E´cole doctorale IAEM Lorraine D´epartement de Formation Doctorale en Automatique Evaluation de param`etres de suˆret´e de fonctionnement en pr´esence d’incertitudes et aide `a la conception : Application aux Syst`emes Instrument´es de S´ecurit´e ` THESE pr´esent´ee et soutenue publiquement le 19 Octobre 2007 pour l’obtention du Doctorat de l’Institut National Polytechnique de Lorraine Sp´ecialit´e Automatique, Traitement du Signal et G´enie Informatique par MOHAMED SALLAK Composition du jury Pr´esident : D. MAQUIN Professeur `a l’INPL Rapporteurs : L. FOULLOY Professeur `a l’Universit´e de Savoie E. CHATELET Professeur `a l’Universit´e Technologique de Troyes Examinateurs : Y. DUTUIT Professeur `a l’Universit´e de Bordeaux I J-F. AUBRY Professeur `a l’INPL (Directeur de Th`ese) C. SIMON Maˆıtre de Conf´erences `a l’Universit´e de Nancy II (Co-directeur de Th`ese) Centre de Recherche en Automatique de Nancy UMR 7039 - Nancy Universit´e - CNRS 2, Avenue de la Forˆet de Haye 54516 Vandœuvre-L`es-Nancy T´el. +33 (0)3 83 59 59 59 Fax +33 (0)3 83 59 56 44 Mis en page avec la classe thloria. Remerciements Le travail présenté dans ce mémoire a été effectué au sein de l’équipe SACSS (Systèmes Automatisés Contraints par la Sûreté de fonctionnement et la Sécurité) du groupe thématique SURFDIAG (Sûreté de Fonctionnement et Diagnostic des systèmes) du Centre de Recherche en Automatique de Nancy (CRAN). J’exprime mes profonds remerciements à mes deux directeurs de thèse, Christophe Simon et Jean-Francois Aubry pour leur aide inestimable, leur patience et leurs encouragements tout au long de ce travail. Leurs compétences ont été un atout indéniable à la réussite de ces travaux et m’ont permis d’apprendre énormément durant ces trois années de collaboration. Je remercie Monsieur Alain Richard, directeur du CRAN pour m’avoir permis de réaliser cette thèse. Je remercie aussi le responsable l’école doctorale IAEM Lorraine, Monsieur Francis Lepage, pour son engagement dans notre formation doctorale. Je souhaiterais aussi remercier les rapporteurs Monsieur Eric Chatelet et Monsieur Laurent Foulloy qui ont accepté de se plonger dans ce sujet, ainsi que les autres membres qui ont accepté de participer au jury. Il me reste à remercier toutes les personnes avec qui j’ai travaillé durant ces trois années. i ii Je dédie cette thèse à mes parents... iii iv Table des matières Table des figures vii Liste des tableaux ix Production personnelle 1 Acronymes 3 Introduction 5 1 Problématique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 3 Organisation du rapport de thèse . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Chapitre 1 Evaluation de la sûreté de fonctionnement des systèmes dédiés aux applications de sécurité 11 1.1 Problématique de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.1.2 Notion de danger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 1.1.2.1 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 1.1.2.2 Phénomènes dangereux et situations dangereuses . . . . . . . . . 13 1.1.3 Notion de risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 1.1.3.1 Mesure de risque . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 1.1.3.2 Classification des risques . . . . . . . . . . . . . . . . . . . . . . 17 1.1.3.3 Risque acceptable . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1.1.3.4 Risque majeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1.1.3.5 Risque industriel . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1.1.4 Notion de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 1.1.5 Principes généraux de protection . . . . . . . . . . . . . . . . . . . . . . . 19 1.1.5.1 Sécurités passives . . . . . . . . . . . . . . . . . . . . . . . . . . 19 1.1.5.2 Sécurités actives . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 v Table des matières 1.2 Sécurité fonctionnelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 1.2.1 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 1.2.2 Systèmes relatifs aux applications de sécurité . . . . . . . . . . . . . . . . 20 1.3 Référentiel normatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1.3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1.3.2 Norme IEC 61508 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1.3.2.1 Domaine d’application . . . . . . . . . . . . . . . . . . . . . . . . 21 1.3.2.2 Structure générale de la norme . . . . . . . . . . . . . . . . . . . 21 1.3.2.3 Objectifs de la norme . . . . . . . . . . . . . . . . . . . . . . . . 22 1.3.2.4 Evaluation du niveau d’intégrité de sécurité (SIL) . . . . . . . . 22 1.3.2.5 Quelques commentaires . . . . . . . . . . . . . . . . . . . . . . . 27 1.3.3 Norme IEC 61511 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 1.3.3.1 Domaine d’application . . . . . . . . . . . . . . . . . . . . . . . . 29 1.3.3.2 Structure générale de la norme . . . . . . . . . . . . . . . . . . . 30 1.3.3.3 Objectifs de la norme . . . . . . . . . . . . . . . . . . . . . . . . 30 1.3.3.4 Quelques commentaires . . . . . . . . . . . . . . . . . . . . . . . 32 1.4 Problématique de l’évaluation de la sûreté de fonctionnement des SIS . . . . . . . 32 1.5 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Chapitre 2 Evaluation de la sûreté de fonctionnement des systèmes en présence d’informations imparfaites 35 2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 2.2 Représentation des connaissances imparfaites . . . . . . . . . . . . . . . . . . . . 37 2.2.1 Théorie des probabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 2.2.1.1 Définitions et propriétés . . . . . . . . . . . . . . . . . . . . . . . 37 2.2.1.2 Cadre bayésien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 2.2.1.3 Limitations de la théorie des probabilités . . . . . . . . . . . . . 39 2.2.1.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 2.2.2 Théorie des sous-ensembles flous . . . . . . . . . . . . . . . . . . . . . . . 39 2.2.2.1 Définitions et concepts de base . . . . . . . . . . . . . . . . . . . 39 2.2.2.2 Opérations simples sur les sous-ensembles flous . . . . . . . . . . 40 2.2.2.3 Nombres flous du type L−R . . . . . . . . . . . . . . . . . . . . 42 2.2.2.4 Notion de α-coupes . . . . . . . . . . . . . . . . . . . . . . . . . 44 2.2.3 Théorie des possibilités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 2.2.3.1 Mesure et distribution de possibilités . . . . . . . . . . . . . . . . 45 2.2.3.2 Mesure de nécessité . . . . . . . . . . . . . . . . . . . . . . . . . 46 2.2.4 Théorie des fonctions de croyance . . . . . . . . . . . . . . . . . . . . . . . 47 vi 2.2.4.1 Fonction de masse (ou de croyance) . . . . . . . . . . . . . . . . 47 2.2.4.2 Fonctions de crédibilité et de plausibilité . . . . . . . . . . . . . 47 2.2.5 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 2.3 Méthodes de sûreté de fonctionnement en présence d’informations imparfaites . . 49 2.3.1 Arbres de défaillance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 2.3.1.1 Principes, construction et analyse . . . . . . . . . . . . . . . . . 49 2.3.1.2 Arbres de défaillances flous . . . . . . . . . . . . . . . . . . . . . 53 2.3.1.3 Méthode de Singer . . . . . . . . . . . . . . . . . . . . . . . . . . 53 2.3.1.4 Exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 2.3.1.5 Méthode des α-coupes . . . . . . . . . . . . . . . . . . . . . . . . 56 2.3.1.6 Cas des événements répétés . . . . . . . . . . . . . . . . . . . . . 57 2.3.1.7 Dépendance des événements . . . . . . . . . . . . . . . . . . . . 57 2.3.1.8 Remarque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 2.3.2 Approches markoviennes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 2.3.2.1 Processus stochastiques . . . . . . . . . . . . . . . . . . . . . . . 58 2.3.2.2 Chaînes de Markov . . . . . . . . . . . . . . . . . . . . . . . . . 59 2.3.2.3 Processus de Markov. . . . . . . . . . . . . . . . . . . . . . . . . 61 2.3.2.4 Observations et limitations . . . . . . . . . . . . . . . . . . . . . 63 2.3.2.5 Chaînes de Markov à états non flous et probabilités de transition floues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 2.3.2.6 Chaînes de Markov à états flous et non flous et probabilités de transition singulières . . . . . . . . . . . . . . . . . . . . . . . . . 66 2.3.2.7 Modèle de Markov avec un système d’inférence flou (MMF) . . . 70 2.3.2.8 Conclusion et perspectives . . . . . . . . . . . . . . . . . . . . . 72 2.3.3 Réseaux de Petri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 2.3.3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 2.3.3.2 Définitions et concepts de base . . . . . . . . . . . . . . . . . . . 73 2.3.3.3 Réseaux de Petri temporels . . . . . . . . . . . . . . . . . . . . . 74 2.3.3.4 Réseaux de Petri p-temporels . . . . . . . . . . . . . . . . . . . . 75 2.3.3.5 Réseaux de Petri stochastiques . . . . . . . . . . . . . . . . . . . 76 2.3.3.6 Réseaux de Petri flous (RdPF) . . . . . . . . . . . . . . . . . . . 77 2.3.3.7 Observations et limitations . . . . . . . . . . . . . . . . . . . . . 81 2.4 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Chapitre 3 Evaluation des SIL par une approche probabiliste floue et études de sensibilité 83 3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 vii Table des matières 3.2 Evaluation des SIL par une approche probabiliste floue . . . . . . . . . . . . . . . 85 3.2.1 Modélisation des taux de défaillance des composants des SIS. . . . . . . . 85 3.2.2 Evaluation du PFD des SIS . . . . . . . . . . . . . . . . . . . . . . . . 86 avg 3.3 Caractérisation de l’incertitude des résultats obtenus . . . . . . . . . . . . . . . . 89 3.4 Etudes de sensibilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 3.4.1 Facteurs d’importance probabilistes . . . . . . . . . . . . . . . . . . . . . . 90 3.4.1.1 Hypothèses et notations . . . . . . . . . . . . . . . . . . . . . . . 91 3.4.1.2 Facteur d’importance marginal . . . . . . . . . . . . . . . . . . . 92 3.4.1.3 Facteur d’importance critique . . . . . . . . . . . . . . . . . . . . 93 3.4.1.4 Facteur d’importance critique des coupes minimales . . . . . . . 94 3.4.1.5 Facteur d’importance de diagnostic. . . . . . . . . . . . . . . . . 94 3.4.1.6 Observations et limitations . . . . . . . . . . . . . . . . . . . . . 95 3.4.2 Facteurs d’importance intégrant les connaissances imparfaites . . . . . . . 95 3.4.2.1 Facteurs d’importance sur les incertitudes . . . . . . . . . . . . . 95 3.4.2.2 Facteurs d’importance flous . . . . . . . . . . . . . . . . . . . . . 96 3.4.3 Facteurs d’importance proposés . . . . . . . . . . . . . . . . . . . . . . . . 98 3.4.3.1 Facteur d’importance flou (FPIM) . . . . . . . . . . . . . . . . . 98 3.4.3.2 Facteur d’incertitude flou (FPUM) . . . . . . . . . . . . . . . . . 98 3.4.4 Conclusion partielle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 3.5 Cas d’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 3.5.1 Description du système . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 3.5.2 Hypothèses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 3.5.3 Approche probabiliste floue . . . . . . . . . . . . . . . . . . . . . . . . . . 101 3.5.4 Caractérisation de l’incertitude . . . . . . . . . . . . . . . . . . . . . . . . 104 3.5.5 Etudes de sensibilité et réduction de l’incertitude du SIL . . . . . . . . . . 104 3.5.5.1 Facteur d’importance flou (FPIM) . . . . . . . . . . . . . . . . . 104 3.5.5.2 Facteur d’incertitude flou (FPUM) . . . . . . . . . . . . . . . . . 105 3.6 Conclusions et perspectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Chapitre 4 Conception optimale des SIS 109 4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 4.2 Etat de l’art de l’allocation de fiabilité et de redondance . . . . . . . . . . . . . . 111 4.2.1 Méthodes pondérées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 4.2.1.1 Méthode AGREE . . . . . . . . . . . . . . . . . . . . . . . . . . 112 4.2.1.2 Méthode Karmiol . . . . . . . . . . . . . . . . . . . . . . . . . . 112 4.2.1.3 Méthode ARINC . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 4.2.1.4 Méthode d’égale allocation . . . . . . . . . . . . . . . . . . . . . 114 viii