Intro A La SDF

Introduction la
sret de fonctionnement
(SdF)
G. Rubino, 2006 --- Introduction la

1/29
La notion de service
Les systmes sont conus pour fournir leurs
utilisateurs un service selon des spcifications.
La sret de fonctionnement (SdF) concerne la relation
entre service spcifi et service effectivement observ.
Le systme est dfaillant linstant t si le service
rendu ou observ cet instant nest pas tel que
spcifi.
On appelle dfaillance lvnement changement de
service faisant que dun systme en accord avec les
spcifications on passe un systme dfaillant.
2/29
La trilogie faute/erreur/dfaillance
Une faute est la consquence dune dfaillance (en
gnral humaine) lors de la conception du systme.
Une erreur est un tat atteint par le systme qui
navait pas t spcifi, un tat que le systme ntait
pas suppos datteindre.
On a une erreur parce quil y a une faute (ou
plusieurs). On a une dfaillance parce quil y a une
erreur (ou plusieurs).
On a limplication (potentielle)
faute erreur dfaillance
3/29
Exemple
Considrons le code suivant :
int a, b, x, y, k, ...
...
if (a == b) {
...
x = a - b;
}
if (k == 1) y /= x;

4/29
Supposons que linstruction `x = a - b;soit une

faute (il fallait crire, disons, `x = a + b;).
Si lors dune excution, a et b ne sont pas gaux
chaque fois que ce bloc est excut, il ny aura peuttre pas derreur (malgr la prsence de la faute).
Dans le cas contraire, si k ne prend pas la valeur 1
lors de cette excution, il ny aura pas de dfaillance
(malgr lerreur).
Dans le cas contraire, on divise par 0 et on a
effectivement une dfaillance.
5/29
Second exemple
Systme : le code dans un nud (commutateur,
routeur, ) dun rseau de tlcommunications.
Dans ce code, le programmeur a crit `i = 0;au
lieu de `i = 1;, qui tait linstruction correcte.
Il y a donc une faute dans le systme.
A un moment particulier, lordinateur excute cette
instruction, et, suite un certain calcul, un tampon
est dimensionn 10 au lieu dtre dimensionn
100 ; on a donc une erreur.
6/29
Les conditions dutilisation du rseau font

quexceptionnellement, ce jour-l, la charge est telle
que le tampon reoit un trafic trop important. Il y a
alors trop de pertes (plus que les niveaux maximaux
spcifis) : on a une dfaillance.
Noter la non implication certaine de lerreur aprs la
faute, ni de la dfaillance aprs lerreur.

7/29
Le caractre conventionnel
de la notion de dfaillance
La notion de dfaillance dpend des spcifications du
service, ce qui est essentiellement conventionnel.
Dans le cas prcdent, si lon dcide de tolrer plus
de pertes que dans la spcification originale, il peut
se produire que malgr la faute et lerreur, il ny ait
pas de dfaillance.

8/29
Un autre exemple :
les clients dun rseau deviennent plus exigeants,
et si hier ils supportaient un dlai moyen T, la
concurrence peut faire que le critre devienne :
dlai moyen T/4 ;
donc, sans que le systme ait chang, on peut se
retrouver face des dfaillances auparavant
inexistantes.

9/29
Sret de fonctionnement
La sret de fonctionnement (SdF) dun systme est la
proprit qui permet ses utilisateurs de placer une
confiance justifie dans le service quil leur dlivre.
Elle est perue travers diffrents attributs :
la fiabilit,
la disponibilit,
la maintenabilit,
la scurit-innocuit,
la confidentialit et lintgrit.

10/29
Attributs quantifiables
La fiabilit mesure la continuit du service (correct).
La disponibilit mesure le fait que le service (correct)
soit prt pour lutilisateur.
La maintenabilit mesure laptitude rparer (et
faire voluer) les systmes.
La scurit-innocuit mesure la non-occurrence de
consquences catastrophiques des dfaillances.
Lanalyse quantitative de ces attributs est
fondamentale pour la conception des systmes, pour
leur maintenance, leur volution, etc.
11/29
Attributs difficilement
quantifiables
La scurit-confidentialit concerne la nonoccurrence de divulgations non autorises de
linformation.
La scurit-intgrit concerne la non-occurrence
daltrations de linformation.

12/29
Raffinements
Toutes ces notions ont de nombreux raffinements :
fautes physiques et fautes humaines
fautes humaines accidentelles et fautes humaines
intentionnelles
fautes transitoires (ou temporaires) et fautes
permanentes
erreurs latentes et erreurs dtectes
dfaillances totales et dfaillances partielles
...
13/29
Exemples de dclinaisons
du concept de dfaillance
en aronautique civile
mineure
majeure
dangereuse
catastrophique
dans lautomobile
mineure
majeure
srieuse
fatale
14/29
dans le nuclaire
significative
majeure
grave
catastrophique
dans lindustrie des lanceurs spatiaux

incident mineur
incident
incident grave

15/29
Sur le vocabulaire
On vite le mot panne dans le vocabulaire
technique, cause des ambiguts associes.
En anglais,
faute fault
erreur error
dfaillance failure

16/29
Les deux volets mthodologiques

de la SdF
Aprs les attributs de la SdF, nous avons
les mthodes de la SdF, qui permettent dobtenir des
systmes srs de fonctionnement
les techniques danalyse, qui permettent de
valider la SdF dun systme,

dimensionner,
comparer,
optimiser,

17/29
Sur les mthodes de la SdF

Il sagit de
la prvention de fautes, cest--dire, dempcher
loccurrence de fautes, de diminuer la probabilit de
leur apparition ;
la tolrance aux fautes, cest--dire, de diminuer la
probabilit de dfaillance malgr la prsence
ventuelle de fautes ;
llimination des fautes, cest--dire, de dtecter,
identifier et enlever les fautes du systme.
18/29
Ceci appartient au monde de lingnierie.

Les diffrentes mthodes de la SdF dpendent
fortement du domaine :
informatique, tlcommunications, mcanique, arospatial,
automobile, aronautique, nuclaire, transports terrestres, ...

19/29
Les problmes de cot

Par exemple, en informatique :
le cot induit en France par les dfaillances est suprieur aux
bnfices de lindustrie informatique ;
ce cot est en croissance.
En tlcommunications,
le cot annuel d aux dfaillances dun dispositif est estim
20% de son cot de production.

20/29
Quelques exemples remarquables

de dfaillances
indisponibilit du rseau tlphonique interurbain
aux US, le 20/1/1990
blocage des oprations par carte bancaire en France,
26-27/1/1993
chec du premier vol dAriane 5, le 4/6/1996
catastrophe du Concorde, le 25/7/2000

21/29
Lanalyse de la SdF
cest un composant fondamental de la conception de
systmes srs de fonctionnement ;
les techniques danalyse sont indpendantes du
domaine, donc gnrales ;
lobjectif est la quantification de la SdF des systmes ;
en gnral, cela se passe dans un contexte
probabiliste.

22/29
Les techniques danalyse de la SdF

On peut essayer de mesurer les attributs qui nous
intressent sur le systme (qui doit tre dj construit
et en opration).
On peut valuer ces attributs partir dun modle, et
en utilisant
la simulation,
les techniques numriques,
les techniques analytiques,
des combinaisons de ce qui prcde.

23/29
Un cas particulier important :

les systmes critiques
systmes critiques : systmes o les dfaillances
peuvent entraner des pertes en vies humaines
ils ont de trs hautes exigences en SdF do
difficults pour leur mise en uvre
difficults supplmentaires pour leur analyse ou leur
validation
par extension, sont dits critiques les systmes ayant

des exigences de SdF similaires (par exemple, les
systmes assurant les transactions bancaires)
24/29
Dans ce cours : analyse de

mtriques de SdF
analyse de la SdF des systmes partir de modles
considration de techniques danalyse varies, avec
accent sur les techniques analytiques (car elles
apportent des informations structurelles en plus de
lvaluation numrique cherche).
Mots-cls :
probabilits et statistiques,
graphes, mthodes boolennes,
processus stochastiques, Markoviens, de renouvellement.
25/29
Trois types de modles

statiques
graphes probabilistes, arbres de dfaillance
on calcule essentiellement la fiabilit du systme (une proba.)
dynamiques, systmes non rparables

chanes de Markov absorbantes, et extensions
on calcule la fiabilit linstant t,
la MTTF,
etc.
dynamiques, systmes rparables

chanes de Markov quelconques, et extensions
on calcule la fiabilit linstant t,
la disponibilit linstant t,
etc.
26/29
Quelques mtriques de base

Dans tous les cas, le systme a deux tats possibles : oprationnel
ou ok, et non oprationnel ou dfaillant.
modles statiques
le temps ne joue pas de rle explicite
on calcule R = Pr(systme ok)
modles dynamiques, systmes non rparables

ok
dfaillant
T, dure de vie
temps

27/29
MTTF = E(T)
fiabilit t = R(t) = Pr(systme ok de 0 t) = Pr(T > t)
modles dynamiques, systmes rparables

ok
temps
dfaillant

28/29
beaucoup de variabilit dans les mtriques dans ce cas

mtrique importante :
disponibilit ponctuelle t = DP(t) = Pr(systme ok t)
on peut diffrentier deux situations ici :
le systme volue toujours entre les tats ok et dfaillant,
tt ou tard une dfaillance impossible rparer se produit, et alors le
systme reste pour toujours dfaillant
cas particulier important : les priodes pendant lesquelles le

systme est ok sont iid, ainsi que celles o le systme est dfaillant

29/29

Intro A La SDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Intro A La SDF

Uploaded by

Copyright:

Available Formats

Introduction la

G. Rubino, 2006 --- Introduction la

G. Rubino, 2006 --- Introduction la

Supposons que linstruction `x = a - b;soit une

Les conditions dutilisation du rseau font

G. Rubino, 2006 --- Introduction la

G. Rubino, 2006 --- Introduction la

G. Rubino, 2006 --- Introduction la

G. Rubino, 2006 --- Introduction la

G. Rubino, 2006 --- Introduction la

dans lindustrie des lanceurs spatiaux

G. Rubino, 2006 --- Introduction la

G. Rubino, 2006 --- Introduction la

Les deux volets mthodologiques

valider la SdF dun systme,

G. Rubino, 2006 --- Introduction la

Sur les mthodes de la SdF

Ceci appartient au monde de lingnierie.

G. Rubino, 2006 --- Introduction la

Les problmes de cot

G. Rubino, 2006 --- Introduction la

Quelques exemples remarquables

G. Rubino, 2006 --- Introduction la

G. Rubino, 2006 --- Introduction la

Les techniques danalyse de la SdF

G. Rubino, 2006 --- Introduction la

Un cas particulier important :

par extension, sont dits critiques les systmes ayant

Dans ce cours : analyse de

Trois types de modles

dynamiques, systmes non rparables

dynamiques, systmes rparables

Quelques mtriques de base

modles dynamiques, systmes non rparables

G. Rubino, 2006 --- Introduction la

modles dynamiques, systmes rparables

G. Rubino, 2006 --- Introduction la

beaucoup de variabilit dans les mtriques dans ce cas

cas particulier important : les priodes pendant lesquelles le

G. Rubino, 2006 --- Introduction la

You might also like