RAMS'ALLOC : LOGICIEL D'ALLOCATION DES EXIGENCES DE SECURITE ET FIABILITE

(1)

HAL Id: hal-02075362

https://hal.archives-ouvertes.fr/hal-02075362

Submitted on 21 Mar 2019

HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci- entific research documents, whether they are pub- lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers.

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés.

RAMS’ALLOC : LOGICIEL D’ALLOCATION DES EXIGENCES DE SECURITE ET FIABILITE

Thierry Delion, Rudy Kajdan

To cite this version:

Thierry Delion, Rudy Kajdan. RAMS’ALLOC : LOGICIEL D’ALLOCATION DES EXIGENCES DE SECURITE ET FIABILITE. Congrès Lambda Mu 21 “ Maîtrise des risques et transformation numérique : opportunités et menaces ”, Oct 2018, Reims, France. �hal-02075362�

(2)

RAMS’ALLOC : LOGICIEL D’ALLOCATION DES EXIGENCES DE SECURITE ET FIABILITE

RAMS’ALLOC: SOFTWARE FOR SAFETY AND RELIABILITY ALLOCATION

Thierry DELION Rudy KAJDAN

ThD Consult Cenolia Portage

18340 PLAIMPIED 18000 BOURGES

Résumé

L’objectif de cette article est de présenter un concept d’outil d’allocation FMS (Fiabilité ; Maintenabilité et Sécurité) et plus particulièrement la partie Allocation de Sécurité. Dans un monde où les allocations de sécurité font partie intégrante des démarches de sécurité fonctionnelle, il est important de disposer d’un moyen ergonomique et convivial pour décliner et allouer la probabilité de haut niveau.

À l’issue de ce travail de déclinaison, l’outil permet de disposer des probabilités allouées pour chaque évènement de base et d’une structure d’arbre répondant au format opsa.

Le principe est présenté ci-après à la fois sur le plan des lois de déclinaison et via des exemples concrets.

Summary

The purpose of this article is to present a concept of RMS allocation tool (Reliability, Maintainability and Safety) and more particularly the Safety Allocation part. In a world where safety allocations are an integral part of functional safety approaches, it is important to have an ergonomic and user- friendly way to decline and allocate high-level probability.

At the end of this work of allocation task, the tool makes it possible to have the allocated probabilities for each basic event and a tree structure in accordance with the opsa format.

The principle is presented below both in terms of the laws of declination and through concrete examples.

1 Introduction

L’objectif de cet article est de présenter un module logiciel d’allocation de sécurité. Cet outil correspondant à un besoin constaté lors de la réalisation des différentes études de sûreté de fonctionnement et dans différents secteurs d’activité. Il fait partie d’un produit logiciel intitulé « RAMS’Alloc » dans lequel s’adjoindra ultérieurement deux autres modules concernant les allocations de fiabilité et de maintenabilité. Ce Logiciel est utilisable dès les phases amont du projet et jusqu’aux études d’impact. Ainsi, le logiciel couvre le profil de vie des requis de Sécurité Fonctionnelle.

Nous présenterons dans un premier temps le contexte ayant mené au développement de ce logiciel. Ensuite nous détaillerons le cahier de la charge. Le logiciel sera alors présenté au travers de ses différents principes, fonctionnalités, ainsi que de son intégration au sein des processus de sûreté de fonctionnement. Un exemple permettra d’illustrer l’utilisation de ce produit.

2 Contexte

On observe un manque d’outil pour les phases d’allocation, et en particulier d’allocation de sécurité lors de la réalisation de différentes études de Sureté de Fonctionnement. Ce constat a été fait dans différents secteurs de l’industrie tels que le ferroviaire, l’armement, les équipements industriels, l’automobile.

Le produit répond à des évolutions industrielles diverses : - Le besoin en allocations de sécurité,

- Les développements multi-technologiques et multi-entreprises.

Depuis une quinzaine d’années, les différentes guides et normes internationales dans le domaine de la Sécurité Fonctionnelle (CEI 61508 [2], CEI 61511 [3], ISO 13849 [7], ISO 26262 [6],…) requièrent dans leurs processus de faire une évaluation des risques au niveau du système et de les décliner vers les différents sous-ensembles.

Comme indiqué dans ces différents documents ci-avant, la méthode des graphes permet de déterminer le niveau de sécurité à atteindre pour le système concerné au niveau système. De plus, avec les différentes règles de composition qui permettent de décliner les niveaux de SIL (Safety Integrity Level) et PL (Performance Level) vers les sous-ensembles de son architecture, il est possible de décliner les contraintes de haut niveau vers les niveaux inférieurs.

Le principal écueil de ces méthodes réside dans l’absence de mise en œuvre des méthodes graphiques et calculatoires telles que celle des arbres de défaillance. En effet, les outils trouvés sur le marché ne traitent que de la partie Allocation de fiabilité.

Sur certains aspects, il serait envisageable de considérer que le principe méthodologique de l’arbre de défaillance est similaire et applicable à la démarche. En effet, l’arbre s’appuie une méthode « Top Down » partant d’un niveau système pour se décliner vers les sous-ensembles et les évènements de base. En effet, de manière simple, il serait possible de disposer d’un raisonnement similaire en se disant que le niveau de probabilité, de SIL/PL du système de tête se décline en une combinaison série/parallèle de sous-ensembles.

3 Cahier des charges

Une phase de réflexions a alors été menée afin de définir un cahier des charges de la solution devant répondre à la problématique. Les principales exigences qui sont alors ressorties de cette phase sont les suivantes :

Faciliter les activités d’allocation : Le but de l’outil est de remplacer les tableurs de type Excel en apportant de la souplesse en termes d’évolution, et en réduisant le risque d’erreur de calcul. Le logiciel doit apporter un confort par rapport aux solutions manuelles existantes. Il doit pouvoir être utilisable par des personnes n’ayant pas forcément une grande expérience des calculs d’allocation de sécurité.

Mener ces activités de manière rapide et efficace : Le logiciel doit s’avérer simple à prendre en main, sans manipulations fastidieuses. L’utilisateur doit pouvoir facilement réaliser la manipulation et la saisie des données,

Communication 8E /1 page 1/7

(3)

21^e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement λµ21 Reims 16-18 octobre 2018

puis ensuite extraire les données calculées. Les fonctions d’enregistrement sont également importantes pour sauvegarder les travaux et les partager avec les autres collaborateurs du projet. L’outil doit également permettre de réaliser facilement des modifications, en limitant le nombre d’actions à réaliser par l’utilisateur. Les causes de ces modifications, courantes en phase de développement de nouveaux produits peuvent être :

- des changements des objectifs de niveau sécurité à atteindre,

- des évolutions de l’architecture du système, - la prise en compte d’éléments nouveaux dans les

scénarios de défaillances dangereuses, Présenter une ergonomie intuitive pour les personnes en charge des travaux : Les actions à réaliser sous le logiciel doivent sembler simples, évidentes ou faciles à mémoriser par l’utilisateur. Les éléments graphiques (icônes, objets manipulés) doivent être suffisamment clairs, de tailles adaptées et parlants pour l’utilisateur. Les menus (contextuels et au niveau de la barre de menu) doivent être clairs et facilement accessibles. On peut s’inspirer de logiciels déjà existants afin de s’adapter aux habitudes de l’utilisateur.

Conserver le principe de la méthodologie des arbres de défaillance : Il s’agit d’un point clef de la solution, qui résulte pour partie des précédentes exigences. L’idée de base est de proposer à l’utilisateur un outil reprenant un formalisme avec lequel il est déjà familier. Cela lui permet de conserver certaines de ses habitudes et la phase de prise en main s’en trouver ainsi raccourcie. En outre l’aspect graphique des arbres de défaillance permet de réaliser des modifications de façon simple et conviviale.

Assurer une interopérabilité avec d’autres outils : Aujourd’hui l’ingénieur en sûreté de fonctionnement utilise de nombreux outils informatiques dédiés pour ses études.

Il peut être ainsi pratique de pouvoir importer avec l’outil d’allocation un arbre réalisé avec un autre logiciel, ainsi, qu’inversement, d’exporter les résultats. Dans la mesure du possible, les fichiers d’échanges supportés doivent être suffisamment reconnus pour être compatibles avec un grand nombre d’outils disponibles.

4 Présentation de « RAMS’Alloc » 4.1 Les différents modules

Le produit s’articule autour de trois modules :

« Sécurité » : Ce module permet de décliner les probabilités de défaillance dangereuse sur les différents évènements intermédiaires. Comme indiqué précédemment, la représentation utilisée est celle d’un arbre de défaillance.

« Fiabilité » : Il permet d’allouer les contraintes de fiabilité au niveau des différents composants. Il se base sur une description organique du système étudié, sous la forme d’un arbre dont la racine correspond au système entier et dont les branches décrivent la décomposition hiérarchique sur plusieurs niveaux des sous-systèmes, jusqu’à atteindre les composants.

« Maintenabilité » : Le rôle de ce module est d’allouer les contraintes de maintenabilité aux différents sous-systèmes et composants. Tout comme le module fiabilité, il utilise une décomposition arborescente de la structure organique du système.

« Sécurité » est le premier module déployé, les deux autres le seront ultérieurement. Le reste de l’article est consacré à la présentation et à l’utilisation de ce premier module.

4.2 Développement de l’outil

Issu de l’analyse de besoin et de la rédaction d’un cahier des charges, l’outil est la consolidation d’un retour d’expérience de plusieurs années de pratique dans le domaine de la Sûreté de Fonctionnement. Le développement du module « sécurité » de RAMS’Alloc a commencé, il y a quelques années, via une étude de faisabilité réalisée lors d’un projet au sein de l’INSA Centre Val de Loire. Le produit a ensuite été amélioré afin de le présenter. Le langage utilisé est Java, ce qui permet de bénéficier de ses outils et bibliothèques graphiques pour faciliter le développement et proposer un produit moderne.

4.3 L’interface graphique

En conformité avec les exigences précédemment formulées, l’interface du module de sécurité de RAMS’Alloc est similaire à celle d’un outil d’arbre de défaillance. La majeure partie est donc réservée à la zone de travail où l’utilisateur crée, modifie et paramètre l’arbre.

Dans la barre du haut se trouvent ainsi les menus suivants : - Fichier : sauvegarde, ouverture de fichier,

fermeture du logiciel,

- Edition : pour modifier, supprimer et paramétrer les éléments des arbres de défaillance,

- Page : ajout, suppression et renommage des pages contenant les arbres.

Les éléments graphiques disponibles pour constituer l’arbre sont proposés à gauche. On retrouve ainsi les portes

« OU », « ET » et « M parmi N », ainsi que l’évènement de base et le transfert, ce dernier permettant de poursuivre l’arbre sur une autre fenêtre.

Un extrait du bandeau gauche est présenté ci-après :

L’icône « Calculer » permet de lancer les calculs, tandis que cliquer sur « Extraire les évènements de base » affiche leurs résultats sous la forme d’un tableau détaillant pour chaque évènement de base la probabilité calculée. Il est envisagé de faire une correspondance entre la probabilité allouée et le niveau de SIL (sous réserve des respects des contraintes architecturales). Ce tableau est exportable sous Excel. Ces différents aspects seront abordés dans la présentation ci-après.

(4)

4.4 Principes d’utilisation

Le principe consiste à l’identique de la méthode des arbres de défaillance à saisir l’évènement redouté de tête et le raffiner via différentes portes en évènements intermédiaires puis évènements de base.

La principale différence intervient dans la saisie des valeurs de probabilité et la réalisation des calculs. Dans un logiciel d’analyse par arbres de défaillance, l’utilisateur saisit les probabilités des différents évènements de base. Ensuite, le moteur de calcul détermine la valeur de l’évènement de tête en réalisant une propagation du bas vers le haut (approche montante).

Dans cadre de l’allocation de sécurité, la démarche est en quelque sorte inversée. Ici la valeur de la probabilité de l’évènement de tête est une donnée d’entrée correspondant à un objectif (pouvant être fixé par le respect du niveau d’une norme, une contrainte d’intégration dans un système plus grand etc.) et l’on souhaite déterminer les probabilités associées aux évènements de base et permettant d’atteindre cet objectif.

Comme précédemment, les calculs sont également réalisés de proche en proche, mais désormais dans le sens inverse, en partant de l’évènement de tête pour atteindre les évènements de base (approche descendante). Il est alors nécessaire d’indiquer au niveau de chaque porte logique comment propager la probabilité vers ses évènements fils.

C’est ainsi que l’utilisateur doit saisir pour chaque porte logique des pondérations.

Pour expliciter cela, considérons un évènement père (porte logique) possédant N fils. L’utilisateur indique pour chacun de ses fils 𝑖𝑖 ∈{1;⋯;𝑁𝑁} une pondération 𝛼𝛼𝑖𝑖∈[0; 100] et telle que ∑𝑁𝑁 𝛼𝛼𝑗𝑗

𝑗𝑗=1 = 100. La probabilité pi associée à l’évènement fils i est alors donnée par :

- pour une porte OU : 𝑝𝑝_𝑖𝑖= ₁₀₀^𝛼𝛼^𝑖𝑖 𝑝𝑝_𝑃𝑃

- pour une porte ET : 𝑝𝑝𝑖𝑖=𝛼𝛼𝑖𝑖�_∏^𝑝𝑝^𝑃𝑃_𝛼𝛼

𝑁𝑁 𝑗𝑗

𝑗𝑗=1 �

1�𝑁𝑁

Il est possible également de choisir un mode équi- répartition. Dans ce cas, les pondérations sont calculées automatiquement par le logiciel et valent 100/N (pour mémoire, N nombre d’évènements sous la porte considérée)

Ce type d’allocation peut être étendu avec des types de lois de répartition telles que celles des niveaux de SIL (selon CEI61508) ou des niveaux ASIL (Automotive Safety Integrity Level, selon ISO26262).

L’utilisation de l’outil nécessite donc :

- une connaissance de l’architecture du système, de son environnement et des scénarios de défaillance, afin de connaître l’architecture de l’arbre de défaillance,

- de donner la probabilité de l’évènement de tête, - de disposer de pondérations pour répartir les

probabilités de défaillance entre les différents composants.

L’utilisation du logiciel sera illustrée dans la section suivante à travers un cas d’étude.

4.5 Le cas des évènements intermédiaires ou de base utilisés dans plusieurs branches

Dans la construction d’un arbre complexe pour un système donné, des évènements de base sont parfois utilisés dans plusieurs branches car leurs défaillances peuvent intervenir à différents endroits dans la structure de l’arbre. La question pourrait être de se dire comment récupérer les données

qualitatives (essentiellement le libellé) et quantitatives (essentiellement la probabilité).

Pour répondre à la contrainte, le développement se devait de mettre à disposition des utilisateurs des menus de type contextuel. Ce type de principe devra permettre de récupérer les données de libellé pour un évènement de base déjà créé. Pour ne pas impacter la déclinaison des probabilités, seules les parties textes sont récupérées, le calcul s’effectuera en fonction de la probabilité de l’évènement intermédiaire de raccrochement.

Lors de l’extraction des évènements de base, l’outil ne retiendra que la valeur la plus contraignante, la probabilité la plus basse. Le fichier ainsi produit est un tableau au format Excel dont chacune des lignes correspond à un évènement de base dont l’on donne le libellé et la probabilité.

Une limitation actuelle de l’outil est l’absence de prise en compte des causes communes de défaillances. Les formules utilisées sous-entendent que les évènements fils d’une porte donnée sont indépendants, ce qui n’est pas forcément le cas. L’absence d’indépendance est due à des causes communes entre ces fils, correspondant à des évènements de bases communs (évènement de base

« CC » dans l’exemple illustré sur la figure ci-dessus).

Lorsque la porte en question est une porte OU, cela n’est pas très gênant puisque on affectera alors des probabilités plus faibles que nécessaires aux différents fils. Dans le cas

d’une porte ET, cela s’avère plus embarrassant, puisque les fils se verront affecter des probabilités trop élevées.

(5)

Le mode commun peut être un équipement utilisé sur plusieurs branches, une cause commune de défaillance de type environnementale ou le Béta estimé pour un ensemble donné,

Une solution pour contourner ce fait est de factoriser les causes communes des portes ET, comme illustré ci- dessus.

4.6 Itérations et cycle d’utilisation

L’outil permet de refaire aisément une simulation sur l’ensemble de l’arbre. Par exemple, si l’utilisateur décide d’analyser les conséquences d’une probabilité de tête plus contraignante sur l’ensemble des évènements de base, il lui suffit de saisir la nouvelle valeur dans cet évènement de tête et ainsi de demander l’extraction des nouvelles données.

Quelques secondes suffisent.

Dans une logique similaire, il est possible d’ajouter des évènements intermédiaires ou de base au sein d’une structure existante.

Dans le cas de l’ajout d’un évènement sur une porte de type pondération, la contribution de cet évènement ajouté sera par défaut à zéro et l’utilisateur saisira ses nouvelles clés de répartition avant d’effectuer un « calculer ».

De même, si à la vue des résultats il s’avère pertinent d’envisager des changements d’architecture, le logiciel permet de facilement tester ces modifications en ajoutant ou supprimant des portes dans les branches concernées de l’arbre, et ainsi de pouvoir aider à trancher entre les différentes solutions.

4.7 Interfaces avec d’autres outils

Les fichiers RAMS’Alloc sont au format opsa [5]qui contient la structure, avec les valeurs numériques des probabilités des évènements de base. Les probabilités des évènements intermédiaires et de l’évènement de tête peuvent être ensuite recalculées dans un outil tel qu’Arbre Analyste [4], afin d’apporter la preuve de l’atteinte de l’objectif de sécurité.

L’arbre saisi sous RAMS’Alloc peut également être récupéré pour procéder à la consolidation avec les données fournies par les différents équipementiers. L’arbre conserve la structure retenue lors de sa création.

5 Cas d’étude

Pour appréhender les possibilités de cet outil, quelques combinaisons très simples ont été envisagées. Partant d’un OU sur deux évènements de base, on obtient la structure suivante :

Il est ainsi possible de calculer l’allocation avec cette équipartition.

Dans cette phase de saisie, on peut changer de loi et demander une allocation par pondération telle que présentée ci-dessous :

(6)

Les probabilités affichées restent les anciennes. Il est nécessaire d’enregistrer les pondérations et de relancer les calculs pour en arriver à cette situation :

L’ajout d’un évènement de base peut se faire sans aucun souci, mais il est nécessaire de garder à l’esprit que, dans le cas de la pondération, celle de l’évènement ajouté est à 0 par défaut. Après ressaisie des pondérations, sans recalcul, seules les pondérations sont visibles, les probabilités sont absentes.

L’opération de calcul permet de rafraîchir ces dernières comme suit :

A ce stade, il est décidé de remplacer l’unique évènement capteur par un évènement constitué de deux capteurs en ET. Après réaffectation de la pondération associée, on obtient l’arbre suivant :

Le calcul sera relancé et quelques instants plus tard, les probabilités seront de nouveau allouées.

Dans la construction des arbres, il est classique de le construire « au kilomètre » et pour des raisons de lisibilité, la création d’un sous arbre sera judicieuse. Dans ce cas, La fonction « Transférer vers une nouvelle page » découpe la branche concernée.

(7)

Le sous arbre référencé ER1_1 se retrouve sur sa page de la manière suivante :

Au final, l’extraction des allocations au niveau de chaque évènement de base est faite via le bouton « Extraire ».

Il est rappelé que si le même évènement de base est à plusieurs endroits dans l’arbre, l’outil ne conservera que la valeur la plus contraignante.

Dans le déroulement d’un projet, il est important de conserver certes les allocations pour les affectations vers des sous-traitances internes ou externes mais aussi la structure de l’arbre. En effet, cette structure au plus près de la conception devrait pouvoir être réutilisée dans le cadre de la démonstration des objectifs.

Pour arriver à cette convergence des besoins, l’enregistrement s’effectue au format opsa.

La démonstration de cette aptitude à la récupération est faite via l’outil Arbre Analyste. Dans un premier temps, l’outil via un import de l’enregistrement fait par RAMS’Alloc va récupérer la structure et les probabilités des différents évènements de base.

A ce stade, la preuve n’est pas faite, il est juste nécessaire de lancer le calcul dans Arbre Analyste et ainsi d’obtenir le résultat suivant :

Sans changement des probabilités au niveau des évènements de base, le résultat est le 5.10-9 qui était à la base de notre allocation. Le concepteur pourra ainsi entrer les données issues des calculs faits en conception et valider l’atteinte des objectifs.

(8)

6 Conclusion

Dans cet article, un outil d’allocation de sécurité reposant sur le formalisme des arbres de défaillance a été proposé.

Les principaux intérêts de cet outil sont :

- Permettre un travail d’allocation des exigences de sécurité en construisant un arbre des défaillances en partant de l’objectif de tête, - Choisir une loi d’allocation de manière aisée, - Extraire de cet arbre les allocations au niveau des

évènements de base,

- Enregistrer l’arbre dans un format reconnu (opsa),

- Récupérer l’arbre d’allocation avec un outil tel qu’Arbre Analyste pour procéder à une validation ou une consolidation avec des données fournies par d’autres équipementiers lors de la conception des équipements.

Un cas de test grandeur réelle a été livré par ThD Consult pour un système SIL3 ferroviaire. Ce système est directement intégré par un exploitant ferroviaire dans le cadre de la protection des passagers.

Les autres modules logiciels (« Fiabilité » et

« Maintenabilité ») seront développés ultérieurement sur des principes similaires.

7 Références

[1] BAITICHE. S. SIL (Safety Integrity Level) : Les méthodes d’acquisition du SIL selon la norme internationale CEI 61511. 20^ème Congrès de maîtrise des risques et de sûreté de fonctionnement. Octobre 2016.

[2] CEI. Sécurité fonctionnelle des systèmes E / E / EP relatifs à la sécurité. CEI 61508. Avril 2010.

[3] CEI. Sécurité fonctionnelle - Systèmes instrumentés de sécurité pour le secteur des industries de transformation.

CEI 61511. Juillet 2016.

[4] CLEMENT, E. Arbre analyste. Disponible sur http://www.arbre-analyste.fr/ (consulté le 27/12/2017) [5] EPSTEIN, S et RAUZY, A. Open PSA Model Exchange

Format. Mai 2008. Disponible sur www.open-psa.org (consulté le 27/12/2017)

[6] ISO. Road vehicles — Functional safety. ISO 26262.

Novembre 2011.

[7] ISO. Sécurité des machines - Parties des systèmes de commande relatives à la sécurité. ISO 13849. Décembre 2015.

[8] SMOUTS A.-S. Allocation des exigences de sécurité : des événements redoutés aux événements non souhaités.

20^ème Congrès de maîtrise des risques et de sûreté de fonctionnement. Octobre 2016.