Utilisateur:M2OS/BrouillonSdF

Sûreté de fonctionnement

Le concept générique de Sûreté de Fonctionnement englobe « in fine » les notions de Fiabilité, de Maintenabilité, de Disponibilité et de Sécurité (F/M/D/S). Pour cette raison, certains préfèrent définir simplement la Sûreté de Fonctionnement d’un produit comme l’ensemble de ses caractéristiques F/M/D/S.

Dans certains cas, on peut y inclure d’autres paramètres tels que la durée de vie, la survivabilité, l’invulnérabilité, etc.

Les traductions les plus communes en langue anglaise de la Sûreté de Fonctionnement sont «R.A.M.S » (Reliability, Availability, Maintainability, Safety », ou « Dependability and Safety ». Cependant, aucune d'entre elles ne rend compte parfaitement de la Sûreté de Fonctionnement au sens français du terme. Ce concept répond au besoin plus large d’un utilisateur, ou un groupe d’utilisateurs, vis-à-vis d’un produit (depuis le simple composant jusqu’au système complexe pouvant intégrer du logiciel), par rapport au concept plus restrictif de « fiabilité », ce dernier ayant été formalisé plusieurs décennies auparavant.

A titre d’exemple :

• Le responsable d’une base aérienne militaire peut-il s’estimer pleinement satisfait du seul fait que ses appareils présentent un haut niveau de fiabilité opérationnelle, sans porter attention à la logistique de maintenance ou à la disponibilité de ces appareils au sol ?
• Les responsables d’un vol spatial habité peuvent-ils se contenter d’avoir la garantie d’un haut niveau de fiabilité du véhicule spatial sans avoir l’assurance que les règles de sécurité ont été scrupuleusement suivies ?
• Quelle confiance peut-on avoir dans un logiciel porteur de « défauts » (d’analyse, de programmation …) du seul fait que ce logiciel délivre le service désiré, s’avérant ainsi « fiable », jusqu’à ce que les sollicitations qui lui sont appliquées viennent activer un « défaut », produisant ainsi la défaillance du logiciel et des manifestations d’erreurs ?

Différentes définitions de la Sûreté de Fonctionnement ont été proposées, par exemple, celle de la norme RG Aéro 00040 du Bureau de Normalisation de l’Aéronautique et de l’Espace (BNAe) :

« La Sûreté de Fonctionnement caractérise l’ensemble des aptitudes d’un produit lui permettant de disposer des performances fonctionnelles spécifiées, au moment voulu, pendant la durée prévue, sans dommage pour lui-même et pour son environnement ».

Cette définition de la SdF est du reste dérivée de celle associée au concept américain de « dependability » hormis le fait que, dans ce dernier, la notion de « dommage » est absente. Il est en tout cas important de noter que le concept anglo-saxon de « dependability » n’intègre pas la caractéristique de « sécurité » (safety), contrairement au sens accordé en France au concept de Sûreté de Fonctionnement, et ce quelle que soit la définition retenue.

On doit enfin ajouter que, par abus de langage et dans un contexte extrêmement général, la Sûreté de Fonctionnement est parfois assimilée à la science des défaillances et des pannes, ou même encore aux activités d’évaluation (qualitative ou quantitative) de cette aptitude.

Le concept de « sécurité » s’est formalisé au cours des années 60 dans le cadre des grands programmes militaires, spatiaux, nucléaires et de transports, au point de donner naissance à une discipline d’ingénierie à part entière. C’est ce qui explique pourquoi les anglo-saxons préfèrent faire vivre cette discipline (désignée par le terme « safety ») en dehors des tâches F/M/D associées à la « dependability ». …

A l’inverse en SdF on inclut outre la FMD la sécurité car en termes de conception des choix doivent être effectués qui privilégient plus l’un que l’autre. A titre d’exemple citons le cas d'un métro : plus on accroît les dispositifs de surveillance de l'ouverture des portes, plus on augmente le nombre de rames immobilisées

Historique

La publication par Igor Bazovsky de son ouvrage « Reliability and Practice » en 1961 a été le principal moteur de la popularisation de la fiabilité en France en tant que discipline d’ingénierie.

La Sûreté de Fonctionnement est un concept qui s’est formalisé en France dans le milieu des années 80 sous l’impulsion d’organismes tels que le Laboratoire d’Automatique et d’Analyse des Systèmes de Toulouse (LAAS), le Centre d’Etudes Spatiales (CNES) et la Direction des Engins (Den). Ce concept répondait au besoin d’élargir le caractère trop restrictif du concept de fiabilité vis-à-vis de la satisfaction et/ou de la confiance de l’utilisateur vis-à-vis de l’usage du produit considéré.

Composantes de la sûreté de fonctionnement

Dans le concept qui est perçu en France, la sûreté de fonctionnement englobe essentiellement les quatre caractéristiques que sont la fiabilité, la maintenabilité, la disponibilité et la sécurité. D’où le sigle FMDS souvent utilisé pour désigner la Sûreté de Fonctionnement [3]. D’autres caractéristiques, peuvent parfois compléter les quatre caractéristiques F/M/D/S, par exemple : la testabilité, la durabilité, l’opérationnalité, la flexibilité, l’efficacité, la vulnérabilité, l’évaluabilité, la survivabilité, le soutien logistique, etc. [1]. Le présent article se limite à donner un aperçu sur les quatre caractéristiques de base (F/M/D/S) de la Sûreté de Fonctionnement.[1].

Fiabilité

Article détaillé : Fiabilité. Le terme « fiabilité » est associé au néologisme issu de l’adjectif latin « fidus » traduisant la confiance, complété par le suffixe « abilité » traduisant l’aptitude ou la capacité. Selon la définition la plus reconnue, celle donnée par la norme AFNOR NFX 06-501, la fiabilité est l’aptitude d’un produit à accomplir une fonction requise dans des conditions d’utilisation données, pendant une période de temps déterminée. Toutefois, comme le souligne cette norme, la « fiabilité » est souvent assimilée à une caractéristique opérationnelle du produit se traduisant par une probabilité [4] de réussite de mission ou de succès. Ainsi, à titre d’exemple, on parlera d’une fiabilité de 0,98 (ou 98%) d’un satellite géostationnaire en orbite sur une durée de 5 ans. On notera que, selon la nature des sollicitations du produit, la notion de « période de temps » peut aussi s'exprimer en « nombre de cycles » (ex : un relais électromécanique), en « distance parcourue » (ex : certains composants d'un véhicule automobile ») en un nombre de sollicitations du type « marche-arrêt » d’un appareil électrique, etc. ... D’un point de vue quantitatif, différents indicateurs mathématiques peuvent être associés la caractéristique de fiabilité. Les plus usuels sont les suivants : • la MTBF (anglais : Mean Time Betweeen Failures) correspondant au temps moyen entre défaillances pour des dispositifs réparables • la MTTF (anglais : Mean Time To Failure) correspondant au temps moyen jusqu’à défaillance pour des dispositifs non réparables • le taux de défaillance par unité de temps (heure, cycle, ...) correspondant au nombre moyens d’unités d’un parc non soumis à un processus de renouvellement tombant en panne dans un intervalle de temps donné, ramené à cet intervalle de temps et au nombre d’unités encore « bonnes » au début de l’intervalle considéré. En tant que discipline d’ingénierie, la fiabilité se traduit par 3 grandes catégories d’actions complémentaires : • des actions d’aide à la conception : choix des niveaux de qualité des composants, dimensionnement des composants (pièces mécaniques), choix des architectures (ex : utilisation d’éléments redondants), recherche de marges de fonctionnement, recommandations sur les procédés de fabrication, etc.

• des actions d’évaluation du potentiel de fiabilité d’un nouveau produit, par exemple à l’aide de modèles appropriés et de bases de données quantitatives (normatives ou « maison »)

• des actions de validation de la fiabilité, par la mise en œuvre d’essais spécifiques ou de simulations.

Pour le logiciel, l' IEEE, Std 982.2-1988, standardise une définition : " La fiabilité d'un logiciel est la probabilité que le logiciel ne sera pas la cause de défaillance d'un système pour une durée donnée, dans des conditions déterminées ». Cette probabilité est fonction des entrées, et de l'usage du système ainsi qu'une fonction de l'existence de fautes dans le logiciel. Si des fautes existent, les entrées du système déterminent si on en rencontre certaines". Le temps n’apparait donc pas explicitement, mais implicitement par l’intermédiaire du nombre d’activations de ses « composants » pour la durée d’utilisation requise.

Maintenabilité

Article détaillé : Maintenabilité. Le terme « maintenabilité » est associé au néologisme issu de l’adjectif latin « manus » (ie : la main) complété par le suffixe « abilité » traduisant l’aptitude ou la capacité. Bien que plusieurs définitions soient encore proposées, celle retenue par l’AFNOR, issue du CCT 1010, peut être considérée comme la plus généralement reconnue. Elle définit la maintenabilité d’un matériel comme son aptitude à être remis dans un état de fonctionnement donné, dans des limites de temps spécifiées, lorsque le travail est effectué selon des procédures prescrites et des conditions données [4] et apte à être maintenu préventivement. Il est à noter que la prise en compte de l’aptitude du système de soutien à maintenir ou à remettre en état le matériel considéré, qui est du ressort du Système de Soutien Intégré (SLI) n’a pas être intégré dans la maintenabilité, celle-ci restant intrinsèque à ce matériel. A l’instar de la fiabilité, cette « aptitude de remise en état » caractérisant la maintenabilité peut se traduire, dans certains contextes, par une probabilité. Ainsi, on dira qu’un matériel réparable est caractérisé par une maintenabilité de 0,90 pour une durée d’intervention de 2 heures, ce qui signifie qu’en moyenne, 90% des matériels de ce type sont remis à hauteur en cas de défaut au bout de 2 heures d’intervention, lorsque celle-ci s’appuie sur les procédures spécifiées. En tant que discipline d’ingénierie, une étude de maintenabilité se traduit au niveau : • de choix de conception d’un matériel orientée sur la réduction de la durée de détection des pannes, de la durée de diagnostic, de la durée des temps de réparation et de la durée du temps de contrôle et des temps de maintenance programmée • de la politique de maintenance : niveaux d’intervention, moyens d’intervention, procédures de tests, documentation de maintenance, etc. opérations de maintenance préventive A l’image encore de la fiabilité, différents indicateurs peuvent être associés à la caractéristique de maintenabilité, et ce en fonction des différents cas espèces. Les plus courants sont les suivants :

• le MTTR (anglais : Mean Time To Repair), correspondant à la moyenne des temps de réparation : il intègre les temps de détection, de localisation, de remise en état et de vérification.. Cet indicateur donne l’image du temps d’indisponibilité d’un équipement à la suite d’une panne, du fait de sa conception propre. Il s’agit là d’un paramètre de conception important pour la définition des tâches de maintenance corrective de l’équipement • le taux moyen de réparation • le ratio nombre d’heures de tâches de maintenance / durée d’utilisation • le taux de couverture, correspondant au rapport du taux de défaillance détecté par le test sur le taux de défaillance total de l’équipement. Ce taux est important pour dimensionner les moyens de contrôle et, par voie de conséquence, sa maintenance préventive. • le taux de localisation des défauts • le taux de fausse alarme • la fraction du coût global de possession consacrée à la maintenance. On peut noter que le concept de « maintenabilité » est extensible au cas du logiciel, et l’on dira alors qu’un logiciel est caractérisé par une bonne maintenabilité lorsque sa structure et les codes utilisés facilitent toute forme de modification destinée à corriger des défauts, à condition de disposer de moyens de tests appropriés. Toutefois, dans le cas du logiciel, la caractéristique de maintenabilité ne se prête pas à une quantification sous forme de probabilité.

Disponibilité

Article détaillé : Disponibilité. Des quatre composantes principales de la SdF, la disponibilité est sans doute la plus intuitive. Ainsi, l’abonné décrochant son combiné téléphonique et constatant qu’il ne peut obtenir la ligne dira que celle-ci est « indisponible ». Il en sera de même de l’automobiliste constatant un beau matin que son véhicule refuse de démarrer. Dans ce type de perception ressentie par l’usager de manière « instantanée, on dira qu’il y a « indisponibilité » chaque fois que cet usager espère le fonctionnement d’un produit (ou d’un nombre suffisant d’unités identiques présentes nécessaires à la réalisation d’une mission) et qu’il ne l’obtient pas … ou plus si une panne survient en cours de trajet. Ainsi, en suivant par exemple l’EOQC 5, la disponibilité instantanée se définit comme la capacité (pouvant être traduite en terme de probabilité) d’un produit (matériel, système, ensemble de matériels …) à remplir la ou les fonctions qui lui sont assignées, à un instant déterminé, en supposant assurée la fourniture des moyens de soutien nécessaires. Par contraste à ce besoin « instantané », le concept de disponibilité (ou d’indisponibilité) peut être associé à la satisfaction de ce besoin sur un laps de temps donné. Ainsi, on parlera plutôt de « disponibilité moyenne » sur une année d’une chaîne de fabrication automatisée d’un produit donné, et la disponibilité moyenne sera définie comme le cumul des durées pendant lesquelles cette chaîne accomplit ses performances de manière nominale sur l’année, en ramenant ce cumul à la durée totale de service de la chaîne sur l’année de référence, en incluant les durées d’immobilisation entraînées par les opérations de réparation et de maintenance. A ce titre, en suivant par exemple la norme ISO/DP 2382, la disponibilité moyenne se définit comme le rapport entre le temps utilisable, excluant le temps consacré à la maintenance, et le temps total de service assigné à une unité fonctionnelle. Cette deuxième perception du concept de disponibilité sous l’angle d’une « valeur moyenne » est liée, de manière implicite, aux cycles de « marche/arrêt » ou, ce qui revient au même, de « défaillances/réparations » d’un produit. Elle repose donc • d’une part, sur la fiabilité proprement dite du produit, par le biais de la fréquence de défaillances • d’autre part, sur les caractéristiques de maintenabilité de ce produit, sur les dispositifs de détection de pannes, sur les possibilités de correction automatique et, éventuellement, sur la logistique associée à l’exploitation du produit. Au-delà de ce concept de disponibilité, qu’il soit perçu de manière instantanée ou de manière moyennée, on peut aussi, en s’appuyant sur la norme AFNOR X60-503, étendre le concept de disponibilité à celui d’un service. Ainsi, sur l’exemple d’une base aérienne militaire, le service attendu d’un groupe d’intercepteurs consistera à assurer le nombre de sorties nécessaires à la défense aérienne pendant une période donnée correspondant à l’existence d’une menace précise. De ce fait, la norme X60-503 définit la disponibilité de système comme l’aptitude d’un service (sous les aspects combinés des performances qu’il nécessite et de la disponibilité du produit mis en œuvre pour le fournir) à être assuré à l’intérieur des tolérances et dans des conditions spécifiées, à la demande l’utilisateur. Ce concept rejoint du reste le concept américain de « capability » utilisé par le DoD (Department of Defense) dans le domaine de la défense. Du point de vue de la quantification, le calcul mathématique de la disponibilité fait en général appel : • au détail des services attendus de la part du produit • aux taux de défaillance des constituants du produit • aux durées moyennes des temps de réparation • aux différentes durées inhérentes à l’organisation logistique : niveau des stocks, équipes de maintenance, politique de maintenance, etc.

On notera enfin que le concept de disponibilité n’est pas facilement définissable dans le cas du logiciel. On relèvera toutefois, en suivant Mc Call, que les composantes de cette « disponibilité » d’un logiciel sont plutôt des caractéristiques de base telles que : • l’évolutivité • l’interopérabilité • la portabilité • la réutilisabilité • l’utilisabilité • etc.

Sécurité

Article détaillé : Sécurité. A l’instar de la disponibilité, il existe une assez large variété de définitions attachées au concept de sécurité, plus ou moins bien adaptées à la nature du produit étudié et de ses conditions d’utilisation.. Parmi celles-ci, on peut citer : • celle du guide RG Aéro 00026 du BNAé (Bureau National de l’Aéronautique et de l’Armement) : la sécurité correspond à la propriété d’un produit de présenter, pour son environnement et pour lui-même, un risque déterminé en fonction des dangers potentiels inhérents à sa réalisation et à sa mise en œuvre, qui ne soit pas supérieur à un risque convenu. • celle, beaucoup plus synthétique, de la norme AFNOR X03-100 : la sécurité correspond à l’absence de risques de dommage inacceptable. Quelle que soit la définition retenue, la démarche sécuritaire consiste de la manière la plus générale à : • identifier les scénarios d’accidents possibles, par exemple événements initiateurs et sources de danger associées • évaluer les risques correspondants • attribuer à chaque risque identifié un niveau de gravité (ex : catastrophique, critique, marginal …) et un niveau d’occurrence (ex : probable, rare, improbable …) • hiérarchiser les risques avec prise en compte simultanée des niveaux de gravité et des niveaux d’occurrence • sélectionner les risques jugés inacceptables et définir des solutions visant à éviter ou supprimer les sources de danger, ou à les rendre moins probables par l’adjonction de barrières de sécurité, ou encore à limiter les effets des accidents par des moyens de protection appropriés.

Dans le cas spécifique des systèmes d’information, le concept de sécurité se rapporte soit aux caractères des conséquences de l’activation d’un défaut entrainant des conséquences contraires à le sécurité (« safety »), soit aux caractères d’intégrité ou de confidentialité de ces systèmes conséquences d’interventions généralement malveillantes dans l’utilisation du logiciel (« security ». .

En définitive, on peut retenir que la Sûreté de Fonctionnement, tel le dieu Janus à deux visages, peut être perçue sous deux angles différents : d’une part, comme une discipline faisant appel à de nombreux domaines d’expertise, d’autre part comme un ensemble de performances opérationnelles attachées au comportement d’un système. En tout état de cause, elle constitue, tant pour les industriels que pour les donneurs d’ordre, un enjeu fondamental dans la compétition économique actuelle. A ce titre, elle nécessite la mise en œuvre de méthodes, d’outils et de techniques de management de plus en plus évolués afin de relever dans les meilleures conditions possibles les enjeux économiques et écologiques tels qu’ils se posent en ce début du troisième millénaire.

La notion de sécurité est associée à celle de risque. Le risque est la combinaison de la gravité et de la probabilité d’occurrence d’un évènement redouté. La gravité définit de niveau de conséquence de l’apparition d’un évènement redouté ( classe de gravité), la probabilité d’occurrence sa fréquence d’apparition. A chaque classe de gravité est associée une valeur maximale de fréquence d’occurrence d’apparition des évènements redoutés de cette classe, appelée objectif de sécurité. La combinaison objectif de sécurité/classe de gravité peut être représentée graphiquement sous la forme d’une matrice de criticité qui définit un domaine acceptable et un domaine inacceptable d’exploitation du système. Le but des études de SdF est de s’assurer que l’ensemble des évènements redoutés reste dans le domaine acceptable de fonctionnement du système via des actions de prévention (diminution de la fréquence d’occurrence) ou de protection (diminution du niveau de gravité). Relations entre les composantes[modifier] La testabilité d'un composant contribue à la maintenabilité de l'équipement qui le contient, à travers le taux de couverture. La disponibilité d'un produit dépend de sa fiabilité et de sa maintenabilité[4]. En effet, pour qu'un produit soit en état de marche à un instant donné, il faut, soit qu'il n'ait pas arrêté de fonctionner (fiabilité), soit qu'il ait pu être remis en état de marche en cas de défaillance (maintenabilité et mise en place des moyens de maintenance appropriés). Selon les contextes, la disponibilité et la sécurité peuvent être des aptitudes compatibles ou antagonistes. Ainsi, si un produit ne dispose pas d'état de repli sûr en cas de panne (cas de l'avion en vol par exemple), la sécurité est obtenue par une forte disponibilité. À l'inverse, si l'état de panne est plus sûr que l'état de fonctionnement (cas des transports terrestres, des systèmes ferroviaires par exemple), un haut niveau de sécurité peut entraîner une disponibilité médiocre, un compromis entre sécurité et disponibilité doit alors être trouvé. … c'est ce qui justifie que nous attachions à la notion de SdF (cf. ci-dessus)

Études de sûreté de fonctionnement

La sûreté de fonctionnement porte sur l’ensemble du cycle de vie d’un système. Les études de sûreté de fonctionnement prévisionnelles regroupent les activités d'évaluation de la fiabilité, de la maintenabilité, de la disponibilité et de la sécurité d'une organisation, d'un système, d'un produit ou d'un moyen en cours de développement. Ces évaluations permettent, par comparaison aux objectifs ou dans l'absolu, d'identifier les actions de construction (ou d'amélioration) de la sûreté de fonctionnement de l'entité. Les études de sûreté de fonctionnement sont utilisées pour le soutien logistique intégré et contribuent à l'évaluation du coût du cycle de vie[7] d'un produit.

Les études de sûreté de fonctionnement opérationnelles concernent le suivi des performances d'un système en exploitation. Elles ont pour but de s’assurer que les performances annoncées sont tenues pendant l’ensemble de la vie opérationnelle du système et de détecter d’éventuels phénomènes de vieillissement susceptibles de les dégrader.

Les études de sûreté de fonctionnement utilisent un ensemble d'outils et de méthodes [8] qui permettent, dans toutes les phases de vie d'une entité, de s'assurer que celle-ci va accomplir ou accomplit les missions pour lesquelles elle a été conçue, et ce dans des conditions de fiabilité, de maintenabilité, de disponibilité et de sécurité prédéfinies. Ces études consistent généralement à analyser les effets des pannes, dysfonctionnements, erreurs d'utilisation ou agressions de l'entité étudiée.

Terminologie anglaise

En anglais :

Sûreté de fonctionnement se traduit dependability[1] ; toutefois, dependability n’est pas synonyme de sûreté de fonctionnement. En effet, elle comprend la fiabilité, la maintenabilité, la disponibilité et l’aptitude au soutien, mais exclut la sécurité.

La moins mauvaise équivalence avec le terme « sûreté de fonctionnement » est RAMS,

fiabilité se traduit reliability ;

maintenabilité se traduit maintainability ;

disponibilité se traduit availability ;

sécurité se traduit safety ou security suivant le cas;

le sigle FMDS (fiabilité, maintenabilité, disponibilité et sécurité) se traduit RAMS (reliability, availability, maintainability and safety) (inversion de l'ordre de maintenabilité et disponibilité).

Notes et références

POURQUOI NE PAS CITER EN TETE LES FICHES PEDAGO ?
Norme BNAé RG Aéro 00040

1. ↑ a, b, c et d Alain Villemeur, Sûreté de fonctionnement des systèmes industriels, Paris, Eyrolles, coll. « Collection de la direction des études et recherches d'Électricité de France », juillet 1988 (ISSN 0399-4198) page 744

2. ↑ LIS sous la direction de J.-C. Laprie, Guide de la sûreté de fonctionnement, Toulouse, Cépaduès, mai 1995, 2e éd., 369 p. (ISBN 978-2-85428-382-2)

3. ↑ le terme sûreté de fonctionnement et le sigle FMDS sont généralement utilisés de façon équivalente

4. ↑ a, b, c, d et e Norme NF EN 13306 Terminologie de la maintenance (juin 2001)

5. ↑ a et b Norme NF EN 50126 Applications ferroviaires - Spécification et démonstration de la fiabilité, de la disponibilité, de la maintenabilité et de la sécurité (FDMS) (janvier 2000)

6. ↑ , Norme NF X60-500 Terminologie relative à la fiabilité - Maintenabilité - Disponibilité (Octobre 1988)

7. ↑ Norme NF EN 60300-3-3, décembre 2005, « Gestion de la sûreté de fonctionnement Partie 3-3 : Guide d'application – Evaluation du coût du cycle de vie »

8. ↑ Analyse préliminaire des risques, AMDEC, arbre de défaillances, etc. Voir aussi[modifier]

Articles connexes

AMDEC

Arbre de défaillance

Conception de sûreté

Coût du cycle de vie

Étude probabiliste de sûreté

HAZOP

Soutien logistique intégré

Système critique

Taux de défaillance

Liens externes

Institut pour la maîtrise des risques (IMdR)