1.

Introduction

La sureté de fonctionnement est apparue comme une nécessité au cours du XXème, notam- ment avec la
révolution industrielle. Le terme dependability est apparu dans une publicité sur des moteurs Dodge Brothers
dans les années 1930. L’objectif de la sûreté de fonctionnement est d’atteindre le Graal de la conception de
système : zéro accident, zéro arrêt, zéro défaut (et même zéro maintenance). Pour pouvoir y arriver, il faudrait
tester toutes les utilisations possibles d’un produit pendant une grande p´période ce qui est impensable dans le
contexte industriel voire même impossible à réaliser tout court. La sûreté de fonctionnement est un domaine
d’activité qui propose des moyens pour augmenter la fiabilité et la sûreté des systèmes dans des d´élias et
avec des coûts raisonnables.
Qu’est-ce que la sûreté de fonctionnement
La sûreté de fonctionnement est souvent appel´eue la science des défaillances ; elle inclut leur connaissance,
leur évaluation, leur prévision, leur mesure et leur maîtrise. Il s’agit d’un domaine transverse qui n´nécessite
une connaissance globale du système comme les conditions d’utilisation, les risques extérieurs, les
architectures fonctionnelle et matérielle, la structure et fatigue des matériaux. Beaucoup devancé sont le fruit
du retour d’expérience et des rapports d’analyse d’accidents.
D´efinition 1 (SdF) La suˆret´e de fonctionnement (dependability, SdF) consiste `a ´evaluer les risques
potentiels, pr´evoir l’occurrence des d´efaillances et tenter de minimiser les cons´equences des situations
catastrophiques lorsqu’elles se pr´esentent.
D´efinition 2 (Laprie96) La suˆret´e de fonctionnement d’un syst`eme informatique est la pro- pri´et´e
qui permet de placer une confiance justifi´ee dans le service qu’il d´elivre.
Il existe de nombreuses d´efinitions, de standards (qui peuvent varier selon les domaines d’application - nucl
´eaire, spatial, avionique, automobile, rail . . . ). On peut n´eanmoins consid´erer que le Technical Committee
56 Dependability de l’International Electrotechnical Commission (IEC) d´eveloppe et maintient des standards
internationaux reconnus dans le domaine de la suˆret´e de fonctionnement. Ces standards fournissent les m
´ethodes et outils d’analyse, d’´evaluation, de gestion des ´equipements, services et syst`emes tout au long du
cycle de d´eveloppement.
 2. Historique
Le tableau ci-dessous présente un bref historique de la sûreté de fonctionnement.

P´eriode Accidents
Jusqu’aux ann´ees 30
Approche intuitive : renforcer l’´el´ement le plus Explosion poudri`ere (1794)
faible Premiers syst`emes parall`eles et redondants Accident chemin de fer (1842)
Approche statistique, taux de d´efaillance Titanic (1912). . .
Premi`eres estimation de probabilit´e d’accidents d’avion
Pugsley : premier objectif de safety
taux d’accident d’avion ≤ 10−5 per flight hour
Ann´ees 40
Analyse des missiles allemands V1 (Robert Lusser)
Loi de Murphy “If anything can go wrong, it will”
Quantification de la disponibilit´e
Ann´ees 50
Advisory Group on Reliability of Electronic Equipment (AGREE) Tcheliabinsk 40 (1957)
- R´eduction des couˆ ts de maintenance
- Augmentation de la fiabilit´e
- MTBF
Ann´ees 60
Analyses des modes de d´efaillance et de leurs effets Torrey Canyon (1967)
Programmes de recherche spatiaux
Arbre de d´efaillance (missile Minuteman)
Arbres des causes (Boeing - NASA)
Livres sur la fiabilit´e (ex. Barlow and Proschan)
Ann´ees 70
Analyse des risques
Collecte de donn´ees REX
Ann´ees 80 `a nos jours
Nouvelles techniques (simulation, r´eseaux de Petri,..) Mod Tchernobyl (1986)
´elisation Ariane V (1996)
DART (NASA, 2005)
Vol Rio Janeiro. . .

3. Les fondamentaux de la sûreté de fonctionnement

Quatre composantes
Le terme "sûreté de fonctionnement", inventé voici trente ans pour englober plusieurs concepts, n’a pas
d’équivalent exact en langue anglaise.
En France, la sûreté de fonctionnement regroupe quatre notions.

Fiabilité Maintenabilité Logistique

Disponibilité Sécurité

Sûreté de fonctionnement

 La fiabilité : aptitude d’un système à reste constamment opérationnel pendant une durée donnée.
 La maintenabilité : c’est l’aptitude d’un système à être remis rapidement dans un état opérationnel.
Ainsi les systèmes dont les composants sont très facilement démontables peuvent bénéficier d’une
meilleure maintenabilité que les autres.
 La disponibilité : aptitude d’un système à être opérationnel au moment où il est sollicité. C’est une
notion importante pour un appareil de sécurité tel qu'un disjoncteur par exemple.
Une disponibilité importante est compatible avec une fiabilité faible, pour peu que l’appareil puisse être
réparé très rapidement.

Disponibilité=MTBF/(MTBF+MTTR)

 La sécurité : c’est l’aptitude d’un système à ne pas connaître de pannes considérées comme
catastrophiques pendant une durée donnée.
On trouvera aussi l’acronyme FMDS pour désigner la sûreté de fonctionnement (comme fiabilité,
maintenabilité, disponibilité et sécurité).

Les Anglo-Saxons utilisent le terme dependability, qui recouvre la fiabilité (reliability), la disponibilité
(availability) et la maintenabilité (maintainability). La sécurité est traitée à part.
Abusivement, on assimile le mot "dependability" à "sûreté de fonctionnement". On préfèrera le terme anglais
de RAMS (pour reliability, availability, maintainability and safety).

Le but de la sûreté de fonctionnement

La sûreté de fonctionnement est une notion générique qui mesure la qualité de service délivré par un système,
de manière à ce que l’utilisateur ait en lui une confiance justifiée.

Cette confiance justifiée s’obtient à travers une analyse qualitative et quantitative des différentes propriétés
du service délivré par le système, mesurée par les grandeurs probabilistes associées : fiabilité, maintenabilité,
disponibilité, sécurité.
Quelques indicateurs
Certains indicateurs vont caractériser le fonctionnement prévu du système, tels que le MTTF, le MDT et le
MUT.
 Le MTTF (Mean Time To [first] Failure) est l’estimation de la durée moyenne s’écoulant entre la
mise en service du système et la survenance de la première panne.
 Le MDT est le temps moyen séparant la survenance d’une panne et la remise en état opérationnel du
système. Il se décompose en plusieurs phases :
- durée de détection de la panne (1) ;
- durée de diagnostic de la panne (2) ;
- durée d’intervention jusqu’au début de la réparation (3) ;
- durée de la réparation (4) ;
- durée de remise en service du système (5).
- Le MUT est le temps moyen qui sépare une remise en service opérationnelle du système de la
survenance de la panne suivante.
Ces deux derniers indicateurs ne sont pertinents que dans le cas de systèmes réparables. Leur somme
MUT+MDT représente le temps moyen qui sépare deux pannes consécutives du système. On le note MTBF,
comme Mean Time Between Failures.

1er défaillance 2eme défaillance

Remise en service

MTTF MDT MUT Temps

MTBF
MTTR Remise en service
34
12 5

Detection DébutFin
de laDiagnosticde lade la panneréparation réparation

4. Les études de sûreté de fonctionnement

Elles constituent un préalable indispensable
à la conception d’un système voulu sûr, et permet d’aider à la décision en :
 comprenant et identifiant les risques ;

 optimisant l’architecture et comparant des solutions différentes ;

 optimisant les moyens de soutien en comparant des solutions ;

 justifiant les choix de façon rationnelle et démontrée ;

Comprendre et identifier les risques, envisager les conséquences

Définir les objectifs de sécurité et de disponibilité
Analyse des besoins

Ajuster la politique de maintenance

Cahier des charges Sûreté de fonctionnement

Evolution
Aider à la rédaction du cahier des charges sur les parties critiques

Définir les opérations de maintenance préventive

Dimensionner les stocks de pièces de rechange

Conception Exploitation
Quantifier, comparer et optimiser les solutions

 vérifiant la bonne atteinte des objectifs de sûreté de fonctionnement.

Elle peuvent aussi aider à l’optimisation en :

 diminuant le nombre de pannes qui seront observées durant la vie du système ;

 optimisant économiquement la conception par le dimensionnement des équipements et des

architectures au "juste nécessaire" ;

 rendant la maintenance plus ciblée et plus efficace ;

 dimensionnant au plus juste les moyens de soutien nécessaires (stocks de pièces de rechange).

Etape par étape

La première étape consiste à analyser rigoureusement le besoin pour comprendre et identifier l’ensemble des
risques, et envisager leurs conséquences. Ensuite, des niveaux d’acceptabilité sont attribués pour ces risques
(on parle d’objectifs de F, M, D et/ou S selon les systèmes).
L’identification précise de ces risques va aider à la rédaction du cahier des charges du système, précisément
sur ses parties critiques.
Il faudra alors imaginer des solutions techniques, des architectures adaptées qui, toutes, seront quantifiées
d’un point de vue sûreté de fonctionnement, comparées entre elles et, si nécessaire, optimisées.
Une fois la solution retenue, il sera nécessaire de préciser les conditions d’une exploitation la plus efficace
possible en :

 définissant les opérations de maintenance préventive nécessaires pour maintenir les caractéristiques de
sûreté de fonctionnement au niveau voulu, sans dégradation des équipements préjudiciable à l’une des
quatre composantes ;

 dimensionnant les stocks de pièces de rechange au plus juste, sans dégrader la disponibilité du
système.

Etudes périphériques
Cette recherche de l’optimisation des tailles de stocks de pièces de rechange (suffisamment de pièces en
regard de l’aptitude du système à tomber en panne, mais pas trop de pièces pour éviter des immobilisations
financières inutiles) a fait l’objet d’études particulières où ce souci d’optimisation est couplé avec une
démarche analogue sur :

 la maintenance des équipements (pas trop fréquemment pour ne pas gréver la disponibilité
du système, mais suffisamment pour ne pas laisser se développer une dérive importante de la fiabilité) ;

 l’ordonnancement des transports de pièces (par route, mer ou avion).

Il en résulte une méthodologie d’approche globale, appelée soutien logistique intégré, complémentaire aux
études de sûreté de fonctionnement dans les milieux industriels.
Ainsi il en est de même de la compatibilité électro- magnétique, science qui s’intéresse aux influences
réciproques des équipements susceptibles d’émettre des ondes et ainsi de perturber le fonctionnement
d’autres appareils physiquement proches ou reliés.

En pratique
L’étude de sûreté de fonctionnement comporte deux volets complémentaires :

 une analyse fonctionnelle, qui va détailler la manière dont le système va opérer dans toutes ses phases
de vie ainsi que les autres systèmes avec lesquels il va pouvoir interagir ;

 une analyse dysfonctionnelle, qui vise à imaginer l’ensemble des défaillances pouvant survenir
n’importe où dans le système, seules ou combinées entre elles, et à analyser l’impact de ces pannes.
 Analyse Fonctionnelle Analyse Dysfonctionnelle

Modélisation

Comprendre le dysfonctionnement
Comprendre
le fonctionnement
Réduire les coûts Tolérer les fautes
d'exploitation
=
Réduire les risques

Les résultats de ces deux études sont mis en commun dans une modélisation du système qui va représenter
virtuellement celui-ci avant sa réalisation, tant dans son fonctionnement attendu que dans les pannes
susceptibles de lui arriver.

Etre en B
Etre indisponible
Etat B
Défaillance sûre fonctionnement
incorrect non
dangereux

Rester e =n A Réparation
Etat A
Etre fonctionnement
Fiable
correct

Etre en C = Dangereux
Défaillance "non sûre" Etat C
fonctionnement
incorrect et
dangeureux

En étudiant cette modélisation, il devient alors possible de valider ou invalider une solution technique,
optimiser des choix architecturaux, remplacer des composants critiques, ceci dans le but de :

 réduire au maximum les risques ;

 réduire au maximum les coûts d’exploitation ;

 tolérer, dans la mesure du possible, certaines fautes en autorisant un fonctionnement en mode dégradé
sous certaines conditions.
 Les outils utilisés
Pour l’analyse fonctionnelle, les principaux outils utilisés sont les suivants :

 SADT (system analysis and design technique) : c’est une méthode d'analyse par niveaux successifs
d'approche descriptive d'un ensemble, quel qu'il soit. On peut l’appliquer aussi bien à la gestion d'une
entreprise qu'à un système automatisé.

 BDF (blocs diagrammes fonctionnels) : méthode de découpage fonctionnel du système.

 Méthode MISME : cette méthode considère l’ensemble des composants du système avec leurs
interactions, ainsi que les milieux environnants.
Pour l’analyse dysfonctionnelle, on peut recourir à :

 l’analyse préliminaire des risques (APR), qui fournit l’ensemble des événements redoutés
prévisionnels dans toutes les phases de vie du système (de la conception au rebut, en passant par la
mise en service, l’exploitation et la maintenance) ;

 l’AMDEC (analyse des modes de défaillance, de leurs effets et de leur criticité) : cette méthode
exhaustive examine les potentialités de dysfonctionnements de chacun des éléments composant le
système, à un niveau de détail choisi à l’avance. Elle permet de quantifier la probabilité d’apparition
de ladite défaillance et de classer ses effets par ordre de gravité ; la combinaison de ces deux
estimations fournissant la criticité de l’élément
retenu. A l’issue de cette phase, et pour les éléments les plus critiques, il sera procédé à une fiabilisation, ou
bien à l'adjonction d'un dispositif de réduction du risque ;

 l’AEEL (analyse des effets des erreurs logicielles) : cette méthode est l’adaptation au logiciel de la
méthode AMDEC décrite ci-dessus, le programme étant lui-même décomposé en parties élémentaires
de taille prédéfinie.
Enfin, pour modéliser le système ainsi analysé, on utilise :

 Les arbres de défaillance : en partant d’un événement redouté bien identifié (dit "de tête"), on
détermine les sous-événements qui peuvent conduire à l’événement de tête
- soit par survenance simultanée (il est nécessaire que tous les sous-événements se réalisent pour que
l’événement de tête se réalise (on parle de porte ET),
- soit par survenance d'un quelconque sous- événement (porte OU).
Chacun des sous-événements est lui-même décomposé ensuite de la même manière, jusqu’à obtenir des
éléments suffisamment simples pour estimer directement leur probabilité d’apparition (on parle d’événements
de base). En recombinant les probabilités d’apparition de tous les événements de base grâce au schéma
logique de l’arbre de décomposition (algèbre booléenne/théorème de Poincaré), on en déduit la probabilité
d’apparition de l’événement de tête. Pour les calculs correspondants, on peut utiliser les arbres de décision
binaires (binary decision diagrams).
Ce formalisme utilise les propriétés de la décomposition de Shannon pour simplifier fortement la structure de
l’arbre avant de réaliser les calculs eux-mêmes. Un formalisme qui peut s’avérer utile lorsque le modèle en
arbre de défaillances d’un système devient très important.

 Les graphes de Markov : ici, ce sont les différents états du système qui sont représentés. On suppose
que le passage d’un état du système à l’autre survient aléatoirement, ou classiquement par la
défaillance d’un élément, ou à la fin de la réparation d’un autre élément. Connaissant l’état initial du
système, on peut en déduire soit la probabilité d'être dans un état donné après une durée déterminée,
soit la probabilité moyenne d'être dans un état donné tout au long de sa durée de vie utile.

 Les réseaux de Petri stochastiques : cette technique s’apparente à celle des graphes de Markov décrite
ci-dessus, à la différence que les transitions entre les différents états peuvent suivre des lois de
probabilité autres que la loi exponentielle classique. D’autres caractéristiques permettent de
synchroniser différentes transitions. Le prix à payer étant la nécessité de simuler le fonctionnement du
système par des méthodes de Monte Carlo puisque le calcul analytique n’est quasiment jamais
possible. Par ailleurs, pour les systèmes très fiables, les temps de simulation peuvent devenir
rédhibitoires lorsqu’on cherche à quantifier leurs différentes probabilités de défaillances. Il existe une
abondante littérature sur les diverses techniques actuelles d’accélération des simulations pour ce type
de systèmes.

 En complément, les langages formels (LUSTRE, B) permettent de réaliser des études de preuve
formelle sur des logiciels embarqués temps réel.

5. Le taux de défaillance :
Définition
Le taux de défaillance est un indicateur de fiabilité qui représente :
soit le nombre de défaillances par unité d'usage : c'est le taux de défaillance moyen :

λ=Nomber de défaillances
Durée d’usage

soit la fonction λ (t) qui représente la probabilité d'apparition défaillance équipement à l'instant t : c'est le
taux de défaillance instantané. Par conséquent, l'appareil considéré est encore en fonctionnement à
l'instant t.

Le taux de défaillance s’exprime le plus souvent en pannes / heure

La courbe en baignoire
L'allure générale des variations de la fonction λ (t) équipement au long de sa durée de vie est une courbe en
forme de baignoire. Cette évoluions est fréquemment vérifiée sur les systèmes industriels.
La courbe met en évidence 3 périodes distinctes :
① La période de jeunesse, caractérisée par des défaillances précoces
② La période de maturité, caractérisée par des défaillances aléatoires et un taux de défaillance
sensiblement constant
③ La période de vieillesse, ou d’usure, caractérisée par un taux de défaillance croissant jusqu'à
obsolescence

1. Les attributs de sureté de fonctionnement pour les lois usuelle