1.1.

Introduction

Le nombre important de normes et de réglementations en matière de sécurité rend de

plus en plus complexe la maîtrise des risques ainsi que la sécurisation des installations
industrielles et des systèmes de grande dimension. Pour cette raison il est important d’adapter
les méthodes et les outils existants en fonction des spécificités des systèmes et du respect
d’exigences toujours plus fortes en matière de Sûreté de Fonctionnement (SdF). Cette dernière
est évaluée par des études structurelles, statiques et dynamiques des systèmes, en tenant
compte des aspects probabilistes et des conséquences induites par les défaillances techniques
et humaines.

Les préoccupations de sûreté de fonctionnement sont largement présentes dans

l’ensemble des activités industrielles et des services. Les systèmes concernés en priorité sont
ceux du génie des procédés largement présents dans le tissu industriel mais aussi les systèmes
énergétiques, ceux liés à la pétrochimie, au nucléaire, les installations de production
manufacturière, les systèmes de transport ferroviaire ou de télécommunication. Les quatre
composantes de la SdF sont : fiabilité, disponibilité, maintenabilité et sécurité.

Dans ce chapitre, nous allons définir, en premier lieu, la sûreté de fonctionnement d’un
système réparable ainsi que les concepts de base associés tels que la fiabilité, la disponibilité,
la maintenabilité, les défaillances, les pannes et les défauts. Dans notre étude, nous nous
sommes intéressés à la fiabilité des systèmes discrets de grandes dimensions. Ces études
peuvent être basées sur les modèles markoviens ou sur les Réseaux de Petri Stochastiques
(RdPS) qui sont généralement utilisés pour l’analyse et la synthèse des modèles utilisés lors
des différentes phases de vie d’un système. Ces différents outils de modélisation permettent
de déduire le comportement moyen et d'obtenir les indicateurs de performance du système
étudié, soit par calcul soit par estimation. Nous allons présenter l’analyse markovienne de
système dont l’espace d’état est fini ainsi que son estimateur obtenu à l'aide de RdPS.
1.2. Fiabilité des systèmes réparables

Les mesures de performance permettent de caractériser la robustesse du système ou de

valider des exigences de productivité. Le choix de ces mesures dépend de la fonction et de
l’utilisation du système. Deux catégories de mesures peuvent être distinguées (Ziegler, 1996) :

- La première catégorie concerne les systèmes non réparables pour lesquels le système
étudié n’est soumis qu’au processus de défaillance, sans possibilité de réparation. Par exemple
dans le domaine automobile, lorsqu’on cherche à évaluer les conséquences d’une défaillance
catastrophique de certains systèmes critiques.

- La deuxième catégorie concerne les systèmes réparables qui peuvent passer d’un état de
défaillance à un état de fonctionnement. Ils sont soumis à la fois aux processus de défaillance
et de réparation. Par exemple, l’étude d’une ligne de production ou d’un réseau informatique
industriel. Les mesures appartenant à cette catégorie sont la disponibilité et la maintenabilité.

D'autres grandeurs liées à la sûreté de fonctionnement seront introduites dans la suite de

cette section liées à la seconde catégorie de mesures, celle des systèmes réparables sur
lesquels porte cette étude.

1.2.1. Sûreté de fonctionnement

La sûreté de fonctionnement peut être définie en tant que science des défaillances, c'est-
à-dire l’aptitude d’une entité à assumer une ou plusieurs fonctions requises dans des
conditions données (Villemeur, 1988).

Selon (Laprie et al, 1995) la SdF d’un système est la propriété qui permet à ses
utilisateurs de placer une confiance justifiée dans le service qu’il leur délivre. Cette notion de
confiance est fondamentale, étant donné que tout système est susceptible de subir des
défaillances. Une définition alternative donnée par (Laprie, 2004) de la SdF est l’aptitude à
éviter des défaillances du service délivré, plus fréquentes ou plus graves qu’acceptables. Elle
peut être pratiquée tout au long du cycle de vie du produit depuis sa conception jusqu'à son
retrait définitif.

Pour pratiquer la SdF, il est important, tout d’abord, d’identifier les sources de
défaillances de façon aussi exhaustive que possible, puis, pour chacune d’elles, il conviendra
d’en évaluer l’importance relative ou absolue. Prévoir les défaillances est aussi un objectif
primordial. Toute défaillance observée doit servir à enrichir les modèles utilisés pour
l’évaluation et la prévision.

Usuellement, la sûreté de fonctionnement d’un système s’exprime à l’aide de différents

indicateurs complémentaires : la Fiabilité, la Disponibilité, la Maintenabilité et la Sécurité
(FMDS) (Pagès et Gondran, 1980).

L’évaluation de ces différentes mesures fait appel à des calculs de probabilités. Ils
reposent sur la connaissance des éléments pouvant défaillir et de leur fréquence de panne au
cours du temps. Les conséquences peuvent être légères ou critiques selon la nature du système
et de l’implication du composant défaillant dans la fonction réalisée. Il est donc important
d’évaluer le risque encouru par les utilisateurs du système et si nécessaire, de déterminer les
moyens qu’il faut mettre en œuvre pour éliminer ces défaillances (Signoret, 1996).

Par ailleurs, (Laprie et al, 1995) définissent l’arbre de la SdF (Figure 1.1). Cet arbre,
montre les entraves, les moyens et les attributs associés à la SdF. Les entraves sont liées aux
circonstances indésirables mais non inattendues. Les moyens correspondent aux méthodes et
techniques permettant de garantir l’aptitude du système à délivrer un service conforme à
l’accomplissement de sa fonction. Finalement, les attributs permettent d’exprimer les
propriétés qui sont attendues du système et d’apprécier la qualité du service délivré.

Fiabilité
Maintenabilité
Attribut Disponibilité
Sécurité

Prévention des fautes

Sûreté de Tolérance aux fautes
Moyen
fonctionnement Elimination des fautes

Fautes
Entrave Erreurs
s Défaillances

Figure 1.1 : Arbre de sûreté de fonctionnement (Laprie et al., 1995)

 1.2.1.1. Défaillances, pannes et défauts

La sûreté de fonctionnement des systèmes réparables est liée directement aux aléas de
fonctionnement, aux défauts et pannes.
Une défaillance définit une anomalie fonctionnelle au sein d’un système, c’est-à-dire
caractérise son incapacité à accomplir certaines fonctions qui lui sont assignées. La
défaillance peut être assimilée à l’événement qui survient lorsque le service délivré dévie du
service correct, soit parce qu’il n’est plus conforme à la spécification, soit parce que la
spécification ne décrit pas de manière adéquate la fonction du système. Il existe deux types de
défaillance :

- Défaillance partielle : défaillance résultant de la déviation d’une ou plusieurs

caractéristiques mais sous la condition qu'elle n’entraîne pas une disparition complète de la
fonction requise.

- Défaillance complète : défaillance résultant de déviation d’une ou plusieurs

caractéristiques entraînant une disparition complète de la fonction requise.

Il existe de nombreuses typologies de défaillances : celles-ci peuvent être classées en fonction

de leurs effets, leurs causes et leur degré de gravité.

Une panne est l’inaptitude d’un dispositif à accomplir la fonction vitale. Une panne
résulte toujours d’une défaillance (Zwingelstein, 1995). À l’image des défaillances, les pannes
peuvent être classées de plusieurs façons : pannes intermittentes, pannes fugitives et pannes
permanentes :

- Panne intermittente : la panne intermittente est une panne qui apparaît sur une durée
déterminée et limitée. Après cette durée le système quitte rapidement l’état de panne et assure
sa fonction pour lequel il a été destiné sans avoir fait l’objet d’une action corrective.

- Panne fugitive ou transitoire : est une panne intermittente difficilement constatable. Elle
est extrêmement difficile à diagnostiquer.

- Panne permanente : panne d'une entité qui persiste tant que n'ont pas eu lieu les opérations
de maintenance corrective.

Un défaut est défini par tout écart entre la caractéristique observée sur le dispositif et la
caractéristique de référence, la défaillance conduit à un défaut puisqu’il existe un écart entre
la caractéristique constatée et la caractéristique spécifiée (Zwingelstein, 1995). Inversement
un défaut n’induit pas nécessairement une défaillance.
 1.2.1.2. Fiabilité

La fiabilité correspond à la probabilité qu'une entité E réalise une fonction requise dans
des conditions données, pendant un intervalle de temps donné (Villemeur, 1988).
Selon (Laprie et al, 1995) la fiabilité correspond à la mesure de la continuité de la délivrance
d’un service correct. On la note R(t) (de l'anglais reliability), et R(t) correspond à la
probabilité que l'entité E soit non défaillante sur [0, t] sachant qu’elle ne l’était pas à l’instant
t=0:

R(t) = Prob(E soit non défaillante sur [0, t] / E non défaillante à l’instant t = 0)

La fiabilité permet de définir le taux de défaillance λ(t) qui estime la probabilité

conditionnelle qu’une défaillance se produise pendant un petit intervalle de temps [t, t+dt],
sachant qu'il n'y a pas eu de défaillance sur [0, t] (Villemeur, 1988) :

1 dR( t )
l( t ) = -
R( t ) dt (1.1)

�t �
�
-� l (u ).du �

Donc R(t ) = e
�0 �
si R(0) = 1.

1.2.1.3. Disponibilité

La disponibilité est l’aptitude d’une entité à être en état d’accomplir une fonction
requise dans des conditions données, à un instant donné, en supposant que la fourniture des
moyens nécessaires est assurée (Villemeur, 1988 ; Zwingelstein, 1996). Elle est mesurée par
la probabilité qu’une entité E soit en état d’accomplir une fonction requise dans des
conditions données à l’instant t. Cette grandeur est notée A(t) (de l'anglais availability).

A(t) = Prob (E non défaillante à l’instant t)

L’aptitude contraire sera dénommée l'indisponibilité, sa mesure est notée A(t) . Elle est
définie comme étant la probabilité que l’entité ne fonctionne pas à l’instant t et s’exprime
par :
A(t) = 1-A(t)

1.2.1.4. Maintenabilité

C’est l’aptitude d’une entité à être maintenue ou rétablie dans un état dans lequel elle
peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des
conditions données, avec des procédures et des moyens prescrits (Villemeur, 1988). La
maintenabilité M(t) ne concerne que les systèmes réparables, elle se définit comme étant le
complément à 1 de la probabilité pour que le système ne soit pas réparé sur l’intervalle [0, t]
sachant qu’il est défaillant à l’instant t=0. La maintenabilité M(t) (de l’anglais maintenability)
correspond à la probabilité :

M(t) = 1 - Prob (E non réparé sur [0, t] / E étant défaillant à t = 0)

Le taux de réparation µ(t) d’un système réparable au temps t est la probabilité pour que
la phase de réparation d’une entité soit comprise dans un intervalle de temps donné [t, t+dt],
en supposant que l’entité ait été en panne sur [0, t]. Le taux de réparation s’exprime en
fonction de la maintenabilité par la formule suivante :

1 dM ( t )
m( t ) =
1 - M ( t ) dt (1.2)

� t �
�- � m (u ).du �

Donc M (t ) = 1 - e
� 0 �

1.2.1.5. Sécurité

C’est l’aptitude d’une entité à éviter de faire apparaître, dans des conditions données,
des événements critiques ou catastrophiques. Elle peut également s’exprimer sous forme
d’une probabilité (Villemeur, 1988). Si l'on considère que les défaillances d’un système se
partagent en deux catégories, celles qui sont dangereuses et celles qui ne le sont pas, la
sécurité (de l’anglais security) peut être considérée comme la part de la fiabilité relative aux
défaillances dangereuses. Ce concept est la dernière composante de la sûreté de
fonctionnement.

Plusieurs indicateurs moyens sont aussi utilisés : Le MTTF, le MTBF ou le MTTR. Ces
indicateurs sont introduits et définis ci-dessous.

1.2.1.6. Indicateurs moyens de la sûreté de fonctionnement

Différents temps caractérisant la SdF sont définis : avant défaillance, entre deux
défaillances et entre défaillance et réparation. Ces temps dépendent des probabilités
d’occurrences des défaillances et des réparations des composants. Ce sont des variables
aléatoires que l’on cherche à caractériser par leur espérance mathématique (Villemeur, 1988).
- MTTF (Mean Time To Failure) est la durée moyenne de bon fonctionnement d’une entité,
cet indicateur représente une estimation du temps moyen de fonctionnement avant la première
défaillance. Ce temps a un rôle important en fiabilité, il est souvent pris comme un indicateur
permettant la comparaison des fiabilités des systèmes fournis par un constructeur. Il est défini
par :
+�
MTTF = �
R( t ).dt
0 (1.3)

Dans le cas des systèmes avec un taux de défaillance constant on a la relation suivante entre le
taux de défaillance et le MTTF :

1
l=
MTTF

- MTBF (Mean Time Between Failures) est la moyenne des temps entre deux défaillances,
cet indicateur est décomposé en deux parties, MDT et MUT.

- MDT (Mean Down Time) est la durée moyenne entre une défaillance et la remise en service,
c’est la durée moyenne d’indisponibilité après défaillance. Ce temps prend en compte le
temps de détection de la défaillance ainsi que le temps de réparation MTTR.

- MTTR (Mean Time To Repair) temps moyen des réparations est défini par :
+�
MTTR = �
( 1 - M ( t )).dt
0

Dans le cas des systèmes avec un taux de réparation constant, on a la relation suivante entre le
taux de réparation et le MTTR :

1
m=
MTTR

- MUT (Mean Up Time) est le temps moyen qui sépare une remise en service du système de
l’apparition de la panne suivante. Il représente la durée moyenne de disponibilité.
Remise
1ère défaillance
La Figure 1.2 présente ces indicateurs ainsi que les relations qui2ème
en service les lient (Lannoy, 1996).
défaillance Temps
0
MTTF MDT MUT
MTBF
Début de Fin de Remise en
Défaillance Détection réparation service
réparation service
Retard à la Retard à la Retard à la
détection réparation MTTR remise en service
détecter
MDT
 Figure 1.2 : Indicateurs moyens de la sûreté de fonctionnement

1.2.2. Analyse de la fiabilité par approche markovienne

L’étude de la fiabilité des systèmes peut être menée à l’aide d’une analyse markovienne,
pour évaluer et quantifier analytiquement les indicateurs usuels de performances des systèmes
réparables. Les processus markoviens sont souvent utilisés pour évaluer de façon quantitative
la SdF des systèmes, notamment lorsque les taux de transition sont constants, c'est-à-dire que
les instants de défaillance et de réparation des composants sont distribués selon des lois
exponentielles (Cocozza-Thivent, 1997). On suppose que le passage d’un état du système à
l’autre survient aléatoirement par la défaillance d’un composant ou par la réparation d’un
autre élément. Connaissant l’état initial du système, on peut en déduire soit la probabilité
d’être dans un état donné après une durée déterminée (régime transitoire), soit la probabilité
moyenne d’être dans un état donné (régime permanent).

Nous traitons dans ce paragraphe l’évaluation de la disponibilité, des systèmes

réparables modélisés par des processus markoviens continus dans le temps.

1.2.2.1. Processus markovien à temps continu

Un processus markovien à temps continu est un processus stochastique dont l’état futur
ne dépend pas de la trajectoire passée et évolue dans un ensemble d’états fini {S 1,…, SN} et
dont les événements sont distribuées continûment dans le temps selon les lois exponentielles.
Il est utilisé pour évaluer de façon quantitative la SdF des systèmes (Cocozza-Thivent, 1997).
Le processus stochastique est dit markovien si :
" t= ( t1 ,...., t n ,t n+1 ) ; tels que t1 <t 2 <...<t n <t n+1

Alors :
Prob[S(t n+1 )=s n +1/S(t n )=s n ; S(t n-1 )=s n-1;...;S(t1 )=s1 ] = Prob [S(t n+1 )=s n +1/S(t n )=s n ]
(1.4)
Ou S(t) représente l’état du système à la date t.

Le processus markovien est un processus sans mémoire. L’évolution future du processus

ne dépend que de l’état à l’instant présent, et non de l’évolution passée du système. Le
processus markovien est homogène lorsque les taux de transition entre états ne dépendent pas
du temps. Un processus de Markov est représentable graphiquement par un modèle états-
transitions appelé graphe de Markov (Schoenig, 2004).

1.2.2.2. Estimation des indicateurs usuels de SdF

Dans ce paragraphe, nous présenterons le calcul de mesure de la sûreté de

fonctionnement des systèmes réparables. La disponibilité moyenne, et quelques autres
indicateurs caractéristiques de la sûreté de fonctionnement (fréquence d’occurrences des
défauts et durée moyenne d’un défaut) seront présentés. Cette analyse quantitative peut être
représentée par un graphe construit à partir des états de fonctionnement du système réparable
constitué de plusieurs composants. Chaque composant ayant un nombre fini d’états de
fonctionnement et de panne (Pagès et Gondran, 1980). Pour le système, on distingue les états
de fonctionnement et de pannes :

- états de bon fonctionnement : ce sont les états où la fonction du système est réalisée. On
notera Sok l'ensemble des états de bon fonctionnement.

- états de panne : ce sont des états où la fonction du système n’est plus réalisée. On notera
Snok l'ensemble des états de panne.

L’analyse de la fiabilité par l’approche markovienne comprendra trois parties :

- Le classement de tous les états du système en états de bon fonctionnement ou en états de

panne.

- Le recensement de toutes les transitions possibles entre ces différents états et

l’identification de toutes les causes de ces transitions. Généralement elles sont dues soit à
l’apparition d’une défaillance, soit à une réparation d'un ou de plusieurs composants du
système.

- Le calcul des probabilités d’état au cours de la vie du système et le calcul des indicateurs
de sûreté de fonctionnement.
 Les études de fiabilité des systèmes réparables de type markovien sont effectuées par la
résolution des équations d’états du système. Soit (t) le vecteur des probabilités d’état :
(t) = (i(t))  [0, 1]1 xN où i(t) représente la probabilité d’être dans l'état Si à l’instant t, (t)
est solution de l’équation de Chapman Kolmogorov.

dΠ ( t )
= Π ( t ) .A
dt (1.5)

�a =μ pour i �j
�ij ij
�a ii =-�a ij sinon
�
� j�i
Où A est le générateur du modèle, avec :
mij est le taux de transition de l’état Si vers l’état Sj et mij.dt est la probabilité de passer de l’état
Si à l’état Sj entre t et t+dt sachant qu’à l’instant t le système est dans l’état Si. Le régime
permanent du vecteur d'état permet de déterminer les probabilités moyennes d'être dans un
état donné. La résolution des équations (1.6) permet de déterminer l’ensemble des probabilités
moyennes d’occupation de chaque état :

�Π.A=0
�N
�
��πi =1
�i=1 (1.6)

Ces probabilités sont divisées en deux parties, le sous ensemble des probabilités des états de

Π ok
bon fonctionnement, noté et le sous ensemble des probabilités des états de défaillance,

Π nok
noté . L’équation (1.5) décrit les variations des probabilités et sa résolution fournit
notamment les régimes transitoire et permanent. Dans le cas d’un processus homogène, les
probabilités d’état en régime transitoire sont données par :

Π ( t ) =Π ( 0 ) .e A.t
(1.7)

Ce vecteur fournit la probabilité d’être à un instant t dans chacun des états.

Soient ok(0) le vecteur de probabilité des états de bon fonctionnement et nok(0) le vecteur
des probabilités des états de panne à l’instant initial.
1N = (1,1,…,1)T est le vecteur unitaire de dimension (Nx1), 0N = (0,0,..,0)T représente le
vecteur nul de dimension (Nx1) et B = [(N-1) colonne de A, 1N] (B est une matrice obtenue à
partir de N-1 colonnes de A, choisies arbitrairement et complétées par le vecteur unitaire afin
d’obtenir une matrice carrée de rang plein). Donc les probabilités du régime stationnaire sont
obtenues par (1.8) :

Π ( �) = ( 0TN-1 ,1) .B-1

(1.8)

L’estimation des probabilités du régime stationnaire va nous permettre de calculer les

principaux indicateurs de fiabilité.

La matrice des transitions (1.9) est partitionnée en fonction des états de bon
fonctionnement et des états de défaillance. A11 est la sous-matrice des taux de transitions entre
états de bon fonctionnement du système, tandis que la matrice A22 correspond aux états de
défaillance. A12 représente la matrice qui correspond au passage des états de bon
fonctionnement aux états de panne et la matrice de réparation A21 qui permet de passer des
états de panne aux états de bon fonctionnement :

Donc la matrice A peut s’écrire de la façon suivante :

�A A12 �
A = � 11 �
�A 21 A 22 �
(1.9)

La disponibilité en fonction du temps est donnée par :

1 �
�
A ( t ) =Π ( 0 ) .e A.t . �ok �
�0nok �
(1.10)

La disponibilité moyenne (AM) est obtenue en effectuant la somme des probabilités des états
de bon fonctionnement du régime permanent. Elle est définie par l’équation suivante :

AM = Π ok (�).1ok
(1.11)

L’étude du modèle sans réparation (les états de défaillances sont rendus absorbants), généré
par la matrice A’ :

�A A12 �
A ' = � 11 �
�0 A 22 �
(1.12)

Permet d’évaluer la fiabilité du système selon (1.13) :

1ok �
�
R ( t ) =Π ( 0 ) .e A'.t . � �= Π ok ( 0 ) .e A11 .t .1ok
0nok �
� (1.13)
En utilisant la relation (1.13), L’expression la plus utile de la durée moyenne de
fonctionnement avant première défaillance est donnée par :
� �
R ( t ) .dt=Π
MTTF= � �( ok0 ( .e) .dt)
A11 .t
.1 ok
0 0

� �

( eA11.t .dt ) .1ok

R ( t ) .dt=Π ok ( 0 ) �
=�
0 0

On obtient finalement :

MTTF=Π ok ( 0 ) . ( -A11 ) .1ok

-1

(1.14)

Le calcul de MUT passe par la détermination des probabilités d’état de bon fonctionnement
après une réparation ok (après réparation) :

Π nok ( �) .A 21
Π ok (après réparation)=
Π nok ( �) .A 21.1ok
(1.15)

Finalement l’expression de MUT est donnée par la relation suivante (1.16) :

Π nok ( �) .A 21. ( -A11 ) .1ok

-1

MUT=
Π nok ( �) .A 21 .1ok
(1.16)

La détermination de la durée moyenne entre une défaillance et la remise en service (MDT) est
calculée à partir des probabilités d’état après une panne nok (après défaillance) :

Π nok ( �) .A12
Π nok (après défaillance)=
Π nok ( �) .A12 .1nok
(1.17)

Finalement nous trouvons l’expression de MDT du système par l’équation (1.18) :

Π ( �) .A12 . ( -A 22 ) .1nok
-1

MDT= nok
Π nok ( �) .A12 .1nok
(1.18)

Nous avons vu dans cette partie, que la résolution d’un système d’équations du premier
ordre sous-jacent au graphe de Markov est suffisante pour estimer l’évolution de la fiabilité, la
disponibilité, les grandeurs moyennes MTTF, MTBF, MTTR et la durée moyenne
d’occupation des états de fonctionnement après réparation.
 1.2.2.3. Exemple

Dans cette section nous allons illustrer par un exemple la détermination des indicateurs
de fiabilité par analyse markovienne. Pour cela nous considérons un système constitué de
deux éléments en redondance active de taux de défaillance l1 et l2 et de réparation m1 et m2
constants. Ce système possède quatre états (Tableau 1) définis ci-après :

Etat Composant 1 Composant 2

1 ok ok

2 nok ok

3 ok nok

4 nok nok

Tableau 1 : états d’un système réparable formé de deux éléments

Le système global est considéré en panne dans l'état 4 et en bon fonctionnement dans les
autres états. On peut ainsi définir les ensembles Sok et Snok :

Sok = { 1, 2, 3}
Snok = {4}
On obtiendra le graphe de Markov suivant (Figure 1.3) où li et mi représentent
respectivement le taux de défaillance et de réparation du composant Ei :

µ
Etat 1 λ1 Etat 2
2

{ok ,ok} 1 { nok ,ok}

λ µ2 µ µ λ
2 2 2 2

Etat 3 λ Etat 4
3

{ok , nok} 1 { nok, nok }

µ1
Figure 1.3 : Modèle de Markov utilisé pour l'étude de la
 fiabilité d’un système réparable avec deux éléments

Le générateur A est donné par (1.19) :

�- ( l1 + l2 ) l1 l2 0 �
� �
m1 - ( m1 + l2 ) 0 l2
A=� �
� m2 0 - ( m 2 + l1 ) l1 �
� �
� 0
� m2 m1 - ( m 2 + m1 ) �
� (1.19)
Sok Sno
Les éléments de la matrice A sont les
k suivants :
Sok
�- ( l1 + l2 ) l1 l2 �
� �
A11 = � m1 - ( m1 + l2 ) 0
Sno �
� m
� 0 - ( m2 + l1 ) �
�
2
k (1.20)

- ( m1 + m2 ) �
A 22 = �
� � (1.21)
T
A12 = [ 0,l2 , l1 ]
représente la matrice qui correspond au passage des états de bon

A 21 = [ 0,m2 , m1 ]
fonctionnement à l’état de panne et la matrice de réparation qui permet de
passer de l’état de panne 4 aux états de bon fonctionnement 2 et 3.

Les probabilités d’état du régime permanent obtenues pour les valeurs des taux suivantes,

l1 = 0.1 h -1 , m1 = m 2 = 1 h -1 , λ 2 = 0.05 h -1 , à partir de la relation (1.8) sont données par :

1 � �
� 0.8658 �
� �� �
 0.0866 �
 T = � 2 �= �
�
3 � � 0.0433 �
�
� � � �
4 �
� �� 0.0043 �
(1.22)

Ces probabilités sont divisées en deux parties : les probabilités des états de bon

Π ok = [ π1 ,π 2 ,π 3 ] Π nok = [ π 4 ]
fonctionnement noté et la probabilité de l'état de panne, notée .

La disponibilité moyenne est obtenue à partir de l’équation (1.10), en effectuant la

somme des probabilités des états de bon fonctionnement du régime permanent Sok={1, 2, 3},
elle est donnée par :

AM =  1 +  2 +  3 = 99.57%
 En supposant que l’état initial est l’état 1, l’équation (1.14) permet de calculer le MTTF :

MTTF =
( m2 + l1 ) ( m1 + l1 + l2 ) + l2 ( m1 + l2 ) = 122.56 h
l1l2 ( l1 + l2 + m1 + m 2 )

Le MUT du système est déterminé par l’équation (1.16) :

( m1 + l1 ) ( m22 + 2m1l2 + m2l1 ) + m1m2 ( m1 + l2 )

MUT = = 115 h
l1l2 ( l1 + l2 + m1 + m 2 ) ( m1 + m 2 )

La durée moyenne entre une défaillance et la remise en service (MDT) est déterminée en
utilisant la relation (1.17) :

1
MDT = = 0.5 h
m1 + m 2

D’où le temps moyen entre deux défaillances consécutives en est déduit :

MTBF = MDT + MUT = 115.5 h

Nous représentons dans le schéma suivant les indicateurs de sûreté de fonctionnement

du système étudié :

Remise
1ème en service 2ème
défaillance défaillance
0 Temps (h)
MTTF=122.5581 h MDT= 0.5 h MUT= 115 h

MTBF= 115.5 h

Figure 1. 4 : Indicateurs moyens de sûreté de

fonctionnement du modèle de la figure 1.3

Nous avons vu dans cette partie, que les expressions de la fiabilité, de la disponibilité
ainsi que celles des grandeurs moyennes MTTF et MTBF peuvent être établies
analytiquement à partir de l'expression du générateur du modèle de Markov et des
probabilités du régime permanent. Mais l’utilisation de cette méthode est contrainte par la
dimension du graphe des états, notamment pour des systèmes complexes.

Un autre outil de modélisation, les réseaux de Petri, va être introduit pour représenter
les systèmes comportant de nombreux états.

1.3. Réseaux de Petri stochastiques

 Nous pouvons distinguer deux familles différentes de RdPS qui sont définies selon la
nature des distributions aléatoires associées aux taux de franchissements de leurs transitions
(Diaz, 2001) :

- Les RdP totalement stochastiques dont les durées de sensibilisation de chaque transition
sont déterminées par une variable aléatoire distribuée selon une loi exponentielle avec un taux
de franchissement constant.

- Les RdP partiellement stochastiques pour lesquels certaines transitions sont tirées selon
une loi exponentielle avec un taux de franchissement constant et les autres transitions sont
franchies selon des temporisations déterministes de durées fixes.

Dans la suite de notre travail, notre étude portera exclusivement sur les réseaux de Petri
totalement stochastiques.

1.3.1. Réseaux de Petri

La complexité sans cesse grandissante des systèmes de production manufacturiers

requiert de plus en plus de méthodes de représentation et de techniques d’analyse permettant
de tenir compte de manière efficace des différentes fonctionnalités associées au système, ainsi
que de ses caractéristiques temporelles. Cet impératif conduit inéluctablement à la nécessité
de pouvoir disposer de méthodes formelles permettant de vérifier un certain nombre de
propriétés du système modélisé (Natkin, 1980), (Brams, 1983) et (David, 1992). Les réseaux
de Petri, parmi l’ensemble des formalismes existants, répondent à ces attentes. En effet, les
réseaux de Petri sont largement utilisés pour la modélisation et l’analyse des systèmes à
événements discrets. Ce succès est dû à de nombreux facteurs; parmi ceux-ci nous pouvons
relever leur simplicité de compréhension de part leur représentation graphique qui se prête
aisément à la modélisation de phénomènes complexes. Les modèles de RdP temporisés
permettent de traiter les problèmes liés à l’analyse et à l’évaluation des performances.
Les RdP permettent la description de phénomènes tels que la synchronisation, la
concurrence ou le parallélisme.

1.3.1.1. Structure et relation d’incidence

Formellement, un réseau de Petri (RdP) est un graphe orienté biparti, muni de deux
types de sommets : les places et les transitions (figure 1.4). Une place est représentée par un
cercle et une transition par un trait (ou par un rectangle). P = {P1, P2, ….,Pn} est l’ensemble
fini des places et T = {T1, T2, ….,Tq} est l’ensemble fini des transitions dont les occurrences
provoquent un changement d'état du système. Les places et les transitions sont reliées par des
arcs orientés qui relient soit une place à une transition soit une transition à une place (David et
Alla, 92) selon les applications d’incidence arrière et avant.

On note l’application d’incidence avant WPR = (wPRij)  INn  q où wPRij est le poids de
l’arc dirigé de Pi vers Tj, et l’application d’incidence arrière WPO = ( wPOij )  INn  q où wPOij est
le poids de l’arc dirigé de Tj vers Pi. La matrice d’incidence W du réseau est définie par W =
WPO – WPR  Zn  q.

Dans le cas où les valeurs des matrices d'incidence avant et arrière sont prises dans
l'ensemble {0, 1}n x q, le réseau est dit ordinaire (sinon il est dit généralisé).
P1

T1 T2

P2 P4

T3 T5

P3 P5

T4 T6
 Figure 1.4 : Exemple de RdP ordinaire

Le RdP de la figure 1.4 est un RdP ordinaire possédant 5 places et 6 transitions. Les matrices
d’incidence de ce RdP sont les suivantes :

�1 1 0 0 0 0� �0 0 0 0 0 0�
� � � �
�0 0 1 0 0 0� �1 0 0 1 0 0�
WPR = �0 0 0 1 0 0� WPO = �0 0 1 0 0 0�
� � � �
�0 0 0 0 1 0� �0 1 0 0 0 0�
�0 0 0 0 0 1� �0 0 0 0 1 0�
� � � �
Matrice d’incidence avant Matrice d’incidence arrière

A partir de ces matrices, on déduit la matrice d’incidence du RdP (1.23).

�-1 -1 0 0 0 0 �
� �
�1 0 -1 1 0 0 �
W = �0 0 1 -1 0 0 �
� �
�0 1 0 0 -1 0 �
�0 0 0 0 1 -1�
� � (1.23)

1.3.1.2. Marquage et état

Le marquage M d’un RdP est une application de l’ensemble des places vers l'ensemble
des entiers naturels, M est un vecteur colonne qui représente le nombre de marques (ou jetons)
présents dans chaque place. Le marquage représente l’état du réseau à un instant donné. Un
réseau dont les places possèdent des marques est qualifié de réseau marqué (figure 1.5).

T1

P3
T2
T4
P1
P P2
P
4
5
P6
T3 T5

Figure 1.5 : Exemple de RdP marqué

 Le marquage de la place Pi sera noté M(Pi), ou plus succinctement mi. Pour l’exemple
de la figure 1.5, M(P1) = M(P2)= M(P6), =1, M(P3)= M(P4) =M(P5) =0. Le marquage M du
réseau est défini par le vecteur de ces marquages, c’est-à-dire M = (M(P1), M(P2), M(P3),
M(P4), M(P5), M(P6))T = (1, 1, 0, 0, 0, 1)T. Le franchissement d’une transition Tj ne peut
s’effectuer que si chaque place en amont de cette transition contient au moins un nombre de
marques égal au poids de l’arc reliant cette place à Tj. Cette transition sera alors validée
(David et Alla, 92) et pourra être franchie, permettant l'évolution du réseau vers un nouvel
état. Le marquage sera modifié lors de ce franchissement en fonction des poids des arcs
impliqués. Une séquence de franchissements  = (Ti Tj. …Tk)T est définie comme une série
ordonnée de transitions qui sont successivement franchies lors de l'évolution du marquage M
au marquage M’ (séquence notée  : M [ > M' )). Une telle séquence peut aussi être
représentée par son vecteur caractéristique (vecteur de Parikh) X = (xj)  (Z+)q où xj représente
le nombre de franchissements de la transition Tj dans la séquence , le nouveau marquage M'
vérifiera l'équation d'évolution du marquage (1.24).

M' = M + W.X (1.24)

Un RdP est un graphe d’état si et seulement si toute transition a exactement une place d’entrée
et une place de sortie.

Un RdP est un graphe d’événements si et seulement si toute place a exactement une transition
d’entrée et une transition de sortie.

1.3.1.3. Graphe du marquage

Le graphe des marquages est composé des états du RdP qui correspondent aux
marquages accessibles, à partir d'un marquage initial donné et des arcs correspondant aux
franchissements des transitions provoquant le passage d’un état à un autre. Cette nouvelle
représentation permet l'étude de propriétés qualitatives telles la vivacité, ou la réinitialisation.

P1
(2 0 0)T
2 T1
T1
T3 (0 1 1)T T2

P2 P3 T3
T2

T2 T3
(1 0 1)T (1 1 0)T
 Figure 1.6 : Exemple de graphe de marquage

La figure 1.6 représente un exemple de RdP et son graphe des marquages accessibles à
partir du marquage initial MI = (2, 0, 0)T.

L’étude des RdP comporte deux parties distinctes, une étude statique (ou structurelle)
basée sur le graphe et les relations d’incidence et une étude dynamique (ou comportementale)
basée sur l’évolution du marquage (Brams ,1983 ; David, 1992).

1.3.1.4. Propriétés comportementales

Les propriétés comportementales dépendent du marquage initial et sont liées à

l’évolution du marquage. Leur vérification nécessite bien souvent la construction du graphe
des marquages accessibles. Elles permettent d’apporter des réponses aux questions concernant
l’accessibilité d’un marquage particulier, la bornitude, la vivacité ou la présence de conflits.

- Une place Pi est dite bornée ou k-bornée pour un marquage initial MI s’il existe un entier
naturel k tel que, pour tout marquage accessible à partir de MI, le nombre de marques dans la
place Pi reste inférieur ou égal à k. Un RdP marqué est borné ou k-borné pour un marquage
initial MI, si toutes les places sont k bornées pour MI.

- Un RdP marqué est vivant à partir d’un marquage initial MI, si et seulement si pour toute
transition Tj du réseau et tout marquage M accessible, il existe une séquence de
franchissements qui contient Tj. Autrement dit, quelle que soit l’évolution du marquage du
réseau, il existe toujours une possibilité de franchir n’importe quelle transition. La vivacité
d’un réseau garantie le franchissement de toute transition quel que soit le marquage atteint.
Une situation de blocage se matérialise par l’existence d’un marquage tel qu’aucune transition
ne soit validée.

- Un RdP est réinitialisable pour un marquage initial MI si pour tout marquage accessible, il
existe une séquence de franchissement de transitions telle que l’on puisse accéder à MI.

- Un RdP a un état d'accueil M pour un marquage initial MI si pour tout marquage accessible,
il existe une séquence de franchissement de transitions telle que l'on puisse accéder à M.
1.3.1.5. Propriétés structurelles

Les propriétés structurelles sont indépendantes du marquage initial et sont liées à la

topologie du réseau. Leur analyse repose essentiellement sur des techniques de l’algèbre
linéaire (Colom et al, 1990; Recalde et al, 1998; Teruel et al, 1997). Leur but est de bâtir une
passerelle entre la structure du réseau étudié et son comportement. Les propriétés structurelles
ne font pas intervenir le temps, mais uniquement la structure définie par l’ensemble des
transitions et des places. Deux types d’invariants sont définis, les invariants de marquages et
les invariants de franchissement.

Soient Y = {yi}, i = 1,.., K1, l’ensemble des P-semi-flots et Z = {zi}, i = 1,.., K2,
l'ensemble des T-semi- flots.
Un P-semi-flot y  (Z+)n est solution de l’équation yT.W = 0 et correspond à un invariant
de marquage : yT.M = yT.MI = C, où C est un vecteur constant. Cette relation traduit la
conservation du nombre pondéré de marques. Un RdP qui admet un ou plusieurs P-semi-flots
dans lesquels toutes les places interviennent au moins une fois est dit conservatif.
Un T-semi-flot z (Z+)q est solution de l’équation W.z = 0 et définit un cycle potentiel de
franchissements répétitifs qui laisse le marquage invariant. Un RdP qui admet un ou plusieurs
T-semi-flots dans lesquels toutes les transitions interviennent au moins une fois est dit
consistant.

Prenons l’exemple de la figure 1.5, le RdP possède trois P-semi-flots, les vecteurs
y1=(1, 0, 1, 1, 0, 0)T, y2=(0, 1, 0, 0, 1, 0)T et y3=(0, 0, 0, 1, 1, 1 )T sont solutions de l’équation
yT.W=0, donc les vecteurs Y = {y1, y2 , y3} représentent l’ensemble des P-semi-flots,
l’ensemble de places {P1, P3, P4},{P2, P5}, et{P3, P4, P5} sont des composantes conservatives,
leur somme reste constante. De plus il existe un P-semi-flot liant l'ensemble des places, le
réseau est donc conservatif.

Les vecteurs z1=(0, 0, 0, 1, 1)T, z2=(1, 1,1,0 ,0 )T sont solutions de l’équation W.z = 0, ils
représentent l’ensemble des T-semi-flots, l’ensemble des transitions {T4, T5} et {T1, T2, T3}
sont des composantes consistantes, elles définissent des cycles de franchissements répétitifs,
le réseau est consistant.

- Un RdP sans conflit est un RdP dans lequel toute place a au plus une transition de sortie
alors qu’un RdP avec conflit structurel correspond à l’existence d’une place qui a au moins
deux transitions de sortie.
 1.3.2. Réseaux de Petri temporisés sur les transitions

Les RdP temporisés permettent de décrire l’évolution des systèmes dont le

fonctionnement dépend du temps. Les RdP temporisés sont fréquemment utilisés pour
l’évaluation de performances. Un certain nombre de propriétés des systèmes telles que
l'invariance au cours du fonctionnement ou la présence de blocages, peut être étudié dans ce
cadre (Nivolianitou et al., 2004).

Dans la littérature deux familles de modèles temporisés peuvent être distinguées selon
que les temporisations sont affectées aux places ou aux transitions. Khansa a montré (Khansa,
1996) que ces deux familles sont équivalentes.

- Les RdP avec des temporisations associées aux transitions (RdP T-temporisés) ont été
introduits par Ramchandani (Ramchandani, 1974). Après validation, une transition est
franchie après une durée en moins égale à la durée de franchissement de la transition. Les RdP
T-temporisés ont surtout été utilisés dans un cadre d’évaluation de performances (David et
Alla, 1992).

- Les RdP avec des temporisations associées aux places (RdP P-temporisés), associant à
chaque place Pi une temporisation qui représente le temps de séjour minimum d'un jeton dans
cette place.

Nous avons choisi d’utiliser dans notre travail les RdP T-temporisés. Les durées sont
associées à des variables temporelles qui peuvent être soit déterministes soit stochastiques,
constantes ou variables, bornées ou non. Dans le cas d'une modélisation de durée opératoire
fixe, la durée sera constante. Dans le cas de processus de panne et de réparation, la durée sera
représentée par une variable aléatoire.

1.3.3. Réseaux de Petri temporisés stochastiques

Un réseau de Petri temporisé stochastique (RdPS) est un RdP temporisé dont le

franchissement de chaque transition est associé à une variable aléatoire distribuée selon une
loi exponentielle. Si mj est le taux de franchissement de la transition Tj alors la probabilité de
franchissement de cette transition Tj entre les instants t et t+dt est µj.dt, lorsque la transition Tj
est validée avec un degré 1 (Diaz, 2001).

Notons qu’il est possible de considérer des réseaux T-temporisés pour lesquels une
partie des durées sera représentée par une constante tandis que l'autre présentera un caractère
aléatoire (cas des réseaux de Petri stochastiques déterministes). Un réseau de Petri
stochastique déterministe (RdPSD) est un réseau de Petri temporisé dont les durées de
sensibilisation des transitions sont déterminées soit par une variable aléatoire distribuée selon
une loi exponentielle de paramètre mj, soit par une constante.

Le processus stochastique est caractérisé par sa politique de sélection (ou choix), sa

politique de service et sa politique de mémoire.

1.3.3.1. Politique de sélection

On distingue deux politiques de sélection (Marsan et al, 1989, S. Donatelli, 1997, Diaz,
2001) :

- la présélection «pre-selection policy» qui permet de définir, de manière statique des

priorités de franchissement entre les transitions. On peut définir ces propriétés soit du point de
vue des marquages, soit de celui des poids associés aux transitions.

- la compétition «race policy», lorsque dans un marquage donné, plusieurs transitions sont
sensibilisées en même temps, la transition dont la durée de franchissement est la plus petite
est franchie.

1.3.3.2. Mémoire temporelle

La mémoire temporelle autorise la prise en compte du passé du système. Les mémoires

de sensibilisation font apparaître la notion de durées résiduelles. Ces durées correspondent
aux temps nécessaires aux processus associés aux transitions pour s’achever. Trois types de
politique de mémoire temporelle (Marsan et al, 1989 ; S. Donatelli, 1997 ; Diaz, 2001)
peuvent être définis :

- La réinitialisation «resampling memory» qui ne prend pas en compte le passé du système.

Chaque variable aléatoire est réinitialisée après le franchissement d’une transition. La
réinitialisation permet d’obtenir des processus stochastiques markovien (sans mémoire).

- La mémoire de la dernière sensibilisation «enabling memory» où seule la durée

correspondant à cette dernière sensibilisation est prise en compte. Pour cette règle, la durée
totale de sensibilisation mémorisée est remise à zéro après chaque désensibilisation de la
transition.

- La mémoire de toutes les sensibilisations «age memory» où la durée cumulée de toutes les
sensibilisations de la transition sont prises en compte depuis le dernier franchissement. Ainsi,
cette mémoire temporelle continue à agir jusqu’à ce que la transition soit effectivement
franchie.

La mémoire de toutes les sensibilisations est très rarement choisie car elle est très lourde
à mettre en œuvre et conduit à un processus stochastique non markovien assez complexe à
analyser. Cette politique peut être intéressante si l’on souhaite modéliser l’opération d’un
réparateur amené à réparer un deuxième équipement avant la fin de la réparation du premier
équipement. Cette politique permet au réparateur de ne pas perdre le travail déjà effectué sur
le premier équipement.

1.3.3.3. Politique de service

Deux politiques de service sont définies selon le type de serveur considéré. Dans le
premier cas, le nombre de serveurs est fini (multiserveurs) et seul un nombre fixe de clients
peuvent être servis simultanément. Dans le deuxième cas, le serveur est infini.
Le premier cas s'apparente aux réseaux à vitesse constante tandis que le second correspond
aux réseaux à vitesse variable. La politique de service choisie pour notre étude est de type
«serveur infini». Pour ce cas, le nombre de tirs simultanés de la transition Tj est égal à son
degré de sensibilisation nj(M) pour le marquage M :

�M ( P ) �
n j ( M ) = min � PRi �
Pi ΰ T j �W �
� ij � (125)

Dans le cadre de notre travail, les réseaux considérés seront des RdPS munis d’une
politique de sélection par compétition, d'une politique de service type "serveur infini" et d’une
mémoire temporelle par réinitialisation. De plus nous supposerons que les temporisations
suivent des lois exponentielles. Pour ce type de réseaux, la durée de franchissement de la
transition Tj est définie comme une variable aléatoire distribuée selon une loi exponentielle de
paramètre égal à la partie entière de nj(M).mj (mj correspond au taux de franchissement de Tj).
Dans ce cas, le processus de marquage pourra être assimilé à un processus markovien
homogène à espace d’état fini et à temps continu (Bobbio et al, 1998).

1.3. Application des RdPS aux études de fiabilité

Les RdPS sont des outils d’analyse de la structure et du comportement des systèmes
stochastiques dynamiques à événements discrets.
- L’analyse directe du graphe des marquages permet de caractériser les propriétés générales
et spécifiques du modèle étudié (aspect borné, vivant, etc…).

- L’exploitation du processus stochastique associé au modèle markovien, permet d’évaluer le

comportement en régimes permanent et transitoire du modèle (fréquence moyenne de
franchissement des transitions, temps moyen de séjour dans les états persistants, etc…).

- La simulation du RdPS permet d'obtenir des approximations des flux et des marquages
moyens ainsi que des indicateurs usuels de la fiabilité (MTTF, MTBF, MTTR).

Dans la section suivante nous montrons comment utiliser l’analyse markovienne des
RdPS pour les études de fiabilités.

1.4.1. Analyse markovienne d’un RdPS

L’analyse markovienne d’un RdPS consiste à construire le graphe des marquages

accessibles du RdPS et à étiqueter chaque arc par un taux de franchissement qui dépend du
taux de la transition franchie et du degré de sensibilisation de cette transition. Le processus de
marquage du RdPS est alors identique à celui du processus de Markov homogène ainsi
déterminé.

Considérons le réseau de Petri stochastique de la figure (1.7), de paramètres m1, m2, m3,
m4 et du processus de Markov associé :

P1 (0 1 0)T
E(2/2).1 2
2
T1 : 1
4
T3 : 3 (2 0 0)T
2
P3
2.3
P
2
2.4
(1 0 1)T (0 0 2)T
T2 : 2 T4: 4 3

Figure 1.7 : RdPS et chaîne de Markov.

Le processus de Markov permet d’évaluer le comportement en régimes permanent et

transitoire du modèle tel que le marquage moyen de chaque place, le flux moyen de
franchissement de chaque transition ou le temps moyen de séjour dans chaque état. On peut
alors en déduire d'autres indicateurs de performance (MTTF, MTBF, MTTR). Si l'on suppose
que le modèle de Markov est ergodique alors il possède un générateur qui admet une unique
solution stationnaire (Molloy, 1982). On pourra donc déterminer les valeurs des flux et des
marquages moyens.

1.4.1.1. Générateur du processus de Markov associé

Dans le cas où le RdPS est borné, le graphe de marquage est fini et le processus de
Markov possède un nombre d’états fini. Le générateur du processus de Markov A est obtenu à
partir du graphe des marquages. Les états sont reliés deux à deux par des arcs auxquels sont
associées les probabilités de passer d'un état à l'autre.

Le générateur du processus markovien associé au RdPS est donc une matrice carrée
A �( R )N �N
, où N est le nombre d’états. A dépend du graphe d’atteignabilité, du vecteur des
taux de franchissement des transitions ainsi que du degré de sensibilisation des transitions (lié
aux poids des arcs de la matrice d'incidence avant). Cette matrice A est construite de la façon
suivante :

aij ( i �j )
- L’élément hors diagonale est égal au taux de franchissement permettant de
passer de l’état Si vers l’état Sj par franchissement de la transition Tk : aij = nk(Mi).mk où Mi
représente le marquage associé à l’état Si.
N
aii = -�aij
- L’élément diagonal i �j
représente le complément à zéro de la somme des autres
éléments de la ligne i (somme des taux de sortie de l’état Si).

La détermination du générateur du processus de Markov associé au RdPS permet de

calculer les probabilités d’états du régime stationnaire, le régime permanent du RdPS et d'en
déduire d'autres indicateurs de performance usuels de la fiabilité.

1.4.1.2. Régime permanent d’un RdPS

Lorsque le graphe d’atteignabilité du RdPS est isomorphe à l’espace d’état d’un

processus de Markov, le régime permanent du RdPS peut être obtenu à l'aide des probabilités
d’état du modèle de Markov.

Soit Xs = (xsj)(R+)q le vecteur des flux moyens asymptotiques, Ms = (msi)(R+)n le

vecteur des marquages moyens asymptotiques et Π = (πk)[0, 1]1xN le vecteur des probabilités
d’état en régime permanent du modèle de Markov associé comportant N états. Soit A le
générateur du processus de Markov associé. Le vecteur des probabilités d’état en régime
permanent est la solution de l’équation (1.6).

À partir du vecteur Π, on déduit les flux moyens asymptotiques des transitions ainsi que les
marquages moyens asymptotiques des places.

Soit Mk = (mki) le marquage associé à l’état Sk. Le flux moyen asymptotique de chaque
transition Tj est donné par la relation (1.26) :

� �
xsj =µ j .�� n j ( M k ) .π k �
�k=1...N � (1.26)

Le marquage moyen asymptotique de chaque place Pi est défini par (1.27) :

msi = �m
k=1...N
ki .π k
(1.27)

Cette méthode permet d’obtenir une solution analytique du régime permanent d’un
RdPS, dans le cas d’un système ergodique et lorsque l’espace d’état est de dimension réduite
(Molloy, 1982). Mais l’un des problèmes cruciaux commun à toutes les études basées sur les
graphes réside dans l'explosion combinatoire liée à l’augmentation du nombre d'états. Ce
problème sera illustré dans la section suivante et une solution de substitution sera présentée
ultérieurement.

1.4.1.3. Complexité du graphe d’atteignabilité

A titre d’exemple, nous allons considérer l’exemple de Silva et Recalde (Silva et

Recalde, 2004) présenté sur la figure 1.7. Ce réseau modélise un système de fabrication
possédant 5 machines (T1 à T5), et 3 outils avec des ressources limitées (P1 à P3). Dans ce
modèle de RdP, le vecteur des paramètres des transitions m et le marquage initial MI sont
donnés par :
 M I = k . ( 6, 6, 4, 0,3, 0,3, 0,0 )
T

m = (1,1,1,1,1)T, où k  IN
P1
T1 P4
6 P8 2
T3 P9
T4 T5
2
P5 3
P2
P6
6 2
4
T2 2
3 P3
P7

Figure 1.8 : Système de fabrication

(Silva et Recalde, 2004)

Le tableau 2 illustre l'évolution du nombre d’états N et du temps de calcul en fonction

du paramètre k. Le temps de calcul nécessaire pour calculer le graphe d’atteignabilité
augmente de façon exponentielle (Trivedi et Kulkarni, 1998) et rend difficile voire impossible
l’analyse markovienne.

Coefficient k 1 2 3 4 5

Nombre d’états (N) 205 1885 7796 22187 50801

8.30 164.66 1321.80 6959.00

Temps de calcul (s) 0.113
4 5 4 9

Tableau 2 : Nombre d’états et temps de calcul

du graphe d’atteignabilité en fonction de k

Pour contourner ce problème, nous allons utiliser le lien entre RdPS et chaîne de
Markov pour estimer les probabilités d'état à partir de la simulation du RdPS.

1.4.2. Estimateur stochastique par simulation

Nous nous intéressons dans cette section à la simulation des systèmes stochastiques afin
de déterminer des estimations des indicateurs liés à la sûreté de fonctionnement, telle que la
fiabilité, le temps moyen d’atteinte d’un état de défaillance ou la disponibilité. Nous avons vu
que pour des systèmes de grande dimension, l’analyse markovienne est souvent inutilisable à
cause de l’explosion combinatoire due au passage par le graphe d’état (Silva et Recalde, 2002;
 Trivedi et Kulkarni, 1998; Horton et al, 1998). La simulation des RdPS ne nécessite pas le
calcul du graphe d’états et le RdPS peut être considéré comme un estimateur du modèle de
Markov.

Nous présenterons par la suite l’algorithme de cet estimateur stochastique.

1.4.2.1. Algorithme de simulation d'un RdPS

L’algorithme de l’évolution d’un RdPS qui permet de déterminer le régime stationnaire

est le suivant :

Initialisation des marquages à l’instant t = 0

Tant que t < durée totale de la simulation

Pour l’instant t et le marquage M(t) courant calculer :

- L’ensemble E(M(t)) des transitions sensibilisées : celles pour lesquelles le degré de

sensibilisation est strictement positif.

- Pour chaque transition Tj appartenant à l’ensemble des transitions sensibilisées, tirer une
durée aléatoire dj selon une loi exponentielle de taux µj.nj(M(t)).

Déterminer la transition Tm dont la durée de franchissement dm est la plus courte : dm =

min{dj, Tj E(M(t)) }.

Ajouter la nouvelle date t + dm dans l’échéancier

Franchir la transition Tm à la date t + dm et actualiser le marquage.

Fin du Tant que

1.4.2.2. Estimation de la SdF par simulation

La simulation du RdPS permet d'obtenir des estimations des flux et des marquages
moyens asymptotiques.

Prenons l’exemple de la figure 1.8 ou le temps de calcul et l’espace mémoire pour

trouver tous les états est plus couteux.
 Figure 1. 9: Estimateur stochastique du flux moyen
de la transition T5 pour le système de la figure 1.7

L’avantage de cet estimateur est que la détermination du graphe d’atteignabilité n’est

plus requise mais son inconvénient majeur est que la convergence reste lente surtout lorsque
les systèmes présentent des événements rares. Ces événements se caractérisent par des
probabilités d’occurrence très petites. Dans ces situations, les méthodes de simulation sont
inefficaces, puisque la faible probabilité de l’événement considéré rend improbable son
observation, conduisant à une mauvaise précision de l’estimation (Sandmann, 2004).
Habituellement, la simulation requiert un temps très long pour obtenir des résultats
acceptables.

1.4.2.3.Exemple

Prenons l’exemple de la figure 1.3, avec un marquage initial MI=(1,0,0,0), l’estimateur

stochastique nous permet de déterminer les indicateurs moyens de sûreté de fonctionnement obtenus
analytiquement par l’analyse markovienne :
 T2 : µ1
P1 P

2
2

2
T1 : λ1 2

µ2
T3 : λ2 T4 : µ2 T5 : µ2 T6 : λ2

T7 : λ1
P3
3

3
T8 : µ1 4

Figure 1. 10: RdPS équivalent au modèle

Makovien de la figure 1.3

Pour estimer le MTTF du système, nous avons effectué 4 000 simulations en rendant
l’état 4 absorbant (en stoppant la simulation dès que l’état 4 est atteint). L’algorithme qui
permet de déterminer le MTTF est le suivant :

1. Définir les paramètres du réseau (matrice d’incidence, marquage initial, vitesse maximal
de franchissements des transitions).

2. Initialiser les paramètres du système étudié, temps initial de simulation.

3. Simuler le RdPS selon l’algorithme du paragraphe 1.4.2.1.

4. Arrêter la simulation dés que le système tombe en panne (états de pannes se matérialisent
par la présence du jeton dans la place P4).

5. Calculer le temps réalisé jusqu’à la première panne.

6. Relancer le programme plusieurs essaies (4000 simulations dans notre exemple).

7. Calculer la valeur moyen obtenue durant ses différentes simulations (MTTF).

Nous avons obtenu les réalisations des temps jusqu'à l'obtention d'une panne, présentées
sur la figure 1.11 dont la valeur moyenne est MTTF = 122.472 h
 Figure 1. 11 :MTTF estimé par simulation
pour le modèle de la figure 1.10

D'un autre coté, les temps de simulations sont relativement longs mais ils sont peu
influencés par la nature des lois de probabilités associées aux défaillances, ce qui permet de
prendre en compte de nombreux systèmes technologiques.

L’algorithme qui permet de déterminer le temps moyen entre la remise du service du

système et son état de panne est le suivant :

1. Exploiter les résultats obtenus par la simulation du RdPS.

2. Identifier les indices des états de pannes au long de la simulation (se matérialisent par la
présence du jeton dans la place P4).
3. Calculer la valeur moyenne de toute la remise en service et le temps dés que le système
tombe en panne. Ce qui permet de déterminer le MUT.

La figure 1.12 représente les durées qui séparent une remise de service du système
étudié de l’instant où il tombe en panne. Nous avons estimé MUT = 114.786 h
 Figure 1. 12: MUT estimé par simulation
pour le modèle de la figure 1.10

L’algorithme qui permet de déterminer le MTBF est le suivant :

1. Exploiter les résultats obtenus par la simulation du RdPS.

2. Identifier les indices des états de pannes au long de la simulation et les indices des
états de bon fonctionnement.
3. Calculer le temps réalisé entre deux pannes consécutives.
4. Calculer la moyenne des durées MTBF.

La figure 1.13 représente les temps entre deux défaillances consécutives obtenus pas
l’estimateur stochastique. Nous avons estimé MTBF = 115.49 h.
 Figure 1. 13: MTBF estimé par simulation
pour le modèle de la figure 1.10

Le tableau 3 récapitule les résultats obtenus par l’analyse markovienne et par

l’estimateur stochastique :

Indicateurs de fiabilité MTTF MUT MTBF

Analyse markovienne 122.5 115 115.5

122.472
Estimateur stochastique 114.786 115.378
h

Erreur relative 0.028 0.214 0.122

Tableau 3 : Indicateurs moyens de la fiabilité obtenus par

l’estimateur stochastique et l’analyse markovienne

L’analyse markovienne et l’estimateur stochastique par simulation des RdPS ont permis
d’évaluer les indicateurs usuels de performance de ce système. Il reste que les temps de
simulations sont relativement longs mais ils sont peu influencés par la nature des lois de
probabilités associées aux défaillances. Si l’espace d’états est grand (et qu’aucun modèle
approché réduisant l’espace d’état n’est disponible), le graphe d’accessibilité ne peut être
généré. La simulation est alors encore la seule possibilité.
 Nous pouvons montrer que pour des espaces d’états, les méthodes analytiques-
numériques sont performantes. Quand l’espace d’états devient plus grand, il existe toujours un
seuil à partir duquel le temps de simulation devient bien plus. Habituellement, la simulation
requiert un temps très long pour obtenir de bons résultats, notons que même si le temps de
calcul pour les méthodes analytiques-numériques est un peu plus grand que celui de la
simulation, il est toujours pertinent de les utiliser car elles donnent un résultat précis au lieu
d’un intervalle de confiance.
1.4. Conclusions

Nous avons présenté dans ce chapitre les notions de base de la sûreté de fonctionnement
des systèmes, ainsi que l'obtention de divers indicateurs de fiabilité à partir de l'analyse
markovienne dont nous avons souligné les limites. Ces indicateurs de performances peuvent
être obtenus à l'aide du vecteur des probabilités d'état du processus de Markov, mais cette
opération nécessite le calcul préalable du graphe des états. Afin de pallier le problème de
l'explosion combinatoire du nombre d'états, dans le cas de systèmes complexes, les réseaux de
Petri temporisés stochastiques sont introduits.

L'analyse de la correspondance entre les réseaux de Petri stochastiques bornés, et les

processus de Markov à temps continus permet d’utiliser les RdPS comme un estimateur du
processus de Markov. Les marquages et les flux moyens obtenus par simulation à partir du
RdPS sont des estimateurs des valeurs moyennes de marquage et de flux du processus de
Markov.