B.4 Procédure de construction d’un Arbre de Défaillance temporisé

Nous nous proposons d’analyser comment l’état E=2 est atteint dans l’exemple de modèle DFM ci-dessus. Ceci est effectué en construisant un arbre de défaillance ayant comme sommet l’état E=2. La procédure de construction est décrite ci-dessous et l’arbre résultant est représenté sur la figure 1.9. Le principe général est le suivant : à chaque pas, nous construisons toutes les branches de l’Arbre de Défaillance.

A partir de la table de décision III, deux combinaisons des valeurs des nœuds C et D correspondent à l’état E=2 : (C=0 ET D=1) OU (C=2 ET D=0). Ceci est représenté au premier niveau de l’arbre de la figure 2.6 sous l’état E=2. Les nœuds C et D étant reliés à E par une boîte de transition, il est indiqué sur l’arbre de défaillance (par un trait en pointillé) qu’il s’est écoulé une unité de temps (délai associé ∆t =1) entre le moment où les nœuds C et D ont atteint les valeurs mentionnées et le moment où E atteint la valeur 2. Si on prend comme origine du temps l’instant t où E est devenu égal à 2. C et D ont atteint les valeurs mentionnées à l’instant t-1.

Comme C est un nœud de sortie d’une boîte de transition et que D ne l’est pas, intéressons nous tout d’abord au nœud D. Cherchons les combinaisons de valeurs des nœuds A et B qui ont engendré instantanément les états D=0 et D=1. Construisons la branche de l’arbre correspondante à D=0. D’après la table de décision II, ceci a lieu uniquement quand (A=2 ET B=1). De même pour le cas où D=1, nous trouvons la condition (A=0 ET B=1). C’est ce qui est représenté dans l’arbre de défaillance en dessous des événements D=0 et D=1. La construction des branches correspondantes se termine puisque A=0, A=2 et B=1 sont tous des événements de base.

Etudions maintenant le nœud C et les causes amenant aux états C=0 et C=2. Selon la table de décision I, C=0 à l’instant t-1 si et seulement si (A=0 ET B=1) à l’instant t-2 car C est en sortie d’une table de décision dont le délai associé est ∆t=1. De même, on obtient C=2 si et seulement si (A=1 ET B=2) OU (A=2 ET B=0). La construction de l’arbre s’arrête car tous les événements obtenus sont des événements de base.

Si nous considèrons que les valeurs des nœuds A et B peuvent varier dans le temps, nous obtenons finalement un ensemble de séquences caractérisées par des suites d’états amenant à l’état E=2 :

{[( A=0 ET B=1)/t=t-2] ET [(A=0 ET B=1)/t=t-1]}, {[( A=1 ET B=2)/t=t-2] ET [(A=2 ET B=1)/t=t-1]}, {[( A=2 ET B=0)/t=t-2] ET [(A=2 ET B=1)/t=t-1]}.

Si nous supposons que A et B sont constants dans le temps, une seule combinaison mène vers l’état concerné. Il s’agit de la condition (A=0 ET B=1). Les autres affecteraient en effet des valeurs contradictoires aux variables A et B.

Figure 1.9. Arbre de défaillance temporisé

V.B.5 Discussion

L’un des buts de cette approche est de déterminer comment un système peut atteindre un état donné. Cela passe par une modélisation appropriée du système basée sur les aspects logiques et sur les relations de causalité entre les différentes variables du système. Cette approche permet de rompre avec les approches classiques basées sur une analyse séparée des deux parties logicielles et physiques d’un système embarqué. En effet, elle permet une prise en compte explicite des interactions entre la partie opérative et la commande de ces systèmes.

Cette méthode nous paraît bien adaptée pour les études de sûreté de fonctionnement durant la phase de conception des systèmes de commande et de surveillance. En effet, durant cette phase, les concepteurs changent et améliorent fréquemment les modèles développés. Une fois qu’un Arbre de Défaillance est fait pour un modèle par rapport à un état redouté donné, modifier le modèle implique très souvent de refaire un autre Arbre de Défaillance, ce qui est souvent relativement lourd. Or, dans le cas de cette approche l’unicité du modèle et la construction automatique des Arbres de Défaillance amènent une grande flexibilité dans le travail des concepteurs, puisqu’il suffit de faire les modifications sur le modèle et de générer automatiquement les Arbres de Défaillances, et ce pour plusieurs états redoutés. Un autre avantage d’importance pour cette méthode est qu’elle est basée sur la construction d’Arbres de Défaillance (temporisés) bien connus dans la communauté des fiabilistes, ce qui la rendrait plus accessible que d’autres méthodes.

Toutefois, discrétiser systématiquement toutes les variables du système étudié représente un inconvénient majeur de cette méthode quand il s’agit de systèmes de taille industrielle. Cela engendre en effet des modèles de très grande taille. Nous devons faire face à un problème d’explosion combinatoire des états et des séquences qui risque de rendre toute la démarche infaisable. De plus, nous n’avons aucune idée des incertitudes liées à cette

C=2 B=1 A=2 D=0 A=2 B=0 A=1 B=2 C=0 B=1 A=0 D=1 A=0 B=1 Temps= t E=2 Temps= t-1 Temps= t-2

discrétisation. L’impact de la granularité de la discrétisation peut en effet être grand et faire apparaître des scénarios inexistants.

Un deuxième inconvénient est à signaler. Il concerne l’incapacité de cette méthode à prendre en compte les caractéristiques stochastiques des composants des systèmes, par exemple leur taux de défaillance. Ceci nous amène vers un autre point qui est celui de la quantification des événements redoutés. Cette méthode produit des Arbres de Défaillances temporisés montrant comment un système pourrait évoluer vers un état redouté donné. Pour pouvoir déterminer la probabilité d’être dans un tel état, il est indispensable de connaître la dynamique des variables du système c’est-à-dire comment ces variables passent d’un état à un autre et non seulement la probabilité de défaillance des composants du système.

Enfin, un dernier inconvénient de cette méthode est que le modèle sur lequel elle est basée n’est pas sous-tendu par une démarche d’analyse formelle. En effet, comment pourrait- on vérifier que le modèle du système corresponde bien à la réalité ? Comment vérifie-t-on qu’il ne comporte pas d’incohérence, de blocage, … ? Ces arguments jouent en la faveur des modèles formels comme le formalisme des réseaux de Petri, modèle choisi par G. Moncelet pour modéliser les systèmes mécatroniques.