R EVUE DE STATISTIQUE APPLIQUÉE
O LIVIER G AUDOIN J EAN -L OUIS S OLER
Modèles pour l’étude de la fiabilité des systèmes présentant des fautes de conception. Application à l’évaluation de la fiabilité des logiciels
Revue de statistique appliquée, tome 40, n
o2 (1992), p. 91-98
<http://www.numdam.org/item?id=RSA_1992__40_2_91_0>
© Société française de statistique, 1992, tous droits réservés.
L’accès aux archives de la revue « Revue de statistique appliquée » (http://www.sfds.asso.fr/publicat/rsa.htm) implique l’accord avec les condi- tions générales d’utilisation (http://www.numdam.org/conditions). Toute uti- lisation commerciale ou impression systématique est constitutive d’une in- fraction pénale. Toute copie ou impression de ce fichier doit contenir la présente mention de copyright.
Article numérisé dans le cadre du programme Numérisation de documents anciens mathématiques
http://www.numdam.org/
MODÈLES POUR L’ÉTUDE DE LA FIABILITÉ
DES SYSTÈMES PRÉSENTANT DES FAUTES
DE CONCEPTION. APPLICATION A L’ÉVALUATION
DE LA FIABILITÉ DES LOGICIELS
Olivier
GAUDOIN,
Jean-Louis SOLER L.M.C-I.M.A.G., BP 53 X, 38041 Grenoble CedexStatistique Appliquée,
RÉSUMÉ
L’objet
de ce travail est leproblème
de l’évaluation de la fiabilité d’unsystème présentant
des fautes deconception
à un instant donné de soncycle
de vie, au vu deses défaillances successives et des corrections
qui
lui sontapportées.
Dans ce but, nous proposons une modélisationstochastique
du comportement au cours du temps d’un telsystème,
où l’on montre que l’évolution de cesystème
résulte de l’interactioncomplexe
detrois processus aléatoires
ponctuels,
cette interaction étant entièrement résumée par la donnée de l’intensité conditionnelle de défaillances. Ce résultat permet de construire une classe de modèlesmathématiquement exploitables,
les modèlesproportionnels, qui
donnent lieu à d’intéressantsproblèmes
destatistique appliquée.
Cet article est volontairement concentrésur les aspects de modélisation et les résultats
qu’ils
peuventengendrer.
Lesdéveloppements techniques
détaillés pourront être trouvés dans Gaudoin [90].Mots-clés : Fiabilité de
systèmes réparables, fiabilité
deslogiciels,
modélisationprobabiliste, statistique
de processus aléatoiresponctuels.
I. Introduction
Partant d’une
origine
detemps,
on observe le processusponctuel
T ={Ti}i0(T0
=0),
des instants successifs de défaillance d’unsystème.
On définitde même le processus des
temps
inter-défaillances successifs X= {Xi}i1,
où~i 1, Xi
=Ti - Ti-1,
ainsi que le processus N= {Nt}t0, qui compte
àchaque
instant t le nombre de défaillances survenues
jusque-là.
Achaque défaillance,
lesystème
estcorrigé
ou pas, lestemps
de correction étantsupposés négligeables
ounon
comptabilisés.
Le
système
étantréparable
etaméliorable,
sa fiabilité estsusceptible
d’évoluerau cours du
temps
en fonction des correctionsapportées.
Sa fiabilité à l’instant t est définie comme laprobabilité qu’il
exécute sa tâche sans défaillancespendant
encore une durée T, dans un environnement
spécifié.
C’est donc la fonctionRt(.)
92 O. GA UDOIN, J. -L. SOLER
définie par :
Il
s’agit
d’évaluer cette fonction àchaque
instant t àpartir
de l’observation faitejusque-là
du processus T(ou
X ouN),
en utilisant un modèle de loi deprobabilité
pour ce processus censé être enadéquation
avec les données d’observation.Dans le
§II,
nous établirons des bases pour la modélisationstochastique
desprocessus
observés;
le§111
sera consacré à ladescription
duprofil opérationnel poissonnien homogène
danslequel
nous nousplacerons
dans lasuite ; enfin,
dans le§IV,
nous décrirons la classe naturelle des modèlesproportionnels
et nousévoquerons
leur étudestatistique.
II. Modélisation
stochastique
du processus des défaillances et corrections d’unsystème présentant
des fautes deconception
On considère que la fonction du
système
étudié consiste à transformer des données d’entrée en données de sortie(par
l’intermédiaire d’un programme dans le cas d’unlogiciel).
Soit E l’ensemble de toutes les éventualités d’entrée du
système (que
l’on pourra éventuellement assimiler à l’ensemble de toutes les données d’entrée
admissibles),
muni d’une tribuA d’événements
d’entrée de référence.Le processus de sollicitation est une suite de
couples
de variables aléatoires(S’n, Zn),
oùSn
est l’instant de lanème
sollicitation etZn
la donnée d’entréecorrespondante.
Onpeut
aussi lereprésenter
par le processusponctuel spatial
{SU}U~03B2(R+)~A, où SU
est le nombre aléatoire decouples (Sn, Zn)
tombantdans la
région
U del’espace produit R+
x E.Le
profil opérationnel, qui
détermine les conditions d’utilisation dusystème,
sera défini comme étant la loi de
probabilité
de ce processus.Une défaillance est une différence entre le résultat fourni par le
système
etle résultat
prévu
par lesspécifications
dusystème.
Une faute de
conception
est un défaut dusystème, qui,
sous certainesconditions de
sollicitation,
entraînera une défaillance.On découvre l’existence d’une faute
quand,
pour une donnée d’entréeprécise,
le résultat en sortie n’est pas conforme aux
spécifications.
On pourra donc confondreune faute de
conception
avec l’ensemble des données d’entréequi
conduiront à samanifestation,
c’est-à-dire à l’événement d’entréecorrespondant. Ainsi,
la fautetotale à l’instant t,
Ft,
est l’ensemble des données d’entréepouvant
provoquerune défaillance à cet
instant,
ou encore l’événement d’entréecorrespondant
à lamanifestation de l’une
quelconque
des fautes existant dans lesystème
à cet instant.Une défaillance se
produit
suite à lanème
sollicitation si l’entrée correspon- danteZn appartient
à la faute totaleFSn.
On confondra l’instant d’une défaillance et l’instant de la sollicitationqui
a entrainé cettedéfaillance,
cequi
suppose letemps d’exécution
négligeable
ou nondécompté.
Le processus{Ti}i1
est doncune sous-suite du
processus {Sn}n1.
Une correction est une transformation
qui,
à une faute totale avant correctionF,
faitcorrespondre
une faute totaleaprès
correction F’.Comme on a défini le processus des instants de défaillance successifs
T,
on définit le processus des instants de correction successifs C =
{Ci}i1,
et leprocessus
qui compte
àchaque
instant le nombre de corrections effectuéesjusque-
là :
K = {Kt}t0.
Achaque
instant de correctionCi
est associée une marqueFi E A qui
est la faute totaleaprès
laième
correction. Le faitqu’il
soit naturel d’admettre que la correction d’une faute à un instant donné nedépend
que de l’état de la faute à cetinstant,
et non de ses étatspassés, implique
que le processus{Fi}i1
est markovien.L’évolution du
système
au cours dutemps
résulte alors de l’interactioncomplexe
des trois processus aléatoiresponctuels
introduits : celui dessollicitations,
celui des instants de défaillances et celui des instants de correction et de leur effet sur l’état des fautes deconception
àchaque
instant. Le processus résultantsera
appelé
processus des défaillances-corrections dusystème,
et sera noté :{S[0,t] A, Nt, Kt, Ft}t0,A~A.
La loi de
probabilité
du processus de défaillance est entièrement déterminée par la donnée de l’intensité conditionnelle dedéfaillance,
définie par :si ces limites
existent,
où7it
est latribu,
dansl’espace probabilisé
deréférence, engendrée
par lepassé
du processus des défaillances-corrections à l’instant t. C’est cette intensitéqu’il s’agit
de modéliser.On remarque que tous les modèles
classiques
de fiabilité deslogiciels (Jelinski-Moranda [72],
Littlewood-Verral[73],
Goel-Okumoto[79],
Musa-Okumoto[84], Kanoun-Laprie [85], etc...) s’intègrent parfaitement
dans cecadre, chaque
modèle
correspondant
en fait à une intensité conditionnelle de défaillanceparti-
culière. Le processus de défaillance est souvent modélisé par un processus ponc- tuel auto-excité et, dans le cas le
plus simple,
par un processus de Poisson nonhomogène.
L’utilisation de cette intensité de défaillance
permet
de proposer une classifi- cationsimple
des modèles de fiabilité deslogiciels (voir
tableau1),
en mettant en évidence les différenteshypothèses qui
les caractérisentrespectivement (Gaudoin [90],
deuxièmepartie).
III. Le
profil opérationnel poissonnien homogène (POPH)
On se
place
dans le cassimple
mais vraisemblable duprofil opérationnel particulier
où les instants desollicitation {Sn}n1
forment un processus de Poissonhomogène
surR+
d’intensité J.L >0,
et les donnéesd’entrée {Zn}n1
sont
indépendantes
entreelles,
de même loi deprobabilité Q
sur(E,A),
et94 O. GAUDOIN, J. -L. SOLER
TABLEAU 1
Tableau
récapitulatif
de la classification des modèles de fiabilité deslogiciels
indépendantes
des instants de sollicitation. De cefait, S
est un processus de Poissonspatial
surR+
x E d’intensité la mesure 03C3 =ttL
Q9Q,
où L est la mesurede
Lebesgue
surR+,
et l’intensité conditionnelle de défaillance dans ceprofil opérationnel
est alors donnée par :On en déduit la
propriété
suivante(Soler [88]) :
Dans le POPH et en
supposant
la correction immédiate(Nt = Kt
à toutinstant
t),
il existe un processus de Markov A ={Ai}i1,
constitué de v.a.r.positives,
tel que, conditionnellementà {039Bi
=03BBi}i1,
lestemps
inter-défaillancesXi
sontindépendants
et de loiexponentielle
deparamètre Ai respectivement.
Ai s’appellera
naturellement taux de défaillance dusystème
à laiè" étape (c’est-à-dire après
la(i
-1)eme correction).
Finalement,
construire un modèle pour le processus de défaillancerevient,
dans ces conditionsopérationnelles,
à proposer un modèle pour le processus destaux de défaillances successifs
A,
et donc àexprimer
l’effet d’une correction surle taux de défaillance du
système.
IV. Les modèles
proportionnels
et leur utilisationUne correction bien faite
peut
éliminer unepartie
des fautes deconception,
tandis
qu’une
correction mal faitepeut
enajouter
de nouvelles. Engénéral,
unecorrection sera en
partie
de bonnequalité
et enpartie
de mauvaisequalité.
Onmontre
(Gaudoin [90],
troisièmepartie)
que, si on seplace
dans lePOPH,
ilexiste deux suites de variables aléatoires à valeurs dans
[0, 1], {03B1i}i1
et{03B2i}i1, représentant
des taux de bonne et de mauvaise correction àchaque étape,
tellesque la relation entre deux taux de défaillance successifs s’écrive :
Malheureusement,
même dans le cas leplus simple,
où les deux taux decorrection et le
premier
taux de défaillance sontsupposés
déterministes et constants,ce modèle est
mathématiquement
trèscomplexe
etpratiquement inutilisable ; aussi,
nous
restreignons-nous
à supposer que l’effet de la correction estsimple,
c’est-à-dire
qu’à chaque étape,
l’un des deux tauxprécédents
est nul. On montre alorsqu’il
existe une suite de variables aléatoirespositives {03B3i}i1
telle que la relation entre les taux de défaillance successifs s’écrive :1i
représente
l’efficacité de laième
correction.Ai
et les 1i sontindépendantes.
Pour des raisons
évidentes,
les modèlesreposant
sur cette relation serontappelés
modèles
proportionnels,
et nous en étudions deux casparticuliers.
1)
Le modèleproportionnel
déterministeIl consiste à supposer que les
variables 1i
sont déterministes et touteségales
à un réel
positif
1, et queAi
estégalement déterministe, égale
à un réelpositif
A.On retrouve le modèle
«géométrique»
de Moranda[75], qui
ne semble pas avoir retenu l’attentionqu’il mérite,
tant sur leplan pratique
quethéorique.
Pour des raisons de
commodité,
on pose 1 =e-e,
0 E Il.Les v.a.r.
X.
sontindépendantes,
de loi F( 1, 1 03BBe-(i-1)03B8), pour tout i 1.
Le
paramètre A représente
le taux de défaillanceinitial,
tandis que leparamètre 03B8 représente
laqualité
de la correction effectuée.Une étude
statistique approfondie
de ce modèle est effectuée dans Gaudoin[90]
et Gaudoin-Soler[92].
96 O. GAUDOIN, J.-L. SOLER
Les estimateurs de maximum de vraisemblance de 03B8 et A
après
l’observation de ndéfaillances, (X1,
...,Xn)
et(X1,..., Xn)
sont définis de manièreunique
par :
On démontre
que B
est un estimateur sans biais de03B8,
libre parrapport
à A.Par
ailleurs,
on se ramène à un modèle linéaire d’ordre(n, 2) :
avec en
posant Yi
=Log(Xi)
+ 03B3E, où "lE est la constanted’Euler,
, et 03B5 est un vecteur aléatoire centré
de matrice des covariances
lr ln , ln désignant
la matrice identité d’ordre n. Ceprocédé
fournit des estimateurs des moindres carrés. Celuide 0, asymptotiquement gaussien,
est une combinaison convexe de variables aléatoires de loilogistique
etsa variance est en 0
(n-3).
2)
Le modèleproportionnel lognormal
Le défaut
majeur
du modèleproportionnel
déterministe est évidemmentl’hypothèse
très irréaliste que laqualité
de la correction est constante au coursdu
temps (égale
à0).
Il estprobablement plus juste
de considérer que celle-ci est variable. Un second modèle consiste à supposer que lesqualités
des corrections successives sont des variables aléatoiresOi indépendantes.
Faute d’informationssupplémentaires,
nousprendrons
pour tous les0398i
une même loi normaleN(O, 03C32),
et
Ai
= À. Alors la variable aléatoire 03B3i =e-8i
est de loilognormale.
Une étude
statistique approfondie
de ce modèle est effectuée dans Gaudoin[90]
etGaudoin-Lavergne-Soler [92].
Le calcul de la fonction de vraisemblance étant ici
inextricable,
onpeut
seramener à un modèle linéaire mixte d’ordre
(n, 2) :
avec
d’Euler,
en
posant
est la constanteZ est un
vecteur aléatoire
gaussien
deRn,
de loiN(0, 03C32In),
et 03B5 est unvecteur
aléatoire centré deRn,
nongaussien,
de matrice des covariances03C02 6In, indépendant
de Z.Ce
procédé permet
de construire des estimateurs des moindres carrés de 03B8 et de0-2, ainsi
que des estimateursMINQUE
ou detype
Gauss-Markov deo, 2
,grâce auxquels
onpeut
d’ailleurs testerl’hypothèse «0-2 == 0 »,
pour mettre ce dernier modèle en concurrence avec leprécédent.
Ces deux modèles ont été utilisés sur
plusieurs jeux
de données réelles de défaillances delogiciels,
en concurrence avec d’autres modèles. Les tests de validitéprédictive,
basés sur un indicateur deKolmogorov-Smirnov (méthode
de«U-plot»,
voir Keiller et al
[83]),
ont démontré leurpertinence
etparfois
leursupériorité (Gaudoin [90]).
V. Conclusion
Nous proposons une modélisation
stochastique
desphénomènes
de défail-lances des
sytèmes présentant
des fautes deconception, qui
se veut laplus large possible.
Elleprend
encompte
un maximum de facteursrégissant
lecomportement
de cessystèmes
vis-à-vis de ladéfaillance,
à savoir le processus de sollicitation et l’effet des corrections des fautes. Elleenglobe
tous les modèles de fiabilité deslogiciels existant,
etpermet
de les comparer.Enfin,
ellepermet
de construire unenouvelle classe de modèles basée sur des
hypothèses réalistes, qui
conduisent à desproblèmes
destatistique mathématique
très intéressants et dontl’application
à desdonnées réelles donne des résultats satisfaisants.
Références
Gaudoin 0.
(1990)
«Outilsstatistiques
pour l’évaluation de la fiabilité deslogi- ciels », Thèse,
UniversitéJoseph Fourier,
Grenoble.Gaudoin
0. , Lavergne
C. & Soler J.L.(1992)
«ABayesian proportional
model forsoftware
reliability»,
soumis à IEEE Transactions onReliability.
Gaudoin 0. & Soler J.L.
(1992)
« Statisticalanalysis
of a softwarereliability
modeland a new trend test», IEEE Transactions on
Reliability, sept.
92.98 O. GAUDOIN, J.-L. SOLER
Goel A.L. & Okumoto K.
(1979)
«Timedependent
error detection rate model forsoftware
reliability
and otherperformance
measures », IEEE Transactions onReliability,
R28, 3,
206-211.Jelinski Z. & Moranda P.B.
(1972)
«Softwarereliability research»,
Statistical computerperformance evaluation,
pp 465-484. New-York : Academic Press.Kanoun K. &
Laprie
J.C.(1985) «Modeling
softwarereliability
and availabi-lity
fromdevelopment-validation
up tooperation », Rapport
de RechercheL.A.A.S.,
n°85-042,
Toulouse.Keiller
P.A.,
LittlewoodB.,
MillerD.R.,
Sofer A.( 1983) : « Comparison
of softwarereliability predictions »,
IEEEFCTS, 13,
pp 128-134.Littlewood B. & Verral J.
( 1973)
« Abayesian reliability growth
model forcomputer software »,
Journalof
theRoyal
StatisticalSociety, C, 22,
332-336.Moranda P.B.
(1975)
«Event altered rate models forgeneral reliability analysis »,
IEEE Transactions on
Reliability,
R28, 5,
376-381.Musa J.D. & Okumoto K.
(1984),
«Alogarithmic
Poisson execution time model for softwarereliability
measurement», Proc. 7th Int.Conf.
onsoftware engineering, Orlando,
3-7 Oct.1988,
pp 230-238.Soler J.L.
(1988)
«Modélisation des processus derisque,
de défaillance et de correction dessystèmes présentant
des fautes deconception. Application
à lafiabilité des