Aide à la conception des systèmes embarqués sûrs de fonctionnement

Aide à la conception des systèmes embarqués sûrs de fonctionnement

Sûreté de fonctionnement, concepts et méthodes

Cette section est une synthèse des principaux concepts de base de la sûreté de fonctionnement. Un bref rappel est donné de toutes les notions définies dans [Laprie & al, 1996], [Laprie & al, 2004] et [Villemeur, 1988]. Le lecteur pourra se référer à ces travaux. Il y trouvera une vue plus détaillée de l’ensemble du domaine.

Concepts de la sûreté de fonctionnement

La sûreté de fonctionnement regroupe les activités d’évaluation de la fiabilité, de la maintenabilité, de la disponibilité et de la sécurité (FMDS) d’une organisation, d’un système, d’un produit ou d’un moyen. Ces évaluations permettent, par comparaison aux objectifs ou dans l’absolu, d’identifier les actions de construction (ou amélioration) de la sûreté de fonctionnement de l’entité. Ces évaluations sont prédictives et reposent essentiellement sur des analyses inductives ou déductives des effets des pannes, dysfonctionnements, erreurs d’utilisation ou agressions de l’entité. La sûreté de fonctionnement (SDF) est un ensemble d’outils et de méthodes qui permettent, dans toutes les phases de vie d’un produit, de s’assurer que celui-ci va accomplir la (les) mission(s) pour laquelle (lesquelles) il a été conçu, et ce, dans des conditions de fiabilité, de maintenabilité, de disponibilité et de sécurité bien définies. La SdF doit être prise en compte tout au long du cycle de vie du produit. Villemeur [Villlemeur, 1988] définit la sûreté de fonctionnement comme la science des défaillances. Elle inclut ainsi leur connaissance, leur évaluation, leur prévision, leur mesure et leur maîtrise. Au sens strict, elle est l’aptitude d’une entité à satisfaire une ou plusieurs fonctions requises dans des conditions données. Selon [Laprie & al, 2004], la sûreté de fonctionnement d’un système est son aptitude à délivrer un service de confiance justifiée. Cette définition mettant l’accent sur la justification de la confiance, cette dernière peut être définie comme une dépendance acceptée, explicitement ou implicitement. La dépendance d’un système vis-à-vis d’un autre système est l’impact, réel ou potentiel, de la sûreté de fonctionnement de ce dernier sur la sûreté de fonctionnement du système considéré. La sûreté de fonctionnement peut être définie par les attributs suivants : La fiabilité : au sens strict, c’est la probabilité qu’une entité fonctionne sur l’intervalle de temps [0,t]. Elle représente l’aptitude de l’entité à satisfaire une fonction requise dans des conditions données La maintenabilité : au sens strict, c’est la probabilité que la maintenance d’une entité défaillante soit achevée à un instant t sachant que la défaillance s’est produite à l’instant t=0. C’est l’aptitude d’une entité à être maintenue ou remise en état de fonctionnement, état dans lequel elle peut accomplir une fonction requise. La disponibilité : au sens strict, c’est la probabilité qu’un composant ou un système soit en état de marche à un instant donné t. Elle représente l’aptitude d’une entité à être en état d’accomplir une fonction requise. La sécurité-innocuité : C’est l’aptitude d’un produit à respecter, pendant toutes les phases de vie, un niveau acceptable de risques d’accident susceptible d’occasionner une agression du personnel ou une dégradation majeure du produit ou de son environnement. Elle représente l’absence de conséquence catastrophique pour l’environnement. Pour [Laprie, 1996], la sûreté de fonctionnement a pour objectif de spécifier, concevoir, réaliser et exploiter des systèmes où la faute est naturelle, prévue et tolérable. Elle est alors la propriété qui permet à ses utilisateurs de placer une confiance justifiée dans le service qu’il leur délivre.

Quelques définitions Défaillance

C’est la cessation d’une entité à accomplir une fonction requise. En fonction de ses effets une défaillance peut être mineure, significative, critique ou catastrophique. En fonction de ses causes, une défaillance peut être première, seconde ou de commande. Modes de défaillance C’est l’effet par lequel la défaillance est observée, la manière dont la défaillance apparaît. C’est la forme perceptible du dysfonctionnement d’un produit ou d’une opération. Causes de défaillance Les causes entraînent les défaillances et peuvent dépendre de circonstances liées à la conception, la fabrication et/ou à l’emploi. Les causes d’une défaillance peuvent être internes ou externes à l’entité. Effets d’une défaillance Pour chaque mode de défaillance recensé, il correspond les effets (conséquences sur la fonction du produit) chez le client en termes d’insatisfaction ou de non-conformité (le client peut être l’utilisateur final du produit ou de l’opération suivante du processus). Reconfiguration Une reconfiguration est l’action de modifier la structure d’un système qui a défailli (figure I.1), de telle sorte que les composants non défaillants permettent de délivrer un service acceptable bien que dégradé (fonctionner en mode dégradé, c’est tenter de fournir le service jugé indispensable, en manquant de ressources complètes ou fiables). L’exemple de la figure I.1 représente un système reconfigurable. En effet, le switch permet de reconfigurer le système en utilisant la ressource secours en cas de défaillance de la ressource primaire.

Méthodes d’analyse de la sûreté de fonctionnement

L’évaluation de la sûreté de fonctionnement d’un système consiste à analyser les défaillances des composants pour déterminer leurs causes et estimer leurs conséquences sur le service rendu par le système. L’analyse de sûreté de fonctionnement peut être qualitative et/ou quantitative. Les principales méthodes sont réalisées suivant deux types de raisonnement logique (figure I.2) : Approche inductive : raisonnement du particulier au général. Dans ce cas, on recherche les effets d’une défaillance sur le système ou son environnement. approche déductive : raisonnement du général au particulier. Dans ce cas on suppose que le système est défaillant et on recherche les causes possibles de la défaillance Causes Effets Analyse inductive Analyse déductive Figure I.2. Différents raisonnements logiques Dans la partie qui va suivre nous allons passer en revue les principales méthodes classiques d’analyse de sûreté de fonctionnement. Mais avant cela nous présentons d’abord l’analyse fonctionnelle qui est une étape nécessaire pour toute étude de sûreté de fonctionnement.

L’analyse fonctionnelle

Pour analyser les défaillances d’un système, il est nécessaire auparavant de bien identifier à quoi doit servir ce système : c’est à dire de bien identifier toutes les fonctions que ce système doit remplir durant sa vie de fonctionnement et de stockage. D’après la norme (AFNOR NF X 50-1), l’analyse fonctionnelle est une démarche qui consiste à rechercher, ordonner, caractériser, hiérarchiser et / ou valoriser les fonctions du produit (matériel, logiciel, processus, service) attendues par l’utilisateur. Une fonction est l’action d’un élément constitutif d’un système exprimée exclusivement en terme de finalité (par ce qu’il « fait »). Chaque fonction doit être exprimée, formulée, par un verbe à l’infinitif suivi d’un ou plusieurs compléments. L’analyse fonctionnelle est utilisée au début d’un projet pour créer (conception) ou améliorer (reconception) un produit. Elle est un élément indispensable à sa bonne réalisation. On détermine donc, par exemple, les fonctions principales, les fonctions secondaires et les fonctions contraintes d’un produit. Il est important de faire ce recensement afin d’effectuer un dimensionnement correct des caractéristiques du produit. Une analyse fonctionnelle, précède donc une étude de sûreté de fonctionnement. Une première analyse fonctionnelle dite externe permet de définir avec précision les limites matérielles du système étudié, les différentes fonctions et opérations réalisées par le système ainsi que les diverses configurations d’exploitation. L’analyse fonctionnelle interne permet de réaliser une décomposition arborescente et hiérarchique du système en éléments matériels et/ou fonctionnels. Elle décrit également des fonctions dans le système.

L’Analyse Préliminaire des Risques

L’Analyse Préliminaire des Risques (APR) est une extension de l’Analyse Préliminaire des Dangers (APD). Elle est réalisée après l’analyse fonctionnelle. Elle a pour but d’établir une liste Chapitre 1 Sûreté de fonctionnement des systèmes embarqués 22 aussi exhaustive que possible des incidents ou accidents pouvant avoir des conséquences sur la sécurité du personnel ou du matériel [Villemeur, 1988]. Un autre objectif de L’APR est d’évaluer la gravité des conséquences liées aux situations dangereuses et les accidents potentiels. La méthode permet de recenser les dangers et déduire ensuite tous les moyens et toutes les actions correctrices permettant d’éliminer ou de maîtriser les situations dangereuses et les accidents potentiels. Il est recommandé de commencer l’APR dès les premières phases de la conception. Cette analyse sera vérifiée et complétée au fur et à mesure de l’avancement dans la réalisation de système. L’APR permet de mettre en évidence les événements redoutés critiques qui devront être analysés en détail dans la suite de l’étude de sûreté de fonctionnement, en particulier par la méthode des arbres de défaillances.

Table des matières

Introduction générale
Chapitre 1 : sûreté de fonctionnement des systèmes embarqués
I Introduction
II Sûreté de fonctionnement, concepts et méthodes
II.1 Concepts de la sûreté de fonctionnement
II.2 Quelques définitions
II.3 Méthodes d’analyse de la sûreté de fonctionnement
II.3.1 L’analyse fonctionnelle
II.3.2 L’Analyse Préliminaire des Risques
II.3.3 Analyse des Modes de Défaillance, de leurs Effets et de leurs Criticités
II.3.4 Les Arbres de Défaillances
II.3.5 Diagramme de Fiabilité
III Sûreté de fonctionnement des systèmes embarqués
III.1 Système embarqué
III.2 Fiabilité dynamique
III.3 Problématique de sûreté de fonctionnement et fiabilité dynamique
IV Méthodes et outils pour la fiabilité dynamique
IV.1 Modélisation des systèmes pour des études de SDF
IV.1.1 Langage de modélisation AltaRica
IV.1.2 Langage AADL
IV.2 Arbre de défaillance haut niveau
IV.3 Méthode des graphes de flux dynamiques
IV.4 Boolean logic Driven Markov Process (BDMP)
IV.5 Motifs formels d’architectures de systèmes pour la SDF
IV.6 Graphe de Markov agrégé pour la fiabilité dynamique
IV.7 Simulation de Monte Carlo
IV.8 Recherche de scénarios redoutés
V Conclusion
Chapitre 2 : Sûreté de fonctionnement et processus d’ingénierie système
I Introduction
II La norme EIA-632
II.1 Structure d’un système selon l’EIA-632
II.2 Processus de l’EIA-632
III Prise en compte de la sûreté de fonctionnement
III.1 Problématique
III.2 Approche d’intégration
IV Traduction des exigences de l’EIA-632 en exigences de SDF
IV.1 Les processus de conception
IV.1.1 Le processus de définition des exigences
IV.1.2 Le processus de définition de la solution logique
IV.2 Les processus d’évaluation technique
IV.2.1 Le processus d’analyse du système
IV.2.2 Le processus de validation des exigences
IV.2.3 Processus de vérification du système
V Mise en œuvre de l’approche
V.1 Les exigences de sécurité
V.2 La modélisation des exigences et la solution logique
V.3 L’analyse de risque
V.4 La validation
VI Conclusion
Chapitre 3 : Approche de modélisation
I Introduction
II Les réseaux de Petri
II.1 Rappel sur les réseaux de Petri
II.2 RdP t-temporels
II.3 Réseaux de Petri de haut niveau
II.4 Réseaux de Petri Prédicats Transitions Différentiels
III Les réseaux de Petri et le paradigme Orienté Objets
III.1 Approches d’intégration des réseaux de Petri et du paradigme OO
III.1.1 Objets dans les réseaux de Petri
III.1.2 Réseaux de Petri dans les objets
III.1.3 Approches mixtes
III.2 Les réseaux de Petri Prédicats Transitions Différentiels Orientés Objets
III.2.1 Modélisation des classes et des objets
III.2.2 Communication entre objet
III.2.3 Communication avec l’environnement externe
III.3 RdP Prédicats Transitions Différentiels Stochastique OO
IV Construction d’un modèle pour la fiabilité dynamique
IV.1 Langage UML
IV.2 Principe de l’approche
IV.2.1 Etape 1 : construction du modèle fonctionnel
IV.2.2 Etape 2 : modèle dysfonctionnel et états redoutés
V Conclusion
Chapitre 4 : Définition et propriétés des scénarios avec la logique linéaire
I Introduction
II Réseau de Petri et logique linéaire
II.1 Règle de transformation
II.2 Preuve d’un séquent
II.3 Equivalence entre RdP et logique linéaire
II.4 Preuve de séquent et arbre de preuve annoté
III Notion de scénario
III.1 Evénements et ensembles d’événements
III.2 Scénario
III.2.1 Cas des réseaux de Petri ordinaires
III.2.2 Cas des réseaux de Petri temporels
IV Conditions suffisantes
IV.1 Ensemble suffisant
IV.2 Remarque sur l’équation caractéristique
IV.3 Scénario suffisant
IV.3.1 Cas des réseaux de Petri ordinaires
IV.3.2 Cas des réseaux de Petri temporels
IV.3.3 Ensemble nécessaire
V Minimalité
V.1 Minimalité dans le cas des marquages initiaux et finaux fixés
V.1.1 Ensemble minimal
V.1.2 Scénario minimal
V.1.2.1. Cas des réseaux de Petri ordinaires
V.1.2.2. Cas des réseaux de Petri temporels
V.2 Marquages initiaux et marquages finaux partiellement connus
V.2.1 Marquages initial et final minimaux
V.2.2 Coupe minimale associée à l’état redouté
V.2.3 Scénario minimal associé à une coupe minimale
V.2.4 Algorithme de filtrage des scénarios minimaux
VI Complétude
VII Conclusion
Chapitre 5 : Approche orientée objets pour la génération de scénarios redoutés
I Introduction9
II Méthode de recherche des scénarios redoutés
II.1 Principe de la méthode
II.2 Etapes de la méthode
II.2.1 Détermination des états normaux
II.2.2 Détermination des états cibles
II.2.3 Raisonnement en arrière
II.2.4 Raisonnement avant
II.3 Raisonnement dans un contexte inconnu
II.3.1 Différents conflits de transitions
II.3.2 Différents enrichissements de marquage
II.3.3 Mécanisme de contrôle de la cohérence5
III Nouvelle version de l’algorithme de recherche de scénarios
III.1 Structures de données
III.1.1 Données d’entrée
III.1.2 Données internes
III.1.3 Données de sortie
III.2 Les procédures utilisées
III.2.1 Tirer Transition
III.2.2 Enrichir Marquage
III.2.3 Mémoriser contexte
III.2.4 Cohérence Marquage
III.3 Algorithme
IV Complétude (état initial minimal et état final minimal)
V Exemple d’application
V.1 Description générale
V.2 Fonctionnement du système
V.3 Composition du système
V.4 Exigences de sécurité
V.5 Analyse de risque
V.6 Modélisation du système et solution logique
V.6.1 Diagramme de cas d’utilisation
V.6.2 Diagramme de collaboration
V.6.3 Classe du système
V.6.4 Classe trappe
V.6.5 Classe électrovanne
V.6.6 Classe électrovanne de secours
V.7 Application de la méthode
V.7.1 Détermination des états normaux
V.7.2 Détermination des états cibles
V.7.3 Raisonnement arrière
V.7.4 Raisonnement avant
VI Conclusion
Chapitre 6 : Algorithme hybride pour la génération de scénarios redoutés
I Introduction
II Approximation de la partie continue
II.1 Linéarisation d’automates hybrides
II.2 La méthode d’abstraction de Hélias
II.3 Abstraction des dynamiques continues par réseau de Petri temporel flou
III Approche Hybride de génération de scénarios redoutés
III.1 Première étape (simulation de Monte Carlo)
III.2 Deuxième étape (algorithme hybride de recherche de scénarios redoutés)
III.3 Exemple d’application
III.3.1 Présentation
III.3.2 Modèle du système
III.3.3 Hypothèses de dysfonctionnement
III.3.4 Simulation et recherche de scénarios
IV Conclusion
Conclusion générale
Bibliographie
Annexe