[PDF] [PDF] Sûreté de fonctionnement - Onera

10 déc 2012 · 2 Méthodes d'analyse de sûreté de fonctionnement 13 Séance 3 : cours / exercices / TP sur les arbres de défaillances et chaınes de Markov ; décrire les connexions entre composants, ce qui peut être fait par un graphe



Previous PDF Next PDF





[PDF] Sûreté de fonctionnement - Onera

10 déc 2012 · 2 Méthodes d'analyse de sûreté de fonctionnement 13 Séance 3 : cours / exercices / TP sur les arbres de défaillances et chaınes de Markov ; décrire les connexions entre composants, ce qui peut être fait par un graphe



[PDF] Maintenance et sûreté de fonctionnement

Il faut également décrire les connexions entre composants, ce qui peut être fait par un graphe orienté pour lequel l'ensemble des nœuds désigne l'ensemble de  



[PDF] Analyse des systèmes - Sûreté de fonctionnement - OATAO

sûreté de fonctionnement et d'analyse des risques pouvant être utilisées dès les Graphes de Markov résultats Calculs probabilistes résultats Simulation de



[PDF] Ce document est le fruit dun long travail approuvé par le jury de

Graphe orienté composé de l'ensemble de sommets V et de l'en- Les chaînes de Markov sont un outil très utilisé en sûreté de fonctionnement (Schoenig et al



[PDF] Évaluation de la sûreté de fonctionnement informatique —

Génération du graphe des marquages du GSPN transformé pour obtenir la chaîne de Markov en temps continu du système en croissance de fiabilité • Déduction 



[PDF] Modélisation de la disponibilité dun système de - Numdam

annoncés sera effectuée au cours de la première année de fonctionnement du système Mots-C7és : Fiabilité, Disponibilité, Chaînes de Markov, Transport Accident Cette classe recouvre toutes les défaillances mettant en cause la sécurité La construction des graphes de MARKOV met en évidence les états corres-



[PDF] TP : MAINTENANCE ET SURETE DE FONCTIONNEMENT

Fiabilité des systèmes réparables (Graphe de Markov) 27 Page 3 Partie 1 : Processus de maintenance et sureté de fonctionnement 3



[PDF] Sûreté de Fonctionnement des installations industrielles - CIMI

18 oct 2011 · La sûreté de fonctionnement (SdF) traduit la confiance Le terme « sûreté de fonctionnement » désigne Méthode des graphes de Markov:

[PDF] graphe de marquage petri exercice corrigé

[PDF] graphe de marquage rdp

[PDF] graphe des liaisons

[PDF] graphe mpm logiciel

[PDF] graphe pert

[PDF] graphe probabiliste exercice corrigé

[PDF] graphes terminale es exercices corrigés

[PDF] grapheur excel

[PDF] graphilettre ce2 cm1 cm2

[PDF] graphilettre cm1

[PDF] graphique 3d python

[PDF] graphique à coordonnées polaires

[PDF] graphique abscisse ordonnée en fonction de

[PDF] graphique anneau double

[PDF] graphique avec r studio

Module de s^urete de fonctionnement

Claire Pagetti - ENSEEIHT

3 emeTR - option SE

10 decembre 2012

Table des matieres

1 Principaux concepts

3

1.1 Qu'est-ce que la s^urete de fonctionnement

3

1.1.1 Bref historique

4

1.1.2 Co^ut de la s^urete de fonctionnement

4

1.2 Etude des systemes

5

1.3 Taxonomie

7

1.3.1 Entraves

8

1.3.2 Attributs

11

1.3.3 Les moyens

12

1.4 Conception de systemes a haut niveau de s^urete de fonctionnement

13

2 Methodes d'analyse de s^urete de fonctionnement

13

2.1 Analyse preliminaire des dangers

14

2.2 AMDE

15

2.3 Diagramme de abilite

17

2.4 Methodes quantitatives et qualitatives

18

2.4.1 Evaluation qualitative

18

2.4.2 Evaluation quantitative

18

2.4.3 Systeme multicomposants

22

2.5 TP sur les diagrammes de abilite

25

3 Arbres de defaillances

26

3.1 Construction d'un arbre de defaillance

26

3.2 TP arbres de defaillance

30

3.3 Codage des arbres de defaillance sous forme de DDB

32

4 Modeles a etats transitions

34

4.1 Cha^nes de Markov

34

4.1.1 Construction d'un modele

36

4.2 Evaluation de la abilite, de la disponibilite et du MTTF

39

4.3 Reseaux de Petri stochastiques

41

4.3.1 Modelisation des systemes avec des reseaux de Petri

41

4.4 AltaRica

44

4.4.1 Modelisation des systeme avec AltaRica

44
1

4.4.2 Codage avec l'outil OCAS. . . . . . . . . . . . . . . . . . . . . . . . . . . 46

4.4.3 TP d'AltaRica

47
2

Organisation du cours

Le module de s^urete de fonctionnement comporte 5 seances, format : cours/td/tp.

Seance 1 :cours / exercices;

Seance 2 :cours / exercices / TP sur les diagrammes de abilite et les arbres de defaillances; Seance 3 :cours / exercices / TP sur les arbres de defaillances et cha^nes de Markov;

Seance 4 :cours / TP sur AltaRica;

Seance 5 :TP sur AltaRica / synthese;

Examen :a la n du mois de janvier (exercices papier); Supports de cours: polycopie, nombreuses references.

1 Principaux concepts

La s^urete de fonctionnement est apparue comme une necessite au cours du XX eme, notam- ment avec la revolution industrielle. Le termedependabilityest apparu dans une publicite sur des moteurs Dodge Brothers dans les annees 1930. L'objectif de la s^urete de fonctionnement est d'atteindre le Graal de la conception de systeme : zero accident, zero arr^et, zero defaut (et m^eme zero maintenance). Pour pouvoir y arriver, il faudrait tester toutes les utilisations possibles d'un produit pendant une grande periode ce qui est impensable dans le contexte industriel voire m^eme impossible a realiser tout court. La s^urete de fonctionnement est un domaine d'activite qui propose des moyens pour augmenter la abilite et la s^urete des systemes dans des delais et avec des co^uts raisonnables.

1.1 Qu'est-ce que la s^urete de fonctionnement

La s^urete de fonctionnement est souvent appelee lascience des defaillances; elle inclut leur connaissance, leur evaluation, leur prevision, leur mesure et leur ma^trise. Il s'agit d'un domaine transverse qui necessite une connaissance globale du systeme comme les conditions d'utilisation, les risques exterieurs, les architectures fonctionnelle et materielle, la structure et fatigue des materiaux. Beaucoup d'avancees sont le fruit du retour d'experience et des rapports d'analyse d'accidents. Denition 1 (SdF)La s^urete de fonctionnement (dependability, SdF) consiste a evaluer les risques potentiels, prevoir l'occurrence des defaillances et tenter de minimiser les consequences des situations catastrophiques lorsqu'elles se presentent. Denition 2 (Laprie96)La s^urete de fonctionnement d'un systeme informatique est la pro- priete qui permet de placer une conance justiee dans le service qu'il delivre. Il existe de nombreuses denitions, de standards (qui peuvent varier selon les domaines d'application - nucleaire, spatial, avionique, automobile, rail ...). On peut neanmoins considerer que leTechnical Committee 56 Dependabilityde l'International Electrotechnical Commission (IEC) developpe et maintient des standards internationaux reconnus dans le domaine de la s^urete de fonctionnement. Ces standards fournissent les methodes et outils d'analyse, d'evaluation, de gestion des equipements, services et systemes tout au long du cycle de developpement. 3

1.1.1 Bref historique

Le tableau ci-dessous presente un bref historique de la s^urete de fonctionnement.

PeriodeAccidents

Jusqu'aux annees 30

Approche intuitive : renforcer l'element le plus faibleExplosion poudriere (1794) Premiers systemes paralleles et redondantsAccident chemin de fer (1842) Approche statistique, taux de defaillanceTitanic (1912)... Premieres estimation de probabilite d'accidents d'avionPugsley : premier objectif de safety taux d'accident d'avion105per ight hourAnnees 40

Analyse des missiles allemands V1 (Robert Lusser)

Loi de Murphy\If anything can go wrong, it will"Quantication de la disponibilite

Annees 50

Advisory Group on Reliability of Electronic Equipment (AGREE)Tcheliabinsk 40 (1957) - Reduction des co^uts de maintenance- Augmentation de la abilite - MTBF

Annees 60

Analyses des modes de defaillance et de leurs eetsTorrey Canyon (1967) Programmes de recherche spatiauxArbre de defaillance (missile Minuteman)

Arbres des causes (Boeing - NASA)

Livres sur la abilite (ex. Barlow and Proschan)

Annees 70

Analyse des risques

Collecte de donnees REX

Annees 80 a nos jours

Nouvelles techniques (simulation, reseaux de Petri,..)Tchernobyl (1986)

ModelisationAriane V (1996)

DART (NASA, 2005)

Vol Rio Janeiro...

1.1.2 Co^ut de la s^urete de fonctionnement

Le co^ut d'un haut niveau de s^urete de fonctionnement est tres onereux. Le concepteur doit faire des compromis entre les mecanismes de s^urete de fonctionnement necessaires et les co^uts economiques. Les systemes qui ne sont pas s^urs, pas ables ou pas securises peuvent ^etre rejetes par les utilisateurs. Le co^ut d'une defaillance peut ^etre extr^emement eleve. Le co^ut de systemes avec un faible niveau de s^urete de fonctionnement est illustre dans les gures ci-dessous. 4

Coût moyen d'indisponibilité

Coûts de maintenance

Logiciel embarqué de la navette spatiale : 1 $ / an

Coût annuel des défaillances informatiques

Fautes accidentelles

Malveillances

Royaume Uni

1,25 G£

France (secteur privé)

1,1 G€

1,3 G€

USA 4 G$ Coût logiciels abandonnés (défaillance du processus de développement)

USA [Standish Group, 2002,

13522 projets]

Succès

34%

Remise en question

51%

Abandon

15% ~ 38 G$ de pertes (sur total 225 G$)

Estimation compagnies d'assurance (2002)

Estimation globaleUSA : 80 G$EU : 60 G€

./0+1*,.(2

34/5+(1

6788(,)(

911+,4/)(1

:/1*.*+*.7/1-;./4/).<,(1 =,70+)*.7/-84/+;4)*+,.<,( >.22.7/1-

0?@+,71-

A4,-B(+,(-

A(,0+(

=,70+)*.7/-(*-0.1*,.C+*.7/-0?D/(,E.(Figure1 { Quelques chires [Laprie07]Figure2 { Co^ut de la maintenance

1.2 Etude des systemes

L'objet sous etude est le systeme et les fonctions qu'il fournit. Il existe de nombreuses denitions de systeme dans le domaine des systemes d'ingenierie. Denition 3 (Un systeme)Un systeme peut ^etre decrit comme un ensemble d'elements en interaction entre eux et avec l'environnement dont le comportement depend : des c omportementsindividuels des elementsqui le c omposent, des r eglesd'inter actionentr e elements(interfac es,algorithmes, pr otocoles), de l'or ganisationtop ologiquedes elements(ar chitectures). Le fait que les sous-systemes sont en interaction implique que le systeme n'est pas simplement la somme de ses composants. En toute rigueur, un systeme dans lequel un element est defaillant devient un nouveau systeme, dierent du systeme initial. 5 Exemple 1Une installation chimique, une centrale nucleaire ou un avion sont des systemes. Le contr^ole-commande est un sous-systeme, une vanne ou un relais sont des composants. La nature technologique d'un systeme est variee : electrique, thermo-hydraulique, mecanique ou informatique. Assurer les fonctionsTout systeme se denit par une ou plusieurs fonctions (ou missions) qu'il doit accomplir dans des conditions et dans un environnement donnes. L'objet d'etude de la s^urete de fonctionnement est lafonction. Une fonction peut ^etre denie comme l'action d'une entite ou de l'un de ses composants exprimee en terme de nalite. Il convient de distinguer les fonctions et la structure (ou encore architecture materielle support). fonction principale : raison d' ^etred'un syst eme(p ourun t elephonep ortable,la fonction principale est la communication entre 2 entites); fonctions secondaires : fonctions assur eesen plus de la fonction principale (sms, horloge, reveil, jeux . . . ); fonctions de protection : mo yensp ourassurer la s ecuritedes biens, d esp ersonneset en vi- ronnement; fonctions redondan tes: plusieurs comp osantsassuren tla m ^emefonction. Une description fonctionnelle peut generalement se faire soit par niveau soit pour un niveau donne. Une description par niveau est une arborescence hierarchisee. On donne l'exemple d'une description fonctionnelle d'une machine a laver dans la gure 3 .Machine a laver la vaisselleCircuit de lavageCircuit de chauageCircuit de sechageCircuit de vidange...Fonction laver et secher la vaisselleniveau 1

Alimentation

electriquePompage de l'eauMotorisation de la pompeEvacuation de l'eau...niveau 2 niveau 3 Figure3 { Description fonctionnelle d'une machine a laver la vaisselle On peut egalement desirer representer les echanges de donnees entre fonctions, pour un niveau de granularite donne. On parle alors d'architecture fonctionnelle. Formellement, l'archi- tecture fonctionnelle est constituee d'un graphe (F;CF) oriente pour lequel l'ensemble des nuds F=ff1;:::;fmgdesigne les fonctions et l'ensemble des arcs,CF F F, represente les echanges de donnees entre les fonctions. Un arc (fi;fj)2 CFmodelise un ux de donneesfiversfj. La gure 4 illustre l'arc hitecturefonctionnelle de niv eau3 de l'exemple de la mac hine ala ver. Structure du systemeLes fonctions sont realisees par le systeme a partir de ses composants. La structure du systeme doit ^etre prise en compte pour les analyses de s^urete de fonctionne-

ment. Pour cela, il faut decrire les composants materiels, leur r^ole, leurs caracteristiques et leurs

6

Alimentation

electriquePompage de l'eauMotorisation de la pompeFigure4 { Architecture fonctionnelle de la machine a laver performances. On peut a nouveau utiliser une description en niveau. La gure 5 iden tieles composants intervenant dans la structure de la machine a laver.Machine a laver la vaissellePanierResistanceFiltreProgrammateurPompeMoteur...niveau 1

FiltreCorpsAxeAubes...niveau 2

niveau 3 Figure5 { Decomposition materielle d'une machine a laver la vaisselle Il faut egalement decrire les connexions entre composants, ce qui peut ^etre fait par un graphe oriente pour lequel l'ensemble des nuds designe l'ensemble denressources connectees entre elles par des liaisons representees par les arcs. Enn, il est egalement important dans certains cas de preciser la localisation des composants. Les analyses de s^urete de fonctionnement reposent sur des hypotheses au sujet de l'independance des defaillances des fonctions elementaires. Le partage de ressources et l'installation de ces ressources dans une m^eme zone risquent de violer les exigences d'independances. Par exemple, un eclatement pneu dans un avion peut entra^ner la defaillance de plusieurs composants.

1.3 Taxonomie

La s^urete de fonctionnement manipule un certain nombre de concepts que nous precisons dans cette partie en donnant des denitions precises. La s^urete de fonctionnement peut ^etre vue comme etant composee des trois elements suivants : A ttributs: p ointsde vue p our evaluerla s ^uretede fonctionnemen t; En traves: evenementsqui p euventaecter la s ^uretede fonctionnemen tdu syst eme; Mo yens: mo yensp ouram eliorerla s ^uretede fonctionnemen t.

Ces notions sont resumees dans la gure

6 7

1FaautesaErtEDéftetitalntcetitalPlhsutal tfféhstaldéfot'vfatcitalpfalmutalèctfavfcetitalPyuvalx'vxoéfhatéffvCvfaèégvfEqulàvfatéfx'vxocsavE...éilucfhvxcsIxocsavEbitCtfcatéfx'vxocsavEqulàtEtéfx'vExocsavEbfaucàvEncsavEbuuvsuErloctiicfhvEPlhsutal tCCsftalFigure6 { Arbre de la s^urete de fonctionnement [Laprie]

1.3.1 Entraves

Commencons par detailler les entraves qui peuvent aecter le systeme et degrader la s^urete de

fonctionnement. Les entraves sont reparties en 3 notions : les fautes, les erreurs et les defaillances

qui s'encha^nent comme illustre dans la gure 7 . Les denitions sont recursives car la defaillance d'un composant est une faute pour le systeme qui le contient. Denition 4 (Faute / Fault)La cause de l'erreur est une faute (par exemple un court-circuit sur un composant, une perturbation electromagnetique ou une faute de developpement logiciel). Denition 5 (Erreur / Defect)La cause de la defaillance est une erreur aectant une partie de l'etat du systeme (par exemple, une variable erronee). Denition 6 (Defaillance / Failure)Une defaillance est la cessation de l'aptitude d'une en- tite a accomplir une fonction requise. Denition 7 (Panne)La panne est l'inaptitude d'une entite a accomplir une mission. Une panne resulte toujours d'une defaillance. Exemple 2Voici trois exemples d'occurrence de defaillances. 8

1FautesErreursDéfaillancesPhase de créationou d'occurrenceFautes de développementFautes opérationnellesFrontières systèmeFautes internesFautes externesCause phénoménologiqueFautes naturellesFautes dues à l'hommePersistanceFautes permanentesFautes temporairesFautesDéfaillances......

IntentionFautes malveillantesFautes sans malveillanceCapacitéFautes accidentellesFautes d'incompétenceFautes délibéréesDéfaillances signaléesDéfaillances non signaléesDétectabilitéCohérenceDéfaillances cohérentesDéfaillances incohérentes (byzantines)ConséquencesDéfaillances bénignesDéfaillances catastrophiques

Défaillances en contenuDomaineDéfaillances temporelles,avance, retardDéfaillances par arrêtDéfaillances erratiquesPropagationActivationEffetEffetFigure7 { Encha^nement et propagation des erreurs [Laprie96]ProgrammeurFaute dans

le source du logicielFaute dans l'executable embarqueErreur (faute activee)Defaillance

Defaillance RAMFaute dans

l'execution du logiciel embarqueErreur (faute activee)Defaillance

Redacteur de

consignes d'exploitationFaute dans la documentationErreur de comportement du personnelDefaillance Exercice 1On considere le systeme hydraulique suivant. Il est destine au transport de l'eau du point1aux lieux de consommation2et3. Il contient les vannesV1,V2etV3, la pompe centrifugeuseP0et les tuyaux adjacents aux composants hydrauliques. Identier des fautes, des erreurs et des defaillances possibles.V1V2 V3 P0 12

3Les defaillances dans un systeme peuvent avoir des eets dierents. Certaines defaillances

n'aectent pas directement les fonctions du systeme et ne necessitent qu'une action corrective; 9 1

0systeme non reparable

1

0systeme reparable

Figure10 { Diagramme des phases

Denition 17 (Taux de defaillance / Failure rate)Considerons un ensemble d'entites iden- tiques et en fonctionnement a l'instant initial. On denit letaux de defaillancecomme la pro- portion, ramenee a l'unite de temps, des entites qui ayant survecu a un temps arbitrairetne sont plus en vie a l'instantt+dt. Il est frequent que les entites presentent des taux de defaillance en fonction du temps suivant une courbe diteen baignoire.Figure11 { Taux de defaillance en fonction du temps [Wikipedia] Rappels sur les variables aleatoiresUne variable aleatoire est une fonction denie sur l'ensemble des resultats possibles d'une experience aleatoire. Ainsi, dans le jeu de jet d'un seul de, le resultat est une variable aleatoireXpour laquelle nous lisons sur la face du de les valeurs possibles de 1 a 6. En s^urete de fonctionnement, on rencontre des lois discretes lorsque les evenements qui se produisent sur un intervalle de temps donne sont des nombres entiers. C'est, par exemple, le nombre de cartes electroniques defaillantes par mois dans un systeme de contr^ole-commande. Les variables aleatoires continues sont a valeurs reelles positives. Par 19 exemple, l'instant d'apparition d'une defaillance dans une structure metallique est une variable continue. Pour les evaluations probabilistes, on utilise deux variables aleatoires : variable d'etatX(t) =(

1si l'entite fonctionne a l'instant t

0si l'entite est defaillante a l'instant t

instant de la defaillanceT (time to failure) variable continue En s^urete de fonctionnement, il faut faire la distinction entre l'occurrence d'un evenement et son existence a l'instant t. L'assertionl'occurrence de la defaillance du composant au temps t signie que la defaillance a eu lieu dans l'intervalle [t;t+dt]. En revanche, l'assertionexistence de la defaillance au temps tsignie que la defaillance a eu lieu entre [0;t]. La fonction de repartition d'une variable aleatoireXest la fonctionF(x) =P(Xx). Ftend vers 0 en1et vers 1 en +1. La densite de probabilite lorsqueFest derivable est f(x) =dF(x)=dx. Le moment d'ordrekde la variableXestE[Xk] =R1

1xkf(x)dx.E[X]

est l'esperance mathematique ou la moyenne. La variance est le reel lorsqu'il existeV[X] =R1

1(xE[x])2f(x)dx.p(V[X]) est appele l'ecart type. On rappelle quelques lois classiques

que nous utiliserons dans la suite. Loi exponentielle :utilisee frequemment car les calculs sont simples. La densite de probabilite estf(t) =etouest une constante. La fonction de repartition estF(t) =Rt

1f(t)dt=

1et. La moyenne est de 1=et la variance de 1=2. Cette loi s'applique pour la duree

de vie utile representee dans la courbe en baignoire. Loi normale :la loi normale ou de Gauss a deux parametresN(m;) avecmla moyenne etl'ecart type. La densite de probabilite estf(t) =1 p2e1=2(tm )2. La fonction de repartition est 1 p2R t

1e1=2(tm

)2dx. Cette loi s'applique a de nombreux phenomenes (incertitude sur des mesures ou des fabrications par exemple). Loi log-normale :une variable aleatoire est distribuee suivant une loi log-normale si son logarithme est distribue selon une loi normale. La densite de probabilite estf(t) = 1t p2e1=2(log(t)m )2. La fonction de repartition estF(t) =1 p2R t 11x e1=2(log(x)m )2dx. La moyenne estem+2=2et la variancee2m+2(e21). Cette loi est souvent utilisee pour representer les durees de reparation des composants ou les incertitudes dans la connais- sance d'une donnee de s^urete de fonctionnement. Loi de Weibull :cette loi depend de 3 parametres et permet de representer un grand nombre de distributions experimentales. La densite de probabilite estf(t) =(t )1 e(t avec >0, >0 ett > . La fonction de repartition estF(t) = 1e(t ). La moyenne est +(1+ ) et la variance2((2 + 1)2(1 + 1)) avec (x) =R1

0x1ex.

Denition probabiliste des attributs

Denition 18 (Fiabilite)La abilite d'une entiteEpeut s'exprimer par R(t) =P(Enon defaillante sur la duree[0;t]) =R(t) =P[T > t] ouTest le temps de la defaillance. 20 On peut experimentalement calculer cette probabilite. On prendncomposants identiques qui fonctionnent a t=0, et on compte a chaque instantticombien sont toujours en marchev(t).

Alors,R(t) =v(t)=n.

La deabiliteR(t) = 1R(t) est donc egale a la fonction de repartition deT,R(t) =F(t). Il y a une relation forte entre abilite et le taux de defaillance.

R(t) =eRt

0(x)dx

Le MTTF (Mean Time to Failure) est le temps moyen de fonctionnement avant la 1 erepanne.

MTTF=E[T] =Z

1quotesdbs_dbs12.pdfusesText_18