Professional Documents
Culture Documents
sret de fonctionnement
(SdF)
1/29
La notion de service
Les systmes sont conus pour fournir leurs
utilisateurs un service selon des spcifications.
La sret de fonctionnement (SdF) concerne la relation
entre service spcifi et service effectivement observ.
Le systme est dfaillant linstant t si le service
rendu ou observ cet instant nest pas tel que
spcifi.
On appelle dfaillance lvnement changement de
service faisant que dun systme en accord avec les
spcifications on passe un systme dfaillant.
G. Rubino, 2006 --- Introduction la
sret de fonctionnement
2/29
La trilogie faute/erreur/dfaillance
Une faute est la consquence dune dfaillance (en
gnral humaine) lors de la conception du systme.
Une erreur est un tat atteint par le systme qui
navait pas t spcifi, un tat que le systme ntait
pas suppos datteindre.
On a une erreur parce quil y a une faute (ou
plusieurs). On a une dfaillance parce quil y a une
erreur (ou plusieurs).
On a limplication (potentielle)
faute erreur dfaillance
G. Rubino, 2006 --- Introduction la
sret de fonctionnement
3/29
Exemple
Considrons le code suivant :
int a, b, x, y, k, ...
...
if (a == b) {
...
x = a - b;
}
if (k == 1) y /= x;
4/29
5/29
Second exemple
Systme : le code dans un nud (commutateur,
routeur, ) dun rseau de tlcommunications.
Dans ce code, le programmeur a crit `i = 0;au
lieu de `i = 1;, qui tait linstruction correcte.
Il y a donc une faute dans le systme.
A un moment particulier, lordinateur excute cette
instruction, et, suite un certain calcul, un tampon
est dimensionn 10 au lieu dtre dimensionn
100 ; on a donc une erreur.
G. Rubino, 2006 --- Introduction la
sret de fonctionnement
6/29
7/29
Le caractre conventionnel
de la notion de dfaillance
La notion de dfaillance dpend des spcifications du
service, ce qui est essentiellement conventionnel.
Dans le cas prcdent, si lon dcide de tolrer plus
de pertes que dans la spcification originale, il peut
se produire que malgr la faute et lerreur, il ny ait
pas de dfaillance.
8/29
Un autre exemple :
les clients dun rseau deviennent plus exigeants,
et si hier ils supportaient un dlai moyen T, la
concurrence peut faire que le critre devienne :
dlai moyen T/4 ;
donc, sans que le systme ait chang, on peut se
retrouver face des dfaillances auparavant
inexistantes.
9/29
Sret de fonctionnement
La sret de fonctionnement (SdF) dun systme est la
proprit qui permet ses utilisateurs de placer une
confiance justifie dans le service quil leur dlivre.
Elle est perue travers diffrents attributs :
la fiabilit,
la disponibilit,
la maintenabilit,
la scurit-innocuit,
la confidentialit et lintgrit.
10/29
Attributs quantifiables
La fiabilit mesure la continuit du service (correct).
La disponibilit mesure le fait que le service (correct)
soit prt pour lutilisateur.
La maintenabilit mesure laptitude rparer (et
faire voluer) les systmes.
La scurit-innocuit mesure la non-occurrence de
consquences catastrophiques des dfaillances.
Lanalyse quantitative de ces attributs est
fondamentale pour la conception des systmes, pour
leur maintenance, leur volution, etc.
G. Rubino, 2006 --- Introduction la
sret de fonctionnement
11/29
Attributs difficilement
quantifiables
La scurit-confidentialit concerne la nonoccurrence de divulgations non autorises de
linformation.
La scurit-intgrit concerne la non-occurrence
daltrations de linformation.
12/29
Raffinements
Toutes ces notions ont de nombreux raffinements :
fautes physiques et fautes humaines
fautes humaines accidentelles et fautes humaines
intentionnelles
fautes transitoires (ou temporaires) et fautes
permanentes
erreurs latentes et erreurs dtectes
dfaillances totales et dfaillances partielles
...
G. Rubino, 2006 --- Introduction la
sret de fonctionnement
13/29
Exemples de dclinaisons
du concept de dfaillance
en aronautique civile
mineure
majeure
dangereuse
catastrophique
dans lautomobile
mineure
majeure
srieuse
fatale
G. Rubino, 2006 --- Introduction la
sret de fonctionnement
14/29
dans le nuclaire
significative
majeure
grave
catastrophique
15/29
Sur le vocabulaire
On vite le mot panne dans le vocabulaire
technique, cause des ambiguts associes.
En anglais,
faute fault
erreur error
dfaillance failure
16/29
17/29
18/29
19/29
En tlcommunications,
le cot annuel d aux dfaillances dun dispositif est estim
20% de son cot de production.
20/29
21/29
Lanalyse de la SdF
cest un composant fondamental de la conception de
systmes srs de fonctionnement ;
les techniques danalyse sont indpendantes du
domaine, donc gnrales ;
lobjectif est la quantification de la SdF des systmes ;
en gnral, cela se passe dans un contexte
probabiliste.
22/29
la simulation,
les techniques numriques,
les techniques analytiques,
des combinaisons de ce qui prcde.
23/29
24/29
25/29
26/29
dfaillant
T, dure de vie
temps
27/29
MTTF = E(T)
fiabilit t = R(t) = Pr(systme ok de 0 t) = Pr(T > t)
dfaillant
28/29
29/29