Sûreté de fonctionnement des systèmes

Principes et définitions
par Marc GIRAUD
Ingénieur de l’École Française de Radioélectricité, d’Électronique et d’Informatique (EFREI)
Ancien chef du service Sûreté de fonctionnement et Testabilité de Dassault Électronique

1. Le défi « sûreté de fonctionnement » ................................................ E 3 850 — 2

1.1 Caractérisation des systèmes, sous-systèmes et composants................ — 2
1.2 Caractérisation de la sûreté de fonctionnement ....................................... — 3
1.3 La SdF, l’homme et le risque système ....................................................... — 4
1.4 L’analyse fonctionnelle et la SdF ................................................................ — 5
2. Concepts et modèles probabilistes des attributs SdF................... — 5
2.1 Fiabilité (Reliability) ..................................................................................... — 5
2.2 Maintenabilité (Maintainability) ................................................................. — 6
2.3 Disponibilité (Availability) ........................................................................... — 6
2.4 Sécurité (Safety/Security) ........................................................................... — 6
3. Défaillance ................................................................................................. — 7
3.1 Typologie des défaillances.......................................................................... — 7
3.2 Conséquences des défaillances sur la SdF................................................ — 7
3.3 Probabilités, relations et caractéristiques liées à la défaillance
et à la réparation.......................................................................................... — 8
3.4 Estimateurs moyens.................................................................................... — 8
3.5 Force de mortalité des composants en fonction du temps
et des contraintes ........................................................................................ — 10
3.6 Densité de probabilité de défaillance f(t) ; fonctions R(t) et λ(t) associées — 11
3.7 Distributions événementielles discrètes.................................................... — 13
3.8 Processus stochastiques ponctuels en sûreté de fonctionnement.......... — 14
3.9 Mécanismes de dégradation des composants sous contraintes............. — 15
3.9.1 Contraintes de fonctionnement......................................................... — 15
3.9.2 Contraintes d’environnement ............................................................ — 15
3.10 Modélisations du λ des composants : recueils de données de fiabilité.. — 16
3.10.1 MIL-HDBK-217 ................................................................................... — 16
3.10.2 Guide FIDES...................................................................................... — 17
3.10.3 Recueil de Fiabilité (RDF) UTE C 80-810 ......................................... — 17
3.11 Limites des modèles et du domaine chiffrable ......................................... — 17
3.12 Testabilité et SdF des systèmes numériques ............................................ — 18
Références bibliographiques ......................................................................... — 19

a présente refonte de l’article « Fiabilité » répond à l’évolution technologi-

L que des vingt dernières années où la miniaturisation de l’électronique et
l’intrusion de l’informatique n’ont cessé d’accroître le potentiel multifonctionnel
et interactif d’entités au sein de systèmes (localisés ou distribués).
Elles entraînèrent, tant sur le plan matériel – niveau d’intégration des micro-
structures monolithiques – que sur le plan logiciel, omniprésent de la CAO
jusqu’aux applications, une augmentation notoire de la complexité qui n’est pas
restée sans effets sur la méthodologie d’étude. Trois besoins sont apparus :
— d’abord l’extension des attributs considérés (fiabilité, disponibilité) au
concept synthétique de « Sûreté de Fonctionnement » (SdF) intégrant les
dimensions sécurité et testabilité, sous les deux aspects matériel et
informationnel ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur E 3 850 − 1

Dossier délivré pour

DOCUMENTATION
20/10/2008
SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES ______________________________________________________________________________________________

— ensuite la prise en compte, au côté des défaillances aléatoires, de fautes

déterministes – de conception – responsables de dysfonctionnements géné-
riques, stables ou transitoires ;
— enfin l’introduction d’autres outils d’analyse (arbres de fautes, réseaux de
Petri, etc.) et la mise à jour de tables et références bibliographiques.
Ce concept global SdF s’impose désormais partout pour justifier qualitative-
ment la confiance des utilisateurs dans le service attendu et parvenir à la maî-
trise multidisciplinaire du risque.
Conçu pour des non-spécialistes, concernés par l’intégration système, l’article
prétend plus à une vue transversale que ciblée du sujet, privilégiant l’aspect pra-
tique et didactique (via de nombreux emprunts à la littérature) aux déve-
loppements mathématiques, toujours référencés.
Il est certain que la maintenabilité est réduite ici à la portion congrue, n’étant
considérée (pour le matériel) qu’au travers de la disponibilité qu’elle sous-tend
et de la testabilité dont elle est tributaire. Mais il a paru essentiel d’introduire
cette dernière, dont l’implication est cruciale en électronique pour garantir l’inté-
grité, ne serait ce qu’au temps t = 0.
L’ensemble « Sûreté de fonctionnement des systèmes » se compose de nom-
breux dossiers : [E 3 850] à [E 3 855].

1. Le défi « sûreté — aux agressions environnementales naturelles ou malveillantes

sur l’information stockée, traitée ou transitant dans le système ;
de fonctionnement » — aux fautes latentes de conception – omissions, incompatibili-
tés – révélées dans des conditions singulières (circuits insidieux,
métastabilité logique, testabilité inadaptée).
■ En électronique et dans leurs analyses prévisionnelles, les fiabi- ■ Il s’agit donc d’un défi global, non d’une technique particulière
listes étaient jadis principalement concernés par la défaillance – irré- (ce qui explique la longueur inhabituelle du présent dossier),
versible – de composants matériels, entraînant sur les composés concernant aussi bien ceux directement en charge de ses attributs –
une transition fonctionnelle, de l’état « bon » à l’état « panne » (ou plus ou moins antinomiques – à savoir :
« dégradé », en cas de redondance).
— la fiabilité : garantie de la non-interruption du service prévu ;
L’instant de survenue de la défaillance – commodément supposé — la disponibilité : aptitude à répondre à la sollicitation dans le
aléatoire – excluait de ce fait la recherche de toute faute déterministe temps ;
relative à la conception ou plus tard à l’utilisation. Il ne leur incom- — la sécurité : protection du système et de l’environnement
bait donc que le calcul – probabiliste – de son occurrence et de ses direct,
incidences sur les objectifs de fiabilité, sécurité, disponibilité, ou de que ceux motivés par l’image de marque (qualité pérenne du pro-
rupture de stocks. duit vendu) et... par les menaces, juridiques ou de rétrofit, en cas de
Mais ces chiffrages, effectués pour l’essentiel sur des concepts non-respect des spécifications.
sans dimension – ne relevant que du hasard – se situaient fréquem-
ment aux yeux des managers, du mauvais côté de la virgule, sinon
dans l’ombre de l’incrédulité.
1.1 Caractérisation des systèmes,
Sans même parler des concepteurs à qui les fiabilistes pouvaient
asséner, de par la loi exponentielle négative gouvernant la distribu-
sous-systèmes et composants
tion aléatoire des instants de défaillance :
— « le MTBF (Mean Time Between Failure) de votre équipement Structurellement, un système peut être défini comme un ensem-
ne dépend pas de l’ordonnancement du schéma électrique, mais ble ordonné et fini de composants, interconnectés en vue d’une
seulement des λ (en vrac) de sa nomenclature, dans son environne- finalité globale, spécifiée (vision « boîte de verre »).
ment physique... », ou bien :
Fonctionnellement, ces interactions définissent un comportement
— « puisque je vois l’équipement fonctionner, il est redevenu (ce que fait le système), avec d’autres entités, qui sont elles-mêmes
comme neuf... ». d’autres systèmes, (vision « boîte noire »).
■ C’est la multiplication des coûts liés à la révélation tardive de dys- L’ordonnancement amont-aval de ses éléments en sous-systè-
fonctionnements déterministes, dus pour la plupart à la complexité mes, caractérise la logique de dépendance de sa modélisation. Tou-
de modélisation d’interférences fonctionnelles et environnementa- tefois la vision structurelle de ce que le système « est » (sa
les (*) qui nous contraint tous à accepter maintenant le défi multidis- composition intime) ne peut expliquer son comportement, que si, et
ciplinaire d’une SdF synthétique, voire tolérante aux fautes. seulement si, on sait identifier son état du point de vue de la sûreté
(*) « Métastase logicielle » pour certains et inadéquation CEM pour d’autres ! de fonctionnement, par la mise en évidence des chemins condition-
À côté des défaillances physiques des composants – proportion- nant le succès, ou l’échec, du service attendu.
nellement plus rares, grâce à l’homogénéité et au contrôle des pro- Au sens strict, un composant matériel s’entend comme une entité
cessus de production – se multiplient désormais des anomalies de atomique non réparable, mais toujours remplaçable et un compo-
plus en plus spécifiques à l’application sinon à l’utilisateur. Leur sant logiciel comme une instruction ou un programme ; cependant
caractère générique étant souvent masqué par l’aspect transitoire pour un système informatique au sens large, le composant peut
des conditions d’occurrence, dues en particulier : englober une « couche » de logiciels dédiés à un service. La

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
E 3 850 − 2 © Techniques de l’Ingénieur

Dossier délivré pour

DOCUMENTATION
20/10/2008
 _____________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES

hiérarchisation système, sous-système, composant est donc affaire ■ Quoique... le Petit Larousse citant comme exemple de systèmes
de référence. Mais en aucun cas un système ne peut être réduit à la « un mode de votation », considérons maintenant le cas d’un voteur
simple somme de ses composants ; c’est l’interconnexion de électronique, programmé pour le classement de choix préféren-
ceux ci qui crée la fonction (le flip-flop n’est qu’un assemblage de tiels. L’algorithme, on ne peut plus simple, se propose d’identifier entre
portes). De plus, en SdF particulièrement, un système dans lequel 3 choix A, B, C, celui qui réunira la majorité absolue parmi N suffrages.
un élément est défaillant doit être vu comme un nouveau système, La préférence dyadique est ici notée > et l’ordre complet est celui
différent du précédent. d’énumération des choix.
Un avion dont les commandes électriques de vol ne sont plus intè- Pour ce faire la procédure consiste, chez chaque votant, à comparer
gres – perte de certains capteurs – verra ses lois de pilotage automati- successivement les candidats deux à deux : par exemple, d’abord A
quement modifiées. avec B, puis le vainqueur avec C. Le but est d’éviter l’effet pervers
d’une pluralité simple où un vainqueur désigné peut se retrouver
contesté par les 2 autres. Comme avec N = 7 et ABC = 3 ; BCA = 2 ;
CBA = 2, où A serait élu (3 voix) bien que B et C soient 4 fois devant
1.2 Caractérisation de la sûreté lui... (effet Borda fort).
de fonctionnement La procédure par double comparaison donnant ici B > C (5 fois),
C > A (4 fois), B > A (4 fois). B est alors vainqueur, sans contestation
possible, avec un score > N/2 des voix.
Proposée par J.C. Laprie [1], dans le contexte d’un système infor- Il est clair que, pour tout un chacun, la transitivité de la relation > per-
matique, tolérant aux fautes (et généralisée depuis), la notion de met d’opter pour un seul des 6 ordres de préférence : ABC, ACB, BAC,
SdF, s’énonce comme suit : BCA, CAB, CBA et désigner sans équivoque un vainqueur. L’ordino-
gramme (figure 2 a) illustre la procédure individuelle de sélection.
Quant au choix retenu par le voteur, ce doit être celui qui obtiendra sur
« Propriété d’un produit telle que ses utilisateurs (nous ajou-
l’ensemble de ces 6 triplets, plus de N/2 suffrages.
terons légitimes) puissent accorder, sur son cycle de vie, une
confiance justifiée dans le service qu’il délivre ». Or il arrive que l’agrégation de préférences individuelles, toutes tran-
sitives, ne soit pas elle-même transitive ! Alors on tourne en rond
éternellement (effet Condorcet, lui aussi connu... des spécialistes). Le
lecteur peut le constater, avec par exemple : ABC = 11, BCA = 9,
Remarque : curieusement, le terme « sûreté de
CAB = 6, CBA = 7, ACB = 4, BAC = 3, pour N = 40.
fonctionnement » ne fit l’objet d’aucun consensus normatif à
l’ISO et à la CEI où le néologisme anglo-saxon dependability, On démontre [3] que, pour tout N ≠ 4, il existe dans l’ensemble des
hérité des téléphonistes, n’intégrait toujours pas en 1994 les configurations de votes, supposées équiprobables, un pourcentage
dimensions safety et security, universellement associées à ce limite (pire cas < 6,25 % des scores) réalisant sur l’ordinogramme sys-
contexte. tème (figure 2 b) deux boucles insidieuses en pointillés (certes abstraites
mais bien réelles) n’apparaissant pas au niveau individuel des votants.
Quoiqu’il en soit, pour satisfaire l’exigence de confiance justifiée
dans un environnement « système », il faut pouvoir identifier Comme quoi, le comportement d’un système ne se réduit pas
l’impact éventuel d’interactions fonctionnelles, non désirées, avant à la somme de ceux de ses composants, mais à leur interaction.
même toute considération structurelle de défaillance des Ces exemples montrent que la « confiance justifiée » exclut tout
composants. dysfonctionnement, affectant en plus (1er cas) ou en moins (2e cas)
Les deux exemples suivants, empruntés à la littérature [2] [3] le service attendu :
l’illustrent à dessein. — que ceux-ci, surviennent toujours dans des instances
■ Soit (figure 1a) le faisceau électrique, simplifié à l’extrême, d’une particulières qu’il importe d’identifier, pour les éviter, ou les élimi-
automobile, dont les feux arrière répondaient indépendamment à trois ner, car ils sont alors... systématiques !
fonctions principales, indispensables à la sécurité : — que de préférence à une modification – du circuit, du pro-
gramme ou des entrées – ils nécessitent des méthodes de préven-
(e) – l’éclairage nocturne (via le contact C1) ;
tion, validation et gestion de la configuration, quelle que soit
(f) – la signalisation (stop) du freinage (via la pédale p et le l’implémentation (matérielle/logicielle).
contact C2) ;
(d) – la signalisation de détresse (via le warning w et la centrale
+ bat + bat
clignotante c).
w
En l’absence d’agression de l’environnement, les attributs fiabilité et w
sécurité de la SdF y sont confondus et satisfaits, tant que les compo-
sants sont intègres.
c C2 C1 c C2
Or en option, le constructeur proposait aussi une fonction de
confort :
R – la radio, opérationnelle quand le contact C2 est présent. d d
p P
Mais sa connexion entre A et B s’avéra tardivement malheureuse e
A A
(rétrofit), quand on s’aperçut (figure 1 b) qu’en appuyant sur la
pédale de frein, contact C2 coupé et warning allumé, la radio hoc-
quetait au rythme du clignotant de détresse... – vérifiant à nouveau R R
l’axiome de Murphy : « S’il existe une possible utilisation aberrante, f f
quelqu’un s’en chargera un jour ! ».
L’interaction non spécifiée, ni pour autant interdite, des fonctions
B B
(d) et R , via l’entrée « p » révélant un chemin insidieux typique – le
câblage en H – pourtant connu des spécialistes. a câblage radio dans faisceau éclairage b circuit insidieux ( )
Comme quoi la présence d’entrées non prévues n’est pas l’apanage
du seul logiciel ! Figure 1 – Exemple de l’automobile

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur E 3 850 − 3

Dossier délivré pour

DOCUMENTATION
20/10/2008
SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES ______________________________________________________________________________________________

N O
A>B

BCA, BAC, ABC, CAB, B > C > A > B… A > C > B >A…
CBA ACB 3,125 %
A>B O N B>A 3,125 %
ΣA > ΣB
50 % 50 %

BAC ABC
A>C B>C
O O
N O A>C>B B>A>C O N
ΣA > ΣC ΣB > ΣC
N N 31,25 %
O C>B
CBA, BCA B A 18,75 % 31,25 % A B 18,75 %
CAB, ACB A>C
A>B>C B>C>A

CAB CBA
ΣC > ΣB C ΣC > ΣA
N O 15,625 % 15,625 % O N
N N
C>B C>A
BCA ACB
boucles insidieuses

O O b votes cumulés pour N ∞

(répartition asymplotique)

C
O = oui CBA CAB
N = non
a votes individuels

Figure 2 – Exemple du voteur électronique

Idéalement, la SdF exigerait donc l’exécution correcte de tout ce Aussi, en sécurité, l’industrie et les services ont-ils formalisé et
qui est prévu – mais rien que ce qui est prévu – aux seuls moments mis en œuvre, dès l’avant-projet, des Analyses Préliminaires, carac-
et pour la durée voulus ! térisant qualitativement (cf. [E 3 851] le Risque (APR) ou le Danger
(APD) et identifiant les « barrières » nécessaires. Puis lors du déve-
Or la complexité des systèmes, leur diversification technologique, loppement, ils ont imposé et entrepris face aux multiples combinai-
les contraintes temporelles ou budgétaires rejettent toute illusion sons génératrices d’Événements Redoutés (ER), le chiffrage du
d’obtention et de démonstration du « zéro défaut ». risque résiduel autour des critères de probabilité et de gravité, ou de
leur produit, la criticité (cf. [4]).
D’autant que le risque d’intégration mal maîtrisée (patching)
d’éléments « sains » dans le cadre de modifications matérielles ou Naturellement, on doit exprimer la probabilité d’occurrence de
logicielles, ne cesse d’accroître la part déterministe des défaillances l’ER relativement à une unité significative (temps d’exposition au
à venir. Vis-à-vis de celles-ci, l’approche SdF devra considérer globa- risque plutôt que temps calendaire) et graduer la gravité, sur des
lement toute fonction dans son environnement système, sans échelles convenues de référence (taux d’attrition, nombre de morts,
modélisation – abusivement simplificatrice – de redondances en coût global estimé, etc.). Le but étant de cerner les compromis tech-
unités indépendantes, qu’une même faute de conception aurait vite niquement et économiquement acceptables pour le réduire, de
fait d’annihiler. comparer les solutions de sa « gestion », et d’en valider une.
Pour l’appréciation des risques collectifs, Farmer a délimité gra-
phiquement sur un plan de coordonnées xy, (gravité, fréquence res-
Il faut donc se résigner au fait qu’un produit sûr n’existe pas pectivement) une zone – intermédiaire entre les courbes à isorisque
dans l’absolu : il ne peut l’être que dans un contexte donné et inacceptable et celle à isorisque admissible –. Cette zone dite ALARP
avec un niveau résiduel de risque accepté. précise où le risque résiduel de l’ER doit être « As Low As Reasona-
bly Possible » (aussi faible que possible) dans l’état actuel de la tech-
nique. Mais ce diagramme privilégie souvent la réduction
d’événements à faible probabilité et à conséquences importantes
1.3 La SdF, l’homme et le risque système plutôt que la combinaison inverse... Ce qui montre que la gravité,
dont les critères sont de nature fréquemment subjective, ne soit pas
aisément additive.
On ne peut non plus affirmer qu’en SdF le risque système affecte Aussi, au stade opérationnel, l’essentiel reste de continuellement
exclusivement ses métriques F, D, S, M ; ce que dénient nos exem- valider ou réviser les principes de précaution, en fonction du retour
ples où aucune d’elle n’est diminuée, hormis la confiance justifiée. d’expérience, organiquement transmis et analysé par une Logique
De ce point de vue l’homme est donc partie intégrante du système, de Traitement des Incidents et Actions Correctives (LTIAC)
tant comme utilisateur du service, que cause (ou révélateur) de la (cf. [E 3 855]).
faute, et par conséquent responsable de la prévention et de la Nombre de défaillances « muettes », préalables possibles de
prévision du risque. combinaisons catastrophiques à venir, ont été ainsi fortuitement

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
E 3 850 − 4 © Techniques de l’Ingénieur

Dossier délivré pour

DOCUMENTATION
20/10/2008
 _____________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES

découvertes et mémorisées, grâce aux corrections de fautes paten- • Si maintenant la mesure de la fiabilité est expérimentale :
tes, totalement décorrélées des premières. Et nombre de désastres
auraient pu être évités si cette LTIAC avait été mise en place ! Le rapport N (t)/N0 est l’estimation de la fiabilité d’une popula-
tion de N0 entités mises en fonctionnement, lorsqu’il en reste
encore N (t) opérationnelles au temps t.

1.4 L’analyse fonctionnelle et la SdF Naturellement s’il s’agit de dispositifs « monocoup » (missiles par
exemple) N0 figure alors le nombre d’expériences effectuées et N(t)
le nombre de succès jusqu’à t.
Quels que soient le système et sa nature (matérielle ou logicielle),
l’analyse fonctionnelle est la première étape, après la définition du On distinguera donc successivement, selon l’état de développe-
besoin et la désignation des objectifs, de l’étude de faisabilité. À ce ment considéré, trois types de fiabilité.
stade amont, elle est partie intégrante de l’analyse de la valeur, où
chaque fonction est rapportée à sa finalité (fonction technique ou de
■ Fiabilité prévisionnelle (phase de conception)
service), hiérarchisée en fonctions principales ou secondaires, puis
insérée dans un diagramme logique de décomposition fonction-
Elle est calculée sur des modèles analytiques d’architectures
nelle. La représentation excluant d’abord toute considération tech-
(cf. [E 3 851]) propres au projet, et des taux élémentaires de
nologique ou topologique non utile à l’explicitation de trois couples
de questions : défaillance issus de banques de données composants (§ 3.10).

Phases Ces taux sont paramétrés en fonction des contraintes internes/

Phase de
conception
{ À quoi cela sert-il ? Pourquoi ce besoin ?
Sur quoi agit-il, de quoi dépend-il ?
}
d'évaluation
ou
externes subies et des caractéristiques technologiques de construc-
tion et de sélection. L’analyse prévisionnelle peut fournir à partir de
Pourquoi est-ce ainsi et pas autrement ? nomenclatures ou de schémas électriques, respectivement deux
d'optimisation
types de bilans :
Vis-à-vis de la SdF, une fois prises en compte les exigences relati-
ves à la satisfaction du service, aux recensements des contraintes, • La fiabilité « fondamentale », ou probabilité d’intégrité maté-
aux exclusions et risques associés, il y aura lieu pour les entités rielle à un instant donné. C’est, dans le spatial, le critère prévision-
réparables de faire correspondre ensuite, à chaque niveau du dia- nel d’un lancement réalisé en conditions « nominales ». Et pour un
gramme fonctionnel, un niveau de modularité matérielle, testable matériel réparable, celui générateur des coûts de maintenance
et remplaçable, comme le recommande la norme GAM T 16 de la futurs : les redondances n’y étant considérées que de ce point de
Commission Technique Interarmées de Normalisation Électronique vue (architecture série).
[5].
• La fiabilité « en mission », fonction de l’architecture système,
éventuellement redondante au niveau entités ; elle formalise dans
ce contexte la probabilité de réussite, pour un « profil » d’environne-
2. Concepts et modèles ments et de durées fixés.

probabilistes des attributs ■ Fiabilité intrinsèque ou estimée (phases de développement/

production)
SdF
On la mesure au cours d’essais spécifiques (cf. [E 3 854]),
conduits dans le cadre d’un programme entièrement défini, sinon
contractuel. Elle induit le comportement probable d’une entité dans
2.1 Fiabilité (Reliability) des conditions plus variées que celles effectivement simulées, et
fournit un bilan calculé sur une implantation physique (prototypes,
présérie).
• La définition qualitative retenue par l’Afnor (NF X 06-501) est la
suivante :
■ Fiabilité opérationnelle (phase d’exploitation)

« La fiabilité est l’aptitude d’un produit à accomplir une fonc- Elle résulte du traitement statistique, a posteriori, des données
tion requise dans des conditions données et pendant une recueillies par les exploitants, dans des conditions réelles d’utilisa-
période donnée ». tion (au sein d’un système) ; sans que celles-ci (environnement, fré-
quence et durées de sollicitations) soient toujours parfaitement
connues. Aussi est-il indispensable – pour pouvoir progresser – que
• Quantitativement tout dépend de la finalité pour son mode de ce bilan soit évalué sur un retour d’expérience, convenablement
calcul. S’il s’agit de prévision, la CEI-271-1974 la définit ainsi : organisé.

« Probabilité qu’une entité accomplisse une fonction requise, ■ Défiabilité

dans des conditions données, pendant une durée donnée ».
Plus généralement, si on considère la fonction fiabilité R(t)
comme la probabilité qu’il n’y ait pas de défaillance de l’entité sur
On admet l’entité en état d’accomplir cette fonction au début de l’intervalle (0, t) dans les conditions prévues, la notion complémen-
l’intervalle de temps et que ce dernier constitue la variable fonda- taire de « défiabilité » – notée F (t), avec F pour failure – s’introduit
mentale. Mais pour certains composants, d’autres critères liés à naturellement : c’est la probabilité qu’il en survienne une ou plus
l’utilisation, s’avèrent préférables : cycles d’ouverture/fermeture de entre 0 et t.
relais, nombre de tours moteur etc...
La définition ne précise ni l’effet de l’âge de l’entité, ni le fait que Cette formulation qui peut paraître superflue, s’avère en fait très
cette probabilité de survie – ou de non-défaillance – notée R (t) dans utile par les simplifications apportées dans le calcul de structures en
la suite, soit une fonction décroissante du temps. redondances parallèles (cf. [E 3 851]).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur E 3 850 − 5

Dossier délivré pour

DOCUMENTATION
20/10/2008
SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES ______________________________________________________________________________________________

2.2 Maintenabilité (Maintainability) La probabilité A(t) est toujours conditionnée par l’état initial de
l’entité sauf lorsque t → ∞.
■ Disponibilité moyenne
• La définition de la CCT 1010 reprise par l’Afnor est la suivante :

« Moyenne de la disponibilité instantanée sur un laps de

« La maintenabilité est l’aptitude d’une entité à être rétablie temps donné » ;
dans l’état de fonctionnement spécifié, selon les procédures
prescrites, dans un laps de temps fixé. »
c’est-à-dire :
• Comme pour la fiabilité, on utilise, en phase de conception des
∫
1 T
matériels réparables, une estimation prévisionnelle de la A ( 0, T ) = --- A ( t ) dt
maintenabilité : T
0

ou plus simplement s’ils sont connus, rapport des temps de disponi-

« Probabilité M(t) que la maintenance d’une entité, exécutée bilité sur le temps total.
dans des conditions données (procédures et moyens prescrits)
soit achevée au temps t, sachant l’entité défaillante à t = 0. » ■ Disponibilité asymptotique (ou stationnaire) A(∞)

• Dans les phases ultérieures (développement, série) la maintena- « Limite, si elle existe, de la disponibilité instantanée, quand
bilité sera l’objet d’estimations empiriques (essais) ou de statisti- on fait tendre l’instant considéré vers l’infini ». La limite existe
ques opérationnelles analogues à celles de la fiabilité. tant que A(t) n’est pas périodique.
Pour ce qui est du matériel, la maintenabilité est intimement
tributaire : ■ Indisponibilité
— de la testabilité des entités, tant vis-à-vis de la probabilité – À l’instar de la défiabilité, on fait souvent appel à la notion com-
taux de couverture – que de la durée – latence – de détection des fau- plémentaire d’indisponibilité (unavailability), dans les trois déclinai-
tes, de leur confirmation/infirmation (fausses alarmes), et de leur sons ci-dessus, particulièrement lorsque la disponibilité est proche
localisation ; de 1. En effet, on conçoit très bien qu’un système fiable dont les pan-
— de la logistique de soutien (intégré ou non), définie par la poli- nes sont longues à réparer, soit en fait moins disponible qu’un sys-
tique de maintenance ; c’est elle qui spécifie les moyens et niveaux tème moins fiable, mais plus facilement maintenable.
d’intervention, les procédures applicables.
• Prévisionnellement l’indisponibilité est donc la probabilité,
• Cependant, on observera qu’en électronique la maintenance notée A ( t ) , qu’à l’instant considéré l’entité soit défaillante malgré
préventive est quasiment inexistante du fait : les redondances éventuelles et les moyens de réparation.
— de la nature « poissonnienne » (cf. § 3.8) du processus princi- • Opérationnellement, elle peut aussi être calculée par la fraction
pal de défaillances dans les modèles fiabilistes usuels ; du temps pendant lequel l’entité n’est pas utilisable (entre
— de son inadéquation face aux fautes génériques de conception. défaillance et remise en service) ou même, dans le cas d’un parc
Paradoxalement ceci ne simplifie en rien le problème de la main- d’entités identiques, par la proportion de celles déclarées inutilisa-
tenance, car les pannes, réputées rares, mais subites, ne bles à cet instant ou sur ce laps de temps.
« préviennent » généralement pas (comme en mécanique).

2.4 Sécurité (Safety/Security)

2.3 Disponibilité (Availability)
Le terme français de sécurité est ambigu dans le contexte SdF –
La notion nécessite plusieurs définitions (Afnor NF X 60-503) recouvrant indistinctement les concepts anglo-saxons safety et
quant à sa référence au temps, et aux critères significatifs dans l’uti- security – qui se rapportent plutôt aux menaces naturelles d’une
lisation de l’équipement, du système ou du service concerné. On part, malveillantes d’autre part (bien que coffre-fort se dise « safe »).
distingue les trois définitions suivantes. Aussi, certains utilisent pour essayer d’en rendre compte, les ter-
mes de sécurité-innocuité et de sécurité-confidentialité. À notre
■ Disponibilité instantanée (ou ponctuelle) sens, les termes sécurité matérielle et sécurité informationnelle
s’avèrent préférables, quelles que soient la forme (active ou pas-
sive) et l’origine (interne ou externe) des menaces.
« Aptitude/probabilité qu’une entité soit en état d’accomplir
une fonction requise, dans des conditions fixées, et à un instant En effet, dans les réseaux de communication, la confidentialité,
donné ». garantie par le chiffrement et certains protocoles cryptologiques
(ping-pong, etc.), ne sécurise le contenu des messages, que vis-à-vis
d’attaques passives (par lecture ou écoute frauduleuses de don-
Quantitativement définie à l’instant t par la probabilité A(t). C’est nées, de droits d’accès) ; alors que face aux attaques actives (par
par exemple celle intéressant l’abonné au réseau téléphonique dont impersonnification, parasitage, falsification, détournement), la sécu-
l’appel urgent risque de ne pas aboutir, suite à l’encombrement tem- rité de messages – transmis en clair – repose respectivement :
poraire des lignes ou à la défaillance d’éléments du réseau. — sur les preuves d’accréditation légitime fournies à la rigueur
Pour les entités non réparables (composants matériels) la formu- par des mots de passe, ou mieux par les protocoles interactifs dits
lation de A(t) est celle de R (t), dès t = 0. Pour les entités réparables, « à apport nul de connaissance » (Zero Knowledge) ;
A(t) ne préjuge pas de ses états antérieurs – matériel neuf, ou en — sur les garanties d’intégrité que procure l’addition de redon-
cours de réparation –. Aussi contrairement à la fiabilité, toujours dances générées par des codes correcteurs d’erreurs et/ou celles
décroissante, la disponibilité ne l’est pas nécessairement. Elle peut d’authenticité offertes par les schémas de signatures numériques
même osciller pendant une période transitoire avant de se stabiliser. sur messages compactés et/ou chiffrés (cf. [E 3 853]).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
E 3 850 − 6 © Techniques de l’Ingénieur

Dossier délivré pour

DOCUMENTATION
20/10/2008
 _____________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES

Cette dernière forme de signature, fonction du contenu du mes- 3.1 Typologie des défaillances
sage et de l’expéditeur, peut être reconnue par quiconque, sans être
connue (elle change à chaque fois) : de ce fait elle ne peut pratique-
ment être falsifiée ni recopiée. ■ Qualitativement on distingue des défaillances temporelles, ou en
valeur ; perçues de manière cohérentes ou non (dites alors
• Qualitativement, on retiendra donc, quelle que soit la nature des
« byzantines »), qualifiant de catalectiques, celles soudaines et
dommages et de leurs causes – accidentelle ou intentionnelle – et
totales ; ou de dégradations, celles partielles et progressives – dont
quelle que soit la nature de la victime, la définition très générale de
les seuils sont à préciser –.
l’Afnor X 03-100 :
La défaillance d’un composant matériel s’observe à partir de ses
« modes » ; résultant d’une cause particulière, faute ou défaut,
« La sécurité est l’absence de dommages inacceptables .» qu’on sait (ou non) modéliser et quantifier.
Chaque type technologique possède ses propres modes (court-
circuit, circuit ouvert, etc.) en nombre plus ou moins grand selon sa
• Quantitativement, nous retiendrons celle donnée par
complexité, et souvent exclusifs les uns des autres.
A. Villemeur [6] :
■ Quant aux modes communs de défaillance, les « bêtes noires »
du fiabiliste, à qui l’identification – capitale – et le chiffrage délicat
« Probabilité qu’une entité évite de faire apparaître dans des incombent, C. Liévens [7] en distingue trois types, classés par
conditions données des événements critiques ou l’imminence décroissante de leur effet.
catastrophiques », notés ER (pour Événements Redoutés).
A – celui entraînant à coup sûr la défaillance simultanée ou en cas-
cade d’un ensemble défini d’éléments, fonctionnellement dépen-
Nota : les « conditions données » sont malheureusement restreintes aux cas où leur dants de ressources partagées, telles que alimentations, bus,
occurrence peut être imaginée ou trouvée significative sur le temps d’exposition au horloges, etc.
risque...
B – celui qui à lui seul modifie simultanément et dans le même
En fait, lorsque l’on pourra probabiliser ces ER, c’est toujours sens les probabilités de défaillance de plusieurs éléments : contrain-
l’insécurité qui sera chiffrée. Mais il ne faut pas se leurrer : le manie- tes environnementales ou fonctionnelles.
ment de probabilités infinitésimales est souvent plus trompeur C – celui qui introduit des dépendances statistiques de nature
qu’utile. Les études de sécurité ne valant que par l’effort d’objecti- quelconque entre éléments en principe indépendants : défauts de
vité, de rigueur et d’exhaustivité qu’elles imposent et non par un test, etc.
chiffre, invérifiable dans l’absolu.
La classification des conséquences peut naturellement s’effectuer
Dans le matériel enfin, le paradigme sécurité inclut la notion de en fonction de la gravité des effets engendrés :
sécurité intrinsèque (ou positive), là où la défaillance d’un élément — mineurs : dommages négligeables au système ou à
du système conduit à un état d’énergie nulle, ne pouvant provoquer l’environnement ;
d’ER ; par opposition à ceux où la stratégie de sécurisation ne pro- — majeurs : réduction significative des performances du
vient que de l’ajout de moyens supplémentaires. système ;
— critiques : dommages importants au système/environnement,
risque létal possible ;
— catastrophiques : dommages très importants, blessures et
3. Défaillance morts d’hommes certaines.

Pour le fiabiliste la défaillance d’un composant est perçue comme 3.2 Conséquences des défaillances
la transition adjugée entre son état « bon » et un état « mauvais » où sur la SdF
il n’est plus utilisable. Cette transition n’est pas nécessairement uni-
que – il existe plusieurs états « mauvais » possibles – mais elle est
irréversible, (n’étant pas réparable) et demeure chiffrable en proba- Si en sécurité le cahier des charges attribue à chaque ER, quelles
bilité sous certaines conditions. que soient les fonctionnalités en cause et leur implantation, une
clause chiffrée en probabilité et/ou le respect de principes adaptés à
leur criticité, il n’en est pas ainsi pour la fiabilité, la disponibilité, et
Remarque : le terme de « panne » – inaptitude à exercer une la maintenabilité.
fonction requise – ne peut s’appliquer à un composant, dont la
fonctionnalité n’existe qu’au travers de son environnement. Leur objectif y est alloué au niveau des entités modulaires consti-
C’est uniquement aux niveaux supérieurs (entité, application), tuant le système, par le programme de construction et validation de
qu’on peut constater une inaptitude fonctionnelle. la SdF (cf. [E 3 855]).
Quant à l’exigence éventuelle de tolérance aux fautes, elle
requiert une définition précise de la typologie des défaillances à
La défaillance peut être transitoire si elle résulte d’une perturba- supporter – car c’est d’elle que dépend avant tout le surplus (over-
tion externe, ou intermittente si elle survient seulement lors de la head) logiciel ou matériel du test – plus que de leur fréquence
conjonction d’événements externes et de la sollicitation d’une fonc- d’occurrence, à laquelle la redondance fonctionnelle et les niveaux
tion insuffisamment qualifiée. Dès lors difficilement chiffrable en de qualité répondent.
termes de probabilité d’occurrence, elle doit être l’objet
La coopération entre fiabiliste et concepteur consistera :
(cf. [E 3 852]) d’une analyse qualitative comportementale, au titre
des dysfonctionnements pour déterminer ses conséquences. — à évaluer les rapports entre tolérances électriques et distribu-
tions de charges ou contraintes, pour déterminer les modes de
Précisons enfin qu’un système est dit cohérent, si suite à une défaillance les plus probables, leurs taux instantanés et leurs consé-
défaillance, aucune autre défaillance ne peut le rétablir dans l’état quences fonctionnelles ;
« bon » ; et corrélativement qu’il ne l’est pas, si deux états logiques — à dimensionner au juste nécessaire la redondance d’entités, à
complémentaires y sont à la source du même ER (cf. [E 3 851]). identifier leurs besoins en tests (et en test des tests), pour limiter,

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur E 3 850 − 7

Dossier délivré pour

DOCUMENTATION
20/10/2008
SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES ______________________________________________________________________________________________

autant que faire se peut, le temps de latence des modes « muets », mais parce que la probabilité de trouver, dans celle-ci, une entité
ainsi que l’espace de propagation des modes communs de encore en vie a diminué.
défaillance.
Empiriquement, on peut calculer l’estimation du taux moyen de
défaillance d’un parc d’entités (non réparables) :
Remarques — sur un intervalle ∆t : par le rapport entre n, le nombre de
• Le mutisme accidentel d’un dispositif de test en ligne n’est défaillances observées sur ∆t, et le produit N(t)∆t, N(t) étant le nom-
pas sans conséquence sur le temps d’exposition au risque bre d’entités encore en vie ;
d’une unité fonctionnelle, s’il survient avant la défaillance criti-
que de celle qu’il est censé surveiller. — de l’instant initial à t1 : par le rapport du nombre total [N0 − N(t1)]
• A contrario, le déclenchement intempestif d’alarmes, par le de défaillances constatées à la durée cumulée ΣN(t)∆t de toutes les
mode de défaillance opposé au précédent, nuit gravement à la entités testées.
disponibilité et à la confiance dans le produit. Pour les fonctions
critiques, il fait l’objet d’une clause généralement antinomique ■ Taux (instantané) de réparation : µ (t )
de l’insécurité, dans un rapport (100 à 1 000) fonction des con- C’est la limite du quotient de la densité de probabilité d’achève-
séquences. ment de la réparation m(t) entre t et t + dt, sur la durée [0, t] de
l’immobilisation. On montre [6] que ce taux relatif, µ(t), est égal au
quotient de la dérivée, par rapport au temps, de la maintenabilité
M(t), par la probabilité complémentaire 1 − M(t) :
3.3 Probabilités, relations
et caractéristiques liées dM ( t )
µ ( t ) = ----------------------------------- (4)
à la défaillance et à la réparation [ 1 – M ( t ) ] dt

Nota : chez certains auteurs le hazard rate désigne indifféremment λ(t) ou µ(t).
■ Probabilité (cumulée de 0 à t) de défaillance : F (t)
C’est la fonction « défiabilité », croissante de 0 à 1, dont le chif-
frage, plus « parlant » que celui de la fiabilité R(t), est relatif au
temps jusqu’à défaillance d’une entité non réparée. 3.4 Estimateurs moyens
F(t) = 1 − R(t) (1)
■ Densité (de probabilité) de défaillance : f (t) Les définitions ci-après précisent le sens de sigles anglo-saxons,
souvent confondus, qui à part les deux premiers, ne s’appliquent
C’est la dérivée par rapport au temps de la précédente ; elle qu’aux équipements réparables.
exprime la probabilité de voir une entité cesser de fonctionner entre
t et t + dt ; c’est donc un taux absolu, on a : ■ Mean Time To Failure : MTTF (moyenne des temps jusqu’à
f (t) = dF (t)/dt (2) défaillance)

■ Taux (instantané) de défaillance, ou force de mortalité : Ce sigle, quelle que soit l’entité, réparable ou non, doit être inter-
λ(t), ou hazard rate h(t) prété comme la moyenne des temps jusqu’à la défaillance totale (si
l’entité est redondée) ou jusqu’à la première défaillance sinon.
Limite, entre t et t + dt, du quotient de la densité de probabilité de
défaillance par la probabilité de non défaillance avant t. ∞

dF ( t ) dR ( t )
λ ( t ) = -------------------- = – -------------------- = h(t) (3)
Par définition : MTTF =
∫ 0
t ⋅ f ( t ) dt . On démontre facilement

R ( t ) dt R ( t ) dt [6], en intégrant par parties que :

∞
Le taux se rapporte à la première et unique défaillance pour
les composants et entités non réparables, ou à chaque intervalle
MTTF =
∫ 0
R ( t ) dt (5)

entre défaillances pour les systèmes réparés.

■ Mean Time Between Failure : MTBF (moyenne des temps
entre défaillances)
Il s’agit donc d’un taux relatif, puisque normé par la probabilité de
survie, exprimé souvent en FIT (Failure In Time), avec Ce sigle est correctement traduit par moyenne des temps entre
1 FIT = 1 défaillance/1 000 000 000 h. défaillances (consécutives, dans le cas d’une entité réparée) et non
Pour fixer les idées, la force de mortalité des composants s’étage par moyenne des temps de bon fonctionnement.
entre 1 et 100 FIT, celle des sous-ensembles autour de 1 000 FIT,
selon la complexité et les contraintes.
Remarque : le sigle MTBF, n’est équivalent au MTTF que pour
La popularité du λ et son assimilation (abusive) à la fiabilité tient une population d’entités à taux de défaillance constant (cf. § 3.6
à un sens physique plus intuitif, que celui du taux absolu représenté et [E 3 851]).
par la densité de probabilité de défaillance d’une population.
En effet, supposons λ(t) = K, une constante,
alors, d’après (3) : R(t) = exp(−Kt) Comme pour la défaillance, on associe à la réparation d’autres
donc, d’après (1) : F(t) = 1 − exp(−Kt) estimateurs, tels que les suivants.
et, d’après (2) : f(t) = Kexp(−Kt).
■ Mean Time To Repair : MTTR (moyenne des temps techniques
La densité f (t) est donc une fonction décroissante du temps, ce de réparation)
qui signifie que la première défaillance a moins de chance de surve-
nir dans un laps de temps dt au fur et à mesure que le temps passe, Les Anglais utilisent aussi le sigle MART (Mean Active Repair
non pas parce que la force de mortalité λ de la population diminue, Time).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
E 3 850 − 8 © Techniques de l’Ingénieur

Dossier délivré pour

DOCUMENTATION
20/10/2008
 _____________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES

∞
Par définition : MTTR =
∫ 0
t ⋅ m ( t ) dt , ce qui, après intégra- En électronique, où l’on admet que la force de mortalité λ
d’une entité élémentaire reste constante dans le temps, mais où
la distribution des durées de réparation peut être quelconque,
tion par parties, donne : on démontre [8] que l’indisponibilité stationnaire s’obtient par :

∞ A(∞) = (λr) ⁄ (1 + λr) (10)

MTTR =
∫ 0
[ 1 – M ( t ) ] dt (6) avec r valeur moyenne de la loi de distribution des
temps de réparation.

■ Mean Up Time : MUT (temps moyen de disponibilité, après

réparation)

Ce temps moyen est un peu inférieur au MTTF, car ici la réparation 1re défaillance 2e défaillance
peut être partielle, notamment dans le cas de structures redondantes, Remise en
alors que le MTTF caractérise la durée moyenne de fonctionnement service
d’une entité complètement restaurée (comme à t = 0).
MTTF Temps
t0 MDT MUT
■ Mean Down Time : MDT (temps moyen d’indisponibilité, après
réparation)
MTTR
Ce temps inclut : les temps techniques de détection, localisation MTBF
et réparation de la panne, mais aussi les délais administratifs de
gestion et de transport. Le MDT est donc supérieur au MTTR, mais a
en général faible devant le MUT, c’est pourquoi la différence entre
MTTF et MTBF n’est pas très significative. T1 T2 T3

■ Rapports entre estimateurs t t1 t2 t3

Les figures 3 a et 3 b illustrent les rapports entre estimateurs, sur

lesquels on reviendra plus loin dans [E 3 852]. Notons que pour une t '1 t '2 t '3
entité non redondée, à λ constant :
b
MTBF = MUT + MDT = 1/λ (7)
Moyenne des temps de première panne = t

Remarques T1 + T2 + T3
Moyenne des temps entre pannes (MTBF) =
• À l’utilisation du MTBF et du MTTF il sera souvent préférable 3
de substituer celle du taux de défaillance (λ) pour quatre raisons Moyenne des temps de bon fonctionnement =
t + t1 + t2 + t3
au moins : 4
— contrairement aux λ, on ne peut jamais additionner des t1 + t2 + t3
MUT = Mean Up Time =
MTTF (ou des MTBF) dans les calculs ; 3
— ces moyennes sont calculées sur un intervalle de temps t'1 + t'2 + t'3
MDT = Mean Down Time =
infini, que peu de systèmes peuvent cumuler ; 3
— dans le cas d’entités placées en redondance, elles ne ren-
seignent pas sur le bénéfice en fiabilité (qui dure peu de temps) ; Figure 3 – Rapports entre estimateurs
— enfin leur expression en un nombre d’heures très élevé
(couramment 100 000, soit bien souvent 50 années calendaires
■ Fréquence des défaillances d’un dispositif quelconque
ou plus) ne représente nullement une probabilité significative de
bon fonctionnement jusque là, si toutefois cet horizon avait Le calcul de la fréquence des défaillances reste cependant indis-
encore un sens sur le plan industriel... pensable et complémentaire de celui de l’indisponibilité pour dimen-
• L’estimation ponctuelle de la valeur θ du MTTF peut se faire sionner la logistique et juger de la pertinence d’une architecture face
a posteriori, sur un intervalle ∆t, par le rapport du temps de à un objectif, aussi bien technique, qu’opérationnel ou économique.
fonctionnement cumulé des N(t) survivants, ramené au L’expression générique de la fréquence des défaillances d’une
nombre n de défaillances constatées : entité est donnée [8] par :

θ = N(t)∆t ⁄ n (8) 1
F d = -------------------- ∑ p | Ei ⋅ P [ Ei ] (11)
Exemple : s’il se produit n = 4 défaillances sur un intervalle A ( t ) dt i
∆t = 100 h et qu’il subsiste à la fin de l’intervalle N(t) = 1 000 entités
non défaillantes, la moyenne observée est d’une défaillance toutes avec Ei états critiques de l’entité : ceux à partir desquels
les 25 h pour cette population, soit toutes les 250 000 h pour cha- une défaillance unique d’un de ses composants
que entité. la conduit dans l’état de panne,
Dans un intervalle infini, l’estimation est donnée par le quo- A(t) disponibilité,
tient de la durée cumulée par les entités défaillantes, relative-
ment à l’effectif initial N0. P[Ei] probabilité d’être dans l’état Ei à l’instant t,
p|Ei probabilité de défaillance conditionnelle de
θ = Σnt ⁄ N 0 (9) l’entité entre t et t + dt sachant qu’elle est dans
l’état Ei à l’instant t.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur E 3 850 − 9

Dossier délivré pour

DOCUMENTATION
20/10/2008
SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES ______________________________________________________________________________________________

λ(t,c) λ(t, C)
Défauts de fabrication
1 Défauts
d'utilisation λu
2
λR C3 λ3

λ0 C2 λ2
Taux de contrainte
de référence C1
C1 λ1

Défauts de jeunesse Vie utile Usure Temps t t1 t2 t3 t4 t5 t6 t

(λ ) ( λ = Cte) (λ )
C1 : vie utile = (t3 ; t6)
Nota : la durée de vie utile est évidemment beaucoup plus longue C2 : vie utile = (t2 ; t5)
que celle représentée C3 : vie utile = (t1 ; t4)

a évolution de λ en fonction du temps b évolution de λ en fonction du niveau de contrainte

Figure 4 – Évolution de λ en fonction du temps (4a) et de la contrainte (4b)

3.5 Force de mortalité des composants ■ Période des défaillances systématiques, dite « d’usure »
en fonction du temps Ici la force de mortalité des composants, λ, ne cesse de croître. Les
et des contraintes défaillances proviennent non pas de la fabrication ou de l’environ-
nement de l’entité, mais exclusivement de son utilisation ou des
limites intrinsèques de sa technologie. On constate ainsi la destruc-
tion progressive, par réaction physico-chimique, des lampes à
La notion d’évolution dans le temps du λ d’un composant pris iso- incandescence, tubes à vide, condensateurs électrolytiques, batte-
lément n’a pas de signification physique objective. Il est bon ou pas. ries, piles sèches, etc.
Expérimentalement, seul le taux moyen d’un lot peut être mesuré. Pour ce qui est des autres composants, le phénomène est consi-
Dans le cas de matériels électroniques réparables, il est toutefois dérablement plus lent et ne peut pratiquement pas être observé,
possible de traiter chaque matériel individuellement si on le consi- sauf si les spécifications d’emploi ne sont pas respectées : relais,
dère comme l’ensemble de ses composants. Sous ces restrictions, machines tournantes en particulier.
on constate que l’allure générale de la courbe donnant la valeur du
λ en fonction du temps est celle dite « en baignoire ». Sur cette
courbe (figure 4 a) on distingue successivement trois périodes dis- Remarques
tinctes décrites ci-après. • L’examen de la loi exponentielle de distribution des
défaillances montre que, pratiquement, au temps t = 1/4,6 λ, soit
bien avant l’usure, il ne reste déjà plus que 1 % d’entités encore
■ Période des défaillances précoces
en vie.
Initialement, la force de mortalité naturelle décroît régulièrement, • Par ailleurs, on constate (figure 4 b) que la durée de vie utile
mais de moins en moins vite, avec le temps. Cette période corres- varie en raison inverse du niveau de la contrainte appliquée et
pond à l’élimination progressive des éléments présentant des par conséquent du λ.
défauts de conception, de fabrication ou de ceux insuffisamment
contrôlés. Elle couvre au maximum quelques centaines d’heures. ■ Incidence des insuffisances de qualité et de fiabilité sur le
processus de défaillance
■ Période des défaillances à λ constant, appelée « vie
utile » de l’entité Une interprétation « mécanique », souvent utilisée, du processus
de défaillance d’une population d’entités s’appuie sur l’interférence
L’apparente stabilité de la force de mortalité constatée dans cette des distributions de la contrainte (température ou autre) et du seuil
période résulte des multiples mécanismes de dégradation interne et de résistance à celle-ci. Sur les courbes de la figure 5, où sont por-
externe propres à celle-ci, ainsi que des tolérances des lots de pro- tées en abscisse leurs intensités respectives, c et r, et en ordonnée
duction des composants. les densités de probabilité, on voit que la probabilité cumulée de
défaillance de la population (surface hachurée de la courbe r)
Ce λ quasi-constant accentue l’effet du hasard sur l’apparition de résulte :
la défaillance et simplifie par ailleurs grandement les calculs de
fiabilité. — soit d’une qualité médiocre, que traduit l’évasement de la
distribution r ;
— soit d’une fiabilité insuffisante que traduit la faible marge entre
Dans cette période, pour une même population, une entité les valeurs moyennes c et r .
encore en vie a autant de chance d’être défaillante entre 1 000 et Il s’ensuit que pour réduire, voire éliminer en usine – au moindre
1 100 h qu’entre 10 000 et 10 100 h, il revient donc alors au coût – les défaillances futures dues aux éléments potentiellement
même d’y tester 100 entités pendant 10 000 h que 10 000 pen- défectueux, un essai en sur-contrainte éliminera la queue inférieure
dant 100 h. de la distribution de r, supprimant de facto l’interférence, cause de

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
E 3 850 − 10 © Techniques de l’Ingénieur

Dossier délivré pour

DOCUMENTATION
20/10/2008
 _____________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES

■ Loi de Weibull
Densité La loi de Weibull, propre à la fiabilité, est une loi tri-paramétrique
de probabilité permettant de rendre compte de l’une ou l’autre des trois périodes
de la courbe en « baignoire ». On note :
Résistance
Contrainte
à la contrainte — t0 (ou γ) le paramètre de centrage de l’origine du temps ;
— β un paramètre > 0 de forme ;
— η un paramètre d’échelle, homogène à un temps.

r
C’est la valeur de β qui fixe la période du « taux de défaillance »
c Intensité
couverte par la loi :
— si β < 1, le taux instantané est décroissant, les défaillances sont
Fiabilité insuffisante précoces ;
— si β = 1, le taux est constant, la loi se ramène à la loi
exponentielle ;
— si β > 1, le taux est croissant, on est en période d’usure.

Un papier fonctionnel spécifique à cette loi, permet la déter-

c r mination graphique de tous ces paramètres, à partir du simple
Intensité
relevé de dates des défaillances enregistrées (voir exemples de
calcul en [E 3 854]). Sur ce papier, x = ln (t) et y = ln [ln(1/R(t))].

■ Loi Gamma

La loi gamma est une loi très générale à deux paramètres : λ

(d’échelle) et β (de forme), tous deux positifs, dont la densité f(t) est
Qualité normée par la fonction eulérienne Γ (β), d’où son nom.
insuffisante

r
Selon la valeur de β par rapport à 1, la loi modélise, moins bien
c Intensité
cependant que la précédente, la durée de vie de dispositifs dont la
force de mortalité est croissante, constante ou décroissante.
Proportion
de défaillances En fait, son importance tient surtout aux valeurs entières de β, car
alors Γ (β) = (β − 1)! et la loi, dite alors distribution spéciale d’Erlang,
Figure 5 – Interprétation mécanique de l’interférence entre donne le temps nécessaire pour l’occurrence de β événements indé-
contrainte et résistance à la contrainte pendants de force de mortalité λ ; par exemple, le temps d’autono-
mie d’un stock de rechange, ou la durée de vie d’une architecture
stand-by à n étages en parallèle.
la défaillance précoce en service. C’est le principe du ■ Loi normale
« déverminage » sur lequel on reviendra plus loin (dans [E 3 855]).
Quant aux entités éventuellement soumises à un phénomène L’importance de la loi normale est liée au théorème central-limite
d’usure, il n’y a pas d’autre moyen que de les retirer du service pré- relatif à la distribution de la moyenne de n observations indépen-
ventivement à la défaillance, selon une procédure programmée lors dantes, provenant de n’importe quelle distribution, ou même de
des contrôles de maintenance, ou de l’observation fortuite de dérives. n différentes distributions – de moyennes et variances finies –. La
distribution de cette moyenne tend vers la loi normale, lorsque
n → ∞. En fait n peut être assez faible si la variance de chaque distri-
bution est faible.
3.6 Densité de probabilité
Cette loi peut s’utiliser en fiabilité pour rendre compte de la
de défaillance f (t). période d’usure, comme celle de Weibull qui lui est très voisine
Fonctions R(t) et λ(t) associées quand son paramètre β = 3. La loi normale étant définie de − ∞ à + ∞,
on limitera son utilisation au cas où la moyenne des durées de vie µ
est supérieure à 3σ0.
Les figures du tableau 1 résument les principales lois continues et
leurs caractéristiques, durée de vie moyenne, écart-type. Leurs ■ Loi log-normale
champs d’application sont mentionnés ci-dessous.
En fiabilité cette loi est utilisée lorsque le logarithme de la durée
■ Loi de décroissance exponentielle
de vie suit une loi normale ; ce qui est le cas de la plupart des
C’est la loi la plus utilisée, puisqu’elle (ne) rend compte (que) du mécanismes de défaillance des semi-conducteurs pour lesquels on
cas le plus général en électronique : celui correspondant au palier l’utilise dans les essais accélérés.
de la courbe « en baignoire », où la constance de la force de
mortalité λ des composants, dans le temps, simplifie grandement Mais son utilisation principale demeure la maintenabilité où elle
les calculs de fiabilité. est préférable à l’exponentielle décroissante pour figurer la distribu-
tion des temps de réparation.
C’est d’ailleurs le seul cas où le MTTF – égal ici à 1/λ – ait un sens
(car il ne dépend pas de l’intervalle considéré). En effet celle-ci ne saurait être maximale pour une durée nulle,
À cet instant, la probabilité de survie n’est plus que de 1/e soit sauf évidemment s’il s’agit de faux contacts qu’un simple coup de
36,78 %. pied ferait disparaître !

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur E 3 850 − 11

Dossier délivré pour

DOCUMENTATION
20/10/2008
SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES ______________________________________________________________________________________________

(0)

Tableau 1 – Principales lois continues

f(t) Durée de vie

f (t) R (t) λ ( t ) = ----------- = h(t) Écart-type σ
R(t) moyenne θ

λ0 e – λ0 t e – λ0 t λ0

λ 1 λ0
Décroissance 1 1
exponentielle ------ ------
λ0 λ0
0,37

0 0 0
θ = 1 / λ0 t θ = 1 / λ0 t t

β t β–1 β β β t β–1 1 1
t t 2 1
--- ⎛ ----- ⎞ exp – ⎛ ----- ⎞ exp – ⎛ ----- ⎞ γ + ηΓ ⎛⎝ 1 + --β- ⎞⎠ η Γ ⎛ 1 + --- ⎞ – Γ 2 ⎛ 1 + --- ⎞
---
--- ⎛ ----- ⎞ β⎠ β⎠
2
η ⎝η ⎠ ⎝η ⎠ ⎝η ⎠ η ⎝η ⎠ ⎝ ⎝

Γ est la fonction eulérienne de

2e espèce (cf. fonctions spéciales du
Weibull β = 1/2 traité Généralités)
Courbes λ 1 β=3 λ β=1
pour γ = 0 β=1
β=1 β =3
β=3

β = 1/2 β =1/2
0 0 0
t t t

β t β – 1 e – λτ
∞

∫
λ λ --------------------------------------------
∞

∫
------------ ( λ t ) β – 1 e – λ t ------------ τ β – 1 e – λτ d τ
Γ(β) Γ(β) τ β – 1 e – λτ d τ
t
t

β β
Gamma --- ------
λ β =1 1
β =1/2 λ β =1 λ λ2
β=1
β =1/2 β = 1/2
β=3
β=3 β =3

0 t 0 t 0 t

exp [ – ( t – µ ) 2 ⁄ 2 σ 02 ]
∞

∫
1 1 ---------------------------------------------------------------------------
-
∞

∫
------------------ exp [ – ( t – µ ) 2 ⁄ 2 σ 02 ] ------------------ exp [ – ( τ – µ ) 2 ⁄ 2 σ 02 ] d τ
σ 0 2π σ 0 2π exp [ – ( τ – µ ) 2 ⁄ 2 σ 02 ] d τ
t
t

Normale µ σ0
1

0 µ 0 µ 0 µ
t t t

1
--- exp [ – ( ln t – µ ) 2 ⁄ 2 σ 02 ]
∞

∫
1 1 1 t
-------------------- exp [ – ( ln t – µ ) 2 ⁄ 2 σ 02 ] ------------------ ---------------------------------------------------------------------------------------
--- exp [ – ( ln τ – µ ) ⁄ 2 σ 0 ] d τ ∞
2 2 -

∫
σ 0 t 2π σ 0 2π τ 1
t --- exp [ – ( ln τ – µ ) 2 ⁄ 2 σ 02 ] d τ
τ
t

σ2 1
Log-normale ⎛ µ + -----0-⎞
[ e ( 2 µ + 2 σ0 ) – e ( 2 µ + σ0 ) ] 2
2 2 ---
e⎝ 2⎠

0 µ t 0 µ t 0 µ t

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
E 3 850 − 12 © Techniques de l’Ingénieur

Dossier délivré pour

DOCUMENTATION
20/10/2008
 _____________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES

(0)

X
Tableau 2 – Distributions discrètes : F ( X ; k ) = ∑ f ( x ) avec x
n
k=0

Densités f(X = k)

f (x)
0,4

f (x)

0,3 0,3

Loi binomiale
n entier Espérance mathématique np
C nk p k ( 1 – p ) n – k 0,2
0
p
1 0,2 Variance np(1 − p)
k = 0, 1, 2, ..., n

0,1 0,1

0 0
0 1 2 3 4 5 6 7 8 9 10 x 0 1 2 3 4 5 x
n = 10, p = 0,75 n = 5, p = 0,25

Loi multinomiale
n entier > 0
p 1  0 ; p 2  0 ; ... ;
n! Espérance mathématique npi
pk  0 ----------------------------- p 1k1 ⋅ p 2k2 ⋅ ... ⋅ p nkn
k 1!k 2!...k n! Variance npi(1 − pi) pour
k i = 1, 2, ..., k
∑ pi = 1
i=1

f (x)
0,6

0,4 λ = 0,5

0,2

0
Loi de Poisson 0 1 2 3 4 x Espérance mathématique λt
λt > 0 e– λt ( λ t )k
k entier
------------------------
k! Variance λt

f (x)
0,6
0,4 λ = 4,0

0,2

0 0 2 4 6 8 10 12 x

3.7 Distributions événementielles nombre de réalisations d’un événement binaire (succès p / échec
q = 1 − p) lors de n essais indépendants :
discrètes
— loi d’acceptation ou refus d’un lot homogène ;
— fiabilité d’un système d’entités (bonnes/mauvaises) en redon-
Elles sont résumées dans le tableau 2. dance active, etc.

■ Loi binomiale ■ Loi multinomiale

Cette loi doit son nom au fait que l’expression de sa densité Applicable lorsque l’événement peut prendre plusieurs états x1,
correspond au terme général du développement du binôme, elle est x2, x3 ... exclusifs les uns des autres, par exemple : état bon, court-
utilisée chaque fois que l’on veut représenter la distribution du circuit, circuit ouvert, etc.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur E 3 850 − 13

Dossier délivré pour

DOCUMENTATION
20/10/2008
SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES ______________________________________________________________________________________________

On l’effectue, soit numériquement – par simulation type Monte-

Carlo –, soit analytiquement à partir des fonctions de définition du
processus reliant les réalisations d’une VA discrète (l’état du sys-
tème) à celles d’une variable explicative (les instants de change-
ment d’état).
f (t) x
Poisson f (x) Dans ce cas, on est limité par la complexité de l’étude des fonc-
tions R(t) et A(t) aux types régénératifs suivants.
• Processus de renouvellement : utilisé pour le dimensionnement
x=4 de stocks de rechanges, par exemple celui d’ampoules électriques
x=3 d’un réseau d’éclairage, dans l’hypothèse de taux λ quelconques et
de temps de réparations ou de remplacement négligeables.
x=2
x=1 • Processus de renouvellement alterné : cas d’une entité renouve-
Exponentielle lable de taux λ et µ quelconques.
t • Processus markovien homogène ou sans mémoire, applicable
=1 = 2 t = 3 t = 4 λt =
5
λt λt λ λ lorsque l’évolution future du système ne dépend que de l’état qu’il
occupe et non de la trajectoire (ensemble des états parcourus) pour
Figure 6 – Relation entre loi de Poisson f(x) et densité exponentielle y parvenir. C’est le modèle d’évolution des systèmes d’architectures
de première défaillance f(t) quelconques, dont les éléments sont affectés d’intensités λ et µ
constantes dans le temps.
• Processus semi-markovien : la probabilité de transition d’un état
■ Loi de Poisson vers un autre, ne dépend que du temps écoulé depuis l’arrivée dans
Présentée souvent comme forme limite de la loi binomiale, où cet état. Aux instants de transition, appelés points de régénération,
l’on poserait x = np avec p très petit et n très grand (loi des événe- le processus est alors indépendant de son évolution antérieure.
ments rares) ; c’est en fait une loi à part entière donnant la probabi- C’est le cas de systèmes à λ constants mais µ arbitraires.
lité d’avoir exactement x occurrences d’un événement durant un • Processus homogène de Poisson (HPP) : cas particulier de
laps de temps fixé, si celles-ci surviennent à taux constant, indépen- Markov, donnant le nombre d’occurrences d’un événement, dans un
damment du nombre déjà comptabilisé ou à venir. laps de temps ∆t, il est défini par :
Cette loi modélise en électronique la demande à un organisme de — la probabilité constante et égale à ρ∆t qu’une transition unidi-
gestion des stocks de rechange. rectionnelle survienne en ∆t pour passer de l’état n à l’état n + 1 ;
cette probabilité caractérise la distribution exponentielle des ins-
■ Relation entre loi de Poisson et densité exponentielle tants de défaillance, d’usage quasi-universel en électronique ;
négative
— le fait que chaque transition est irréversible et indépendante
La loi de Poisson : des autres ;
— une probabilité négligeable pour l’occurrence de deux transi-
e– λt ( λ t )x tions (ou plus) en ∆t.
f ( x ) = ------------------------
x! • Processus de Poisson non homogène (NHPP), utilisé si le nom-
bre de défaillances sur (t1, t2) a une distribution de Poisson de
correspondant à la probabilité d’avoir x pannes dans le temps t, se moyenne :
relie graphiquement (figure 6) à la densité exponentielle de pre-

∫
mière défaillance : t2
ρ ( t ) dt
f (t) = λ exp(− λt) t1

En posant t = 0, on a bien f (x) = 0 et f (0) = λ ; et en posant x = 0,

où ρ(t), l’intensité de défaillance du processus – définie un peu plus
pas de panne dans (0, t), on a bien f (0) = exp(− λt), la fonction fiabi-
loin – croît avec t quand le système se dégrade et inversement. Dans
lité, quand λ = Cte.
ce processus, les intervalles de temps entre défaillances ne sont ni
■ Relation entre loi de Poisson et loi d’Erlang indépendants ni identiquement distribués.
La densité de probabilité pour que le kième événement se produise Pour caractériser un processus événementiel, relativement à la
entre t et t + dt (Erlang) est le produit de la probabilité pour qu’il en chronologie, on utilise les variables aléatoires (figure 7), dont nous
survienne (k − 1) entre 0 et t (loi de Poisson avec x = k − 1) et un seul ne préciserons pas ici l’expression mathématique, propre à chaque
entre t et t + dt, c’est-à-dire λ. type de processus. Leur obtention n’est généralement pas simple :
intégrales de convolution multiple des densités de probabilités
considérées, etc.

3.8 Processus stochastiques ponctuels ■ Temps jusqu’au nième renouvellement : τ(n)

en sûreté de fonctionnement [9] [10] τ(n) = X1 + X2 + ... + Xn
[11]
Quel que soit l’instant t, chaque intervalle Xi du processus est la
somme de deux VA récurrentes : τr la vie résiduelle de l’entité
En complément des lois de distribution cumulée d’une variable jusqu’à la fin de Xi, et τa son âge depuis le début de Xi.
aléatoire (VA) modélisant le temps jusqu’à défaillance de compo-
■ Nombre cumulé de renouvellements en fonction du
sants statistiquement indépendants, on a aussi besoin de modéliser
temps : ξ(t)
par un processus stochastique (séquence de VA chronologiquement
ordonnée) les intervalles de temps, parfois non indépendants, entre Pour deux points fixes du temps tels que t1 < t2 on a :
défaillances successives d’un système, réparable ou redondant. ξ(t2, t1) = ξ(t2) − ξ(t1).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
E 3 850 − 14 © Techniques de l’Ingénieur

Dossier délivré pour

DOCUMENTATION
20/10/2008
 _____________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES

On démontre que la connaissance de cette intensité permet de

τ0 τ1 τ2 calculer l’espérance mathématique du nombre prévisible de
réparations χ sur l’intervalle [t1, t2] par :
0 S1 S2 S3 t
τs (t) τr(t)
∫
t2
E [ χ ( t 1, t 2 ) ] = ν ( t ) dt (13)
τ (t)
t1
4
3 ■ Relations entre intensités de défaillance et de réparation
2 et densités associées
1
On démontre [6], en considérant les scénarios de succession pos-
0
0 S1 S2 S3 t sibles des dates de panne, entre t et t + dt, et de réparation, entre x
et x + dx, les produits de convolution suivants :
X1 X2 X3

∫
t
S1, S2 ... Sn points de renouvellement
τs(t) âge (backward recurrence time) ρ ( t ) = f ( t ) dt + ν ( x )f ( t – x ) dx (14)
τr(t) vie résiduelle (forward recurrence time) 0
τi(t) temps jusqu'au i e renouvellement
et
Figure 7 – Chronologie d’un processus de renouvellement

∫
t
ν(t) = m ( t – x ) ρ ( x ) dx (15)
0
■ Fonction de renouvellement : H (t)
calculables itérativement par les transformées de Laplace.
Par définition H(t) est la valeur moyenne (espérance mathémati-
que) de ξ(t) : ■ Analogies remarquables
Si par définition : f (t) = λ(t)R(t) et m(t) = µ(t)F (t) quelle que soit
H(t) = E[ξ(t)]
l’entité, on démontre pour les entités réparables à taux λ et µ cons-
■ Intensité de défaillance (ROCOF : Rate of OCurrence Of tants que :
Failure) ou densité de renouvellement : ρ(t) ρ(t) = λA(t) (16)
C’est la limite du quotient de la probabilité pour que l’instant
d’occurrence d’une défaillance d’ordre quelconque (la 1re, la 2e...) de et ν(t) = µA(t) (17)
l’entité soit compris entre t et t + ∆t, par la durée de cet intervalle,
lorsque ∆t → 0, sachant celle-ci en fonctionnement à t = 0.

ρ ( t ) = H′ ( t ) 3.9 Mécanismes de dégradation

des composants sous contraintes
Puisque ρ(t) est définie comme la dérivée de la fonction de renou-
vellement entre deux instants de la séquence, il vient la relation, fon-
damentale pour le dimensionnement logistique : 3.9.1 Contraintes de fonctionnement

∫
t2
Elles sont essentiellement d’ordre thermique et électrique pour le
H ( t ) = E [ ξ ( t 1, t 2 ) ] = ρ ( t ) dt (12) matériel électronique. L’élévation de température interne résulte de
t1 la puissance dissipée par la mise en œuvre de l’entité et/ou celle de
l’environnement système. Il en va de même pour les contraintes
électriques : champs E et H, ainsi que les surtensions, surintensités
Pour une entité réparable, E[ξ(0, t)] → ∞ quand t → ∞. Donc induites par les cycles de commutation marche/arrêt.
ρ(t) est mathématiquement différente de λ(t), qui ne se rapporte
qu’à chaque intervalle de temps entre défaillances successives ;
et ce, même pour le processus homogène de Poisson où, numé- 3.9.2 Contraintes d’environnement
riquement, il se trouve que l’on ait : λ(t) = λ = ρ(t).
Pour une entité non réparable H(t) = E[ξ(0, t)] → 1, quand Le lecteur pourra également se reporter aux articles [E 3 942] et
t → ∞, comme la défiabilité F(t). [E 3 950] du présent traité (référencés [16] et [17]).
Leurs effets se font sentir en fonctionnement sur la fiabilité et en
Sur les systèmes remis en fonctionnement immédiatement après stockage sur la disponibilité des matériels, où elles y sont plus mal
réparation, l’intensité ρ(t) peut être analysée graphiquement à partir connues : quid de l’instant réel de défaillance, souvent imputé à la
de la convexité (ou concavité) du relevé chronologique des interval- mise sous tension, là où l’effet est constaté ? Elles incluent les con-
les de temps entre défaillances successives (cf. l’analyse de ten- traintes suivantes.
dance par test statistique de Laplace [E 3 855]).
■ Contraintes mécaniques
■ Intensité de réparation : ν(t) Ce sont les chocs, vibrations, accélérations plus sensibles aux
niveaux supérieurs d’assemblage que l’on doit protéger contre les
C’est la limite du quotient de la probabilité pour que l’instant
résonances (fatigue des fils de connexion).
d’achèvement de la réparation d’une entité soit compris entre t et
t + ∆t, par la durée de cet intervalle, lorsque ∆t tend vers 0, sachant ■ Contraintes thermiques
l’entité en fonctionnement (ou en état de fonctionner) à t = 0.
Températures extrêmes et gradients de température ambiante qui
C’est sur ce dernier point qu’apparaît la différence avec le taux entraînent au niveau des composants des problèmes de compatibi-
(relatif) de réparation µ(t) qui supposait l’entité en panne sur [0, t]. lité des coefficients de dilatation interne, de fatigue liée au caractère

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur E 3 850 − 15

Dossier délivré pour

DOCUMENTATION
20/10/2008
SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES ______________________________________________________________________________________________

cyclique éventuel, et des problèmes propres aux conditions de causer, par perte de charge, l’inversion recouvrable (soft errors) de
refroidissement (rayonnement, convection, conduction) particuliè- bits d’information des cellules mémoire DRAM.
rement en zone humide.
• Particules bêta (électrons et positrons) de plus haute énergie,
L’expérience montre que la température est directement liée à la émises par la radioactivité de divers éléments.
dégradation des caractéristiques électriques des composants, suite
• Rayons gamma (impulsions X de très haute énergie) et neu-
aux phénomènes physico-chimiques de diffusion et d’électro-migra-
trons, émis par les réactions thermonucléaires, capables de traver-
tion. L’accélération de cette évolution, supposée proportionnelle au
ser des épaisseurs significatives et de générer des photocourants
temps, est déduite de la loi d’Arrhenius, exprimée sous la forme :
transitoires (latch-up et courants de fuite) ou des dégradations per-
manentes de caractéristiques (gain des dispositifs bipolaires).
Ea ⎛ 1 1⎞
q 2 = q 1 exp ------ ⎜ ------ – ------⎟ (18) Chaque type de contrainte fait l’objet de techniques particulières
K ⎝ T 1 T 2⎠ de réduction des effets : CEM (compatibilité électromagnétique, dur-
cissement) décrite dans ce traité (cf. [E 2 475], référencé [18]).
avec q1 valeur de la caractéristique (ou du taux de
défaillance) à la température de référence,
Le chiffrage des effets combinés des contraintes, sur les
q2 valeur de la même caractéristique à la caractéristiques ou les λ des composants, ressort d’analyses
température de contrainte, « pire cas » menées par le responsable SdF (cf. [E 3 851] et les
K constante de Boltzmann (8,617 · 10−5 eV/K), concepteurs.
Elles sont incontournables dans le domaine spatial où les mis-
Ea l’énergie d’activation (eV) associée au
sions particulièrement longues les cumulent quasiment toutes.
mécanisme à l’origine des défauts du
composant,
T1 température absolue (K) de contrainte,
T2 température absolue de référence. 3.10 Modélisations du λ des composants :
Dans cette formule le point délicat est l’évaluation de l’énergie recueils de données de fiabilité
d’activation propre au phénomène. Pour les seuls semi-conduc-
teurs, on relève [12] pas moins de 20 mécanismes de défaillance
dont les énergies d’activation typiques sont comprises entre 0,2 et En électronique, toute prédiction de fiabilité fondamentale d’un
2,6 eV. Aussi, lorsqu’on ne dispose pas d’information sur le méca- circuit passe par l’évaluation des λ élémentaires de ses composants,
nisme en cause, la valeur couramment utilisée est de 0,5 eV pour les en fonction des conditions spécifiques d’emploi (environnement,
dispositifs AsGa ; 0,7 eV pour les MOS et 1,1 eV pour les bipolaires, taux de charge), de la technologie, etc. Ceux-ci sont modélisés dans
quel que soit le boîtier. des recueils de données, intégrant le retour d’expérience d’organis-
mes publics à large spectre de fournisseurs, disposant de statisti-
Exemple : soit un circuit intégré bipolaire dont on sait que le délai
ques conséquentes.
de propagation se dégrade d’une quantité q1 = 10 % en 10 ans pour
une température de 110 ˚C, on cherche le pourcentage de dégradation
qui se produirait à 85 ˚C sur la même période :
3.10.1 MIL-HDBK-217
En posant q1 = − 0,1, on a :

q2 = − 0,1exp[1,1/8,62 · 10−5]{1/(273 + 110) − 1/(273 + 85)} Ce handbook apparu aux États-Unis dans les années 1960, sous
l’égide du Département de la Défense, a été constamment remis à
soit : q2 = − 0,038 6 ; la dégradation n’est plus que de 3,8 %. jour et librement diffusé jusqu’à l’édition F notice 2 de 1995 [13] mar-
quant l’arrêt, semble-t-il définitif, de son évolution.
Vis-à-vis de la température on distinguera selon les cas plusieurs
types de limites : Ce document – qui ne constituait nullement une norme, mais une
— celles du fonctionnement garanti : plage où les tolérances sur source de référence – visait à apporter aux contractants de l’admi-
les caractéristiques sont respectées (0 à 70 ˚C ou − 55 à + 125 ˚C) ; nistration, une méthode uniforme d’évaluation de leurs produits,
— celles à ne pas dépasser en essais d’endurance : les contrain- facilitant ainsi les comparaisons entre concurrents et fournissant
tes maximales (inférieures aux seuils critiques) ne seront appliquées l’outil nécessaire à toute recherche d’amélioration de la fiabilité.
que pendant une durée relativement brève. De nombreux éditeurs de logiciels (Item software, Relex, etc.)
assurant toujours sa diffusion, en particulier dans le secteur des
■ Contraintes électriques équipementiers de type militaire, ce recueil ne saurait être ignoré.
Elles sont dues aux phénomènes de conduction (émission ou sus- Il contient deux méthodes, adaptées respectivement aux stades
ceptibilité) aux bornes d’impédances. Parmi les contraintes électro- de conception préliminaire, puis de développement ou de série.
magnétiques naturelles, la foudre (énergie de l’ordre du gigajoule) a
le plus grand potentiel destructeur, mais ce sont les décharges élec- ■ Méthode « Parts Count » (décompte de composants)
trostatiques – atteignant typiquement 15 kV par temps sec – géné-
rées par l’opérateur humain, ainsi que les latch-up des Elle fait appel à des tables de données typiques reflétant le niveau
microstructures P-N-P-N qui causent le plus de défaillances sur les de connaissances disponibles au stade d’avant-projet, c’est-à-dire :
circuits intégrés CMOS ou bipolaires, en raison de la réduction des — des taux génériques λg pour chaque famille technologique (par
géométries. million d’heures), ventilés selon la complexité (pour les microcir-
cuits), l’application (pour les semi-conducteurs) ou la technologie
■ Rayonnements ionisants (pour les composants passifs) ;
Dans les domaines militaires et spatiaux où les matériels subis- — des facteurs de qualité des composants (liés à la sévérité des
sent leurs effets, éventuellement conjugués, on trouve les rayonne- contrôles) sous forme de coefficients multiplicatifs des λg.
ments suivants. Le contenu des tables génériques regroupe ainsi, pour tout type
• Particules alpha (charge positive du noyau d’hélium) dont la col- de composant, un ensemble de 14 valeurs forfaitaires, rapportées
lision avec une surface de silicium crée un pulse de courant pouvant chacune à la sévérité d’un des environnements typiques du contexte
atteindre 100 µA pendant 100 ps ; ceci est plus que suffisant pour militaire, couplé à une température arbitraire de fonctionnement.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
E 3 850 − 16 © Techniques de l’Ingénieur

Dossier délivré pour

DOCUMENTATION
20/10/2008
 _____________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES

■ Méthode « Part Stress » (composants sous contraintes) visionnels d’équipements civils, dans leur environnement habituel
Elle exige une connaissance beaucoup plus détaillée du matériel, (sol fixe protégé, sol fixe non protégé, sol mobile favorable).
seulement disponible aux phases ultérieures de développement. Ici Le recueil se distingue de l’édition précédente (RDF 93) par les
il ne suffit pas de posséder la nomenclature des composants d’une modèles de calcul qui traitent directement l’influence de l’environ-
entité, il faut aussi déterminer – via le schéma électrique et la carte nement par la prise en compte du cyclage thermique vu par les car-
thermique – les types et niveaux de contraintes subis en fonctionne- tes en fonction des profils de mission de l’équipement et non plus
ment opérationnel. par un coefficient d’environnement difficile à apprécier. Ces modè-
les s’appliquent au fonctionnement permanent, au cyclage marche/
Le recueil fournit pour chaque type de composant (part) un
arrêt et au stockage. En effet, les données spécifiques au stockage
modèle paramétrique du taux λp par million d’heures, élaboré :
publiées en France (recueil AFCIQ) ou aux États-Unis (Raytheon LC-
— soit à partir d’un taux (de base) λb, spécifique d’une technolo- 82 ; RADC-TR-85-91) sont trop anciennes et leurs informations limi-
gie, modulé par des tables de coefficients Πi, représentant des con- tées à l’environnement « sol », à des températures entre 20 et 30 ˚C.
traintes électriques, thermiques, environnementales ou applicatives
et des niveaux de qualité et de maturité du produit ; Par ailleurs les taux de défaillance liés au report des composants
(soudures) sont ici désormais inclus dans les modèles. Le recueil est
— soit directement, pour les microstructures monolithiques
livré en deux parties :
(microprocesseurs, mémoires, réseaux de portes) où le λp de cha-
que technologie (MOS, bipolaire) est fonction de facteurs de com- — un manuel donnant au lecteur un ordre de grandeur immédiat
plexité C1 (nombre de portes/transistors), de connectique C2 des valeurs des taux de défaillance, ainsi que la forme générale des
(nombre de pattes), de cycles de reprogrammation λcyc (EEPROM), facteurs d’influence ;
etc. — un CD-Rom permettant d’effectuer les calculs, sur PC et sans
moyen logiciel particulier, des taux des composants ou de cartes
Pour les circuits hybrides (MCM) non réparables, le modèle « Part électroniques complètes.
Stress » adapté aux caractéristiques du substrat et du boîtier, per-
met le calcul des résistances thermiques et des températures de Les hypothèses du recueil UTE C 80-810 [20] sont les suivantes.
jonction des puces rapportées. Le λ résultant est alors directement • Pour chaque famille de composants, on donne une valeur de
exploitable pour le calcul de rechanges de ces circuits puisque la base λb prise comme référence multipliée par une série de facteurs
fonction de renouvellement du processus homogène de Poisson sur d’influence spécifiques Π.
(0, t) est simplement λt. • Tous les λ s’entendent, sauf exception, hors de la période
d’usure, et toujours après celle de défaillance précoce. La nature des
Remarque : il n’en est pas ainsi pour les hybrides de grandes défaillances est, dans la quasi-totalité des cas, intrinsèque aux com-
dimensions, où la complexité et la valeur ajoutée justifient une posants, hormis celles dues aux surcharges électriques résiduelles à
réparabilité limitée (à k interventions) avant rebut. la périphérie de l’entité, pour lesquelles un facteur Πu d’utilisation
Dès lors le HPP ne s’applique plus. On trouvera [14] [15] les en interface est prévu.
éléments de réponse théorique et pratique à ce problème. • Par ailleurs, suite aux retours d’expérience postérieurs au
RDF 93, l’amélioration de fiabilité des circuits intégrés constatée
n’est plus celle des décennies précédentes (généralisation des pas-
La méthode « Part Stress » que nous ne détaillerons pas plus ici, sivations à base de nitrure, de la gravure sèche, meilleur contrôle de
est illustrée d’exemples de calcul, accessibles au néophyte. Elle la planarisation), aussi le modèle de calcul prend-il maintenant en
donne des résultats moins pessimistes et en tout cas plus réalistes compte la loi de Moore (croissance annuelle de la densité d’intégra-
que la méthode « Parts Count ». tion à fiabilité constante), ce qui implique la connaissance de l’année
de fabrication du circuit.
3.10.2 Guide FIDES Afin d’en cibler les conséquences sur le soutien logistique, figu-
rent aussi :
— le taux de RAS (défauts signalés en exploitation, non confir-
Pour faire face à la situation de non-réactualisation du MIL-HDBK-
més en maintenance) pour les cartes entièrement câblées, ou pour
217 la Délégation Générale de l’Armement a réuni en consortium
les circuits d’interface ;
huit industriels de l’aéronautique et de la défense (Airbus France,
Eurocopter, GIAT, MBDA Missile Systems), et quatre divisions de — l’estimation de l’ESD : l’excédent de λ dû aux décharges élec-
Thalès pour développer une nouvelle méthodologie de fiabilité trostatiques.
prévisionnelle des systèmes électroniques fondée sur la synthèse
du retour d’expérience. Ce guide, librement diffusé en France et à
l’étranger, est utilisable pour tout type d’article : composants, cartes 3.11 Limites des modèles et du domaine
assemblées, sous-ensembles – y compris ceux disponibles commer-
cialement « sur étagère » (Components On The Shelf : COTS). chiffrable
L’approche méthodologique prend en compte trois composantes : la
technologie de l’article (et de l’équipement où il est intégré), son
processus d’élaboration et d’emploi (règles de l’art), et les Par principe, la validation de modèles théoriques (Arrhenius par
contraintes subies (dans le contexte de développement et d’utilisa- exemple) via les retours d’expérience, ne peut constater, du moins
tion). Le guide est normalisé UTE C 80-811 [21]. Son impact sera pour les VHSIC, que des prévisions teintées d’obsolescence, vrai-
fonction de la richesse du retour d’expérience et de la pertinence de semblablement pessimistes.
la classification. A contrario, les recueils ne prennent pas en compte d’effets
transitoires ; en particulier les SEU (Single Event Upset) dus aux par-
ticules α, de plus en plus fréquents au fur et à mesure de la réduc-
3.10.3 Recueil de Fiabilité (RDF) UTE C 80-810 tion des géométries (ils peuvent dépasser le λ intrinsèque des
DRAM), et même dans le MIL-Handbook et le RDF, l’effet des cycles
La dernière source de ce document (RDF 2000) hérite de la compi- on/off est négligé, hormis pour les relais et les switchs.
lation des résultats d’exploitation ou d’essais, de matériels de télé- Quant aux contraintes thermiques, toutes extrapolations au-des-
communications, d’électronique embarquée (en conditions sous de 0 ˚C et au-dessus des valeurs tabulées sont explicitement
favorables) et d’informatique, menée jusqu’en 1999 par un groupe qualifiées d’invalides par le MIL-HDBK ; idem pour les taux de
de travail du CNET Lannion. Il est donc plus adapté aux calculs pré- charge électriques supérieurs à 1.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur E 3 850 − 17

Dossier délivré pour

DOCUMENTATION
20/10/2008
SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES ______________________________________________________________________________________________

À côté de ces restrictions, propres aux défaillances aléatoires du niveau portes par exemple), que le pourcentage des fautes de ce
matériel, auxquelles les modèles répondent exclusivement, il faut type, détectées par une séquence de vecteurs fixée, donc là aussi
garder à l’esprit l’existence possible, en dehors du domaine chiffra- indépendamment des λ.
ble, de dysfonctionnements déterministes dus :
— aux fautes de conception des logiciels, qu’elles soient dures
Remarque : il existe des modèles de faute stables propres à
(reproductibles) « Bohrbugs » ou douces (non reproductibles)
chaque technologie (TTL, MOS) et à chaque niveau d’abstrac-
« Heisenbugs », et aux insuffisances de validation des VHSIC parti-
tion (collages simples au niveau portes/transistors ; transistors
culièrement dans le cas d’entités à faible diffusion commerciale
toujours ouverts/fermés, etc.). Par ailleurs, du fait de la réduc-
(ASIC/hybrides) ;
tion continue des géométries, de nouveaux modèles de fautes
— à l’utilisation, dans les applications, de composants matériels
apparaissent pour tenir compte :
hors des règles de l’art (entrance et sortance des circuits intégrés)
— des retards de propagation, de portes/de chemins ;
voire des data sheets des constructeurs.
— des transitoires dus aux couplages entre niveaux d’inter-
Par exemple, la sortie d’un flip-flop peut rester « coincée » dans un connexion métalliques, aux SEU, etc.
état (métastable) intermédiaire entre les états logiques « 1 » et « 0 »
si les délais spécifiés (set-up & hold times) entre une transition
■ On mesure le distinguo, sur l’entendement de la couverture,
des données asynchrones d’entrée et le front d’horloge du flip-
entre spécialistes dévoués à une même cause ! Latence résiduelle
flop ne sont pas respectés. Elle y demeurera jusqu’à ce qu’un certain
d’une population de circuits – fonction du temps écoulé depuis le
niveau de bruit la « pousse » vers l’un de ces états stables. Les consé-
test – pour les uns ; taux effectif d’un vecteur sur un mode particu-
quences sont alors imprévisibles : délai de propagation excessif, pulse
lier de défaillance – fonction du temps de test alloué au spécimen –
de sortie déformé, oscillation ou sortie métastable, etc.
pour les autres.

Remarque : sur un circuit combinatoire bien conçu et un

3.12 Testabilité et SdF des systèmes modèle de faute élémentaire, un taux de 100 % est possible,
numériques comme pour certaines macrocellules répétitives (RAM) où cha-
que type de faute est testé par des séquences spécifiques. Il
n’en est pas ainsi pour les circuits très séquentiels, ou mal con-
Le lecteur peut également consulter le dossier Test des circuits çus (redondances logiques inutiles), ou ceux dont le développe-
intégrés numériques [19] des Techniques de l’Ingénieur. ment des séquences de test est insuffisant ; leur taux de
couverture structurel peut être nettement inférieur à 100 %.
■ En sûreté de fonctionnement, quelle que soit la nature (logi-
que/analogique) du système, la notion de testabilité n’apparaît,
explicitement, qu’à travers celle du taux de couverture, recouvrant Cela justifie un bref rappel de la problématique et des apports de
indistinctement les deux taux suivants. la testabilité, dans le contexte microélectronique actuel ; le lecteur,
• Le « taux de détection », sur les entités impliquées dans un soucieux d’approfondir, le trouvera développé dans le présent
mode/un état de défaillance fonctionnelle ou dans la génération traité [19].
d’un ER « couvert » par un test. L’implication de la testabilité au flot de conception des puces
Il s’exprime alors par le rapport du « poids » (λ) des défauts maté- VHSIC et des procédés d’encapsulation haute densité (hybrides et
riels adjugés à celui des défauts possibles de l’entité : cf. les AMDEC MCM) est motivée :
, arbres de fautes et graphes d’états, examinés dans les parties — pour les premiers, par la limitation drastique des points
[E 3 851] [E 3 852]. d’accès aux nœuds internes ;
• Le « taux de localisation » des causes de dysfonctionnement, — pour les autres, par la très rapide décroissance du rendement
établi soit sans ambiguïté, soit entre deux, voire trois entités. de fabrication des modules en fonction du nombre implanté de
puces nues (difficilement testables en vitesse sous micropointes) et
Il s’exprime là encore par le rapport du poids (λ) des causes isola- de leur fiabilité (figure 8).
bles par le test, au poids des défauts possibles.
Ces taux permettent d’apprécier – en fonction des temps d’utilisa-
tion/réparation prévus depuis le test – la probabilité latente de Rendement
défaillance aléatoire. Ils caractérisent aussi bien les tests effectués des modules
« en ligne » de manière cyclique et autonome que ceux réalisés (%)
« hors ligne ». Rendement
des puces
■ En testabilité, et particulièrement celle des systèmes numéri-
ques, deux approches du taux de couverture sont utilisées : 100 99,9%
• L’approche fonctionnelle, primitivement destinée à la détection 90
d’erreurs de conception, qui définit indépendamment des λ, un 80 99%
pourcentage du fonctionnel exempt des fautes répertoriées. Il 70
s’obtient à l’aide de vecteurs de test, parcourant tous les modes 60
spécifiés (donc prévus). 50
40 97%
Remarque : dans le cas des circuits complexes, cela ne peut 30
nullement garantir qu’ils soient les seuls possibles. Aucune 20 90% 95 %
80%
mesure fiable n’existant pour juger la performance de détection 10
d’un jeu de vecteurs de test fonctionnel. Seuls la durée et le ren- 0
dement sont observables ! 5 10 15 20 25 30 35 40 45 50
Nombre des puces / module
• L’approche, dite structurelle, où le taux de couverture d’un test,
primitivement destiné à la détection de défauts de fabrication, ne Figure 8 – Rendement de fabrication d’un module en fonction du
représente, pour un modèle de faute donné (collage simple au rendement de fabrication des composants élémentaires

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
E 3 850 − 18 © Techniques de l’Ingénieur

Dossier délivré pour

DOCUMENTATION
20/10/2008
 _____________________________________________________________________________________________ SÛRETÉ DE FONCTIONNEMENT DES SYSTÈMES

externes à ajouter, pour rendre le test, à partir de la périphérie, indé-

pendant de la complexité du circuit (si ce n’est des cycles d’horloge,
Cellule
Boundary nécessaires à la propagation du vecteur de test).
Scan Le principe d’insertion d’un scan path (chemin d’exploration) con-
siste – soit par modification systématique des points mémoires
fonctionnels du circuit (bascules D), soit par l’ajout de points
mémoires dédiés au test (Tcells) – à les connecter en registre à
Scan décalage, (figure 9) où on peut faire entrer et progresser les bits du
Path vecteur de test (ou ceux de sortie des nœuds internes).
de la
carte De par la connexion de multiplexeurs, à l’entrée ou en sortie des
points mémoires, il est alors possible d’augmenter respectivement
la « commandabilité », et/ou l’« observabilité » de l’élément logique
fonctionnel.
Comme le souligne Leveugle [19], du point de vue SdF, le choix de
l’observabilité, de préférence à la commandabilité, peut se justifier
dans l’avionique et le spatial, où le montage d’un MUX en dehors du
chemin fonctionnel protège ce dernier, d’un mode commun induit par
Boundary Scan Out Boundary Scan In le possible collage de la sortie du MUX.
Au niveau des cartes, l’architecture d’interface IEEE 1149-1 permet
Figure 9 – Technique du boundary scan de tester, sans contact, les différents circuits logiques présents et
leurs interconnexions, au prix d’un supplément de 4 ou 5 broches
externes par circuit, de registres spécialisés et d’une machine à états
D’où l’élaboration par le Joint Test Action Group (JTAG), d’une finis, gérant l’exécution des instructions de test. L’ensemble de la
méthodologie de testabilité hiérarchisée, aboutissant dès 1990, à la logique ajoutée pour le test boundary scan doit naturellement être
publication de la norme d’interface IEEE 1149-1 « Boundary scan », elle-même testable, au moins en fin de fabrication !
(littéralement « exploration à la frontière ») spécifique au test des On reviendra [E 3 853] sur la taxinomie des techniques de concep-
cartes électroniques. Le but étant d’y appliquer les méthodes de test tion de test en ligne, imposées par l’augmentation des fautes transi-
sériel des circuits VLSI, réduisant au strict minimum les signaux toires et les exigences de sécurité, en temps réel.

Références bibliographiques

[1] LAPRIE (J.C.) (LAAS/CNRS). – Dependable [9] COCOZZA-THIVENT (C.). – Processus sto- Dans les Techniques de l’Ingénieur
Computing and Fault Tolerance : Concepts chastique et fiabilité des systèmes. Springer
and Terminology. Proc. 15th I.E.E.E. Juin 85 Verlag (Math et Applications, 28).
[16] DECROUEN (M.). – Contraintes climatiques.
(FTCS 15).
[10] COX (D.R.). – Renewal Theory. Chapman and Contraintes chimiques. [E 3 942] 2003.
[2] ARSENAULT (J.E.) et ROBERTS (J.A.). – Hall 1982. [17] BOUDENOT (J.-C.). – Tenue des circuits aux
Reliability and Maintainability of Electronic radiations ionisantes. [E 3 950] 1999.
[11] BIROLINI (A.). – On the use of stochastic pro-
Systems. Pitman 1980.
cess in modeling reliability problems. Sprin- [18] RAMDANI (M.) et col. – La compatibilité élec-
[3] GIRAUD (M.), ROBERT (H.) et CORDAT (P.). – ger Verlag 252 Lecture notes in Economics tromagnétique dans les circuits intégrés.
Taux de défaillance du vote majoritaire sur and mathematical systems (1985). [E 2 475] 2004.
profils ordonnés. Dassault Electronique,
6e colloque intern. Fiabilité et Maintenabilité, [12] ASTE/AFCIQ Mécanismes de défaillance des [19] LEVEUGLE (R.). – Test des circuits intégrés
Strasbourg 1988. semi-conducteurs : Déverminage des Maté- numériques. [E 2 460] [E 2 461]
riels électroniques. [Doc. E 2 462] 2002.
[4] LEROY (A.) et SIGNORET (J.P.). – Le Risque
Technologique. Que sais-je ? PUF 2669. [13] MIL-Hdbk 217 F Reliability Prediction of Elec-
tronic Equipment (rev. 2, 28/2/1995) Depart-
[5] GAM T16 norme « Testabilité des cartes et ment of Defense Washington D.C. 20301. Normalisation
des systèmes électroniques » éditée par
CTINE/STEE (Ministère de la Défense). [14] GIRAUD (M.). – On the use of Mil-Hdbk 217
λp Model, when sparing hightech « hybrid [20] UTE C 80-810 - 01/08/2005. Recueil de don-
[6] VILLEMEUR (A.). – Sûreté de Fonctionne- modules ». 8th International Logistics Con- nées de fiabilité - Modèle universel pour le
ment des systèmes industriels. Eyrolles gress Madrid april 92, Dassault Electronique. calcul de la fiabilité prévisionnelle des
1988.
[15] COCOZZA-THIVENT (C.). – Calcul de gran- composants, cartes et équipements électro-
[7] LIÉVENS (C.). – Sécurité des systèmes. Cepa- deurs utiles à la maintenance pour des maté- niques.
dues éditions Toulouse 1976. riels réparés plusieurs fois. 9e colloque [21] UTE C 80-811 - 01/04/2005. Méthodologie de
[8] Introduction à la Disponibilité. X60503 international de Fiabilité et Maintenabilité, La fiabilité pour les systèmes électroniques -
AFNOR (Nov. 1985). Baule 1994. Guide FIDES 2004 Edittion A.

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur E 3 850 − 19

Dossier délivré pour

DOCUMENTATION
20/10/2008