Approche par intervalles pour l’évaluation imprécise des systèmes instrumentés de sécurite

01/01/2011
Publication e-STA e-STA 2011-1
OAI : oai:www.see.asso.fr:545:2011-1:13452
DOI :

Résumé

Approche par intervalles pour l’évaluation imprécise  des systèmes instrumentés de sécurite

Métriques

438
13
337.74 Ko
 application/pdf
bitcache://622c85d8ddebbe40459485d2a165d99732791f87

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/545:2011-1/13452</identifier><creators><creator><creatorName>Mechri Walid</creatorName></creator><creator><creatorName>Simon Christophe</creatorName></creator><creator><creatorName>Ben Othman Kamel</creatorName></creator></creators><titles>
            <title>Approche par intervalles pour l’évaluation imprécise  des systèmes instrumentés de sécurite</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2011</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Sat 1 Jan 2011</date>
	    <date dateType="Updated">Mon 25 Jul 2016</date>
            <date dateType="Submitted">Tue 15 May 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">622c85d8ddebbe40459485d2a165d99732791f87</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>22483</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

REVUE E-STA 1 Approche par intervalles pour l’´evaluation impr´ecise des Syst`emes Instrument´es de S´ecurit´e Mechri Walid,Simon Christophe,and Ben Othman Kamel Abstract—Dans cet article, le probl`eme d’impr´ecision dans l’´evaluation de la performance des Syst`emes Instrument´es de S´ecurit´e (SIS) est trait´e `a l’aide des chaˆınes de Markov multi- phases `a intervalles. Les probabilit´es de transition des chaˆınes de Markov sont remplac´ees par des intervalles permettant aux experts fiabilistes d’exprimer leurs incertitudes dans l’´enonc´e des valeurs de probabilit´es de d´efaillances et autres param`etres des syst´emes. Nous montrons comment l’impr´ecision sur les valeurs des param`etres caract´eristiques notamment le taux de couverture de diagnostic et le facteur de d´efaillance de cause commune, induisent des variations particuli`erement significatives sur la qualification du niveau d’int´egrit´e de s´ecurit´e d’un SIS. La connaissance de cette impr´ecision peut avoir beaucoup d’int´erˆet pour l’ing´enieur lors de la conception de dispositif de s´ecurit´e. Index Terms—Syst`eme Instrument´e de S´ecurit´e, niveau d’int´egrit´e de s´ecurit´e, Chaˆınes de Markov multi-phases, inter- valle de probabilit´e, incertitude, impr´ecision. I. INTRODUCTION La norme IEC 61508 [1] est devenue la norme de r´ef´erence pour la sp´ecification et la conception des systmes instrument´es de s´ecurit´e (SIS). Sa d´eclinaison sectorielle dans le domaine du process industriel [2] est destin´ee aux concepteurs et util- isateurs de ce domaine. Ces normes de s´ecurit´e fonctionnelle [1],[2] introduisent une approche probabiliste pour l’´evaluation quantitative de la performance du syst`eme instrument´e de s´ecurit´e et la qualification de cette performance par des niveaux de s´ecurit´e r´ef´erenc´es. L’introduction de probabilit´e dans la mesure de niveau d’int´egrit´e a entraˆın´e la mise en place de concepts tels que les notions de calculs de proba- bilit´e de d´efaillance `a la sollicitation ou de d´efaillance par unit´e de temps. L’´evaluation de la performance des syst`emes instrument´es de s´ecurit´e doit ˆetre prouv´ee par l’utilisation de mod`eles adapt´es. Diff´erentes techniques sont n´eanmoins pr´econis´ees dans les annexes de la norme sans toutefois exclure toute m´ethode pertinente de calcul probabiliste. Parmi les m´ethodes cit´ees, on trouve les arbres de d´efaillances, les blocs diagramme fiabilit´e ainsi que les chaˆınes de Markov. La performance calcul´ee permet alors de qualifier le niveau d’int´egrit´e de s´ecurit´e (SIL) du SIS selon les niveaux d´efinis dans la norme qui en sont l’un des points cl´es. Cette ´evaluation s’apparente `a un calcul d’indisponibilit´e de la fonction de s´ecurit´e lors de sa sollicitation [3], [4],[5]. Dans ce cadre, les chaˆınes de Markov apportent une bonne formalisation de tous les ´etats que peuvent prendre ces Mohamed Benrejeb, Kamel Ben Othman et Walid Mechri : LARA Tunis Ecole Nationale d’Ing´enieurs de Tunis, BP37 le Belv´ed`ere, 1002 Tunis, Tunisie . Christophe Simon : CRAN Nancy Universit´e CNRS UMR 7039 ESSTIN, 2 Rue Jean Lamour, Vandoeuvre les Nancy, France. syst`emes en fonction des ´ev`enements rencontr´es (d´efaillance, test,...) et des param`etres ´etudi´es (taux de d´efaillance, d´efaillance de cause commune, . ..). Elles apportent une finesse de mod´elisation pertinent au regard du comporte- ment des SIS ´etudi´es notamment les SIS faiblement sol- licit´es et p´eriodiquement test´es. Compte tenu de la rela- tive complexit´e des SIS, l’explosion combinatoire des ´etats qui est l’inconv´enient majeure des chaˆınes de Markov est g´en´eralement surmontable. Dans les ´etudes d’indisponibilit´e des syst`emes, les proba- bilit´es manipul´ees sont souvent pr´ecises et consid´er´ees par- faitement d´eterminables or, les probl`emes r´eels sont difficile- ment appr´ehend´es par une connaissance pr´ecise des proba- bilit´es en jeu [6]. Ce probl`eme de pr´ecision dans la con- naissance des valeurs de probabilit´es est connu et trait´e de diverses mani`eres. La mod´elisation de l’impr´ecision dans la connaissance des probabilit´es par des intervalles est une relativement simple et s´eduisante [7], [8]. Certains auteurs ont consid´er´e le probl`eme de pr´ecision l’aide de probabilit´es impr´ecises [9], [10] de nombres flous [11],[12], de densit´e de possibilit´es [13] ou de fonctions de croyance [14]. Dans ce travail, nous proposons d’utiliser les travaux de Kozine sur les intervalles de probabili´es [8] dans le cadre de l’´evaluation des performances des syst`emes instrument´es de s´ecurit´e en modlisant l’impr´ecision sur la connaissance des taux de d´efaillance des composants et autres param`etres caract´eristiques tel que le taux de couverture de diagnos- tic. La deuxi`eme section de l’article est consacr´ee l’´etude de la performance des syst`emes instrument´es de s´ecurit´e faiblement sollicit´es et p´eriodiquement test´es. La troisi`eme section s’attache `a la mod´elisation de l’impr´ecision de la connaissance des param`etres impr´ecis des SIS sous forme d’intervalles. L’objet de la quatri`eme section est l’int´egration de la mod´elisation des param`etres impr´ecis dans les chaˆınes de Markov multi-phases pour l’´evaluation de la performance. La derni`ere section est consacr´ee l’´etude d’un cas pratique relatif `a l’industrie de process et la mise en ´evidence de la conformit´e des r´esultats de notre approche avec une approche al´eatoire de la mod´elisation de l’impr´ecision. II. EVALUATION DE LA PERFORMANCE DES SIS A. Syst`eme Instrument´e de s´ecurit´e (SIS) Un SIS est un syst`eme ´electrique/´electronique/´electronique programmamble (E/E/PE) visant `a mettre le proc´ed´e qu’il surveille en position de repli de s´ecurit´e ,c’est-`a-dire un ´etat stable ne pr´esentant pas de risque pour l’environnement et les personnes, lorsque ce proc´ed´e s’engage dans une voie copyright 2011 by see Volume 8, N°1, pp 44-52 REVUE E-STA 2 comportant un risque r´eel pour le personnel et l’environnement (explosion, feu . . .). Un SIS se compose de trois couches : • Une couche capteur charg´ee de surveiller la d´erive de param`etres physico-chimiques (pression, temp´erature ...) vers un ´etat dangereux. • Une couche syst`eme de traitement logique charg´ee de r´ecolter le signal provenant de la partie capteur, de traiter celui-ci et de commander la partie actionneur associ´ee. • Une couche actionneur charg´ee de mettre le proc´ed´e dans sa position de s´ecurit´e et de la maintenir. La norme IEC 61508 [1]relative `a l’´evaluation de per- formance des syst`emes instrument´es de s´ecurit´e ´etablit la classification des syst`emes ´etudi´es selon 4 niveaux d´efinis dans le tableau I `a partir du calcul de la probabilit´e moyenne de d´efaillance `a demande PFDavg ( en faible sollicitation) ou de la probabilit´e de d´efaillance par heure PFH( en forte sollicitation). Table I. Demand mode Low demand High demand SIL PFDavg PFH 1 PFDavg ∈ [10−2, 10−1] PFH ∈ [10−6, 10−5] 2 PFDavg ∈ [10−3, 10−2] PFH ∈ [10−7, 10−6] 3 PFDavg ∈ [10−4, 10−3] PFH ∈ [10−8, 10−7] 4 PFDavg ∈ [10−5, 10−4] PFH ∈ [10−9, 10−8] TABLE I LES DIFF ´ERENTS NIVEAUX DE SIL D ´EFINIS PAR LA NORME IEC 61508 Un SIS est en mode demande ´elev´ee si sa sollicitation est sup´erieure 1 an−1 ou sup´erieure au double de la fr´equence des tests p´eriodiques auxquels il est soumis. Le SIS est en mode faible demande si sa sollicitation est inf´erieure ou ´egale 1 an−1 et ´egalement inf´erieure ou ´egale au double de la fr´equence des tests p´eriodiques [1]. Comme le pr´ecise le paragraphe pr´ec´edent, les SIS ont la particularit´e d’ˆetre p´eriodiquement test´es. L’objectif des tests de v´erification est de v´erifier que le SIS atteint et conserve le niveau d’int´egrit´e de s´ecurit´e, mais aussi de mettre en ´evidence les d´efaillances latentes non r´ev´el´ees. B. Mod´elisation du taux de couverture de diagnostic Le calcul de l’indice de performance se base sur les hy- poth`eses suivantes : • L’´evaluation probabiliste des boucles de s´ecurit´e s’applique `a des composants ayant des d´efaillances al´eatoires et mod´elis´ees par une distribution exponentielle [15]. • Les pannes sont class´ees en quatre cat´egories. Sont distingu´ees les d´efaillances sˆures des d´efaillances dan- gereuses, chacune de ces cat´egories ´etant divis´ee en d´efaillances d´etect´ees et non d´etect´ees. La norme IEC [1], d´efinit le taux de couverture pour les tests de diagnostic comme ´etant le rapport du taux de d´efaillance des pannes dangereuses d´etect´ees λDD (par un test de diagnostic) sur le taux de d´efaillance total des pannes dangereuses λD (d´etect´ees et non d´etect´ees). DC = λDD λD = λDD λDD + λDU (1) o`u λDU est le taux de d´efaillances dangereuses non d´etect´ees. L’´evaluation ou l’estimation de DC se fait par une Anal- yse des Modes de D´efaillances et de leurs Effets (AMDE) au niveau des diff´erents composants d’un syst`eme [3], ´eventuellement par retour d’exp´erience. On cherchera ainsi `a d´eterminer les d´efaillances possibles et `a savoir si elles peuvent ˆetre d´etect´ees, puis on calculera le rapport du taux de d´efaillance des pannes dangereuses d´etect´ees sur le taux total des pannes dangereuses (d´etect´ees et non d´etect´ees). Dans tous les cas, il faut tenir compte du fait que les con- ditions d’exploitation (environnement) des SIS sont souvent diff´erentes des conditions de la base de donn´ees d’o`u sont extraites les caract´eristiques statistiques. C’est le cas du taux de couverture de diagnostic, il r´esulte dans la plupart des cas d’un travail d’expertise, pouvant ˆetre guid´ee par l’exp´erience ou obtenu par estimation, d’o´u l’impr´ecision. Comme l’objectif ´etant de d´eterminer la probabilit´e de d´efaillance dangereuse, on ne consid`erera que les taux de d´efaillances dangereuses des modules des composants des architectures ´etudi´ees. Le taux de couverture intervient dans la d´etermination des taux de d´efaillances dangereuses d´etect´ees λDD et dangereuses non d´etect´ees λDU . D’apr´es 1, on peut ´ecrire: λDD = DC.λD et λDU = (1 − DC).λD (2) La norme IEC 61508 [1], introduit ´egalement les d´efaillances de causes communes pour les architectures re- dondantes qui peuvent apparaˆıtre dans les canaux suite `a une mˆeme cause (par exemple une erreur de conception ou une perturbation agissant sur tous les dispositifs). Des ´etudes sur la mise en place et l’´evaluation des modes communs ont ´et´e r´ealis´ees [16], [17], [18]. C. Mod´elisation des causes communes de d´efaillance Les d´efaillances de mode commun peuvent ˆetre introduites dans les calculs de probabilit´e de d´efaillance de fac¸on directe. On ´evalue les param`etres de calcul `a partir de donn´ees issues du retour d’exp´erience. ´Etant donn´e la difficult´e `a obtenir de telles donn´ees, des mod`eles param´etriques ont ´et´e d´evelopp´es. Ce sont des m´ethodes de mod´elisation et de quantification des d´efaillances de mode commun. Plusieurs mod`eles sont envisageables, tel que le mod`ele du facteur β [18], la m´ethode PDS [16], le mod`ele des multiples lettres grecques (MLG), ou encore le mod`ele du facteur α [17]. Dans cet article, nous avons privil´egi´e le mod`ele du facteur β en raison de la complexit´e raisonnable de sa mise en uvre, ce qui en fait l’un des mod`eles les plus r´epandus. L’introduction de ce mod`ele dans les analyses de fiabilit´e permet ainsi de calculer la part de ces d´efaillances sur la probabilit´e de d´efaillance d’un syst`eme. Le mod`ele du facteur β est sans doute le plus utilis´e pour la mod´elisation des causes communes de d´efaillance. Il a initialement t propos´e par Fleming [18]. L’hypoth`ese copyright 2011 by see Volume 8, N°1, pp 44-52 REVUE E-STA 3 principale est que chaque composant du syst`eme (avec i = 1,... , N) peut tre d´efaillant cause : • De circonstances n’ayant eu un effet que sur le composant en question. Le taux des d´efaillances correspondantes, dites ind´ependantes, est not´e λ (i) i . • De l’occurrence d’un ´ev`enement qui a provoqu´e la d´efaillance des N composants du syst`eme simultan´ement. Le taux des d´efaillances correspondantes, dites de cause commune , est not´e λ (ccf) i . Le taux de d´efaillance total de chaque composant i du syst`eme (avec i = 1, . . . , N), not λi , est alors : λi = λ (i) i + λ (ccf) i (3) Le facteur quantifie la cause commune de d´efaillance. Il est d´efini comme la probabilit´e d’une d´efaillance de cause commune, sachant la pr´esence d’une d´efaillance. Le facteur β est calcul´e par : β = λ (ccf) i λ (ccf) i + λ (i) i = λ (ccf) i λi (4) La quantification de λ (ccf) i est tr´es difficile `a r´ealiser. C’est en g´en´eral une valeur estim´ee de β qui est prise afin de garantir une marge de s´ecurit´e des r´esultats d’analyse de performances. Ce choix induit donc les valeurs de λ (i) i et λ (ccf) i . Ainsi, on peut ´ecrire d’apr´es 4 : λ (i) i = (1 − β).λi et λ (ccf) i = β.λi (5) De ce fait d’apr´es 2 et 5, les taux des d´efaillances dan- gereuses d´etect´ees et non d´etect´ees deviennent :    λ (i) DD = (1 − βD).λDD = (1 − βD).DC.λD λ (ccf) DD = βD.λDD = βD.DC.λD λ (i) DU = (1 − βU ).λDU = (1 − βU ).(1 − DC).λD λ (i) DU = βU .λDU = βU .(1 − DC).λD (6) βD et βU repr´esentent respectivement la proportion de d´efaillances de causes communes d´etect´ees et non d´etect´ees li´ee au taux de courverture de diagnostic. D. Evaluation quantitative L’´evaluation de la performance d’un SIS peut s’obtenir par des m´ethodes quantitatives. Cette ´evaluation s’apparente `a un calcul d’indisponibilit´e de la fonction de s´ecurit´e lors de sa sollicitation, `a partir des donn´ees probabilistes de d´efaillances de leurs composants, [3],[4]. Dans ce cadre, les chaˆınes de Markov apportent une bonne formalisation de tous les ´etats que peuvent prendre ces syst`emes en fonction des ´ev`enements rencontr´es (d´efaillance, test,) et des param`etres ´etudi´es (taux de d´efaillance, d´efaillance de cause commune ). Elles ap- portent une finesse de mod´elisation pertinente au regard du comportement des SIS ´etudi´es notamment les SIS faiblement sollicit´es et p´eriodiquement t´est´es. 1) Chaˆınes de Markov: La mod´elisation par chaˆınes de Markov est une des approches ´evoqu´ees dans la norme. Cette technique est souvent utilis´ee en sˆuret´e de fonctionnement lorsque l’on souhaite mod´eliser un syst`eme avec des com- posants `a taux de d´efaillance constant et r´eparable (pour la prise en compte des taux de r´eparation). Il permet ainsi de faire une analyse dynamique du syst`eme. Cependant, ce mod`ele est d´elicat `a utiliser. La loi de transition d’une chaˆıne de Markov est d´efinie par les ´eequations suivantes : p(n) = p(n−1) .A (7) o`u p(n) de dimension (1 × r) , est la distribution de probabilit´es sur les ´etats l’instant n et A de dimension (r×r), est la matrice de transition. La probabilit´e d’ˆetre dans l’´etat Sj `a l’instant n est calculer `a partir de. p(n) (Sj) = i p(n−1) (Si).aij (8) La matrice de transition A = (aij) est caract´eris´ee par le fait que la somme de chacune de ses lignes est ´egale `a un et chaque coefficient aij ≥ 0. Finalement, en utilisant l’´equation 7, nous obtenons la formule de Chapman-Kolmogorov : p(n) = p(0) .An (9) Avec p(0) de dimension (1×r) , est le vecteur de probabilit´e `a l’instant initial. 2) Chaˆınes de Markov multi-phases: Les SIS ont la partic- ularit´e d’ˆetre p´eriodiquement test´es. Ces tests appel´es Proof tests ou tests de v´erification permettent de d´etecter les d´efauts latents qui empˆechent le SIS de remplir sa fonction de s´ecurit´e. Le proof test est une activit´e p´eriodique permettent aussi de v´erifier que le SIS atteint et conserve le niveau d’int´egrit´e de s´ecurit´e. Il a donc une importance fondamentale pour les syst`emes instrument´es de s´ecurit´e. Par cons´equent, le proof test permet d’am´eliorer le niveau d’int´egrit´e de s´ecurit´e du syst`eme sans faire des modifications `a la conception des syst`emes de s´ecurit´e. G´en´eralement on consid`ere un seul intervalle de test pour v´erifier la fonction de s´ecurit´e de l’ensemble du syst`eme mais certaines applications exigent l’utilisation des intervalles de test diff´erents propres `a chaque sous syst`eme du SIS. Nous supposons ainsi que l’on test fonctionnellement chaque sous- systme ind´ependamment les uns des autres. Le SIS est alors consid´er´e arrˆet´e pendant la p´eriode de test quelque soit le sous- syst`eme test´e. L’´etat du SIS est donc connu `a ces instants et les probabilit´es des diff´erents ´etats sont ´egalement connues. Nous sommes en pr´esence d’une chaˆıne de Markov multi-phases [19],[4],[5] . Il existe donc une matrice de passage permettant l’affectation de la distribution de probabilit´es d’ˆetre dans les diff´erents ´etats Sj aux instants d’inspection (k.ti) vers la distribution de probabilit´es aux instants (k.ti + ∆t). p(k.ti+∆t) = p(k.ti) .M (10) copyright 2011 by see Volume 8, N°1, pp 44-52 REVUE E-STA 4 Avec k ∈ N Les SIS ´etant compos´es de plusieurs sous-syst`emes et composants, il est possible que plusieurs matrice de passages soient utilis´ees au cours du temps. Les inspections sont nor- malement r´ep´et´ees `a intervalles de temps constants. Grˆace aux pr´ec´edentes ´equations (eq. 8, 10) nous pouvons d´eterminer la probabilit´e de d´efaillance du SIS mod´elis´e par une chaˆınes de Markov multi-phases [5], en utilisant l’´equation 11. p(n)(Sj) = Θ(n). i (p(n−1)(Si).Aij) + (1 − Θ(n)).p(n−1)(Si).Mij (11) Avec i, j, = 1, . . . , r et Θ(n) = 1 si n = kTi 0 si n = kTi La probabilit´e moyenne de d´efaillance `a la demande PFDavg est ensuite calcul´ee par int´egration dans le temps en utilisant l’´equation 12 : PFDavg = 1 k.∆t . k n=0 Sj p(n) (Sj).∆t (12) Avec k.∆t ∈ [0, TM ], TM le temps de mission, Sj les ´etats de d´efaillances dangereuses et P(n) (Sj) la probabilit´e d’ˆetre dans un de ces ´etats `a l’instant n. La quantification du SIS est alors obtenue par r´ef´erence aux donn´ees du tableau I. III. REPR ´ESENTATION DE DONN ´EES IMPR ´ECISES Lorsque les syst`emes instrument´es de s´ecurit´e sont faible- ment sollicit´es, le retour d’exp´erience est faible et les proba- bilit´es manipul´ees peuvent paraˆıtre peu cr´edibles, peu pr´ecises. Le probl`eme de pr´ecision sur les taux de d´efaillance ou de d´efaillance de cause commune existe ´egalement lorsque l’on travaille avec de nouveaux composants. Dans ce cas, les ex- perts ou les concepteurs fournissent des estimations impr´ecises des param`etres caract´eristiques des composants. L’impr´ecision existe ´egalement avec des SIS fortement sollicit´es ou le retour d’exp´erience est beaucoup plus important. Les bases de donn´ees fournissent des statistiques descriptives (min, max, moyenne) et la distribution r´eelle reste inaccessible[20], [21]. Les conditions d’exploitation (environnement) des SIS sont souvent diff´erentes des conditions lors de l’´elaboration de la base de donn´ees. L’impact de la probabilit´e instantan´ee de d´efaillance des composants est mal connu et est sou- vent n´eglig´e. D’autre param`etres sp´ecifiques aux SIS sont ´egalement concern´es par le probl`eme de connaissance des experts fiabilistes. Par exemple, le taux de couverture de diagnostic est tr`es souvent mal d´etermin´e. Sa valeur r´esulte dans la plupart des cas d’un travail d’expertise, pouvant ˆetre guid´ee par l’exp´erience ou par estimation, d’o`u cette impr´ecision. C’est ´egalement le cas pour le taux de d´efaillance de cause commune. L’impr´ecision sur un param`etre peut ˆetre repr´esent´ee de plusieurs mani`eres. Une vision probabiliste appuy´ee par le principe d’insuffisance de Laplace [22] conduit la mod´elisation d’un paramtre impr´ecis par une distribution uniforme sur l’ensemble des valeurs qu’il peut prendre. Des tirages de type Monte-Carlo permettent alors de combiner l’ensemble des valeurs des param`etres impr´ecis au travers du mod`ele choisi, ici une chaˆıne de Markov multi-phases. L’impr´ecision peut ˆetre repr´esent´ee tout aussi simplement en ne faisant pas d’hypoth`ese sur la distribution mais en utilisant des intervalles. Il n’y a plus de tirage de Monte-Carlo mais il est pertinent de s’appuyer sur des calculs par la th´eorie des intervalles de Moore [7]. Par d´efinition, un intervalle est un ensemble ferm´e et born´e de nombres r´eels [7]. Si x d´esigne une variable r´eelle born´ee, alors l’intervalle [x] auquel elle appartient est d´efini par : [x] = [xL, xR] = {x ∈ IR/xL ≤ x ≤ xR} (13) o`u xL et xR sont des nombres r´eels repr´esentant respective- ment les bornes inf´erieure et sup´erieure de x. Les intervalles peuvent ˆetre vus comme des couples de r´eels, et non plus seulement en tant qu’ensembles. Les op´erations arithm´etiques (addition, soustraction, multiplication, division) sur les variables r´eelles peuvent donc ˆetre reformul´ees dans le cadre de l’analyse par intervalles. Les op´erateurs ´el´ementaires de l’arithm´etique des intervalles sont d´efinis comme suit : [z] = [x] + [y] = [zL, zR] → zL = xL + yL zR = xR + yR (14) [z] = [x] − [y] = [zL, zR] → zL = xL − yR zR = xR − yL (15) [z] = [x] × [y] = [zL, zR] avec : zL = min(xL × yL, xL × yR, xR × yL, xR × yR) zR = max(xL × yL, xL × yR, xR × yL, xR × yR) (16) [z] = [x] × [y] = [zL, zR] avec : zL = min(xL/yL, xL/yR, xR/yL, xR/yR) zR = max(xL/yL, xL/yR, xR/yL, xR/yR) (17) and 0 ∈ y Le calcul d’intervalles est fr´equemment utilis´e pour mod´eliser l’impr´ecision sur les param`etres des syst`emes. Les incertitudes sont alors repr´esent´ees sous la forme d’intervalles de valeurs et le calcul des performances revient `a faire un calcul de pire cas et de meilleur cas. L’int´erˆet de cette m´ethode r´eside dans sa simplicit´e. L’inconvnient majeur de ce type de calcul est son caract`ere peu informatif en ter- mes de quantification de l’incertitude ; notamment certaines propri´et´es alg´ebriques fondamentales des r´eels ne sont plus valides, en particulier la multiplication n’est pas distributive sur l’addition et les intervalles ne poss`edent pas d’inverses, ni pour l’addition, ni pour la multiplication [23]. IV. CHAˆINE DE MARKOV `A INTERVALLES L’approche markovienne apporte une bonne formalisation des ´etats que peuvent prendre les SIS en fonction des ´ev`enements rencontr´es (d´efaillance, test, maintenance ) et des param`etres ´etudi´es (taux de d´efaillance, d´efaillance de cause copyright 2011 by see Volume 8, N°1, pp 44-52 REVUE E-STA 5 commune ). La loi de transition d’une chaˆıne de Markov classique est d´efinie par les ´equations 7 et 8. Supposons maintenant que aij et p(0) (Si) ne soient pas connus avec pr´ecision mais appartiennent avec certitude `a des intervalles [8]:[p(n) (Sj)] et [aij] pour i, j = 1, . . . , r [p(n) (Sj)] = [p (n) L (Sj), p (n) R (Sj)] ⇒ p (n) L (Sj) ≤ p(n) (Sj) ≤ p (n) R (Sj) (18) [aij] = [aij,L, aij,R] ⇒ aij,L ≤ aij ≤ aij,R (19) Des ´equations 8, 18 et 19, on obtient les probabilit´es sup´erieure et inf´erieure des diff´erents ´etats comme solutions du probl`eme suivant [8]:    p (n) L (Sj) = inf i p(n−1) (Si).aij , j = 1, ...r p (n) R (Sj) = sup i p(n−1) (Si).aij , j = 1, ...r (20) Soient [p(0) (Si)] une distribution arbitraire des probabilit´es d’´etat compos´ees `a partir de l’ensemble : P0 = {p (0) L (Si) ≤ p(0) (Si) ≤ p (0) R (Si)} , i = 1, ..., n} (21) et aij est une matrice de transition (les coefficients sont des distributions arbitraires des probabilit´es de transition) d´eterminer `a partir de l’ensemble : Q = {aij,L ≤ aij ≤ aij,R , i, j = 1, ..., n} (22) En utilisant la formulation optimale de la chaˆıne de Markov dans les ´equations 8, 21 et 22. On calcule, les bornes inf´erieure et sup´erieure de la probabilit´e [p(n) (Sj)] d’ˆetre dans les diff´erents ´etats Sj `a l’instant n.    p (n) L (Sj) = inf i p(0) (Si).an ij p (n) R (Sj) = sup i p(0) (Si).an ij (23) A. Mod´elisation des param`etres caract´eristiques des SIS par intervalles Nous avons mentionn´e la section 2 que notre connaissance des valeurs des param`etres caract´eristiques tel que le taux de couverture de diagnostic DC et le facteur de d´efaillance de cause commune β ´etait imparfaite et que nous pouvons mod´eliser l’impr´ecision de ces param`etres par des intervalles. La valeur du taux de couverture DCest souvent difficile `a fournir et peut ˆetre repr´esent´e par un intervalle (cf ´equation 13). Le taux de couverture de diagnostic [DC] repr´esente l’intervalle des valeurs pouvant ˆetre prise par DC est born´e par deux valeurs [DCL, DCR]. La valeur du taux de d´efaillance de cause commune β est aussi repr´esent´ee par un intervalle des valeurs pouvant ˆetre prise par β est born´ee par deux valeurs [βL, βR]. Les param`etres [DC] et [β] int`egrent alors directement la matrice de transition caract´eristique du syst`eme ´etudi´e. Nous sommes en prsence d’une chaˆıne de Markov multiphases `a intervalles, ce qui n´ecessite l’utilisation des ’equations 11 PT1PT2PT3 SDV SV W1 Logic Solver 2oo3 Fig. 1. HIPS ´etudi´e et 23. On obtient les probabilit´es sup´erieure et inf´erieure des diff´erents instants d’inspection d`ecrient `a partir du jeu d’´equations 24 :    p (n) L (Sj) = infΘ(n). i (p(0)(Si).an ij) + (1 − Θ(n)).p(n−1)(Si).Mij p (n) R (Sj) = supΘ(n). i (p(0)(Si).an ij) + (1 − Θ(n)).p(n−1)(Si).Mij (24) La PFDavg est calcul´ee lorsque la fonction de s´ecurit´e est faiblement sollicit´ee. Elle est ´egale l’indisponibilit´e moyenne calcul´ee sur la dur´ee de mission TM ou ´eventuellement sur l’intervalle de test [0, Ti] si tous les composants sont test´es simultan´ement. On obtient les ´equations suivantes: [PFDavg] = [PFDavg,L, PFDavg,R] ⇒    PFDavg,L = 1 k.∆t . k n=0 Sj p (n) L (Sj).∆t PFDavg,R = 1 k.∆t . k n=0 Sj p (n) R (Sj).∆t k∆t ∈ [0, TM ] (25) V. APPLICATION UN HIPS Un HIPS (High Integrity Protection System) est un syst`eme instrument´e de s´ecurit´e `a haut niveau d’int´egrit´e de s´ecurit´e. Le syst`eme de la figure 1 a ´et´e propos´e par Signoret [19] et sera utilis´e comme exemple. Le SIS ´etudi´e, est destin´e `a protg´e le circuit aval d’une surpression ´emanant du puit W1. Son fonctionnement est le suivant : quand la valeur de la pression dans la canalisation d´epasse un certain seuil, elle est d´etect´ee par les trois capteurs de pression PTi qui envoient l’information `a l’unit´e logique qui contrˆole son caract`ere majoritaire 2/3 (2oo3). Si au moins deux des trois signaux rec¸us des capteurs confirme la pr´esence d’une surpression dans la canalisation, l’unit´e logique commande l’ouverture de la vanne solno´ıde SV, ce qui `a pour cons´equence de couper l’alimentation hydraulique qui maintenait ouverte la vanne SDV. Celle-ci se ferme alors et suppriment ainsi le risque de surpression dans le circuit aval. L’´ev`enement redout´e auquel on s’int´eresse est justement l’inhibition du SIS, qui se traduit par la non fermeture de la vanne de secours. copyright 2011 by see Volume 8, N°1, pp 44-52 REVUE E-STA 6 Cet exemple est utilis´e ici comme un cas-test destin´e `a juger de l’applicabilit´e des chaˆınes de Markov multi-phases `a intervalles propos´ees. Le HIPS ´etudi´e est compos´e de : • la partie capteur en architecture 2oo3, constitu´e de trois capteurs de pression PTi • la partie unit logique (Logic Solver) en architecture 1oo1. • la partie actionneur en architecture 1oo2, compos´es par les vannes SV et SDV Son bloc- diagramme de fiabilit´e est fourni `a la figure 2. 2/3 PT1 PT2 PT3 LS SV SDV 1/2 Fig. 2. Bloc-diagramme de fiabilit´e du HIPS ´etudi´e Notre objectif est de calculer PFDavg du SIS, `a partir de ces param`etres caract´eristiques impr´ecis tel que le taux de couverture de diagnostic et le facteur de d´efaillance de cause commune, en utilisant les chaˆınes de Markov multi-phases `a intervalles. A. Approche ´ep´estimique par intervalles Le SIS ´etudi´e est form´e de six composants, chacun pou- vant avoir deux ´etats : op´erant ou en d´efaillance dangereuse d´etect´ee et non d´etect´ee. La construction de la chaˆıne de Markov par l’espace d’´etat consiste en l’analyse de 36 ´etats possibles. Afin de la simplifier, nous proposons d’´evaluer la PFDavg de chacun des sous-syst`emes en s´erie qui constituent le SIS et `a les sommer pour obtenir la PFDavg globale. La PFDavg du SIS de la figure 1 est calcul´ee par la combinaison de la probabilit´e de d´efaillance de tous les sous syst`eme assurant ensemble la fonction de s´ecurit´e. Elle est exprim´ee par les formules suivantes [1] sous l’hypoth`ese d’´ev`enements rares: [PHIP S] = [PSens] + [PUL] + [PAct] (26) [PHIP S] = [P2oo3] + [P1oo1] + [P1oo2] (27) En utilisant la m´ethode des chaˆınes de Markov multi-phases `a intervalles propos´ee dans cet article (eq. 24), la probabilit´e de d´efaillance du SIS lors de sa sollicitation est d´etermin´ee `a partir des param`etres caract´eristiques impr´ecises de ses composants mod´elis´es sous formes d’intervalles. Les valeurs num´eriques des param`etres caract´eristiques des composants du SIS sont donn´es dans le tableau II. Le facteur de d´efaillance de cause commune β ainsi que le taux de couverture DC de chaque sous ensemble sont d´ecrits par un intervalle de valeurs fournis par des experts. En ne consid´erant que l’impr´ecision sur DC et β , nous allons ´evaluer leur influence sur la performance du SIS. Pour calculer la PFDavg, un intervalle de temps Ti li´e `a la fr´equence de test du SIS est d´efini. Dans cette ´etude, on propose d’utiliser des intervalles de test diff´erents propres `a Composants du SIS λD(h−1) DC β MTTR Ti(h) PTi 7.00E − 7 [0.3, 0.7] [4, 7] 10 T1 = 730 SDV 3.10E − 6 [0.1, 0.4] [9, 12] 8 T2 = 1460 SV 3.10E − 6 [0.1, 0.4] [9, 12] 8 T2 = 1460 Logic Sover 1.45E − 7 [0.7, 0.9] − 10 T3 = 2190 TABLE II DONN ´EES NUM ´ERIQUES chaque sous syst`eme du SIS. Nous supposons ainsi que l’on test fonctionnellement chaque sous-syst`eme ind´ependamment les uns des autres. Les figures 3,4 et 5 repr´esentent les mod`eles de Markov multi-phases relatifs aux diff´erents sous syst`eme du SIS ´etudi´e. Le sous-syst`eme capteur en architecture 2oo3, ce syst`eme tant p´eriodiquement test´e (intervalle entre tests gal `a T1 ), son comportement au cours d’une mission de dur´ee donne est correctement d´ecrit par un mod`ele markovien multi- phases, comme sch´ematis´e `a la figure 3. DDµ DDµ DDD λβ ).1.(2 − DUU λβ ).1.(2 − DDµ.2 DDD λβ ).1.(2 − DDD λβ . DDD λβ ).1.(3 − DDD λβ . DUU λβ ).1.(2 −DUU λβ . DUU λβ ).1.(3 − DUU λβ . 3 KO (DU) 8 1 KO (DU 2 OK 3 1 OK 1 KO (DD) 1 KO (DU) 5 1 KO (DD) 2 OK 2 3 OK 1 2 KO (DD) 1 OK (DU) 4 2 KO (DU) 1 OK 6 3 KO (DD) 7 Fig. 3. Mod`ele de Markov multi-phases relatif au sous syst`eme capteurs en architecture 2oo3 µDD repr´esente le taux de r´eparation sp´ecifiques aux d´efaillances dangereuses d´etect´ees par le test de diagnostic. Dans le graphe de Markov repr´esent´e la figure 3, l’approche par intervalle propos´ee pour calculer les bornes sup´erieure et inf´erieure de la PFDavg de l’architecture 2oo3 pour chaque α-coupe est appliqu´ee en utilisant les ´equations 24, 25 et 28. Les valeurs des probabilit´es d’occupations des ´etats au d´ebut di de la phase i sont d´eduites de celles qui obtenues aux termes fi−1 de la p´eriode (i − 1), de la mani`ere suivante : pl(di) = M1 × pl(fi−1), l = 1, ..., 8         p1(di) p2(di) p3(di) p4(di) p5(di) p6(di) p7(di) p8(di)         =         1 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 0         ×         p1(fi−1) p2(fi−1) p3(fi−1) p4(fi−1) p5(fi−1) p6(fi−1) p7(fi−1) p8(fi−1)         (28) copyright 2011 by see Volume 8, N°1, pp 44-52 REVUE E-STA 7 M1 permet de caract´eriser la d´etection des d´efaillances latentes en r´eaffectant : • p2(fi−1) et p3(fi−1) `a p2(di) • p4(fi−1) , p5(fi−1) et p6(fi−1) `a p4(di) • p7(fi−1) et p8(fi−1) `a p7(di). L’unit´e logique est une architecture 1oo1, le comportement de ce sous syst`eme p´eriodiquement test´e (intervalle entre tests ´egal T2), peut ˆetre mod´elis´e par un mod`ele markovien multi- phases[5] sch´ematis´e `a la figure 4 OK 1 KO (DD) 2 KO (DU) 3 µDD   DD   DU Fig. 4. Mod`eles de Markov multi-phases relatifs au sous syst`eme unit´e logique de traitement en architecture 1oo1 La figure 4 mod´elise le sous syst`eme unit´e logique de traitement. Les trois ´etats d´ecrits par le mod`ele markovien et les phases s’enchaˆınent au moment du test de la mani`ere suivante : • Si dans l’´etat 1, le syst`eme est en marche, il y reste • Si dans l’´etat 2, le syst`eme est en panne dont les d´efaillances sont imm´ediatement d´etect´ees (DD), puis r´epar´ees. • Si dans l’´etat 3, le syst`eme est en panne dont les pannes demeurent cach´ees et ne sont d´etect´ees(DU) qu’`a l’occasion du prochain test p´eriodique puis r´epar´ees. Sur l’architecture ´etudi´ee (cf. figure 4), on d´etermine la matrice de passage d’inter-phases M2. pk(di) = M2 × pk(fi−1), k = 1, ..., 3 avec M2 =   1 0 0 0 1 1 0 0 0   (29) La partie actionneur est une architecture 1oo2. Le mod`ele multi-phases [5] tenant compte `a la fois du comportement propre sans dfaillance de causes communes de l’architecture 1oo2 et du comportement avec CCF est repr´esent´ee `a la figure 5. La matrice de passage interphases M3 donn´ee par l’´equation 30. On d´etermine, les valeurs des probabilit´es d’occupation des ´etats, comme suit:         p1(di) p2(di) p3(di) p4(di) p5(di) p6(di)         =         1 0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 0 0 0 0 0 0 0 0 0 0 0 0         ×         p1(fi−1) p2(fi−1) p3(fi−1) p4(fi−1) p5(fi−1) p6(fi−1)         ⇒ pj(di) = M3 × pj(fi−1), j = 1, ..., 6 (30) La probabilit´e moyenne de d´efaillance `a demande de l’architecture 1oo2, pour un taux de couverture de diagnostic DDD λβ ).1.(2 − DUU λβ ).1.(2 − DUU λβ . DDµ DDλ DDλ DUλ DUλ DDµ DDµ.2 DDD λβ . 2 KO (DD) 4 1 KO (DD) 1 KO (DU) 5 2 KO (DU) 6 1 KO (DU 1 OK 3 1 KO (DD) 1 OK 2 2 OK 1 Fig. 5. Mod`ele de Markov multi-phases relatif au sous syst`eme actionneurs en architecture 1oo2 et un facteur de d´efaillance de cause commune impr´ecis, est calcul´ee en utilisant les quations 24,25 et 30. La probabilit´e moyenne de d´efaillance `a la demande du SIS de la figure 1, est calcul´ee par la combinaison de la probabilit´e de d´efaillance de tous les sous syst`eme assurant ensemble la fonction de s´ecurit´e (cf. quations 26, 27) La figure 6 montre l’´evolution de la probabilit´e de d´efaillance `a la sollicitation au cours du temps [PFD] du SIS ´etudi´e, ainsi que sa valeur moyenne [PFDavg], les composants du syst`eme sont test´es aux intervalles de temps pr´ecis´es dans le tableau II. On d´etermine, les bornes sup´erieure et inf´erieure de la PFDavg du SIS. Fig. 6. Variation de la [PFD] et [PFDavg] du HIPS La [PFD] du syst`eme est encadr´ee par des bornes sup´erieure et inf´erieure, li´ees `a l’intervalle d´efini pour les param`etres car- act´eristiques grˆace `a la propri´et´e de monotonie dans l’inclusion de la fonction disponibilit´e associ´ee `a ce syst`eme. La [PFDavg] r´esultante est un intervalle, cette probabilit´e de d´efaillance varie de 0.484×10−3 jusqu’`a 1.283×10−3 , ce qui donne une variation du niveau de s´ecurit´e pour le SIS tudi´e, d’un niveau de SIL3 (PFDavg ∈ [10−4 , 10−3 ]) `a un niveau SIL2 (PFDavg ∈ [10−3 , 10−2 ] ). Nous constatons tr´es rapidement que l’impr´ecision sur le facteur de d´efaillance de cause commune β et le taux de couverture de diagnostic DC am`ene une variation du niveau de SIL du SIS alors qu’une valeur pr´ecise mais incertaine nous copyright 2011 by see Volume 8, N°1, pp 44-52 REVUE E-STA 8 aurait fournie un niveau unique de SIL. L’impr`ecision de la [PFDavg] induit donc une incertitude sur la qualification de performance du SIS. Si nous recherchons une classification de performance sans incertitude, il est alors n´ecessaire de changer soit le jeu de composants, soit la structure du SIS (niveau de redon- dance) soit augmenter notre connaissance des param`etres caract´eristiques tel que le taux de couverture de diagnostic ou le facteur de d´efaillance de cause commune. Le d´ecideur a la responsabilit´e d’accepter ou non le risque potentiel li´e `a l’incertitude que le facteur de cause commune β et le taux de couverture de diagnostic DC induisent sur la qualification du SIS. Il y a l`a un compromis coˆut/risque que le d´ecideur doit arbitrer. B. Approche al´eatoire Dans les ´etudes usuelles de la suret´e de fonctionnement des syst`emes, nous avons l’habitude de repr´esenter notre ignorance sur les valeurs que peut prendre un param`etre par des distributions de probabilit´es. Le probl`eme d’impr´ecision sur les valeurs de DC et β pourrait ˆetre abord´e uniquement selon la th´eorie des probabilit´es. En ne consid´erons que les valeurs de ces param`etres caract´eristiques du SIS pourraient ˆetre comprise dans un intervalle, le principe d’insuffisance de Laplace (tout ce qui est ´equiplausible et ´equiprobable) nous conduit `a consid´erer des lois uniformes pour repr´esenter notre ignorance sur les valeurs des taux de couverture de diagnostic et les facteurs de causes communes.Les valeurs consid´er´ees pour la distribution uniforme sont donn´ees dans le tableau II. βi → U([βi,L, βi,R]) DCi → U([DCi,L, DCi,R]) (31) Grˆace `a un tirage de Monte Carlo, nous pouvons d´eterminer les variations de la PFDavg du SIS mod´elis´e par les chaˆınes de Markov ´equivalentes. Le tirage de Monte Carlo consiste en un simple tirage alatoire de 2000 valeurs de chaque param`etre repr´esent´e par une distribution uniforme selon l’´equation 31. La distribution de la probabilit´e moyenne de d´efaillance `a la demande du SIS est repr´esent´ee `a la figure 7. Fig. 7. Distribution de la PFDavg Cette distribution est assez proche d’une loi normale, mais ce qui nous int´eresse est la plage de variation. De cette distribution, on peut extraire la valeur des bornes inf´erieure et sup´erieure de la PFDavg du SIS PFDavg ∈ [0.515 × 10−3 , 1.261 × 10−3 ]. Des r´esultats obtenus `a partir de la sim- ulation de Monte Carlo et de l’approche propos´ee, plusieurs ´el´ements sont particuli`erement int´eressants. Dans un premier temps, la [PFDavg] contient les bornes sup´erieure et inf´erieure des probabilit´es obtenues par tirage de Monte Carlo. Toutefois, pour obtenir des valeurs exactes des bornes du support de la PFDavg , il est n´ecessaire d’augmenter consid´erablement le tirage de Monte Carlo. VI. CONCLUSION Dans cet article, nous avons propos´e une approche bas´ee sur l’utilisation de la th´eorie d’intervalles au sein des chaˆınes de Markov multi-phases pour ´evaluer la performance impr´ecise des syst`emes instrument´es de s´ecurit´e. Certains param`etres caract´eristiques sont g´en´eralement mal connus, tel que le taux de couverture de diagnostic et le facteur de d´efaillance de cause commune, et des valeurs impr´ecises sont plus cer- taines. Bien qu’ils aient donn´e lieu `a une grande quantit´e de r´ef´erences, la nature relativement complexe de ces param`etres rend leurs quantifications encore difficile et leur inclusion dans les ´etudes de fiabilit´e n’est pas une chose ais´ee.De fait, les valeurs impr´ecises ´etant plus certaines, leurs utilisation dans l’´evaluation de la performance des SIS donne des r´esultats plus cr´edibles sans ajout d’information li´e au choix de la distribution de probabilit´es. `A partir des valeurs impr´ecis de taux de couverture de di- agnostic et du facteur de d´efaillance de cause commune , nous avons pr´esent´e une ´etude base sur l’arithm´etique d’intervalles et les chaˆınes de Markov et nous avons montr´e l’impact de cette impr´ecision sur la qualification de performance d’un SIS. Ainsi, nous avons obtenu un intervalle de la PFDavg du SIS, qui a mis en ´evidence l’existence d’incertitudes concernant le niveau de SIL de ce SIS. Nous avons montr´e la difficult´e que peut induire l’impr´ecision sur la valeur de la PFDavg pour le d´ecideur au regard des niveaux de qualification des SIS. Nous avons ´egalement propos´e une simulation de Monte Carlo pour la propagation des valeurs des param`etres car- act´eristiques du SIS et montr´e comment l’approche propos´ee dans cet article permet de faire le calcul de mani`ere efficace en garantissant le plus petit intervalle final de la PFDavg. Ainsi, l’effort consenti sur la formalisation de la th´eorie des intervalles contrainte appliqu´ee aux chaˆınes de Markov profite `a l’exactitude des r´esultats qui ne peuvent ˆetre obtenus par des m´ethodes de Monte-Carlo qu’au prix de techniques de tirages sophistiqu´ees ou d’une grande quantit´e de tirages. REFERENCES [1] IEC61508, Functional safety of electrical/electronic/programmable elec- tronic (e/e/pe) safety related systems, IEC, 1998. [2] IEC61511, “Functional safety: Safety instrumented systems for the process industry sector,” International Electrotechnical Commission, 2000. [3] W. M. Goble and A. C. Brombacher, “Using a failure modes, effects and diagnostic analysis (fmeda) to measure diagnostic coverage in programmable electronic systems,” Reliability Engineering and System Safety, vol. 66, no. 2, pp. 145–148, 1999. copyright 2011 by see Volume 8, N°1, pp 44-52 REVUE E-STA 9 [4] Y. Dutuit, F. Innal, A. Rauzy, and J.-P. Signoret, “Probabilistic assess- ments in relationship with safety integrity levels by using fault trees,” Reliability Engineering and System Safety, vol. 93, no. 12, pp. 1867– 1876, 2008, 17th European Safety and Reliability Conference. [5] F. Innal, Y. Dutuit, A. Rauzy, and J.-P. Signoret, “An attempt to better understand and to better apply somme of the recommendations of iec 61508 standard.” in 30th ESReDA Seminar on Reliability of Safety- Critical Systems., SINTEF/NTNU, Trondheim, Norway, June 7-8, 2006. [6] L. Utkin and F. Coolen, New metaheuristics, neural & fuzzy techniques in reliability, ser. 18. Computational intelligence in reliability engi- neering. G. Levitin, 2007, vol. 2, no. 10, ch. Imprecise reliability : An introductory overview, pp. 261–306. [7] R. Moore, Studies in Applied Mathematics. SIAM,, 1979., ch. Methods and applications of interval analysis. [8] I. Kozine and L. Utkin, “Interval valued finite markov chains,” Reliable computing, vol. 8, pp. 97–113, 2001. [9] F. Coolen and L. Utkin, Imprecise reliability: A concise overview, 2007, ch. 10, pp. 1959–1966. [10] S. Ferson, V. Kreinovich, L. Ginzburg, D. Myers, and K. Sentz, “Constructing probability boxes and dempster-shafer structures,” Sandia National Laboratory, Tech. Rep, 2002. [11] J. Buckley and E. Eslami, “Fuzzy markov chains: Uncertain probabili- ties,” MathWare and Soft Computing, vol. 9, no. 4, pp. 33–41, 2002. [12] M. Sallak, C. Simon, and J.-F. Aubry, “A fuzzy probabilistic approach for determining safety integrity level,” IEEE Transactions on Fuzzy Systems, vol. 16, no. 1, pp. 239–248, 2008. [13] D. Dubois, “Possibility theory and statistical reasoning,” Computational Statistics and Data Analysis, vol. 51, no. 1, pp. 47–69, 2006, the Fuzzy Approach to Statistical Analysis. [14] C. Simon and P. Weber, “Imprecise reliability by evidential networks,” Proceedings of the Institution of Mechanical Engineers Part O Journal of Risk and Reliability, vol. 223, no. 2, pp. 119–131, 2009. [15] B. Lanternier and J.-M. Dranguet, “Maintenance optimization of sensors for certification in compliance with the iec 61511 standard,” in European Safety and Reliability, 2007. [16] S. Hauge, P. Hokstad, H. Langseth, and K. Oien, “Reliability prediction method for safety instrumented systems,” PDS Method Handbook, 2006. [17] A. Mosleh and N. Siu, “A multiparameter event based common cause failure model,” Proceedings of the 9th international conference on structural mechanics in reactor technology, no. 2, pp. 147–152., 1987. [18] F. Fleming, “A reliability model for common mode failures in redundant systems,” GA-A-13284, 1974. [19] J. Piere.Signoret, “Methodology sil evaluations related to hips,” Draft Memo, 2005. [20] C. Baudrit, D. Guyonnet, and D. Dubois, “Joint propagation of variabil- ity and imprecision in assessing the risk of groundwater contamination,” Journal of Contaminant Hydrology, vol. 93, no. 1-4, pp. 72–84, 2007. [21] D. Berleant and J. Zhang, “Bounding the times to failure of 2-component systems,” IEEE Transactions on Reliability, vol. 53, no. 4, pp. 542–550, 2004. [22] E. Jaynes, Probability Theory: The Logic of Science. Cambridge University Press, 2003. [23] L. Jaulin, M. Kieffer, O. Didrit, and E. Walter, Applied interval analysis. Springer Verlag, 2001. copyright 2011 by see Volume 8, N°1, pp 44-52