Model-checking de systèmes probabilistes

Indicateurs RAMS

La fiabilité d’un système est l’aptitude de ce système à accomplir une fonction requise dans des conditions données, pendant une durée donnée. La fiabilité se mesure par la probabilité que le système accomplisse la fonction requise pendant l’intervalle de temps donné. L’aptitude contraire représente la probabilité de défaillance, nommée parfois la défiabilité. À l’origine en 1960, la fiabilité était à elle seule la sciences des défaillances. L’histoire de l’analyse de risques et de la fiabilité est présentée dans Zio (2013). Le terme fiabilité permet également de désigner la valeur de la fiabilité. Ainsi, la fiabilité est la probabilité qu’une entité puisse accomplir une fonction requise, dans des conditions données, pendant un intervalle de temps donné. La disponibilité d’un système est l’aptitude de ce système à accomplir la fonction requise à un instant donné et dans des conditions données. La mesure de la disponibilité est donnée par la probabilité qu’une entité soit en état d’accomplir une fonction requise dans des conditions données à l’instant t. L’inverse de la disponibilité est l’indisponibilité.

La maintenabilité d’un système est l’aptitude d’un système à être maintenu et réparé dans un état dans lequel il peut accomplir la fonction requise. Elle est mesurée par la probabilité que la maintenance de l’entité s’achève à l’instant t, sachant que l’entité est défaillante à l’instant initial t0 = 0. L’évaluation de cette probabilité est liée à la manière dont la remise en état de fonctionnement est effectuée. La sécurité-innocuité est l’aptitude d’un système à accomplir sa fonction sans causer de lésions ou d’atteinte à la santé. Elle est définie comme l’absence de risque inacceptable. C’est la sécurité des personnes. Par extension, elle est définie comme l’aptitude d’une entité à éviter de faire apparaître des évènements critiques ou catastrophiques, c’est-àdire pouvant affecter les personnels et les équipements. L’étude de la sécurité-innocuité est essentielle lorsqu’il s’agit de systèmes critiques tels que les systèmes nucléaires, aérospatiaux, aéronautiques, ferroviaires et automobiles. On constate une certaine ambiguïté entre les mots sécurité et sûreté en français d’une part ; et les mots safety et security d’autre part. Elle est nommée « sécurité innocuité » (safety) afin de la distinguer de la « sécurité-immunité » qui est l’absence d’accès ou de manipulations non-autorisés de l’état du système (qui regroupe la disponibilité, la confidentialité et l’intégrité du système). La confidentialité d’un système est l’aptitude du système à assurer l’absence de divulgations non autorisées de l’information. L’intégrité d’un système est la capacité du système à assurer de l’absence d’altérations inappropriées du système.

Analyses qualitatives et quantitatives

Afin d’estimer la fiabilité d’un systène, l’analyse du système se déroule en deux phases : — l’analyse préliminaire des risques, et — l’analyse du comportement dysfonctionnel. La première phase d’analyse préliminaire des risques permet de formaliser la connaissance du système sur les risques de dysfonctionnement des composants. La méthode la plus fréquemment utilisée est l’AMDEC (Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité) qui fait l’objet de normes internationales, comme le standard IEC (812). L’AMDEC vise à répertorier les différents modes de défaillance de chaque composant, les causes associées à chaque mode de défaillance et leur criticité. La seconde méthode d’analyse qualitative la plus répandue est l’Analyse Préliminiare des Risques (APR). En parallèle de cette analyse qualitative du système, il est nécessaire de quantifier les probabilités de défaillances des composants, qui sont le plus souvent estimées grâce à des retours d’expérience (REX) ou des tests et essais spécifiques dans des laboratoires de test. La seconde phase d’analyse du comportement dysfonctionnel vise à exploiter la connaissance produite par la première, afin de comprendre le comportement dysfonctionnel du système. D’un point de vue qualitatif, elle cherche à déterminer les scénarios d’évènements conduisant à la défaillance du système ; tandis que, d’un point de vue quantitatif, il s’agit d’estimer les indicateurs probabilistes de la sûreté de fonctionnement (fiabilité, disponibilité, temps moyen avant la première défaillance (MTTF), etc.). L’analyse quantitative passe aussi par le calcul du _ équivalent du système. La valeur associée à un tel paramètre n’a de signification que pour la durée considérée et l’utiliser dans un modèle non exponentiel pour prédire la fiabilité au bout d’un temps différent n’a a priori aucun sens (Ringler (1988)).

Les défaillances peuvent être classifiées selon : la rapidité et l’importance de la défaillance (catalectique ou par dégradation) ; le type de manifestation (systématique ou aléatoire) ; les effets : (mineure ou bénigne, significative, critique ou catastrophique) ; les causes ; la date d’apparition : défaillance précoce ou par vieillissement (usure). La norme IEC 61508 (Bell (2006)) s’applique aux systèmes de sécurité électriques, électroniques 8 ou électroniques programmables et utilisant des techniques connexes dans le domaine industriel, destinés à exécuter des fonctions de sécurité. Elle définit le niveau de sécurité attendu pour le système (Safety Integrity Level, SIL). L’analyse qualitative cherche à comprendre le comportement du système tandis que l’analyse quantitative vise à évaluer le système. Ainsi, l’analyse qualitative étudie les mécanismes, les risques et les combinaisons ou séquences d’évènements conduisant le système à un évènement redouté, et l’analyse quantitative calcule de manière formelle des indicateurs probabilistes et des indicateurs de temps moyens. Une analyse qualitative des systèmes critiques s’appuie sur l’identification des combinaisons de composants dont le fonctionnement (resp. la défaillance) garantit que le système fonctionne (resp. défaille), nommées liens (resp. coupes). Afin d’estimer le niveau de confiance que nous pouvons accorder aux systèmes, la section suivante présente les techniques usuelles de modélisation des systèmes binaires 1.

Modélisation des systèmes

Les spécifications des systèmes industriels étaient écrites en langue naturelle par le passé. Toutefois, la langue naturelle ne permet pas d’automatiser la vérification et la validation de la cohérence entre les spécifications des systèmes. De plus, l’ambigüité inhérente des textes en langue naturelle complexifie l’inspection du modèle. Afin que la conception des systèmes industriels ne dépendent plus uniquement de documents textuels, des approches sont développées pour fournir des outils réactifs et adaptés au contexte industriel, ce qui explique l’essor de l’ingénierie basée sur les modèles (Lebeaupin (2017)). Le modèle d’un système est défini par IEEE (1990) comme étant une abstraction de celui-ci, visant à représenter un ou plusieurs aspects de sa structure et/ou de son comportement, sous une forme idéalisée et approximative. Les approches basées sur des modèles peuvent être divisées en deux catégories (Piètre-Cambacédès (2010)). D’une part, les modèles structurels font l’hypothèse de l’indépendance des composants et les principaux modèles structurels sont les diagrammes de fiabilité et les arbres de défaillances statiques. D’autre part, les modèles comportementaux offrent la possibilité de saisir l’influence du temps sur le système et les principaux modèles comportementaux sont les arbres de défaillances dynamiques, les chaînes de Markov et les réseaux de Petri. Les capacités de modélisation des modèles comportementaux sont plus puissantes que celles des modèles statiques, mais ces modèles sont également plus complexes à construire et analyser. Un système est défini comme statique par Birnbaum et al. (1961) lorsque son état chaque instant est uniquement déterminée par l’état de ses composants au même instant. Birnbaum et al. (1961) définit également la fonction de structure, qui est la relation entre la défaillance du système et la défaillance de ses composants. D’après le livre de Birolini (1999), un système est dit cohérent si :

— La fonction de structure du système dépend de l’état de tous les composants et

— La fonction de structure est monotone. Dans ce cas, il n’existe aucun état du système tel qu’à partir de cet état, la défaillance d’un composant puisse réparer le système. Dans la suite de nos travaux, les capacités et limites des modèles sont analysés en considérant leur aptitude à fournir la fonction de structure du système.

(G)BDMP Pour répondre au besoin de modélisation des systèmes de production d’énergie, Bouissou et Bon (2003) proposent les BDMPs (Boolean logic Driven Markov Processes) pour effectuer des analyses quantitatives des systèmes dynamiques réparables. Les BDMPs permettent de modéliser des systèmes dynamiques et réparables en alliant les avantages des théories booléennes et markoviennes. Il s’agit d’un arbre de défaillance simple, dont les feuilles ne sont plus associées à des variables booléennes mais à des processus de Markov afin de représenter un comportement dynamique localisé précis et de considérer des réparations et des défaillances à la sollicitation. De plus, le formalisme a la possibilité de décrire des mécanismes de commutation basiques puisqu’il utilise la primitive de gâchette dans les arbres de défaillance, aussi utilisée pour les portes FDEP des arbres de défaillances dynamiques. Ce modèle permet d’une part la représentation de la relation entre la sécurité-innocuité du système et la fiabilité de ses composants et d’autre part la modélisation des mécanismes de redondance complexes du système. L’implémentation de ce modèle sur la plateforme KB3 permet l’automatisation des études de sûreté de fonctionnement (Chaux (2013)). Ce formalisme a aussi été utilisé pour des applications à la sécurité informatique par Piètre- Cambacédès et al. (2011) et Kriaa (2016). Enfin, Piriou (2015) propose une extension nommée BDMP Généralisé (GBDMP) permettant de considérer les systèmes dynamiques, réparables et reconfigurables, et présente un prototype d’outil logiciel, SAGE, à l’usage de l’ingénieur expert en sûreté de fonctionnement. Piriou et al. (2019) utilisent la modélisation par GBDMP pour déterminer les séquences de coupe minimales des systèmes dynamiques, réparables et reconfigurables. De la même façon que la modélisation par arbres de défaillances réparables, la modélisation par BDMPs ne permet pas de représenter le comportement des systèmes par une modélisation propositionnelle comme la fonction de structure.

Table des matières

Introduction générale
1 État de l’art
1.1 Introduction
1.2 Sûreté de fonctionnement
1.2.1 Indicateurs RAMS
1.2.2 Analyses qualitatives et quantitatives
1.3 Modélisation des systèmes
1.3.1 Diagramme de fiabilité
1.3.2 Arbres de défaillances
1.3.2.1 Arbres de défaillances statiques
1.3.2.2 Arbres de défaillances dynamiques
Porte FDEP
Porte PAND
Porte SPARE
Porte SEQ
1.3.2.3 Arbres de défaillances flous
1.3.2.4 Arbres de défaillances réparables
1.3.2.5 (G)BDMP
1.3.3 Chaînes de Markov
1.3.4 Réseaux de Petri stochastiques
1.4 Étude de formules propositionnelles
1.4.1 Coupes, liens et implicants premiers
1.4.2 Formules propositionnelles
1.4.3 Satisfiabilité
1.4.3.1 SAT
1.4.3.2 SMT
1.5 Évaluation probabiliste
1.5.1 Fiabilité des composants
1.5.2 Fiabilité du système
1.5.2.1 Approches analytiques
Principe d’inclusion-exclusion
Model-checking de systèmes probabilistes : méthodes numé-riques
Diagrammes de décision binaire
Diagramme de Hasse
Analyse de fiabilité par calcul différentiel
1.5.2.2 Approches par simulation (simulation de Monte Carlo)
Arbres de défaillances dynamiques
Réseaux de Petri stochastiques
Model-checking de systèmes probabilistes : méthodes statistiques
1.6 Conclusion
2 Étude des systèmes modélisés par arbres de défaillances statiques grâce aux techniques de satisfiabilité
2.1 Introduction
2.2 Définitions
2.3 Fonction de structure
2.3.1 Expression booléenne des portes
Porte ET
Porte OU
Porte KooN
2.3.2 Dualisation de la fonction de structure
2.4 Diagramme de Hasse d’un système statique
2.5 Calcul des liens minimaux
2.5.1 Calcul des liens minimaux à partir d’un format DNF
2.5.2 Calcul des liens minimaux à partir d’un format CNF
Preuve
2.5.3 Calcul des liens minimaux à partir des coupes minimales
Preuve
2.6 Calcul de la fiabilité du système
2.6.1 Probabilité d’un monôme
2.6.2 Attribution des poids dans un diagramme de Hasse
2.6.3 Obtention du polynôme de fiabilité
2.7 Application
2.7.1 Application au système de secours d’un escalier mécanique
2.7.2 Application à une bibliothèque de systèmes industriels
2.7.2.1 Bibliothèque
2.7.2.2 Comparaison des résultats
2.7.2.3 Résumé
2.8 Conclusion
3 Étude des systèmes modélisés par arbres de défaillances dynamiques grâce aux techniques de satisfiabilité
3.1 Introduction
3.2 Définitions
3.3 Fonction de structure d’un système dynamique
3.3.1 Portes statiques
3.3.2 Portes dynamiques
3.3.2.1 Porte FDEP
3.3.2.2 Porte PAND
3.3.2.3 Porte SPARE
Porte SPARE sans composant partagé
Portes SPARE avec un composant redondant partagé
Portes SPARE avec entrées partagée et non partagée
Généralisation des portes Spare avec composants partagés
Redondance froide
3.3.3 Interactions entre les portes dynamiques
3.3.4 Obtention d’une fonction de structure booléenne
3.3.5 Gestion des équations conditionnelles
3.3.6 Suppression des opérateurs minimum et maximum
3.3.7 Suppression des variables non booléennes
3.3.8 Dualisation de la fonction de structure
3.4 Calcul des séquences de lien minimales
3.4.1 Définition des séquences de lien
3.4.2 Calcul des séquences de lien minimales
3.5 Calcul de la fiabilité
3.5.1 Diagramme de Hasse d’un système dynamique
Probabilité et redondance froide
Diagramme de Hasse et porte FDEP
Construction du diagramme de Hasse
3.5.2 Attribution d’un poids à chaque noeud
3.5.3 Obtention du polynôme de fiabilité
3.5.4 Calcul de probabilité d’un monôme
3.5.4.1 Calcul de probabilité d’un monôme sans variable de temps
3.5.4.2 Calcul de probabilité d’un monôme avec une variable de
temps
3.5.4.3 Calcul de probabilité d’un monôme avec plusieurs variables
de temps
3.5.5 Calcul de probabilité des variables de temps
3.6 Application
3.6.1 Fonction de structure
CPU
Gâchette
Moteurs
Pompes
3.6.2 Analyse de la fonction de structure
3.6.3 Obtention du polynôme de fiabilité
3.6.3.1 Analyse de l’unité CPU
3.6.3.2 Analyse de l’unité des moteurs
3.6.3.3 Analyse de l’unité des pompes
3.7 Conclusion

Cours gratuitTélécharger le document complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *