Mise en sécurité d'une architecture matérielle électronique
Sécurisation des systèmes mécatroniques. Partie 1

Au niveau d'une architecture matérielle, la principale défaillance est liée à l'émission d'une sortie erronée. Il y a deux possibilités :

• l'émission d'une sortie permissive à tort, qui engendre un problème de sécurité (exemple de la mise au vert d'un feu autorisant le passage d'un véhicule à tort) ;

• l'émission d'une sortie restrictive à tort, qui engendre un problème de disponibilité (exemple des convois ferroviaires à l'arrêt).

En fonction de l'impact de l'absence de sortie, il est possible de définir deux familles de système :

• les systèmes intègres ; il ne doit pas y avoir de sorties erronées (mauvaises données ou données correctes à un instant incorrect, etc.). Les systèmes intègres sont des systèmes où le processus est irréversible (exemple des transactions bancaires). Pour ce genre de système, il est préférable de s'arrêter plutôt que de mal fonctionner. Le système est dit fail-silent (fail-safe, fail-stop ) ;

• les systèmes persistants ; la non-sortie d'une donnée correcte ne doit pas se produire. Les systèmes persistants sont des systèmes ne disposant pas d'état de repli, ce qui implique que l'absence de données entraîne la perte du contrôle. Pour ce type de système, il est préférable d'avoir quelques mauvaises données plutôt que pas du tout. Le système est dit fail-operate.

  Un système intègre devient un système sûr si l'on dispose d'un état de repli qui peut être atteint de façon passive.

  À titre d'exemple, dans le domaine ferroviaire, la moindre défaillance vient à couper l'alimentation d'énergie. Toutefois, le freinage du train n'est pas désactivé. Le train atteint donc de façon passive l'état de sécurité : « train à l'arrêt ».