Catégories de méthodes d’analyse

Il existe de nombreuses méthodes de SdF. La méthode qui sera utilisée dépend du type d’ana- lyse choisie. Le processus d’analyse commence par le recueil d’informations sur le système considéré dans un périmètre bien délimité. Ces informations, une fois traitées, permettent l’établissement d’une première analyse qui peut être enrichie par la suite. Les différents modes de fonctionne- ment/dysfonctionnement du système (service délivré/non délivré par rapport à ce qui est attendu par l’utilisateur) ainsi que les interactions avec l’environnement dans lequel il évolue sont alors dé- crits. Les méthodes peuvent s’appuyer sur des analyses prévisionnelles, opérationnelles ou formelles que nous allons présenter.

2.3.2.1 Analyses prévisionnelles

Les analyses prévisionnelles sont des démarches qui consistent à obtenir un modèle du système considéré pour un paramètre de SdF à évaluer (FDMS). Ici, les conditions (une faute d’un composant par exemple) menant aux défaillances sont recherchées et leurs conséquences sont prévues. Parmi les méthodes permettant de faire ce genre d’analyse, deux raisonnements peuvent être effectués : des- cendant (méthode déductive) et ascendant (méthode inductive). Le raisonnement descendant part du plus général vers le particulier. Un système est supposé en défaillance et ses causes sont recher- chées. Le raisonnement ascendant, quant à lui, part du particulier vers le plus général. Les effets et les conséquences d’une défaillance sur le système lui-même ou sur son environnement sont étudiés.

Une analyse prévisionnelle se résume en quatre grandes étapes (cf figure 2.8) :

1. Une analyse technique et fonctionnelle recueille les informations du système et de son envi- ronnement afin de définir le périmètre de l’étude. Ces informations concernent l’architecture du système : quelle est sa structure (nature et nombre de composants) ? Quelle est sa nature

2.3 Moyens et méthodes d’analyse de la sûreté de fonctionnement de systèmes automatisés

(électronique, mécanique, etc.) ? Quelles sont ses fonctions principales et secondaires ? Quels sont ses modes de fonctionnement et de défaillance ?

2. Une analyse qualitative applique une ou plusieurs méthodes. Le tableau 2.4 en propose une liste.

3. Une analyse quantitative conduit à une évaluation probabiliste des paramètres FDMS. 4. Conclusion. Il s’agit alors de faire la synthèse des analyses qualitative et quantitative et

d’émettre quelques propositions d’amélioration ou de modification.

Analyse technique et fonctionnelle

Analyse qualitative Analyse quantitative Synthèse et conclusions Informations relatives au système et à son environnement, aux composants Données de sûreté de fonctionnement Incertitudes relatives aux données et aux hypothèses Modification du projet Révision du projet Les objectifs initiaux sont-ils remplis ? Fin de l'étude NON OUI

Figure 2.8 – Les étapes d’une analyse prévisionnelle.

La première étape, l’analyse technique et fonctionnelle, consiste à décrire le besoin d’un utili- sateur sous forme de fonctions hiérarchisées et associées à des critères d’appréciation. Les résultats d’une telle analyse se présentent sous la forme de Cahier des Charges Fonctionnel (CdCF), de dia- grammes ou de tableaux fonctionnels.

Différentes méthodes d’analyse fonctionnelle existent. La méthode FAST (pour Function Ana- lysis System Technique) est une méthode statique permettant d’ordonner les fonctions identifiées au travers d’une logique fonctionnelle en répondant aux questions : pourquoi une fonction donnée existe-elle ? Comment et quand est-elle réalisée ? La méthode SADT (pour Structured Analysis and Design Technique) est une méthode statique de décomposition fonctionnelle, hiérarchisée avec diffé- rents niveaux de détails. Les réseaux de Petri permettent de modéliser le comportement dynamique d’un système sous forme de places et transitions reliées par des arcs orientés. L’aspect dynamique d’un réseau de Petri est géré par des jetons (symbolisant des ressources disponibles), retirés ou dé- posés dans les places selon des conditions de franchissement des transitions.

Pour pouvoir mener à bien les analyses qualitatives et quantitatives (étape 2 et 3), il faut au préalable bien connaitre les objectifs de l’analyse de SdF c’est à dire est-ce que l’étude vise à carac- tériser un critère FDMS en particulier ? Quelles sont les fonctions concernées ? Ces étapes exigent également de définir le périmètre de l’analyse, c’est à dire est-ce qu’elle concerne un composant d’un

2.3 Moyens et méthodes d’analyse de la sûreté de fonctionnement de systèmes automatisés

système, un de ses sous-systèmes ou le système dans son intégralité ? Ce n’est qu’en répondant à ces différentes questions que le choix d’une ou de plusieurs analyses prévisionnelles de SdF est possible. Dans un premier temps, une ou plusieurs analyses qualitatives sont réalisées. Elles ont pour ob- jectifs de lister les différents modes de défaillance qui affectent la SdF du système considéré. Il en résulte une modélisation de la SdF du système en considérant des hypothèses telles que les inter- actions avec l’environnement, celles avec d’autres systèmes, le comportement de l’opérateur, etc.). Des enseignements sont tirés de cette analyse : Quelles sont les défaillances pertinentes ? Quelles sont les défaillances ou combinaisons de défaillances menant à une situation indésirable ? Une de nos contributions, l’analyse causale, présentée dans la section 2.4.3 a pour but l’identification de ce genre de combinaisons.

Dans un second temps, il s’agit d’effectuer une ou plusieurs analyses quantitatives permettant de caractériser notamment les données de sûreté telles que des taux d’occurrence, probabilités, etc... C’est ici que l’on s’intéresse aux incertitudes sur ces données ainsi que celles générées avec les hy- pothèses de modélisation. On parle alors d’études de sensibilité. Nous en proposons une dans la sous-section 2.4.4. Les conclusions découlant d’une analyse quantitative permettent, d’une part, de nous renseigner sur le niveau de sûreté atteint et, d’autre part, d’identifier et d’évaluer les points faibles du système (les sous-systèmes ou composants les plus critiques en terme de sûreté) et leurs conséquences.

L’ensemble des conclusions des analyses qualitatives et quantitatives sont synthétisées afin de déterminer si les objectifs stipulés en début d’analyse sont remplis ou non. Dans l’affirmative, l’étude de SdF est terminée. Dans le cas contraire, une révision suivie d’une modification du projet est né- cessaire avant de réitérer le processus d’analyse. Les conclusions permettent également d’émettre des propositions de différentes natures : application de redondance, plans d’exploitation ou de mainte- nance, mises en place de barrières, etc..

2.3.2.2 Analyses opérationnelles

Une analyse opérationnelle se base essentiellement sur le recueil de données issues de retour d’ex- périence afin d’évaluer statistiquement les paramètres FDMS [Lannoy, 2003]. La figure 2.9 montre la procédure de collecte et de traitement des données. Les objectifs des bases de données de retour d’expérience doivent être connus avant la création de la base de données et la collection. La sélec- tion des données utiles pour l’analyse permet la création d’un fichier sur lequel vont s’appuyer des analyses quantitatives afin de conclure en termes de paramètres FDMS.

Collecte de données brutes de retour d'expérience Sélection des informations utiles Prétraitement en données élaborées de défaillance Analyse de quantités menant aux indicateurs de SdF

Traitements des données

Figure 2.9 – Procédure d’une analyse opérationnelle.

Ce type d’analyse n’est pas adapté pour une évaluation FDMS de systèmes totalement nouveaux puisque le retour d’expérience sur leur utilisation n’existe pas.

2.3 Moyens et méthodes d’analyse de la sûreté de fonctionnement de systèmes automatisés

Tableau 2.4 – Méthodes prévisionnelles classiques (liste non exhaustive) en SdF issues de la norme [EN 60300-3-1, 2005].

Méthodes d’analyse Démarche Caractère Dynamique ? Objectifs

Tables de vérité

(fonction de struc- ture)

- QL Non Identifier des combinaisons logiques

d’évènements ou d’états Prévision du taux

de défaillance

I QT Non Estimation des taux de défaillance

des équipements

Arbre d’évènement I QL-QT Non Évaluer les conséquences d’un

évènement ou d’une défaillance

Graphe de Markov D QL-QT Oui Modéliser statistiquement les états

d’un système

Réseaux de Pétri D QL-QT Oui Modéliser le comportement

dynamique d’un système

Études HAZOP

(HAZard and

OPerability studies)

I QL Non Identifier les risques et les problèmes

de fonctionnement Diagramme de fia-

bilité

D QL-QT Non Modéliser un système en fonction

élémentaires (série ou parallèle)

Réseaux Bayésiens D QT Oui Modéliser un système en fonction de

probabilité conditionnelle

AMDEC (Analyse

des Modes de Dé- faillance, de leur Ef- fets et de leur Criti- cité)

I QL-QT Non Identifier les défaillances et évaluer

leurs conséquences

APR I/D QL Non Identifier les évènements redoutés à

étudier

Arbre de Dé-

faillance

D QL Non Évaluer les conditions qui ont

conduit vers une défaillance

D : Déductive. I : Inductive. QL : Qualitative. QT : Quantitative

2.3.2.3 Analyses formelles

Les analyses formelles utilisent des techniques développées en génie logiciel permettant de rai- sonner de manière rigoureuse sur un problème avec la logique mathématique [Lindsay, 1998]. Elles permettent de donner une spécification à un système c’est à dire une description dans un langage explicite, non-ambiguë contrairement au langage naturel.

Cette spécification est utilisée en particulier dans le but de vérifier de manière formelle des pro- priétés requises (preuves formelles), par exemple, des propriétés de sûreté de fonctionnement (pas de panne simple amenant à une conséquence catastrophique par exemple). Le model-checking est une des techniques utilisées par la vérification automatique de ces propriétés. Il s’appuie sur des

2.4 Identification de scénarios risqués et impacts des données imparfaites/erronées au sein