Introduction à la sûreté de fonctionnement (SdF) · G. Rubino, 2006 --- Introduction à la sûreté de fonctionnement 2/29 La notion de service •Les systèmes sont conçus pour

G. Rubino, 2006 --- Introduction à lasûreté de fonctionnement 1/29

Introduction à lasûreté de fonctionnement

(SdF)


La notion de service

• Les systèmes sont conçus pour fournir à leursutilisateurs un service selon des spécifications.

• La sûreté de fonctionnement (SdF) concerne la relationentre service spécifié et service effectivement observé.

• Le système est défaillant à l’instant t si le servicerendu ou observé à cet instant n’est pas tel quespécifié.

• On appelle défaillance l’événement « changement deservice faisant que d’un système en accord avec lesspécifications on passe à un système défaillant ».


La trilogie faute/erreur/défaillance

• Une faute est la conséquence d’une défaillance (engénéral humaine) lors de la conception du système.

• Une erreur est un état atteint par le système quin’avait pas été spécifié, un état que le système n’étaitpas supposé d’atteindre.

• On a une erreur parce qu’il y a une faute (ouplusieurs). On a une défaillance parce qu’il y a uneerreur (ou plusieurs).

• On a l ’implication (potentielle)faute ⇒ erreur ⇒ défaillance


Exemple

• Considérons le code suivant :

int a, b, x, y, k, ...

...if (a == b) {

...x = a - b;

}if (k == 1) y /= x;


• Supposons que l ’instruction `x = a - b;‘ soit unefaute (il fallait écrire, disons, `x = a + b;’).

• Si lors d’une exécution, a et b ne sont pas égaux àchaque fois que ce bloc est exécuté, il n’y aura peut-être pas d’erreur (malgré la présence de la faute).

• Dans le cas contraire, si k ne prend pas la valeur 1lors de cette exécution, il n’y aura pas de défaillance(malgré l’erreur).

• Dans le cas contraire, on divise par 0 et on aeffectivement une défaillance.


Second exemple

• Système : le code dans un nœud (commutateur,routeur, …) d’un réseau de télécommunications.

• Dans ce code, le programmeur a écrit `i = 0;‘ aulieu de `i = 1;’, qui était l’instruction correcte.Il y a donc une faute dans le système.

• A un moment particulier, l’ordinateur exécute cetteinstruction, et, suite à un certain calcul, un tamponest dimensionné à 10 au lieu d’être dimensionné à100 ; on a donc une erreur.


• Les conditions d’utilisation du réseau fontqu’exceptionnellement, ce jour-là, la charge est telleque le tampon reçoit un trafic trop important. Il y aalors trop de pertes (plus que les niveaux maximauxspécifiés) : on a une défaillance.

• Noter la non implication certaine de l’erreur après lafaute, ni de la défaillance après l’erreur.


Le caractère conventionnelde la notion de défaillance

• La notion de défaillance dépend des spécifications duservice, ce qui est essentiellement conventionnel.

• Dans le cas précédent, si l’on décide de tolérer plusde pertes que dans la spécification originale, il peutse produire que malgré la faute et l’erreur, il n’y aitpas de défaillance.


• Un autre exemple :– les clients d’un réseau deviennent plus exigeants,

et si hier ils supportaient un délai moyen ≤ T, laconcurrence peut faire que le critère devienne :délai moyen ≤ T/4 ;

– donc, sans que le système ait changé, on peut seretrouver face à des défaillances auparavantinexistantes.


Sûreté de fonctionnement

• « La sûreté de fonctionnement (SdF) d’un système est lapropriété qui permet à ses utilisateurs de placer uneconfiance justifiée dans le service qu’il leur délivre ».

• Elle est perçue à travers différents attributs :– la fiabilité,– la disponibilité,– la maintenabilité,– la sécurité-innocuité,– la confidentialité et l’intégrité.


Attributs quantifiables

• La fiabilité mesure la continuité du service (correct).• La disponibilité mesure le fait que le service (correct)

soit prêt pour l’utilisateur.• La maintenabilité mesure l’aptitude à réparer (et à

faire évoluer) les systèmes.• La sécurité-innocuité mesure la non-occurrence de

conséquences catastrophiques des défaillances.

• L’analyse quantitative de ces attributs estfondamentale pour la conception des systèmes, pourleur maintenance, leur évolution, etc.


Attributs difficilementquantifiables

• La sécurité-confidentialité concerne la non-occurrence de divulgations non autorisées del’information.

• La sécurité-intégrité concerne la non-occurrenced’altérations de l’information.


Raffinements

Toutes ces notions ont de nombreux raffinements :• fautes physiques et fautes humaines• fautes humaines accidentelles et fautes humaines

intentionnelles• fautes transitoires (ou temporaires) et fautes

permanentes• erreurs latentes et erreurs détectées• défaillances totales et défaillances partielles• ...


Exemples de déclinaisonsdu concept de défaillance

• en aéronautique civile– mineure– majeure– dangereuse– catastrophique

• dans l’automobile– mineure– majeure– sérieuse– fatale


• dans le nucléaire– significative– majeure– grave– catastrophique

• dans l’industrie des lanceurs spatiaux– incident mineur– incident– incident grave


Sur le vocabulaire

• On évite le mot « panne » dans le vocabulairetechnique, à cause des ambiguïtés associées.

• En anglais,– faute ↔ fault– erreur ↔ error– défaillance ↔ failure


Les deux volets méthodologiquesde la SdF

Après les attributs de la SdF, nous avons• les méthodes de la SdF, qui permettent d’obtenir des

systèmes sûrs de fonctionnement• les techniques d’analyse, qui permettent de

– valider la SdF d’un système,– dimensionner,– comparer,– optimiser,– …


Sur les méthodes de la SdF

Il s’agit de• la prévention de fautes, c’est-à-dire, d’empêcher

l’occurrence de fautes, de diminuer la probabilité deleur apparition ;

• la tolérance aux fautes, c’est-à-dire, de diminuer laprobabilité de défaillance malgré la présenceéventuelle de fautes ;

• l’élimination des fautes, c’est-à-dire, de détecter,identifier et enlever les fautes du système.


• Ceci appartient au monde de l’ingénierie.• Les différentes méthodes de la SdF dépendent

fortement du domaine :– informatique, télécommunications, mécanique, aérospatial,

automobile, aéronautique, nucléaire, transports terrestres, ...


Les problèmes de coût

• Par exemple, en informatique :– le coût induit en France par les défaillances est supérieur aux

bénéfices de l’industrie informatique ;– ce coût est en croissance.

• En télécommunications,– le coût annuel dû aux défaillances d’un dispositif est estimé

à 20% de son coût de production.


Quelques exemples remarquablesde défaillances

• indisponibilité du réseau téléphonique interurbainaux US, le 20/1/1990

• blocage des opérations par carte bancaire en France,26-27/1/1993

• échec du premier vol d’Ariane 5, le 4/6/1996• catastrophe du Concorde, le 25/7/2000


L’analyse de la SdF

• c’est un composant fondamental de la conception desystèmes sûrs de fonctionnement ;

• les techniques d’analyse sont indépendantes dudomaine, donc générales ;

• l’objectif est la quantification de la SdF des systèmes ;• en général, cela se passe dans un contexte

probabiliste.


Les techniques d’analyse de la SdF

• On peut essayer de mesurer les attributs qui nousintéressent sur le système (qui doit être déjà construitet en opération).

• On peut évaluer ces attributs à partir d’un modèle, eten utilisant– la simulation,– les techniques numériques,– les techniques analytiques,– des combinaisons de ce qui précède.


Un cas particulier important :les systèmes critiques

• systèmes critiques : systèmes où les défaillancespeuvent entraîner des pertes en vies humaines

• ils ont de très hautes exigences en SdF d’où– difficultés pour leur mise en œuvre– difficultés supplémentaires pour leur analyse ou leur

validation

• par extension, sont dits critiques les systèmes ayantdes exigences de SdF similaires (par exemple, lessystèmes assurant les transactions bancaires)


Dans ce cours : analyse demétriques de SdF

• analyse de la SdF des systèmes à partir de modèles• considération de techniques d’analyse variées, avec

accent sur les techniques analytiques (car ellesapportent des informations structurelles en plus del’évaluation numérique cherchée).

Mots-clés :– probabilités et statistiques,– graphes, méthodes booléennes,– processus stochastiques, Markoviens, de renouvellement.


Trois types de modèles

• statiques– graphes probabilistes, arbres de défaillance– on calcule essentiellement la fiabilité du système (une proba.)

• dynamiques, systèmes non réparables– chaînes de Markov absorbantes, et extensions– on calcule la fiabilité à l’instant t,

la MTTF,etc.

• dynamiques, systèmes réparables– chaînes de Markov quelconques, et extensions– on calcule la fiabilité à l’instant t,

la disponibilité à l’instant t,etc.


Quelques métriques de base

Dans tous les cas, le système a deux états possibles : opérationnelou ok, et non opérationnel ou défaillant.

• modèles statiques– le temps ne joue pas de rôle explicite– on calcule R = Pr(système ok)

• modèles dynamiques, systèmes non réparables

ok

défaillant tempsT, durée de vie


– MTTF = E(T)– fiabilité à t = R(t) = Pr(système ok de 0 à t) = Pr(T > t)

• modèles dynamiques, systèmes réparables

ok

défaillant temps


– beaucoup de variabilité dans les métriques dans ce cas– métrique importante :

disponibilité ponctuelle à t = DP(t) = Pr(système ok à t)– on peut différentier deux situations ici :

• le système évolue toujours entre les états ok et défaillant,• tôt ou tard une défaillance impossible à réparer se produit, et alors le

système reste pour toujours défaillant

– cas particulier important : les périodes pendant lesquelles lesystème est ok sont iid, ainsi que celles où le système est défaillant

Documents

Introduction à la sûreté de fonctionnement (SdF) · G. Rubino, 2006 --- Introduction à la sûreté de fonctionnement 2/29 La notion de service •Les systèmes sont conçus pour