donnes : lments bruts, de nature mesurable, nayant pas t interprt Dure de test : nombre moyen de cycle (de largeur T) permettant la ralisation complte dun test (balayage de son spectre de dtection). EMI : de langlais, interfrences lectromagntiques, type de contraintes environnementales pouvant affecter ltat dun signal transmis ou stock. On parle en gnral dEMC (compatibilit lectromagntique) quand on considre un support de transmission ou de stockage dinformation est robuste vis--vis dun niveau dinterfrence magntique estime au regard des interfrences auxquels il pourrait tre soumis du fait de son environnement architectural (matrielle) ou de sources externes. Environnement : ensemble extrieur au systme dtude, incluant linstallation industrielle et les contraintes quelle peut faire porter sur lvolution temporelles des contraintes environnementales. Erreur : Ecart ou discordance entre une valeur ou une condition calcule, observe ou mesure, et la valeur vraie, prescrite ou thoriquement correcte. Erreur de conception : Ecart entre le cahier des charges fonctionnel ou sous- fonctionnel et le fonctionnement de larchitecture propose en labsence de dfaillances matrielles. Erreur humaine : Ecart entre les actions menes et les actions prescrites (par exemple dans les tches de maintenance).

- 131 -

Annexe A Information errone : Existence dun cart entre ltat dune information et ltat attendu de celle-ci sous des hypothses de bon fonctionnement du systme, en regard de ltat de demande (prsence/absence) observable ayant induit sa dlivrance. Erreur matrielle : Ecart entre les rgles de fonctionnement dune ressource matrielle et celles attendues, dans le cas o aucun de ses composant nest dfectueux. On peut classer les erreurs matrielles suivant les modes de dfaillances par lesquelles elles se manifestent. Erreur environnementale : Consquence dune faute environnementale (situation de stress) induisant lors de lchange ou le stockage la gnration dune erreur sur un signal et la perturbation de linformation lui tant rattache. Erreur de type commande : Erreur dont lexistence disparat avec sa cause. Erreur matrielle dordre 1 : Erreur matrielle suffisante lapparition dun mode de dfaillance du systme dtude.

tel-00601086, version 1 - 16 Jun 2011

Etat derreur : prsence ou absence dune erreur (matrielle, environnementale) sur un cycle T donn. Etat puit : tat dun automate dtat ne possdant aucun arc sortant. Etude prliminaire de danger (PHA : preliminary hazard analysis) : Approche visant identifier les situations potentielles daccidents et estimer leur probabilit doccurrence et leurs consquences en terme dimpact pour une installation existante Evnement initiateur : vnements permettant de figurer la rception par une entit sous fonctionnelle dun ou plusieurs signaux dentres. Evnement certain : vnement dont la probabilit est gale 1. (Evnements) mitigatifs : vnements dont loccurrence tendance rduire la vitesse du processus de destruction des biens ou des personnes, voir larrter, et rduit de ce fait limpact dun accident. Evnement chec de test : vnement permettant de figurer, sous lhypothse dune ralisation normale dun test en ligne la non- dtection par celui-ci, sur un cycle T du systme dtude, dune combinaison derreurs appartenant pourtant son spectre de dtection. Faute : toute cause adjuge ou hypothtique (vnement, circonstance) de la prsence dune erreur. Faute environnemental : passage un niveau de stress environnemental (interfrences lectromagntiques, temprature) induisant laltration dun signal. Fiabilit : Aptitude d'une entit accomplir une fonction requise, dans des conditions donnes, pendant un intervalle de temps donn. Fiabilit dynamique : discipline permettant de prendre en compte linteraction entre linstallation, en y incluant le systme dtude, et leur environnement et de simuler lvolution

- 132 -

Annexe A de celui-ci par des modles (automates hybrides, rseau de Ptri) dont les conditions de transition sont simules par tirs probabilistes, suivant des profils de raction de linstallation. Flux lmentaire dinformation : transfert dune information de sortie dune sous- entit fonctionnelle lentre de la sous- entit fonctionnelle suivante. Flux dinformation : toute squence de sous- entit fonctionnelles pouvant tre relies par des flux dinformation lmentaire (chemin). (Approche) FMDS (RAMS en anglais) : acronyme correspondant au sigle fiabilit, disponibilit, maintenabilit, scurit. Approche visant mettre en vidence les liens entre ces attributs et dintgrer une approche dallocation dobjectifs en terme de performances fonctionnelles fiabilistes, bases sur lestimation des consquences des modes dinteractions fonctionnels et une valuation de ceux-ci en fonctions des choix architecturaux (matriels, fonctionnels) et les politiques de maintenance prconises. FTA : arbre de dfaillance (fault tree analysis).

tel-00601086, version 1 - 16 Jun 2011

FME(C)A(D) : failure mode and effect analysis. Analyse de consquences par exploration des dfaillances locales du systme, dtermination de leur consquence directe (en absence dautres dfaillances). Elle peut tre complte par une tude exploratoire des moyens de dtections attaches aux erreurs en tant la cause (ajout de la lettre D) et dune analyse de criticit de ces consquences (ajout de la lettre D). Fonction temps relle : fonction devant satisfaire des contraintes de temps de rponse explicites et bornes, le non-respect de ces bornes entranant lapparition de dgradations de performances et de mauvais fonctionnement [Pal98]. Hirarchisation : ordonnancement suivant une relation dordre partielle ou complte. HAZOP : Analyse de risque et doprabilit. Analyse exploratoire base sur lidentification dvnements potentiellement dangereux, la recherche de toutes les causes de ces vnements, lanalyse des consquences lies ces drives. Ltape didentification est base sur une approche de type mots-clefs , comme le montre des travaux existants sur lutilisation dune telle mthode sur un process chimique et aronautique (Universit de York). (Processus Markovien) homogne : processus de Markov dont les taux de transitions sont supposs comme constants au cours du temps. Horloge de contrle (Watch Dog) : dispositif permettant le contrle de la bonne rception dune information sous une contrainte de temps, dite dacceptation, ou de la bonne ralisation dun ensemble de fonction. Il permet en cas de non- validation de cette condition, de gnrer un signal de diagnostic pouvant tre utilis par des fonctions de recouvrement fonctionnelles ou daffectation par dfaut de variables. Indpendance (terminologie probabiliste) : deux vnements sont dits indpendants si la probabilit de la combinaison de ces deux vnements est diffrente de celles du produit de ces vnements pris sparment.

- 133 -

Annexe A Impact : consquences en termes de dgts matriel, humain et/ou environnementaux directe, indirecte ou diffre dun accident, mesur en fonction dune chelle de gravit pralablement choisie comme rfrentiel. Information : signal auquel a t adjointe une signification. Initiation derreur dinformation : dlivrance par une entit sous- fonctionnelle dune information errone alors que lensemble de ses informations dentres ne le sont pas. Inhibition derreur dinformation : dlivrance par une entit sous- fonctionnelle dune information non errone alors quau moins une de ses informations dentre est errone. Intgrit : proprit dabsence daltration pour une entit. Langages marqus : langage constitu de lensemble des squences dvnements (reprsents par leur caractre) permettant le passage de ltat initial dun automate dtat fini au moins un de ses tats marqus.

tel-00601086, version 1 - 16 Jun 2011

(Erreur) latente : erreur non active sur un cycle T du systme dtude. Listes caractristiques : combinaisons derreurs dont lexistence est ncessaire et suffisante lapparition dun mode de dfaillance du systme dtude et dont lactivation est certaine au vue des choix architecturaux de celui-ci. La liste caractristique pour un dclenchement intempestif de la fonction ddie scurit. Ld liste caractristique pour une dfaillance sous demande de la fonction ddie scurit. Logique linaire : Logique issue de la logique intuitionniste, base sur les concepts de prsence ET de validit dune proposition, et se distinguant de ce fait de la logique classique, attaches des conditions de vrit. Elle peut tre vue comme un raffinement et une symtrisassions de la logique intuitionniste. Une dfinition prcise de sa smantique de base est donne par [Girard87]. Un nonc sy interprte comme lensemble de ses dmonstrations, et une implication A => B est vue comme lensemble des fonctions qui transforment les dmonstrations de A en dmonstrations de B.. Loi exponentielle : loi de dgradation pour laquelle la fonction de survie dun composant un profil exponentiel par rapport au temps. Loi de Weibull : loi de dgradation, souvent utilise pour les composants mcaniques, base sur trois paramtres estims et permettant de prendre en compte lusure du composant et donc leffet de laccumulation de contrainte dans celui-ci au cours du temps (quation donne au chapitre 3). Maintenabilit : Aptitude dune entit, dans un contexte dutilisation fix, tre maintenue ou rtablie dans un tat dans lequel elle peut remplir une fonction requise, sous des conditions de respect des procdures et moyens prescrits cet effet. Matrise des risques : dmarche visant destimer le niveau de risque de son installation, prendre les mesures qui simposent pour les dtecter au plus vite, dclencher des actions dvitement de laccident ou de rduction de son impact, ayant pour but de garantir un niveau de risque tolrable une installation.

- 134 -

Annexe A Graphes de Markov : processus markovien bas sur une chelle de temps continu. Chane de Markov : processus markovien bas sur une chelle de temps discrte. Mise en danger : apparition dune situation accidentogne vu comme la consquence directe de loccurrence dun ou plusieurs vnements gnrs par linstallation, le systme dtude ou une interaction de ces deux systmes. Mise en position sre : (abus de langage, traduction anglo-saxonne de safe state ) activation force des moyens de raction du systme dtude visant un retour une situation non dangereuse de linstallation suite la dtection dune dfaillance de celui-ci. Mode de dfaillance : ensemble des effets, dans un contexte de sollicitation fixe, par lequel une dfaillance est observe [Zingelstein85]. Mode de dfaillance latent : mode de fonctionnement du systme se traduisant par un service correct de celui-ci qui induirait suite loccurrence dune dfaillance locale supplmentaire une dfaillance du systme alors que cet vnement nest pas une condition suffisante dapparition dune dfaillance du systme. Mode de fonctionnement dgrad du systme dtude : mode de fonctionnement incomplet du systme, qui en prsence de demande ne permet pas dviter un accident mais en attnue les consquences (se traduisant donc par une rduction de son impact) Opration de rduction de langage : opration visant rduire la taille dun langage (par lexclusion de mots permettant dviter les squences conflictuelles) ou de ses constituants (par suppression de caractres inutiles pour le but recherch) Opration de croisement de langage : opration sur les mots de deux langages, introduit dans le chapitre 3 permettant de prendre en compte lutilisation par une entit dcisionnelle (bloc IP) dinformations soumise des sources ou des influences non indpendantes (partage de ressources ventuelles (de nature informationnelle ou matrielle)) Pas ditration dune chane de Markov : largeur du pas dincrmentation temporelle pour une chane de Markov Panne (en anglais fault) : Etat d'un composant matriel (lectrique, lectronique ou mcanique) le rendant inapte accomplir sa mission. Partage de ressource matrielle : utilisation par deux entits sous- fonctionnelles distinctes dune mme ressource matrielle pendant un intervalle de rfrence T. Partage dinformation : utilisation par deux entits sous- fonctionnelles distinctes dune mme information pendant un intervalle de rfrence T. Perturbation dinformation passage dune information dun tat correct un tat erron ou dun tat erron un tat correct.

tel-00601086, version 1 - 16 Jun 2011

- 135 -

Annexe A Phase de jeunesse dun composant : phase prcdent limplantation durant laquelle un composant matriel est amlior, elle vise rduire son taux de panne lors de sa dure dutilisation future, par une matrise des politiques de production et de test de celui-ci. Propagation derreurs dinformation : transmission dune information errone le long dun flux dinformation. Propagation de langage : utilisation dun langage gnr par une entit sous- fonctionnelle comme vnement initiateur de lautomate dtat fini reprsentant lentit fonctionnelle suivante (avale le long du flux dinformation). Qualit de service : l'ensemble de ses caractristiques justifiant de laptitude dun systme durant sa dure dutilisation satisfaire la fois les besoins exprims (i.e. capacit dvitement daccident pour notre systme dtude) et implicites (i.e. non perturbation des missions du systme en absence de situation dangereuse pour notre systme dtude) ISO84102.

tel-00601086, version 1 - 16 Jun 2011

RBD (diagramme de fiabilit) : Modle dune entit ou dun systme par une approche diagramme bloc de type tout ou rien . Qui se base sur lindpendance des modes de dfaillances attribues chaque bloc, et vise valuer la fiabilit de lentit reprsente par des oprations simples dadditions et de multiplications des probabilits de dfaillances de chaque bloc (supposes constantes pour une approche RBD classique). RdPs = GSPN : extension des rseaux de Ptri classiques, rseau de Ptri dont les transitions sont conditionns par des vnements dterministes et alatoires. Rparation : action visant la remise en tat dune ressource matrielle ou logicielle (remplacement ventuel de tout ou partie de la ressource). On dfinit le MTTR (temps moyen de rparation), comme lesprance mathmatique de la somme de la dure dinspection ncessaire au choix de cette action et de la dure de mise en uvre effective. Redondance : doublement dune voie de traitement dinformation dans le but affirm daugmenter la fiabilit locale en sappuyant sur les informations dlivres par ces deux voies (juges quivalente) de manire comparative ou complmentaire (type de redondance : Redondance active Redondance passive ) Ressource : chose qui peut tre consommes, utilise et produite Ressource matrielle ensemble de composants lectronique et programmable, pouvant remplir une fonctionnalit unique (et donc non reconfigurable) durant la dure de vie du systme tudie, dont la rparation est mene globalement et pour lequel ces procdures de rparation (prventive et ou corrective) implique une indisponibilit de lensemble des composants durant la priode de rparation. Ressources matrielles critiques ressource matrielle dont la dfaillance induit de manire suffisante celle du systme. Ressource informationnelle signal auquel est adjoint une signification et ayant pour but de permettre de manire directe ou indirecte la ralisation de la fonction de scurit. On distingue les ressources informationnelles de classe 1 (F- et Dinformations), des ressource informationnelles de classe 2 (instructions, code).

- 136 -

Annexe A Risque : mesure dun danger associant une mesure de loccurrence dun vnement indsirable et une mesure de ses effets ou consquences, dfinie en gnral comme le produit de la probabilit doccurrence de cette situation et de son impact. Risque rsiduel somme des risques possibles suite loccurrence de la situation accidentogne i ou au dclenchement intempestif des fonctions de scurit bases sur sa dtection. Risque tolrable (ou acceptable) niveau dacceptation du risque (global pour une installation, individuel sur le risque rsiduel dune situation accidentogne prcise). Robustesse : capacit de rsistance vis--vis de contraintes environnementale dune ressource matrielle ou dune entit lui permettant de continuer offrir un service correct ou suffisant au regard de son cahier des charges fonctionnel. Squence dactivation derreurs : squence dvnements dactivations derreurs (matrielles, environnementale) et/ou dvnements chec de test .

tel-00601086, version 1 - 16 Jun 2011

Signal : ensemble structur de donnes. SIL (Safety Integrity Level) : niveau de confiance (introduit par lIEC61508) vis--vis dune fonction EP ddie scurit base sur lapplication de normes de qualit, dans les phases de dfinition, de conception et de vrification, mais aussi de contrle de bonne mise en uvre des politiques de suivi et de maintenance dune architecture ddie la scurit et la vrification des objectifs de performances fiabilistes dune telle fonction par lvaluation quantitative de son seul PFDavg. (Dfaillances) Simultanes : occurrence de deux vnements de dfaillance sur un mme cycle T. (Erreurs) Simultanes : existence de deux erreurs (matrielles ou environnementales) sur un mme cycle T. Stratgie : Manire d'organiser et de coordonner une srie d'actions, un ensemble de conduites en fonction d'un rsultat. Sret de fonctionnement : ensemble des proprits permettant de placer une confiance justifie dans le service dlivr par un systme au vu de ses utilisations. Systme (dtude) : ensemble des ressources matrielles (ventuellement maintenus correctivement et/ou prventivement) et logicielles visant assurer correctement la fonction de scurit et, ce quelque soit ltat de demande. Taux de panne dun composant matriel : limite du quotient de la probabilit conditionnelle dapparition dune panne dun composant matriel sur un intervalle de temps, sachant que ce composant est non dfectueux au dbut de lintervalle, sur la largeur de cet intervalle quant cette valeur tend vers 0 (par valeur positive). Temps critique de raction Tc : temps maximal pour lequel, suite loccurrence dune demande, la non- activation de contre-mesures ne dbouche pas sur un accident.

- 137 -

Annexe A Temps caractristique, T : dure sparant deux observations successives de ltat de demande par le systme dtude. Temps de cycle : ( T) temps maximal admis entre lacquisition dun tat de demande par une boucle de scurit et la rception par le circuit de contrle des ses actionneurs en rsultant. Temps de panne latente: Intervalle de temps entre une dfaillance et la dtection de panne qui en rsulte. Temps inertiel Ti : Temps maximum entre la rception par lensemble des moyens de ractions (actionneurs) dun ordre de contrle et laction correspondante en absence de dfaillance de celui-ci. Temps de raction : temps maximal admis entre lacquisition dun tat de demande par une boucle de scurit et la rception par le circuit de contrle des ses actionneurs en rsultant Temps de rponse : Temps maximal ncessaire la raction de la fonction de scurit pris comme la somme du temps de cycle T et du temps inertiel Ti.

tel-00601086, version 1 - 16 Jun 2011

Temps (moyen) de rparation (MTTR, TR) : temps moyen (esprance mathmatique) du temps ncessaire linspection hors-ligne et la rparation dune ressource lors dune opration de maintenance. On distingue la dure moyenne pour une opration de maintenance corrective, note MTTR (mean time to repair) et la dure moyenne dune opration de maintenance prventive, note TR. Tolrance aux fautes : Proprit correspondant la capacit dune entit daccomplir une fonction malgr les pannes (fault) de certains de ses constituants. UML : (Unified Modeling Language, traduisez "langage de modlisation objet unifi") est une notation permettant de modliser un problme de faon standard. Elle est ne de la fusion des trois mthodes qui ont le plus influenc la modlisation objet au milieu des annes 90 : OMT, Booch et OOSE Unified. Utilisation dune ressource matrielle : manire de tirer parti dune ressource matrielle pour mener bien une opration de traitement de signal.

- 138 -

Annexe A

Annexe A
Rsultats de ltude qualitative
Composant
CONVERTISSEUR TENTIONCOURANT.
CONVERTISSEUR COURANT-CHAMP MAGNETIQUE.

Fonction
Convertisseur de tension en courant. Convertisseur du courant en champ magntique. Gnrer deux signaux carrs.

Mode de dfaillance
Absence de courant. Courant trop faible. Absence de champs magntique, ou champs insuffisant. Sortie soit colle au niveau soit au niveau bas. Modification de frquence de cadence. Collage des donnes. Saturation de trafic. Bit flip. Absence de courant. Courant trop faible. Absence de champs magntique, ou champs insuffisant.

tel-00601086, version 1 - 16 Jun 2011

Mthode de protection des pannes Dfaillance Redondance du matriel + composant. technique de Absence de dtection calibrage. Dfaillance Checksum des bobines. Contrle de parit
Bruit dans Technique le matriel. dtalonnage compatibilit lectromagn tique Compatibili Technique de t control fonction lectromagn de transfert. tique. .Dfaillance matrielle Dfaillance matriel. Absence de calibrage. Redondance matriel + technique de dtection.

Cause

Impact et criticit de dfaillance Faible

Moyen

GENERATEUR DES SIGNAUX.

Moyen

CONVERTISSEUR DU SIGNAL.

Convertisseur du signal carre en un signal triangulaire.

Grave

ALIMENTATION STABLE.

Tension stable aux bornes de la MTJ. Convertisseur du courant en champ magntique.

Moyen

MTJ CAPTEUR.

Dfaillance Redondance des bobines. Matriel

Grave

- 139 -

Annexe A

Composant

Fonction

Mode de dfaillance

Cause

tel-00601086, version 1 - 16 Jun 2011

Variation climatique (bruit). Variation de la caractristiqu e de lAO (vieillissemen t) CONVERTISSEU Convertisseu Sortie coll au Dfaillance Technique R DU SIGNAL EN r du signal niveau haut ou du composant propos de SERIE en une srie bas + dtection DIMPULSION. dimpulsions Passage perturbation . intempestif climatique haut-bas. (temprature et bruit). CODEUR DU Modulateur Sortie soit Bruit dans le duplication SIGNAL. de largeur colle au matriel. matriel, et dimpulsion. niveau soit au technique niveau bas. Surtensions. de Modification concurrence de frquence Compatibilit . de cadence. lectromagnt ique. Tableau A.A.1 : AMDEC de la partie de traitement analogique.

FILTERE AMPLIFICATEU R.

Filtrer les signaux basse frquence. Amplifier le signal filtr.

Tension incorrect, ne correspond pas la caractristique de lAO.

Impact et criticit de dfaillanc e Redondance Faible matriel + technique de dtection

Mthode de protection des pannes

Grave

Moyen

- 140 -

Annexe A

Partie numrique :
Composant Fonction Mode de dfaillance Cause Mthode de protection des pannes Mthode Checksum Impact et Criticit.
Grave

DATA STACK

Mmorisation des variables et les donnes. Garde ladresse des donnes manipules par un programme. Garde la valeur issue de lUAL comme rsultat de calcul. Lecturecriture de donnes via lextrieur

tel-00601086, version 1 - 16 Jun 2011

RETURN STACK

Bit flip (changement de donne). Lecture errone dune donne (Valeur erron de ladresse dune valeur = lecture erron dune valeur) Bit flip. Lecture errone dune adresse.

Bruit dans le matriel. Dcharges lectrostatiques. Compatibilit lectromagntiq ue.

Bruit dans le matriel. Surtensions. Compatibilit lectromagntiq ue Bruit dans le matriel. Surtensions. Compatibilit lectromagntiq ue Compatibilit lectromagntiq ue Dfaillance matrielle. Compatibilit lectromagntiq ue Dfaillance matrielle.

Contrle de parit. Mthode Checksum.

I/O system

Bit flip.

DATA BUS

CONTROL LOGIC & IR

Transporte linformation entre les diffrentes parties de microprocesse ur. Supervision de trafic sur le Bus. Supervision et dclanchement des toutes les oprations

Collage des donnes. Saturation de trafic. Bit flip. Dsynchronisati on entre lhorloge et les oprations. Perte de fonction ou fonction intempestive.

Mthode Checksum Contrle de parit.

- 141 -

Annexe A

Composant
BUS

Fonction
Transfert des donnes entre les diffrentes parties de Processeur Indication sur ltat de validit de lopration. Indication de la prochaine instruction Les oprations arithmtiques et logiques.

Mode de dfaillance
Collage des donnes. Saturation de trafic Fonction intempestiv e (dclenche ment dune fonction sans demande) Bit flip. Erreur dans le code dopration.

Mthode de Impact protection des et pannes Criticit Dfaillance Mthode Moyen matrielle. Checksum. Compatibilit Contrle de lectromagntique parit
Bruit dans le matriel Dcharge lectrostatiqueCompatibilit lectromagntique Mthode Checksum derreur au niveau de communicatio n avec le contrleur logique. Grave

Cause

PC: Program Counter

tel-00601086, version 1 - 16 Jun 2011

UAL

Bruit dans le matriel. Compatibilit lectromagntique Surtension. Tableau A.A.2 : AMDEC de la partie logique programmable.

- 142 -

Annexe B

Annexe B
Calcul de taux de dfaillance des composants lectroniques Nombre de bit-flip par cycle dhorloge
Dans ce paragraphe nous indiquons les bases de donnes les plus utilises pour des composants lectroniques, elles sont regroupes dans le tableau suivant (tableau A.B.1). Source FIDES Titre Mthodologie de fiabilit pour les systmes lectroniques IEEE Guide to the Cellection and Presentation of Electrical, Electronic Sensing Component and Mechanical Equipement Reliability Data for Nuclear Power Generating Station. Military HndbookReliability Prediction of Electronic Equipment. Handbook for Reliability Data. Electronic Parts Reliability Data. Chinese Military Standard. Recueil de Donnes de Fiabilit. Editeur DGADM/STTC/CO/477 Institut of Electrical and Electronic Engineers, New York, USA. Dernire version 2004

IEEE STD

IEEE STD500, 1984

tel-00601086, version 1 - 16 Jun 2011

MIL-HDBK-217K

United States Department of Defense. British Telecommunications. Reliability Analysis Center, RAC, NEW YORK, USA. Beijing Youtong Forever Sci.-Tech. Centre National dEtudes des Tlcommunications, UTE, Paris, France. Telcordia Technologies, New Jersey, USA.

MIL-HDBK-217F, notice 2,28 Fvrier 1995. HRD 5, 1995 EPRD 97, 1997 GJB/Z229B, 1998. RDF 2000-UTE. C80-810, Juillet 2000.

BT-HRD EPRD GJB RDF (CENT)

Telcordia/Bellcore

Reliability Prediction Telcordia SR-332 Procedure for Issue1, Mai 2001. Electronic Equipment. Tableau A.B.1 : Bases de donnes de la fiabilit lectronique.

Lvaluation de la fiabilit prvisionnelle de composants lectronique reste incontournable dans les tudes de la sret de fonctionnement et surtout dans les systmes lectroniques - 143 -

Annexe B programmables, malgr les efforts fournis pour amliorer ou mettre jour les bases de donnes classiques. Devant cet tat de lart, et depuis 2004 un consortium des grosses compagnies a propos FIDES comme une nouvelle rfrence pour le calcul de la fiabilit prvisionnelle des composants lectroniques agissant sur la prcision du calcul final du taux de dfaillance.

Modle de fiabilit prvisionnelle pour les composants lectroniques : FIDES


On trouvera dans ce paragraphe un modle de fiabilit prvisionnelle pour les composants lectroniques. Modle FIDES gnral. Lexpression du taux de dfaillance dpend de plusieurs facteurs dont la technologie de conception, la technologie de fabrication et lenvironnement de fonctionnement du composant [FIDES, 2004]. Ainsi, le taux de dfaillance dpend dun taux de dfaillance de base, pondr par des facteurs de technologie, de conception, de fabrication, dutilisation, denvironnement,...

tel-00601086, version 1 - 16 Jun 2011

Actuellement, dans le domaine de l'lectronique, ces calculs sont principalement raliss en se basant sur des standards tels que la MIL-HDBK-217F [MIL-HDBK 95] ou lUTEC 80-810 [UTEC 80]. De fait, il est courant que les concepteurs appliquent des facteurs correctifs "fait maison" bass sur des retours dexprience Rex, des habitudes dutilisation, des coutumes ou des avis d'experts. Les diffrents standards existants (MIL-HDBK- 217F, UTEC 80-810, PRISM, BellCore, British Telecom HRD, ). De part sa notorit, le manuel de prdiction de fiabilit MILHDBK-217F, est devenue aujourd'hui une exigence incontournable dans la majorit des spcifications techniques. Il comprend un ensemble de modlisations de taux de dfaillances pour de nombreux composants lectroniques tels que les circuits intgrs, les transistors, les diodes, les rsistances, les condensateurs, les relais, les Switch, les connecteurs, etc. L'valuation du taux de dfaillance d'un composant (p) est base sur le principe suivant :

p = b T Q E S R C [1] b reprsente le taux de dfaillance de base du composant (exprim partir d'un modle classique par exemple la loi exponentiel) tandis que les facteurs traduisent des contraintes telles que la temprature d'emploi, la qualit de fabrication, des contraintes environnementales, etc. Le calcul du taux de panne d'une carte est bas sur un modle srie des composants considrs.
Cependant, la dernire mise jour de cette norme date du dbut des annes 90 et cause de l'volution des technologies les composants rcents ne peuvent tre traits sans approximation. De plus, de part l'origine militaire du recueil, certains composants sont mal pris en compte. Enfin, le MIL-HDBK-217F ne permet pas de considrer les phases de non

- 144 -

Annexe B fonctionnement, obligeant utiliser soit des coefficients maison, soit d'autres standards tels que RADC-TR-85-91 [RADC-TR 91] et le Reliability Toolkit [RLRT 93]. Une autre approche consiste utiliser la mthode de prvision de fiabilit RDF 2000 (ou UTEC 80-810 ou IEC 62380) qui contrairement au MIL-HDBK-217F prend en considration les effets des diffrentes phases du profil de mission sur les composants en fonctionnement ou non. Cette mthode prend en compte les effets des cycles thermiques sur le taux de dfaillance des composants en raison des variations de la temprature ambiante et/ou de lquipement en marche ou larrt. L'influence de la tension aux bornes du composant et la complexit technologique sont galement considres. Contrairement au MIL-HDBK-217F, l'usage de l'UTEC 80-810 est peu rpandu, car il apparat peu adapt pour les environnements svres. En effet les donnes de fiabilit sont issues ou extrapoles partir de donnes de retour d'exprience observes dans des environnements favorables et dfavorables. Relativement ce constat, FIDES est ne en 2004, cest une mthodologie globale dingnierie de la fiabilit en lectronique [FIDES 04] et [FIDES-Lamdmu 04], qui porte sur une valuation prvisionnelle de la fiabilit et sur une matrise du processus de fiabilit. Au travers des paramtres technologiques, physiques ou de processus, FIDES permet dagir sur lensemble du cycle de vie des produits pour amliorer et matriser leur fiabilit. L'quation gnrale de FIDES est :

tel-00601086, version 1 - 16 Jun 2011

= Physique
O :

Part manufactur ing

Pr ocess

[2]

physique reprsente la contribution physique : Part_manufacturing traduit la qualit et la matrise de fabrication du composant, Process reprsente le processus de dveloppement, de fabrication et dutilisation du produit.
Le facteur induit prend en compte les facteurs Placement, application et durcissement. L'objectif de FIDES est de permettre une valuation raliste de la fiabilit des composants lectroniques, pour l'ensemble des environnements, en considrant le profil d'emploi propre de chaque quipement.

Hypothses prises
Les valeurs par dfaut proposes par le guide FIDES ont t utilises savoir :

Part_manufacturing = 1.6 Process = 4 Durcissement = 1.7 Placement = 1

- 145 -

Annexe B

Ce choix a t motiv par le souhait de ne pas influencer les rsultats obtenus par FIDES (ces paramtres intervenant directement comme des multiplicateurs) et de nous permettre de raliser des comparaisons objectives dans le mme rfrentiel relatif.

Tableau A.B.2: Rsultats FIDES pour des composants lectroniques.

tel-00601086, version 1 - 16 Jun 2011

Ce tableau prsent des rsultats issus de diffrentes mthodes, cest une analyse de sensibilit attache ltude des taux de dfaillances de base 0 de FIDES en les comparants aux autres guides rcents RDF2000 [RDF 00] et PRISM [PRISM 00]. On constate qui il est impossible de comparer les taux de dfaillance de base directement car la philosophie de construction des modles est diffrente et seule la comparaison du modle complet est ralisable. Toutefois, il est intressant de regarder les tendances. Ainsi, on constate que les 0 des puces (tableau A.B.2) sont assez diffrents entre les diffrentes mthodes.

Donnes du retour dexpriences (REX)


La mthodologie destimation de la fiabilit oprationnelle sappuie sur les donnes obtenues par retour dexpriences (REX). Le REX vise une meilleure connaissance du comportement des composants, de leurs modes de dgradation, de dysfonctionnement ou dendommagement. Il est bas sur la collecte et la gestion des faits techniques, observs pendant toute la dure de vie du systme, de sa mise en service jusqu sa dsintgration. Dans ce contexte, la constitution dun chantillon correct de donnes pour lestimation dun modle de vie dun systme passe par la reconstruction de lhistoire complte dexploitation de ce systme, pour une priode dobservation dtermine. Plusieurs prcisions sont dfinir sur les donnes collecter en exploitation : Systmes qui font lobjet de cette collecte, Informations collecter pour ces systmes, Structure de donnes adopte, Niveau de qualit souhaitable pour la collecte. Exploitation des donnes du REX suppose trois phases :

- 146 -

Annexe B

Slection, parmi les systmes suivis, dun chantillon pertinent, Reconstruction de lhistoire de chaque matriel pris en compte, Calcul des temps jusqu la dfaillance ou jusqu censure pour lchantillon choisi. La fonction de vraisemblance ncessite laccs des donnes de dfaillances issues des banques de donnes de REX. Elle permet ainsi de dterminer la loi de fiabilit observe du systme partir des observations de dfaillance. En mme temps, lobjectif du REX est lamlioration de la qualit et de la fiabilit des systmes et pour cet objectif le traitement de donnes brutes sera indispensable. La qualification et la validation de donnes du REX sont ncessaires avant tout calcul. Ces deux tapes reprsentent la tche la plus difficile et la plus critique du REX, mais elles sont indispensables pour obtenir des rsultats crdibles.

tel-00601086, version 1 - 16 Jun 2011

Les donnes ncessaires pour tablir un chantillon pour construire la vraisemblance sont : Date de la mise en service du systme, Dates de dfaillances du systme, Dates de censure, la fin dobservation des essais. Toutes les banques de donnes du REX doivent permettre lextraction de ces donnes. La construction dun chantillon des donnes collectes par le REX pour estimer le modle de vie associ au systme passe par la valorisation de lexploitation du systme pendant une dure dobservation. Cette dure est plutt courte afin de permettre le calcul de la fiabilit oprationnelle le plus vite possible. Contrairement aux donnes dessais, la taille dchantillon est souvent importante pour les donnes issues du REX.

- 147 -

Annexe C

Annexe C
Gnration des listes caractristiques

tel-00601086, version 1 - 16 Jun 2011

- 148 -

Annexe C Pour illustr notre dmarche de gnration des listes, nous considrons un bout du schma RTL (Register Transfer Level) dun processeur pile, le model de haut niveau dentits sous fonctionnelles est :
MUX IP TOS SB

Figure A.C.1 : Modle de haut niveau de deux composants

SB : Entit de stockage du signal, elle permet la mmorisation sur un support dun signal dentr et sa restitution ultrieure, ces entits peuvent permettre de reprsenter les procds de mmorisation ncessaire la synchronisation des entits dun processus de dcision. IP : Entit de dcision, elles permettent de dlivrer une information de sortie au regard de deux informations dentres. Ltape suivante consiste modliser le comportement fonctionnel et dysfonctionnel de chaque entit (IP, SB) du model de haut niveau. Nous traduisons chaque entit par un automate dtat fini. Nous classons les vnements de transitions des ces automates, en associant chacune des transitions entre tats un attribue. Nous avons modlis principalement les dfaillances transitoires (bit-flip) lies directement la qualit de linformation, cest un mode de dfaillance transitoire relatif la disponibilit du systme. Nous avons aussi modlis la dfaillance lie aux problmes matrielles, ceci est relatif la fiabilit du systme vue sa nature permanente.

tel-00601086, version 1 - 16 Jun 2011

TOS dM(demux) NOS

TOS

Absence dinformation

Init (True) bf(2)


NOS TOS dM dM dM bf(2) dM Fin (False) Fin (True)

TORS TORS Bf RI RI

Init(False)

Figure A.C.2 : Modle de bas niveau de la figure A.C.1

Nous somme devant le cas dagrgation srie, o la procdure de propagation de langage est bas sur lhritage de la proprit bloc amont bloc aval, En effet, pour la gnration de listes finales sans perte de linformation, nous appliquons les rgles de concatnation suivants :

Les vnements de classe intermdiaire de chaque mot m seront remplacs par llment neutre pour la concatnation , leur trace ne sera donc pas conserve. Les vnements apparaissant plusieurs fois dans un mot m seront remplacs par llment neutre pour la concatnation des mots , leur trace ne sera donc pas conserve.

- 149 -

Annexe C Selon ce model de bas niveau de la figure A.C.2, il tait possible de citer tous les chemins probables de dfaillance et de bon fonctionnement. Voici ci-aprs quelques exemples : Liste de bon fonctionnement (chemin non dfaillant) : Lcorrect = {TOS.TOS.Init(True).Fin(True)} Cette liste reprsente le seul chemin correct qui existe dans ce cas de figure, le terme TOS.TOS signifie que le MUX (multiplixer) fonctionne correctement, aussi le terme Init(True).Fin(True) que la partie TOS (top of stack) fonctionne aussi correctement. Liste de dfaillance (chemin dfaillant) : Lincorrect = {TOS.Bf.OR.dM.NOS ; TOS.TOS.Init(True).Bf.Fin(False)} Dans ce cas, la liste prsente juste deux chemins parmi plusieurs, il est probable que le MUX dfaille par lincident de Bf (bit-flip) ou bien dM (dfaillance matriel), et donn par consquence un mauvaise aiguillage de donn, ou le dfaut arrive la fin dans la zone TOS par lincident de Bf pour donner un rsultat faut la fin.

tel-00601086, version 1 - 16 Jun 2011

Apres la spcification dtaill de notre systme (tude de lAMDEC annexe A), nous modlisons larchitecture en question par deux modles hirarchiss afin de tirs le maximum dinformation concernant le mode fonctionnel et dysfonctionnel de chaque composants. La gnration des listes caractristiques via le modle de bas niveau est une manire exhaustive davoir les scnarios et les combinaisons derreur menant un tat de dfaillance.
Spcification Modle hirarchis de haut niveau Modle hirarchis de bas niveau Gnration et rduction des listes Simulation avec un outil de calcul

Figure A.C.3 : Dmarche de lvaluation fiabiliste selon lapproche flux informationnel.

Les scnarios sont en ralit des coups minimaux. La transformation de ces coups en arbres de dfaillance permet grce loutil logiciel Aralia de quantifier les valeurs de probabilits des tous les modes de dfaillance que nous avons propos le long de ce travail. La premire liste gnre de la figure A.C.2 corresponde la combinaison dvnement davoir le mode 1 de fonctionnement (Tout_Va_Bien). La probabilit davoir ce mode de fonctionnement se trouve par la transformation de cette lise un arbre de cause suivante tel que la probabilit davoir le bon fonctionnement de llment sommet exige que tous les lments de base soient en mode correct de fonctionnement. Do lutilit de la porte logique ET sur larbre. - 150 -

Annexe C La probabilit de taux de dfaillance de chaque lment de base se calcul par la prise en compte de vieillissement acclr par les contraintes de lenvironnement tel que les radiations et la compatibilit lectromagntique. Nous utilisons les rsultats des bases de donnes FIDES (Annexe B) dans le calcul de ces taux de dfaillance. Lvolution de ces taux de dfaillance en fonction des contraintes environnementaux est un processus markovien, sa matrice de transition est constitue par ces taux de dfaillance que cherchons leurs volutions en fonction de stress.

tel-00601086, version 1 - 16 Jun 2011

Figure A.C.4 : Arbre de cause correspond la liste Lcorrect.

En occurrence, la deuxime liste de lexemple trait dans la figure A.C.2, correspond quand elle une combinaison des vnements menant un mode de dfaillance. Sa probabilit doccurrence peut se calculer par larbre suivant sachant que la dfaillance dun seul composant peut amener une dfaillance de lensemble. Do lutilit de la porte logique OU sur larbre.

Figure A.C.5 : Arbre de dfaillance correspondant la liste Lincorrect.

- 151 -

Annexe D

Annexe D

Gnralit sur les mthodes de la sret de fonctionnement

tel-00601086, version 1 - 16 Jun 2011

- 152 -

Annexe D

1. Sret de fonctionnement
La sret de fonctionnement est la science de dfaillances [VIL 88]. Elle inclut ainsi leur connaissance, leur valuation, leur prvision, leur mesure et leur matrise. Au sens strict, cest la proprit qui permet ses utilisateurs de placer une confiance justifie dans la qualit du service dlivr [LAP 88]. A partir de ces deux dfinitions, une dfaillance du systme survient lorsque le service dlivr dvie de l'accomplissement de la fonction du systme. Une erreur est la partie de l'tat du systme qui est susceptible d'entraner une dfaillance, c'est--dire qu'une dfaillance se produit lorsque l'erreur atteint l'interface du service fourni, et le modifie. Une faute est la cause adjuge ou suppose d'une erreur. Il existe donc une chane causale entre faute, erreur et dfaillance. La sret de fonctionnement englobe les attributs suivants : La fiabilit qui est laptitude dune entit accomplir une fonction requise, dans des conditions donnes, pendant un intervalle de temps donn,

tel-00601086, version 1 - 16 Jun 2011

La disponibilit qui laptitude dune entit tre en tat daccomplir une fonction requise dans des conditions donnes, un instant donn ou pendant un intervalle de temps donn, en supposant que la fourniture des moyens extrieurs est assure, La maintenabilit qui est laptitude dune entit tre maintenue ou rtablie, sur un intervalle de temps donn, dans un tat dans lequel elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions donnes, avec des procdures et des moyens prescrits, Lintgrit qui est la non-occurrence d'altrations inappropries de l'information, La scurit confidentialit (ou encore immunit) qui est labsence de divulgation non autorise dinformations, La scurit innocuit, qui est la non-occurrence de consquences catastrophiques pour lhomme, l'environnement et les biens. Lassociation des qualificatives innocuits et immunit permet de lever lambigut associe scurit. Il est noter que cette ambigut nexiste pas en anglais, qui dispose de safety pour la scurit innocuit et de security pour la scurit-immunit, sret de fonctionnement tant dependability. Le dveloppement dun systme sr de fonctionnement passe par lutilisation combine dun ensemble de mthodes, appeles moyens de la sret de fonctionnement, qui peuvent tre classes en : Prvention des fautes, comment empcher par construction, loccurrence ou lintroduction de fautes Tolrance aux fautes, comment fournir par redondance, un service conforme la spcification en dpit des fautes, Elimination des fautes, comment minimiser par vrification la prsence de fautes, - 153 -

Annexe D Prvision des fautes, comment estimer la prsence, la cration et les consquences de fautes. Le schma complet de la taxonomie de la sret de fonctionnement est donn la figure A.D.1 :
Fiabilit Disponibilit Scurit innocuit Maintenabilit Scurit confidentialit Intgrit Fautes Entraves Erreurs Dfaillances Prvention des fautes Entraves Tolrance aux fautes Elimination des fautes Prvision des fautes

Attributs

Sret de fonctionnement

tel-00601086, version 1 - 16 Jun 2011

Figure A.D.1 : Taxonomie de la sret de fonctionnement [AVI 04]

2. Mthodes de la sret de fonctionnement


Les mthodes danalyse de la sret de fonctionnement utilisent souvent une dcomposition des systmes entiers en sous-systmes ou composants individuels dont les caractristiques sont supposes connues. Lvaluation de la sret de fonctionnement dun systme consiste analyser les dfaillances des composants pour estimer leurs consquences sur le service rendu par le systme. Les principales mthodes abordes dans ce travail lors dune analyse de la sret de fonctionnement sont dcrites ci-dessous.

- 154 -

Annexe D

2.1. Analyse prliminaire de risques


LAnalyse Prliminaire des Risques (APR) est une extension de lAnalyse Prliminaire des Dangers (APD) qui a t utilise pour la premire fois aux Etats-Unis, au dbut des annes soixante [VIL 88]. Elle sest gnralise de nombreux domaines tels que laronautique, chimique, nuclaire et automobile. Les objectifs de cette mthode: 1) Identifier les dangers dun systme et de dfinir ses causes, 2) Evaluer la gravit des consquences lies aux situations dangereuses et les accidents potentiels. LAPR permet de dduire tous les moyens, toutes les actions correctrices permettant dliminer ou de matriser les situations dangereuses et les accidents potentiels. Il souvent prfrable de commencer lAPR ds les premires phases de la conception. Cette analyse sera vrifie, complte au fur et mesure de lavancement dans la ralisation de systme. LAPR permet de mettre en vidence les vnements redouts critiques qui devront tre analyss en dtail dans la suite de ltude de sret de fonctionnement, en particulier par les mthodes quantitatives qui seront dcrites par la suite.

tel-00601086, version 1 - 16 Jun 2011

2.2. Lanalyse des modes de dfaillances, de leurs effets et de leur criticit


LAnalyse des Modes de Dfaillance, de leurs Effets et de leur Criticit (AMDEC) est une extension naturelle de lAnalyse des Modes de Dfaillance et de leurs Effets (AMDE) utilise pour la premire fois partir des annes soixante pour lanalyse de la scurit des avions [VIL 88]. LAMDEC considre la probabilit doccurrence de chaque mode de dfaillance et la classe de gravit de ces dfaillances, mais aussi les classes correspondantes de probabilits doccurrence plus que les probabilits elles-mmes. On peut ainsi sassurer que les modes de dfaillance ayant dimportants effets ont des probabilits doccurrence suffisamment faibles, grce aux mthodes de conception, aux diverses vrifications et aux procdures de test.

2.3. Arbres des causes


La mthode a pour objectifs [VIL 88] la dtermination des diverses combinaisons possibles dvnements qui entranent la ralisation dun vnement indsirable unique, la reprsentation graphique de ces combinaisons sous forme dune structure arborescente. Un arbre des causes est compos de portes et dvnements. Les vnements sont combins par les portes classiques (ET, OU) ou des portes tendues (m sur n). Lanalyse par arbre des causes est une analyse dductive qui permet de reprsenter graphiquement les combinaisons dvnements qui conduisent la ralisation de lvnement redout.

- 155 -

Annexe D Lanalyse par arbre des causes doit rechercher, partir dun vnement indsirable (ou redout), les dfaillances de composants dont la combinaison entrane lapparition de lvnement indsirable. Deux aspects danalyse peuvent tre labors : laspect qualitatif en dterminant lensemble des coupes minimales (la coupe minimale est la combinaison dvnements de base entranant lvnement redout), laspect quantitatif permettant la dtermination par un calcul la probabilit dapparition de lvnement redout ou indsirable. Lanalyse par arbre des causes est largement utilise dans les tudes de sret de fonctionnement car elle caractrise de faon claire les liens de dpendance, du point de vue dysfonctionnement, entre les composants dun systme. Bien que cette mthode soit efficace, elle prsente des limites. Lune de ces limites est que lordre doccurrence des vnements menant vers ltat redout nest pas pris en compte.

tel-00601086, version 1 - 16 Jun 2011

2.4. Diagrammes de fiabilit


Un diagramme de fiabilit permet le calcul de disponibilit ou la fiabilit du systme modlis, mais avec les mmes restrictions quun Arbre des causes. Tous les chemins entre lentre et la sortie dcrivent les conditions pour que la fonction soit accomplie. On suppose que les composants nont que deux tats de fonctionnement (fonctionnement correct ou panne).

2.5. Analyse de Markov


La mthode de graphes de Markov est utilise pour analyser et valuer la sret de fonctionnement des systmes rparables. La construction dun graphe de Markov consiste identifier les diffrents tats du systme (dfaillants ou non dfaillants) et chercher comment passer dun tat un autre lors d'un dysfonctionnement ou dune rparation. A chaque transition, de ltat Ei vers ltat Ej, est associ un taux de transition ij dfini de telle sorte que ij.dt est gal la probabilit de passer de Ei vers Ej entre deux instants trs proches t et t+dt sachant que lon est en Ei linstant de temps t. Les tats sont classs en deux catgories : Etats de fonctionnement : ce sont les tats o la fonction du systme est ralise, des composants du systme pouvant tre en panne, ltat du bon fonctionnement est ltat o aucun composant nest en panne, Etats de panne : ce sont des tats o la fonction du systme nest plus ralise, un ou plusieurs composants du systme tant en panne.

- 156 -

Annexe D Le processus danalyse comprend trois parties : Recensement et le classement de tous les tats du systme en tats de bon fonctionnement ou tats de panne. Recensement de toutes les transitions possibles entre ces diffrents tats et lidentification de toutes les causes de ces transitions. Calcul des probabilits de se trouver dans les diffrents tats au cours dune priode de vie de systme ou le calcul des caractristiques de sret de fonctionnement. La modlisation avec les graphes de Markov permet de prendre en compte les dpendances temporelles et stochastiques plus largement que les mthodes classiques. En dpit de leur simplicit conceptuelle et leur aptitude pallier certains handicaps des mthodes classiques, les graphes de Markov souffrent de lexplosion du nombre des tats [MON 98], car le processus de modlisation implique lnumration de tous les tats possibles et de toutes les transitions entre ces tats.

tel-00601086, version 1 - 16 Jun 2011

2.6 Stratgie de maintenance dun capteur tmoin


-

Cas du remplacement des composants aprs dfaillance :

Si lon considre une dure totale trs grande, lintervalle de temps moyen entre dfaillances dun composant est prcisment la dure de vie moyenne E(t) du composant considrer, et le nombre moyen de dfaillances pendant le temps total sera : E(K) = t / E(t) Si le systme tait taux de dfaillance constant , le nombre moyen de dfaillance serait : E(k) = t On peut alors dfinir un taux de dfaillance moyen quivalent en galant (1) et (2) :

= 1/ E(t)
Si le composant a une distribution normale des dures de vie, on aura E(t) = , Do : =1/ Si le composant a une distribution des dures de vie de type Weibull avec les paramtres et ( = 0), on a : E(t) = (1 + 1/ ) Do :

= 1/ (1 + 1/ )

Exemple : on considre comme exemple un composant lectronique qui suit la distribution de Weibull : - 157 -

Annexe D

= 74,5 106 (1 + 1/ ) = (2) = 1


-

=1 alors :

= 1/ = 1,79 10-8

Cas du remplacement selon lge du composant :

On envisage la politique dentretien consistant effectuer des remplacements prventifs aprs t0 heures de fonctionnement du composant considre ou aprs dfaillance. R t0 R D t0 R D t0 R

t0

t0

R = Remplacement prventif D= Remplacement suite une avant t0 dfaillance

tel-00601086, version 1 - 16 Jun 2011

Figure 4.6 : rpartition de maintenance durant le temps dutilisation. La dure de vie moyenne de ce composant sera : m(t0) =

t0 0

R ( t ) dt

Le taux global de remplacement de ce composant est alors :

=
Se dcomposant en :

1 m(t0)

taux moyen de remplacement par dpannage :

D(t0) =

1 R(t 0) m(t 0)

taux moyen dchange systmatique :

g(t0) =

R(t 0) m(t 0)

Si t0 ces expressions deviennent : m() =

R(t )dt =

- 158 -

Annexe D 1 1 = m ( )
0 =0 m ( )

D() =

g() =

- Cas dune distribution exponentielle : On a : m(t0) =

t0

exp(t )dt =

1 exp(t 0)

Do :

D(t0) =

1 exp(t 0) 1 exp(t 0) exp(t 0) 1 exp(t 0)

g(t0) =

tel-00601086, version 1 - 16 Jun 2011

Remarque :
Le taux global est ; il est donc toujours suprieur celui quon aurait sans 1 exp(t 0) remplacement. Comme la fiabilit nest pas amliore, on voit quil ny a aucun intrt effectuer des remplacements prventifs dans le cas dune distribution exponentielle. Dans cette tude, nous avons considr la distribution de Weibull pour traiter les composants lectroniques, ce type de distribution permet de suivre lvolution de - Cas dune distribution de Weibull 2 paramtres : Dans ce cas, on a : R(t0) = Et : m(t0) =

t0

t0 0

dt =

t0 0

d[

On posera :

x=

1 e
[ t 0

Do :

D(t0) =

e
0 x0

x 0

e
]

dx

t0

g(t0) =

e x dx

- 159 -