Transcription of Sûreté de fonctionnement - ONERA
1 Module de su rete de fonctionnement Claire Pagetti - ENSEEIHT. 3e me TR - option SE. 10 de cembre 2012. Table des matie res 1 Principaux concepts 3. Qu'est-ce que la su rete de fonctionnement .. 3. Bref historique .. 4. Cou t de la su rete de fonctionnement .. 4. Etude des syste mes .. 5. Taxonomie .. 7. Entraves .. 8. Attributs .. 11. Les moyens .. 12. Conception de syste mes a haut niveau de su rete de fonctionnement .. 13. 2 Me thodes d'analyse de su rete de fonctionnement 13. Analyse pre liminaire des dangers .. 14. AMDE .. 15. Diagramme de fiabilite .. 17. Me thodes quantitatives et qualitatives .. 18. Evaluation qualitative .. 18. Evaluation quantitative .. 18. Syste me multicomposants .. 22. TP sur les diagrammes de fiabilite .. 25. 3 Arbres de de faillances 26. Construction d'un arbre de de faillance.
2 26. TP arbres de de faillance .. 30. Codage des arbres de de faillance sous forme de DDB .. 32. 4 Mode les a e tats transitions 34. Cha nes de Markov .. 34. Construction d'un mode le .. 36. Evaluation de la fiabilite , de la disponibilite et du MTTF .. 39. Re seaux de Petri stochastiques .. 41. Mode lisation des syste mes avec des re seaux de Petri .. 41. AltaRica .. 44. Mode lisation des syste me avec AltaRica .. 44. 1. Codage avec l'outil OCAS .. 46. TP d'AltaRica .. 47. 2. Organisation du cours Le module de su rete de fonctionnement comporte 5 se ances, format : cours/td/tp. Se ance 1 : cours / exercices ;. Se ance 2 : cours / exercices / TP sur les diagrammes de fiabilite et les arbres de de faillances ;. Se ance 3 : cours / exercices / TP sur les arbres de de faillances et cha nes de Markov.
3 Se ance 4 : cours / TP sur AltaRica ;. Se ance 5 : TP sur AltaRica / synthe se ;. Examen : a la fin du mois de janvier (exercices papier) ;. Supports de cours : polycopie , nombreuses re fe rences. 1 Principaux concepts La su rete de fonctionnement est apparue comme une ne cessite au cours du XXe me , notam- ment avec la re volution industrielle. Le terme dependability est apparu dans une publicite sur des moteurs Dodge Brothers dans les anne es 1930. L'objectif de la su rete de fonctionnement est d'atteindre le Graal de la conception de syste me : ze ro accident, ze ro arre t, ze ro de faut (et me me ze ro maintenance). Pour pouvoir y arriver, il faudrait tester toutes les utilisations possibles d'un produit pendant une grande pe riode ce qui est impensable dans le contexte industriel voire me me impossible a re aliser tout court.
4 La su rete de fonctionnement est un domaine d'activite . qui propose des moyens pour augmenter la fiabilite et la su rete des syste mes dans des de lais et avec des cou ts raisonnables. Qu'est-ce que la su rete de fonctionnement La su rete de fonctionnement est souvent appele e la science des de faillances ; elle inclut leur connaissance, leur e valuation, leur pre vision, leur mesure et leur ma trise. Il s'agit d'un domaine transverse qui ne cessite une connaissance globale du syste me comme les conditions d'utilisation, les risques exte rieurs, les architectures fonctionnelle et mate rielle, la structure et fatigue des mate riaux. Beaucoup d'avance es sont le fruit du retour d'expe rience et des rapports d'analyse d'accidents. De finition 1 (SdF) La su rete de fonctionnement (dependability, SdF) consiste a e valuer les risques potentiels, pre voir l'occurrence des de faillances et tenter de minimiser les conse quences des situations catastrophiques lorsqu'elles se pre sentent.
5 De finition 2 (Laprie96) La su rete de fonctionnement d'un syste me informatique est la pro- prie te qui permet de placer une confiance justifie e dans le service qu'il de livre. Il existe de nombreuses de finitions, de standards (qui peuvent varier selon les domaines d'application - nucle aire, spatial, avionique, automobile, rail .. ). On peut ne anmoins conside rer que le Technical Committee 56 Dependability de l'International Electrotechnical Commission (IEC) de veloppe et maintient des standards internationaux reconnus dans le domaine de la su rete . de fonctionnement . Ces standards fournissent les me thodes et outils d'analyse, d'e valuation, de gestion des e quipements, services et syste mes tout au long du cycle de de veloppement. 3. Bref historique Le tableau ci-dessous pre sente un bref historique de la su rete de fonctionnement .
6 Pe riode Accidents Jusqu'aux anne es 30. Approche intuitive : renforcer l'e le ment le plus faible Explosion poudrie re (1794). Premiers syste mes paralle les et redondants Accident chemin de fer (1842). Approche statistique, taux de de faillance Titanic (1912).. Premie res estimation de probabilite d'accidents d'avion Pugsley : premier objectif de safety taux d'accident d'avion 10 5 per flight hour Anne es 40. Analyse des missiles allemands V1 (Robert Lusser). Loi de Murphy If anything can go wrong, it will . Quantification de la disponibilite . Anne es 50. Advisory Group on Reliability of Electronic Equipment (AGREE) Tcheliabinsk 40 (1957). - Re duction des cou ts de maintenance - Augmentation de la fiabilite . - MTBF. Anne es 60. analyses des modes de de faillance et de leurs effets Torrey Canyon (1967).
7 Programmes de recherche spatiaux Arbre de de faillance (missile Minuteman). Arbres des causes (Boeing - NASA). Livres sur la fiabilite (ex. Barlow and Proschan). Anne es 70. Analyse des risques Collecte de donne es REX. Anne es 80 a nos jours Nouvelles techniques (simulation, re seaux de Petri,..) Tchernobyl (1986). Mode lisation Ariane V (1996). DART (NASA, 2005). Vol Rio Janeiro.. Cou t de la su rete de fonctionnement Le cou t d'un haut niveau de su rete de fonctionnement est tre s one reux. Le concepteur doit faire des compromis entre les me canismes de su rete de fonctionnement ne cessaires et les cou ts e conomiques. Les syste mes qui ne sont pas su rs, pas fiables ou pas se curise s peuvent e tre rejete s par les utilisateurs. Le cou t d'une de faillance peut e tre extre mement e leve.
8 Le cou t de syste mes avec un faible niveau de su rete de fonctionnement est illustre dans les figures ci-dessous. 4. Co t moyen d'indisponibilit . =,70+)*.7/-(* *,.C+*.7/-0?D/(,E.( #"&. =,70+)*.7/-84/+;4)*+,.<,( !"%. >. '()*(+,- :/1*.*+*.7/1-;./4/).<,(1 !"$ 0?@+,71- ./0+1*,.(2 911+,4/)(1 !"# A4,-B(+,(- A(,0+(. 6788(,)( !"! 34/5+(1 ! Co t annuel des d faillances informatiques Estimation compagnies d'assurance (2002) France (secteur priv ) USA Royaume Uni Fautes accidentelles 1,1 G 4 G$. Malveillances 1,3 G 1,25 G . Estimation globale USA : 80 G$ EU : 60 G . Co ts de maintenance Logiciel embarqu de la navette spatiale : 100 M $ / an Co t logiciels abandonn s (d faillance du processus de d veloppement). USA [Standish Group, 2002, Succ s Remise en question Abandon 13522 projets] 34% 51% 15%.)))))))))
9 ~ 38 G$ de pertes (sur total 225 G$). Figure 1 Quelques chiffres [Laprie07]. ! Figure 2 Cou t de la maintenance Etude des syste mes L'objet sous e tude est le syste me et les fonctions qu'il fournit. Il existe de nombreuses de finitions de syste me dans le domaine des syste mes d'inge nierie. De finition 3 (Un syste me) Un syste me peut e tre de crit comme un ensemble d'e le ments en interaction entre eux et avec l'environnement dont le comportement de pend : des comportements individuels des e le ments qui le composent, des re gles d'interaction entre e le ments (interfaces, algorithmes, protocoles), de l'organisation topologique des e le ments (architectures). Le fait que les sous-syste mes sont en interaction implique que le syste me n'est pas simplement la somme de ses composants.
10 En toute rigueur, un syste me dans lequel un e le ment est de faillant devient un nouveau syste me, diffe rent du syste me initial. 5. Exemple 1 Une installation chimique, une centrale nucle aire ou un avion sont des syste mes. Le contro le-commande est un sous-syste me, une vanne ou un relais sont des composants. La nature technologique d'un syste me est varie e : e lectrique, thermo-hydraulique, me canique ou informatique. Assurer les fonctions Tout syste me se de finit par une ou plusieurs fonctions (ou missions). qu'il doit accomplir dans des conditions et dans un environnement donne s. L'objet d'e tude de la su rete de fonctionnement est la fonction. Une fonction peut e tre de finie comme l'action d'une entite ou de l'un de ses composants exprime e en terme de finalite . Il convient de distinguer les fonctions et la structure (ou encore architecture mate rielle support).
