Conception
Les attributs FMDS sont définis de la façon suivante :
- Fiabilité : probabilité que le système soit non défaillant sur [latex]\left[0, t\right][/latex]
- Maintenabilité : probabilité que le système soit réparé sur [latex]\left[0, t\right][/latex]
- Disponibilité : probabilité que le système fonctionne à l’instant [latex]t[/latex]
- Sécurité : probabilité d’éviter un évènement catastrophique
Dans la littérature anglo-saxonne, les termes utilisés sont illustrés par le schéma traduit ci-dessous.
Il existe souvent une confusion entre les termes fiabilité et disponibilité. La fiabilité est l’aptitude d’une entité à accomplir une fonction requise, dans des conditions données, pendant un intervalle de temps donné. En terme de mesure, c’est la probabilité qu’une entité accomplisse une fonction requise dans les conditions données pendant l’intervalle de temps [latex]\left[0, t\right][/latex]. Un élément fiable est un élément qui ne doit pas nous lâcher lorsque nous en avons besoin, mais nous ne lui demandons pas de tourner 24h/24. Prenons l’exemple d’une ampoule électrique. Lorsque nous l’allumons, nous souhaitons qu’elle éclaire jusqu’à extinction. La fiabilité est la probabilité que l’ampoule soit en état de fonctionner à l’instant [latex]t_{1}[/latex] et qu’elle reste dans un fonctionnement correct jusqu’à l’instant [latex]t_{2}[/latex], soit sur l’intervalle de temps [latex]\left[t_{1}, t_{2}\right][/latex], sachant que la plupart du temps on prend [latex]t_{1}=0[/latex].
La disponibilité est l’aptitude à être en état d’accomplir une fonction requise dans des conditions données, à un instant donné, en supposant que la fourniture des moyens extérieurs nécessaires soit assurée. Elle prend en compte à la fois la fiabilité et la maintenabilité. La disponibilité se mesure comme la probabilité qu’une entité soit en état d’accomplir une fonction requise dans des conditions données à l’instant [latex]t[/latex]. Cette probabilité ne fait pas appel à l’histoire de l’entité, qu’elle ait été ou non réparée une ou plusieurs fois avant l’instant [latex]t[/latex]. Pour un système non réparable, la disponibilité est égale à la fiabilité, et d’une manière générale [latex]A(t) \geqslant R(t)[/latex]. Un élément disponible (fiable et maintenable) est un élément qui doit tourner 24h/24 et pour lequel on peut accepter une faiblesse de la fiabilité dans des proportions définies. Par exemple, une voiture doit fonctionner à l’instant du besoin, l’historique importe peu.
La maintenabilité est, dans des conditions données d’utilisation, l’aptitude (la probabilité) d’une entité à être maintenue ou remise en service sur un intervalle donné de temps, dans un état dans lequel elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données avec des procédures et des moyens prescrits.
De nombreux éléments rentrent en compte dans l’amélioration de la maintenabilité. Depuis la détection jusqu’à la réparation en passant par la formation et la documentation, tous les éléments doivent être analysés. La maintenabilité a une influence directe sur la disponibilité comme le montre la formulation mathématique de la disponibilité : [latex]A=\frac{MUT}{MUT+MDT}[/latex] sachant que MUT est la durée moyenne de bon fonctionnement après réparation et MDT est la durée moyenne de défaillance.
Une politique de maintenance est définie en identifiant clairement :
- Les niveaux de maintenance
- Les responsables de chaque tâche de maintenance
- Le niveau de diagnostic auquel on s’intéresse : sous-ensemble matériel, sous-ensemble logiciel
Les entraves sont représentées par la trilogie faute, erreur et défaillance.
La Faute est la cause interne de la défaillance. Elle peut être introduite par le concepteur, l’utilisateur ou l’environnement. Elle est inévitable, naturelle, tolérable. On pourrait être amené à se poser les questions suivantes :
Qui ? | Physique / Humaine |
Pourquoi ? | Accidentelle / Intentionnelle |
Quand ? | Développement / Opérationnelle |
Où, d’où ? | Hw / Sw, Interne / Externe |
Combien de temps ? | Permanente / Temporaire |
L’erreur est une manifestation interne, un signal ou un état incorrect. Elle conduira ou non à une défaillance suivant :
- Si la redondance existe et de quelle nature elle est
- L’activité du système, car la partie erronée peut ne pas être utilisée ou peut être éliminée avant la défaillance
- La définition d’une défaillance (granularité temporelle, taux d’erreur acceptable…)
La défaillance est la cessation de l’aptitude d’une entité à accomplir une fonction requise.
Prenons un exemple dans le domaine du développement. Un programmeur se trompe dans l’écriture d’une ligne de son code. Il a implanté une faute dans son programme. Cette ligne de code est exécutée, elle écrit une donnée erronée en mémoire. On est, alors, en présence d’une erreur. L’utilisateur accède à cette donnée, le système lui fournit une information erronée, et n’assure donc pas son service conformément à ce qui lui est demandé. C’est la défaillance.
Les défaillances peuvent être classées par leur rapidité d’apparition (progressive, aléatoire, soudaine) ou par leur date d’apparition (forme en baignoire).
Elles peuvent également être classées par leurs effets :
- Défaillance mineure : elle nuit au bon fonctionnement en causant un dommage négligeable au système ou à son environnement. Il n’y a pas de risque humain.
- Défaillance significative : elle nuit au bon fonctionnement sans dommage notable. Il n’y a pas de risque humain important.
- Défaillance critique : on note une perte de ou des fonctions essentielles du système. Les dégâts sont importants sur le système ou son environnement. Il n’y a pas de risque mortel ou de blessure pour l’homme.
- Défaillance catastrophique : elle induit une perte de ou des fonctions essentielles du système. Les dégâts sont importants sur le système ou son environnement. Il y a un risque mortel ou un risque de blessures graves pour l’homme.
On peut également classer les défaillances par leurs causes :
- Défaillance primaire (ou première) d’une entité, dont la cause directe ou indirecte n’est pas la défaillance d’une autre entité
- Défaillance secondaire (ou seconde) d’une entité, dont la cause directe ou indirecte est la défaillance d’une autre entité, l’entité devenant alors indisponible (nécessité de réparation) après disparition de la cause
- Défaillance par (de) commande d’une entité, dont la cause directe ou indirecte est la défaillance d’une autre entité, mais elle redevient disponible après disparition de la cause
Les moyens de la Sûreté de Fonctionnement, sont des solutions éprouvées pour casser les enchaînements dans la trilogie faute, erreur et défaillance :
- Prévention de faute, pour éviter des fautes qui auraient pu être introduites pendant le développement du système
- Tolérance aux fautes, pour mettre en place des mécanismes qui maintiennent le service fourni par le système, même en présence de fautes. On accepte dans ce cas un fonctionnement dégradé
- Élimination de faute qui peut être divisée en 2 catégories :
- Élimination pendant la phase de développement
- Élimination pendant la phase d’utilisation
- Prévision de faute, pour anticiper les fautes (de manière qualitative ou quantitative) et leur impact sur le système
C’est le domaine de la prévision qui va nous intéresser le plus avec des outils comme :
- Approche qualitative :
- Analyse préliminaire des risques (APR)
- Détermination des conséquences (AMDEC)
- Identification des causes (Arbres de défaillances)
- Approche quantitative (probabiliste)
- Arbres de défaillances (Traitement mathématique)
- Bloc Diagramme de Fiabilité (BDF), ou Diagramme de Fiabilité ou Reliability Block Diagram (RDB)
- Chaînes de Markov
- Réseau de Petri
- Modèles de croissance de fiabilité