Sûreté de fonctionnement des systèmes industriels

Transcription

Sommaire
Master Sciences et Technologies - Mention ASE - Spécialité
INFORMATIQUE INDUSTRIELLE DOUBLE COMPETENCE

Historique (1)
Introduction aux méthodes

Ere industrielle→ 1930s
sys mécaniques, électricité, transport aérien
analyse intuitive de grandes catastrophes
durée de vie=celle du maillon le plus faible

Historique
Principaux concepts

Sûreté de fonctionnement
des systèmes industriels

Analyse qualitative

Principales étapes de l'analyse prévisionnelle
Analyse fonctionnelle
Méthodes APD, AMDEC, MAC, MACQ, MDCC

outils de l'ingénieur : fiabilité prévisionnelle
Fiabilité (∑) << Fiabilité (élément moyen)
amélioration de la Q
application : aéronautique & électronique militaires

Introduction à l'analyse quantitative

Olivier LOSSON
Années 40-50

Bases mathématiques de la SdF
Données de SdF
2
Historique (2)

Principaux concepts - Fiabilité
Années 60

étude des défaillances des composants & effets
concepts : fiabilité, maintenabilité
méthodes : diag. de succès, arbre des causes, AMDE
harmonisation et normalisation internationale (CEI)
Définition

z
z
industrie nucléaire
pétrochimie, transports, traitement des eaux, logiciel
cercles de Q
Mais ... peu de grandes études de risques début 80

z

Fiabilité
R(t)=P [ E non défaillante sur [0,t] ]
Disponibilité A(t)=P [E non défaillante à l'instant t]
Maintenabilité
M(t) = P [la maintenance de E est achevée au temps t]
= P [E est réparée sur [0,t] ]

Fiabilité et Q
Q = conformité à une spécification
Fiabilité = aptitude à conserver cette conformité
4
5
Principaux concepts - Composants et ∑
Principaux concepts - Sûreté de fct. (2)

Durabilité : Demeurer en état d'accomplir une
fonction dans des conditions d'utilisation et de
maintenance jusqu'à un état limite
Continuabilité : Aptitude d'un service, une fois
obtenu, à continuer d'être fourni pendant une durée
voulue
Servibilité :
Aptitude d'un service à être obtenu à la
demande d'un usager et à continuer d'être fourni pdt la
durée voulue
∑
n Fonctions

Sous-Système
F
Limites extérieures
Composants (rôle, caractéristiques, performances)
relations (ex. connexions)
localisation

D
A
E
∑
Composants
p Conditions
Interface
de fonctionnement
états
conditions de fonctionnement des composants
changements de configuration

élém. S3

Principales, secondaires, d° d'importance

Système
élémentaire S1
C
(missions)
o Structure
Environnement
élém. S2
B
6
Principaux concepts - Caractéristiques des ∑
Système = Ensemble déterminé d'élts discrets
(composants) interconnectés ou en interaction

7
Caractérisée par

opérationnelle (observée)
prévisionnelle (prédite)
extrapolée

Sécurité = P [E évite de faire apparaître, dans des conditions
données, des évts critiques/ catastrophiques]
Définition (sens strict)
Aptitude d'une entité à satisfaire une ou plusieurs
fonctions requises dans des conditions données

Années 70-80

Principaux concepts - Sûreté de fct.
Aptitude d'une entité à accomplir une fonction
requise, dans des conditions données, pendant une
durée donnée
Fiabilités

3
Pièce ⊂ Composant ⊂ Sous-∑ ⊂ ∑ élémentaire ⊂ ∑
8
1
9
Principaux concepts - Caract. des ∑ (2)
q Conditions
Principaux concepts - Défaillances

d'exploitation
surveillance (alarmes, inspection, tests, vérifs)
intervention (maintenance préventive, corrective)
spécifs techniques d'exploitation

autres ∑ élémentaires
opérateurs humains
environnement proprement dit (conditions ambiantes)
Données précisées au fur et à mesure de la
conception ⇒ actualisation des analyses de sûreté
Début
de vie
r Effets
Fin
de vie
Période de vie
utile
10
Mode de défaillance = Effet par lequel une
défaillance est observée

Principe
Difficulté de distinguer cause (en gal, défaillances des
pièces) et mode (traduction des effets sur les f°)

défaut n'entraîne pas forcément défaillance
toute défaillance conduit à un défaut
d'informations
Modèle
du ∑
Les 5 impératifs de la Q
INSATISFACTION :
n Conformité non spécifié et non
Synthèses, conclusions
Préliminaire des Dangers
des Modes de Défaillance et de leurs effets I
Méthode du Diagramme de Succès
I
Méthode de la Table de vérité
9 Méthode de l'Arbre des Causes
D
Méthode des Combinaisons de Pannes Résumées
I
9 Méthode de l'Arbre des Conséquences
I
9 Méthode du Diagramme Causes-Conséquences
Méthode de l'Espace des Etats
9 Analyse
Modèle
final
15
Etude qualitative - Initialisation

QUALITE PLUS :
réalisé mais non
spécifié
SUR-QUALITE :
spécifié mais non
demandé.
z
Oui Fin de
l'étude
16

Inventaire de la documentation (animateur)

prospective (AMDEC)
corrective (Maîtrise Statistique de Procédé)
Cahier des charges, plans, dossier maintenance
Groupe de travail (6-7 pers)
animateur (garant de la méthode)
pilote (garant de l'aboutissement des actions)
représentants des services en relation avec le moyen
autres spécialistes

p Excellence : recherche continuelle de l'amélioration
q Mesure : pas de progrès sans mesure
r Responsabilité ⇒ implication
Non
Définition des objectifs (animateur + demandeur)
poser le problème, délimiter le ∑ et l'étude
descriptif du groupe de travail, planning des réunions
DOUBLE ILLUSION : non
demandée et non réalisée
GASPILLAGE : réalisé mais non demandé
Révision du projet
Objectifs
remplis ?
Méthodes
9 Analyse
DEFAUT : non réalisé
réalisé
z
q

Partant d'un ∑ défaillant on en recherche les causes
qualitative
quantitative
Analyse prévisionnelle - Analyse d'un ∑ (2)
14

Modification du ∑
Classif : identique à celles des défaillances ou en
fonction de l'aptitude des pannes à être constatées
12
Etude des conséquences d'une défaillance sur le ∑ luimême ou son environnement
MdD Ö Causes possibles Ö Effets
o Prévention
pAnalyse

Analyse prévisionnelle - Démarche Q
nAnalyse
défaillance première : résulte d'une cause interne à l'entité
défaillance seconde : résulte de la défaillance d'une autre
entité ayant entraîné des conditions excessives
défaillance de commande : résulte de signaux incorrects de
contrôle /commande
Panne = Inaptitude d'une entité à accomplir une
fonction requise (résulte d'une défaillance)
t
Démarche déductive (général Ö particulier)

Analyse prévisionnelle - Principales étapes
oAnalyse

Acquisition
investigation complémentaires
traitement
13
technique et
fonctionnelle
z
Démarche inductive (particulier Ö général)

Défaut = Non-conformité à des objectifs ou clauses de
spécification
Relation défaut/défaillance
z
Acquisition
investigation
traitement
∑
réel

z
z
Analyse prévisionnelle - Analyse d'un ∑
Défaut et défaillance

z
11
Principaux concepts - Modes de défaillance

= circonstances liées à la conception, la
fabrication ou l'emploi, ayant entraîné la défaillance
(par un mécanisme physique, chimique, …)
de manifestation
o Amplitude : déviation des caract. au-delà de limites
p Rapidité + amplitude
Précoce A taux constant D'usure
Taux de
q Date d'apparition défaillance

s Causes
Défaillance = Cessation de l'aptitude d'une entité
à accomplir une fonction requise
Classification
n Rapidité
r Environnement

Principaux concepts - Défaillances (2), Panne

17
2
18
Analyse fonctionnelle - n Analyse externe
Analyse fonctionnelle - Introduction

Point d'entrée de toute analyse de Sûreté de fct.
Nombreuses méthodes
Trame commune:
n Analyse
z
z
z
z
z

"boîte noire" & identification des caractéristiques
c Définir le ∑ (délimitation, interfaces)
d Définir les fonctions réalisées
e Définir les phases (=configurations d'emploi)
t
Appréhender le fc . interne du ∑
fonctionnelle externe
phase 2.1 : Décomposer
phase 2.2 : Identifier les flux
ª TAF
Conclusion : diagramme fonctionnel et/ou Tableau AF

(diagramme fonctionnel)

z
z
Associent aux f° de service des solutions techniques
pressenties
z
A qui rendil service ?

∑

ª Cahier
En pratique: schématisation des "contacts"
z
z

Poignée1
Vis1
Etablissement du schéma de flux traversant le ∑

types : effort, matière, énergie, information, ...
contribuant aux FP, FC et fonctions techniques
24
Ecrou2
Main
FP1
FP2
Axe
8
Porte
8

élémentaire aux FP, FC et Fonctions techniques

25
Flux 2
Poussée porte
Plaque1
Poignée de porte
Plaque2
Poignée2
Flux ouverts
Flux 1
Cde serrure
Poignée1
Clip1
Clip2
Fonctions de flux

Main
Porte
Ecrou1
8
Analyse fct. externe - Exemple (3)
Plaque1
Vis2
Axe
Une 8 matérialise la participation de chaque fonction
numéroter chaque composant du ∑
matérialiser chaque liaison fonctionnelle par un trait
des Charges Fonctionnel (CdCF)
Clip1
Fonctions
techniques
FP1 FP2 FP3 FC1 S1 S2 S3 S4
entre eux
avec le milieu extérieur
23
8

Analyse fct. externe - Exemple
Fonctions de base
8
z
Importance relative de chq serviceÖfuturs prestataires
22
Etablissemt du Tableau d'Analyse Fonctionnelle
Fonctions élémentaires
Fonctions de contact
visualiser les interactions des composants du ∑
z
les critères d'appréciation ou de valeur (Cv)
leurs niveaux = performance attendue du service
la flexibilité de chaque niveau de la part du demandeur
le taux d'échange associé (rapport acceptable prix/variation)
en vue de négocier une variation de perf. / besoin initial
Analyse fct. externe - TAF

Etablissement du bloc-diagramme

Hiérarchisation
FC
Eléments
extérieurs
contraignants

pour chaque fonction de service, évaluer
z
FP
Analyse fct. externe - Définition des flux
Qualification et quantification = critères
permettant de choisir une solution technique
Fonctions techniques
Sur quoi
agit-il ?
Dans quel but ?
Validation du besoin
Pourquoi existe-t-il ?
Quel évt. externe pourrait le faire évoluer/disparaître ?
Conclusions quant à sa validité
21
Analyse fct. externe - Déf. des fonctions (2)
FP = but des relations créées par le ∑ entre éléments
de son milieu d'utilisation
FC = contraintes imposées au ∑ par son milieu
Outil : la
"pieuvre"
∑
20

Fonctions de services

Sur quoi
agit-il ?
arborescente
d Identification des flux
Analyse fct. externe - Déf. des fonctions

c Décomposition
fonctionnelle interne
19

Analyse concrète du besoin qui justifie le projet
ª Exprimer et satisfaire le besoin et rien que lui
Outil : la "bête à cornes"

phase 1.1 : définir le système
phase 1.2 : définir les fonctions
phase 1.3 : définir les phases
o Analyse
Analyse fct. externe - Analyse du besoin
Serrure
Clip2
Poignée2
FP1=Permettre à la main de tirer/pousser la porte
FP2=Permettre à la main d'ouvrir la serrure
Serrure
26
Vis1
Vis2
Ecrou1
Ecrou2
Flux 3
Tirage porte

Flux bouclés
(de conception)
Flux K1, K2
Serrage clips
sur poignées
Plaque2
3
Porte
27
Diverses méthodes

Analyse Préliminaire des Dangers
APD = Analyse Préliminaire des Dangers

PHA = Preliminary Hazard Analysis

Objectifs:
z
z

correctrices pour éliminer/maîtriser les dangers
Moyens: expériences des ingénieurs, listes-guides
MAC = Méthode de l'Arbre des Causes = Arbre des
défaillances / des défauts / des fautes

ETM = Event Tree Method

MDCC = Méthode du Diagramme Causes/Conséquences

ª
ª
Système ou fonction Ö ensemble étudié
Phase Ö mode d'utilisation pdt laquelle il peut y avoir danger
Entités dangereuses
Situations dangereuses
Accidents potentiels
28
Buts

Conception : atteindre un bon niveau de fiabilité
Expertise : améliorer fiabilité et/ou disponibilité
Exploiter infos pour préparer la doc. et la maintenance
Méthode inductive
Synoptique
30
AMDE - Détail des étapes 1 et 2
Causes
Niveau
composant

Effets
Déductif
étude de la probabilité de survenir des défaillances
évaluation des conséquences sur les fonctions
identification des modes de défaillance majeurs
décomposition du ∑
définition des limites fonctionnelles
spécifs relatives au fct., composants, environnement
Niveau
système

Définition du ∑,
de ses fonctions
et composants
Aspect préventif : 2 démarches
Top-down
Bottom-up

Etablissement
des modes de
défaillances des
composants, et
de leurs causes
Etude des
effets des
modes de
défaillance des
composants

Conclusions
Recommandat°
31
AMDE - Modes de défaillances (MdD)
1ère liste de
MdD retenue
pour l'analyse
Causes
(int/ext) de
défaillance
MdD et leurs
causes retenues
pour l'analyse
Analyse
prévisionnelle
de sûreté

Une AMDE par état de fct (ou phase)
Etablir les MdD "Effets par lesquels une défail. est observée"
Pour chaque composant du ∑
Dans l'état de fct. étudié
Etablir les causes possibles pour chaque MdD

32
33
AMDE - Liste-guide des MdD génériques
Prise en compte de
l'état de fct du ∑
Recensement
des MdD
potentiels
Recenser et caractériser les états de fct. du ∑

Essais de
fiabilité,
tests, ...
En amont : analyse fonctionnelle

Une AMDE est réalisée
dans un état de fct
donné du ∑ (phase)
Démarche générale
Expérience
d'exploitation
Définition
Technique d’analyse prévisionnelle, formalisée et rigoureuse,
visant à étudier et maîtriser les risques de défaillance d'un produit,
d'un processus ou d'un service, afin d'améliorer sa fiabilité
Inductif
Principe

AMDEC
HAZOP (Hazard & Operability Study): adaptation aux
circuits thermo-hydrauliques
AMDE - Principe

29
AMDE - Intro (2)

USA, début années 60 (aérospatial)
aéronautique, nucléaire, puis chimie, automobile, …
Méthodes dérivées
Etapes
MACQ = Méthode de l'Arbre des Conséquences
CCD = Cause-Consequence Diagrams
Historique & utilisation

Identifier les dangers et leurs causes
Evaluer la gravité des accidents potentiels
ª Actions
FAM/FTA = Fault/Failure Tree Method/Analysis

Principe
AMDEC=Analyse des Modes de Défaillance, de leurs
Effets et de leur Criticité
FMECA = Failure Mode Effect and Criticality Analysis
AMDE - Intro
Considérer
L'utilisation du composant
La classification des principaux MdD
La liste-guide des MdD génériques (cf. diapo suivante)
Dépend de l'état de fonctionnement considéré !!

1. Défaillance structurelle (rupture)
2. Blocage physique (coincement)
3. Vibrations
4. Ne reste pas en position
5. Ne s'ouvre pas
6. Ne se ferme pas
7. Défaillance en position ouverte
8. Défaillance en position fermée
9. Fuite interne
10. Fuite externe
11. Dépasse la limite > tolérée
12. En-dessous de la limite < tolérée
13. Fonctionnement intempestif
14. Fonctionnement intermittent
15. Fonctionnement irrégulier
16. Indication erronée
17. Ecoulement réduit
AMDE - Causes de défaillances
18. Mise en marche erronée
19. Ne s'arrête pas
20. Ne démarre pas
21. Ne commute pas
22. Fonctionnement prématuré
23. Fonctionnement après délai
prévu (retard)
24. Entrée erronée (augmentation)
25. Entrée erronée (diminution)
26. Sortie erronée (augmentation)
27. Sortie erronée (diminution)
28. Perte de l'entrée
29. Perte de la sortie
30. Court-circuit (électrique)
31. Circuit ouvert (électrique)
32. Fuite (électrique)
33. Autres conditions de défaillance
Effets: fct
anormaux composant1
MdD Composant1
(PR globales)
Décomp
en parties
Compos1
Causes externes
(PR externes)
Causes internes
(PR internes)
35
Causes
externes
MdD
Comp2
Causes
internes
MdD de chaque
partie du composant1
Partie composant1
34
Effets: fct
anormaux C2
MdD de chaque
partie du C2
Etude composant1
4
36
AMDE - Effets des MdD et conclusions

systématique, complète, en considérant le MdD seul
Généralités
Conclusions, recommandations
z
recensement des MdD suivant l'ampleur de leurs effets
procédures de détection (alarmes, ...) et maintenance

z

Projet :
Système :
Documents de référence :
Identif
F°, MdD
composant états
Causes Effets Effets Moyens Fréquence Obserpossibles sur ∑ sur ∑
de
inspections vations
d'une
externes détection ou essais
défaillance
Démarche
Proba d'occurrence de chaque MdD
Classe de gravité des effets de ces défaillances

Moyenne
Forte
C<R
R<C<S
C>S

Zone acceptable

Liste par Effets de Défaillance (LED)

Aucun problème, R.A.S.
⇒ Maintenance corrective
Acceptable mais
⇒ surveillance particulière
+ maintenance préventive/conditionnelle
Remise en cause complète de l'étude
⇒ Nouvelle étude (amélioratif)
pour un effet donné, rechercher
z
z

intérêt : définir
z
z

toutes les causes
les composants associés
les opérations de maintenance corrective
la doc système
Tableaux AMDEC

partition : criticité inacceptable
nouvelle étude pour réduire F ou G

Dispositif de remplacement
Maintenance préventive
Moyens de détection
41
42
AMDEC - Progiciels
Réalisation
Nom
∑ en cours de développement ou déjà opérationnel
AMDAO
AMIDEC
FIABEX
FMECA
FMECA Processus
GAMDEC
LARA
Q-PAK
RELEX AMDEC
RELIASEP
SAFAD
Exploitation
justification d'un niveau de fiabilité/d'une architecture
assistance à la maintenance, rédaction des docs
Familles d'AMDEC
produit/projet : phase de conception du pdt
produit/procédé : défaillance du pdt dues au processus
moyen : machines, installations Ö "0 défaut, 0 panne"

AMDEC - Conclusions (2)

39
Liste des Articles Critiques (LAC)
AMDEC - Utilisation

38
Partition des composants
40

de sélection des risques
ª Solutions correctives
C = F x G x D ou D x O x S
Faible
Classe I
(Effets mineurs)
Classe II
(Effets significatifs)
Classe III
(Effets critiques)
Classe IV
(Effets catastrophiques)
Zone non acceptable
ª Critère

AMDEC - Conclusions
Grille d'analyse de la criticité (Criticality Analysis)
Très
faible
Fréquence
Gravité
Non-Détectabilité
Définition Proba d'occurrence Niveau de
Proba que la cause
de la défaillance
conséquence et/ou le MdD atteigne
l'utilisateur
Evaluation Probas/Indices
Indices
Probas/Indices
Principe
AMDEC - Calcul de la criticité (2)
P ro b a (F ré q )
G ra v ité
IPR = F × G ou IPR = F × G × D
NASA (LEM)
Nbx autres domaines : Toyota, Renault
Rechercher les éléments ou opérations critiques
Hiérarchiser les défaillances

Niveau général de risque
= Indice de Priorité de Risque (IPR) (=seuil de criticité DOS)

37

Extension de l'AMDE
Utilisation

SOFIA
AMDEC - Sofia
Complément par d'autres méthodes (MCPR)
43
Type
AMDEC
AF + AMDEC
AF + AMDEC
AMDEC Produit
AMDEC Procédé
AMDEC
AMDEC
AF + AMDEC
AMDEC Produit
AF + AMDEC
AF + AMDEC
Produit, procédé
AF
AMDEC
Analyse qualitative - Résumé
Déf du ∑
Concepteur
Initialisation
Renault SA (F)
Calladan (F)
CEP Systèmes (F)
ALD Ltd (Israël)
Europe Qualité Services (F)
Gamma Systèmes (F)
Serete Productique (F)
Oscar Software Ltd (UK)
ISD (USA)
SEP (F)
Raisonnance SA (F)
Déf des f°
CdCf (Fp,Fc, Cv)
AF
Conception
Bloc-diagramme
TAF
AV
Solution optimisée
en coût
Sofreten (F)
Sofreten (F)
44
Q technique
Etude des effets de chaque MdD
AMDEC - Calcul de la criticité
Q économique

AMDEC - Principe
Solution fiable
et optimale
AMDEC
Solution
fiabilisée
Id. des causes
perturbant les f°
Calcul des IPR
Déterm. d'actions
5
correctives
45
AMDEC - Exemple
AMDEC - Exemple : analyse fonctionnelle
Sous-systèmes étudiés

Tige
Soft Collier Berceau
Analyse du besoin
Outil : la "bête à cornes"

Roller in line
Châssis
(2 flasques)

Sur quoi
agit-il ?
Roue/Roulements/Freins
AMDEC - Exemple : analyse fct. (2)
Définition des fonctions
Outil : la "Pieuvre"
Infrastructure
Patineur
Infrastructure
FP1
ROLLER in LINE
FC3
ROLLER in LINE
Oeil
Se déplacer
Dans quel but ?
Liaison châssis/roues
46
AMDEC - Exemple : Calcul de la criticité (2)
Niveau de Gravité (pour le client final)

Majeur
-
-
Note
Axe d'articulation pas riveté
Casse berceau
Perte du patin de frein
Perte ou casse roue
Casse broche BdJ
Dévissage liaison
tige/chassis
Casse crochetAvP
Casse crochet PcT
Plis important chausson
Usure prématurée pdt
(dégradation rapide)
Niveau de Gravité (suite)
Classes
5
4
3
Critères pour le client
Effet mineur
- Affecte pas/peu l'utilisation du pdt
- Dégradat° rapide de l'esthétique
- Image de marque ternie
- Mécontement du client pas
forcément exprimé
- Pas de retour
Effet infime
- Difficile à détecter par le client en
magasin
- Pas de retour

Exemples
- Réglage crochets difficile
- Jaunissement des pièces
- Corrosion
- Petits rayures
- Légère différence de teintes
Soft
Effets
Transmission • dégradation
défaillante du - performance
Flux de
- confort
puissance
Transmission • pb potentiel de
défaillante du
sécurité du patineur
ΦP
• dégradation
- performance
• pb potentiel de
Berceau
Transmission • pb potentiel de
défaillante du
ΦP
Liaison
Soft/Collier défaillante du - performance
- confort
ΦP
Liaison
Soft/Berceau défaillante du - performance
- confort
ΦP
Collier
Criticité
FxG
2*3=6
4*3=12
4*3=12
4*3=12
4*3=12
1*5=5
-
2*3=6
-
2*4=8
- crochets
1*5=5
1
2*3=6
2*3=6
2*3=6
- écrou de
liaison châssis
- rivets
- rempl.
crochet
- revoir
sys
fixation
- couture
suppl.
52
Fréquence
Excessif
- Très nbx incidents clientèle
- Plainte des clients
Très fréquent
- Bcp d'apparitions en clientèle
- Plainte des clients
Fréquent
- Qq apparitions en clientèle
- Début de l'alerte
2
Rare
- Très faible apparition
- Pas de remontée clientèle
Peu probable
- Pas d'apparition en clientèle
F > 5%
1% < F < 5%
0,5% < F < 1%
F < 1% par modèle sur 3 ans
F ≤ 0,5% par ligne de pdt sur 3 ans
F < 0,05%
Note
5
4
3
2
1
51
AMDEC - Exemple2 : Calcul de la criticité
Causes
Actions
défaillance
corr.
déchirure mat. - chgt
couture
matériau
passants
lacets
clous
casse
- renforcer
sangle
casse
- casse
- strap PCT
- rivets
- coutures
50
AMDEC - Exemple : Tableau d'analyse
MdD
Niveau de Fréquence (pour le client final)
Classes
Note
49
Composant
AMDEC - Exemple : Calcul de la criticité (3)
Critique
Critique
Pb de sécurité sans avertissement
- Manque sécu/risque d'accident
- Retour ponctuels produit
- Risque de recall / de procès
Pb de sécurité avec avertissement
- Manque sécu/risque d'accident
- Utilisation impossible du pdt
- Retour ponctuels produit
- Risque de recall / de procès
Effet grave
- Réduct° importante utilisation pdt
(confort, commodité, perf.)
- Remet en cause l'image de marque
& désir d'achat
- Retour ponctuel pdt/risque recall
Exemples
48
Mineur
Mineur
Classes
Eléments
agressifs
47
AMDEC - Exemple : Calcul de la criticité

FC1
FC2
Environnement
sensible
FP1. Permettre au pied du patineur de rouler sur l'infrastructure
FC1. Fonctionner malgré l'action d'éléments agressifs
Se déplacer sur l'infrastructure pour le patineur
Majeur
Liaison tige/châssis
Pied du
patineur
Environnement
Ambiance
agressif
thermique
FP2
FP3

AMDEC - HAZOP
SdF d'une gare SNCF
Gravité G
Mort d’homme / dégâts
matériels considérables
(coût>2 M?)
Blessé grave / dégâts
matériels T importants
(500 k?< coût <2 M?)
Blessé léger / dégâts
matériels importants
(20 k?<coût <500 k?)
Dégâts matériels non
négligeables
(2 k?<coût<20 k?)
Dégâts matériels
mineurs
(500<coût<2 k?)

Fréquence F
Maîtrise
Note
< une semaine
Pas d’action possible
10
< un mois
Pas de maîtrise connue
8
< une année
Maîtrise non garantie
6
< 10 ans
Maîtrise moyenne
4
>10 ans
Bonne maîtrise
2
Adaptée aux ∑ thermo-hydrauliques

grandeurs : débit, pression, courant, température,...
Absence
Guide
word
NONE
MORE
Excès de
/val nominale
Manque de LESS
Partie de
(flux incomplet)
Impuretés,
autres phases
Hors fct normal
53
Deviation
Possible Csq Action
causes
required
No flow
More flow
More pressure
More temperature
Less flow
Less temperature
High water concentration or
stream
Organi acids presence
OF
PART
OF
MORE
THAN
OTHER Maintenance
6
54
AMDEC - HAZOP (2)

Avantages

étude qualitative et quasi-exhaustive
z
z
des évolutions cinétiques
des causalités

Formalisation a posteriori des connaissances expertes
(pression, température, débit, niveau, …)

Définition
MAC - Concepts de base - Evt indésirable

but de l'analyse: en déterminer toutes les causes
sommet de l'arbre

z

z
z
résultant en général d'une APD
précise et ciblée, pour obtenir un arbre exploitable
(en fonction de la phase d'utilisation)

z
z
58
Evt qui ne peut être
considéré comme
élémentaire, mais dont les
Losange causes ne sont et ne seront
pas développées
Résulte de la combinaison
d'autres évts par
l'intermédiaire d'une porte
logique
Rectangle
Double
losange

E1
matérielles
humaines
défauts logiciels, …
non décomposables en évts plus simples
indépendants entre eux
leur proba d'occurrence peut être estimée/calculée
E1

z

Porte
OU
E1 E2 E3 E4
Porte
COMBINAISON
m/n
E1 avant E2
Porte OU
avec
condition
E2
S
E1
E3
2/4
E2
Porte SI
S
x
E1
59
60
MAC - Construction de l'arbre des causes

Principes
Recherche des causes immédiates, nécessaires et
suffisantes (INS)
Classement des événements intermédiaires
Analyse des défauts de composants
Recherche des causes INS des évts intermédiaires
jusqu'à n'obtenir que des évts de base
Démarche itérative
Autres règles

ex. défaillance première, erreur humaine élémentaire
évts correspondant à une limite de l'étude…..
z
E2
E1 avant E2
Porte ET
avec
condition
S
E1
E3
S
évt élémentaire ……………………………...
z
E2
S
Différents types

Maison
Une partie semblable, mais
La partie de l'arbre qui
non identique à celle qui
suit le 2ème symbole est
suit le 2ème symbole est
transférée à
Triangle
Triangle
er
l'emplacement du 1
transférée
à l'emplact du 1er
inversé
chq évt est généré à partir des évts du niveau inférieur
par l'intermédiaire de divers opérateurs (ou portes) logiques
MAC - Concepts de base - Evts de base
Evt conditionnel qui
peut être utilisé
avec certaines
portes logiques
Evt dont les causes
ne sont ne sont pas
développées mais le
seront
ultérieurement
Evt qui correspond
à un fct. normal du
∑ (P=1)
Porte
ET
S
niveau des évts élémentaires (= "de base")
z
MAC - Concepts de base - Evénements
MAC - Concepts de base - Portes logiques
évts=défauts associés à des défaillances
z
Définition
Ovale
57
niveaux successifs tels que
z
évt catastrophique
indisponibilité de ∑ Ùsécurité/dispo d'une installation
Cercle
définition de l'évt indésirable
examen du ∑ en cause
construction de l'arbre
exploitation de l'arbre

L'arbre des causes
Nature
Evt élémentaire ne
nécessitant pas de
développement futur
Etapes de mise en œuvre
56

? causes d'un événement indésirable potentiel
? causes d’un accident qui s’est déjà produit

MAC - Concepts de base - Arbre des causes
Généralités

réduire la probabilité d'occurrence de l'évt indésirable
Méthode déductive

Principe
55

déterminer les diverses combinaisons possibles d'évts
qui entraînent la réalisation d'un évt indésirable
représenter graphiquement ces combinaisons au
moyen d'une structure arborescente
une portion délimitée du ∑
des causes de défaillance
Objectif

difficultés d'affecter à chaque "mot-guide"
z

Méthode logique destinée à analyser les causes possibles
d'un événement redouté afin d'en limiter la probabilité
Inconvénients
z
Historique
Bell Telephone (1962), formalisation : Boeing (1965)
Auj.: méthode d'analyse de SdF la plus utilisée
Utilisation de mesures de variables de conduite

MAC - Introduction (2)

z

MAC - Introduction
par choix (du ∑ étudié)
par manque de renseignements
évt survenant normalement pdt le fct. du ∑…..
Critères déterminant le niveau de détail de l'analyse
objectifs de l'étude
avancement de la conception du ∑
connaissance des composants et de leurs MdD

61
7
62
63

MAC - Construire l'arbre - Classement des Ei
Recherche des causes INS

Partir de l'évt indésirable
En rechercher les causes immédiates, puis "remonter"
A l'aide des params & lois physiques Pas de signal

MAC - Construire l'arbre - Evts intermédiaires
Définition évt
intermédiaire Ei1
Recherche causes INS Ö évts intermédiaires Ei
Classement: 3 classes
Ei=évt de base
Ei=défaut de composant
Obtention des évts de base
MAC - Construire l'arbre - Causes INS

d'entrée pour E
Défaillance d'un composant
B
A
D
E
C
Pas de signal
d'entrée pour E
Ö
Défaillance
1ère de D
Déf.
1ère
Pas de signal
d'entrée pr D

Déf. de cde
Ei="défaut du système"
MAC - Construire l'arbre - Autres règles

l'existence simultanée de 2 défaillances ne peut
conduire à un fct. du ∑ !
il faut bien compléter les évts d'entrée d'une porte
avant d'examiner ceux-ci
une porte logique ne doit pas être directement
connectée à une autre porte
les causes sont antérieures aux conséquences
A chaque niveau de décomposition
Effet

Evite les oublis
Simplifie l'analyse des causes

Cause1
Cause2
z
z

B
Règles de combinaison (∑ irréparable)
F
sur conception, moyens de ctrl, de régulation, de sécurité
pour introduire le plus possible de portes ET
B1
Analyse semi-quantitative
F = (A+B+C).[C+(A.B)]
= A.C+B.C+C+A.B+A.B+C.A.B
= C+A.B
70
F
B2
P[F]=P[B1]+P[B2]-P[B1].P[B2]
obtention difficile des probas des évts de base
classement par niveaux de probas
calcul de la proba de l'évt indésirable
ª Action sur les évts de base les plus influents

B
Coupes mini = Ci = Bi1.Bi2 .". Bimi
MAC - Exploitation de l'arbre (2)
Analyse qualitative
E5
A
avec
69
logique des défaillances, pts faibles de la conception
actions
Ö
C
F = C1 + C2 + " + Cn

E4
A
transformer l'arbre en expression boolénne
rechercher l'expression réduite (ex. Karnaugh)
68
F
C
Recherche
MAC - Exploitation de l'arbre (1)
F
B
Coupe minimale (ou chemin critique)

MAC - Réduction de l'arbre (2)
C
ensemble d'évts entraînant l'évt indésirable
plus petite combinaison d'évts ⇒ évt indésirable
(l'un ne se produit pas ⇒ l'évt indésirable non plus)
correspond à un "maillon faible" du ∑

67
E3
66
Coupe (ou chemin)

Défaillance

A
Recherche des
causes INS

de certaines branches
ª facilite la résolution des ∑ "bouclés"
réduction
Ei1 est un
défaut du ∑
Déf des évts intermédiaires
Ei2 liés par des portes logiques

AMDEC
Recherche des
défaillances de cde
MAC - Réduction de l'arbre
Com- F° Mode de Cause Effet Détect° G F N Criticité
posant
défaillance
ª élimination
E2
Recherche des
défaillances 2ndes
65

E1
Recherche de la
défaillance 1ère
MAC - Construire l'arbre - Aide de l'AMDEC
Garder en tête que:
non
composant ?
plusieurs composants responsables
z ou évt de base + défaut de composant
⇒ recherche causes INS Ö évts interm. liés par portes logiques
Pas de signal Pas de signal
de sortie de B de sortie de64C
Ei1=évt de
base ?
non
oui E 1=défaut de
i
z
Pas de signal Pas de signal
de sortie de D d'entrée pr D

Déf.
2nde
oui

B1
B2
P[F]= P[B1].P[B2]
Analyse quantitative
proba Ù indisponibilité composants a(t)
simulation informatique

critiques (conduisent le + fréqt à l'évt indésirable)
ª évts les + influents (sensibilité à la variation de proba)
ª chemins
71
8
72
MAC - Exemple - Définition du ∑
MAC - Exemple - Evt indésirable, examen ∑
utilisation dégazage

Production
PAH
TP

NAH
soupape

fuite de produit à partir du stockage (sauf soupape)
z

Condensation
systèmes de sécurité
z
z
z
Pesée continue
WAH
73

F

F
B2
B1
B2
sup(P[B1],P[B2]) min(P[B1],P[B2])-1

B1 B2 B3
Domaine privilégié : nucléaire

Ex.
Source Soupape
chaleur inopéran
ext.
te
Blocage Défaill. ∑
vanne pos de mesure
fermée
R u p t u r e d 'u n e
tu y a u te r ie
p rim a ire (A )
B3
75
M iss io n d u ∑
d e s a lim
é le c tr iq u e s ( B )
M iss io n d u ∑
d 'i n j e c t i o n d e
s é c u r ité ( C )
Séquences
n°1-accident maîtrisé
min(min(P[B1],P[B2])-1,P[B3])-1
succès
Résultat: événement final indésirable de niveau 1
(extrêment rare)
77
78
MACQ - Etapes 1 et 2
n Définition
Etude quantitative : à chq séquence on associe
Problèmes: comment
définir l'évt initiateur
recenser tous les évts initiateurs possibles
élaborer l'arbre des conséquences
définir les évts génériques
éliminer les incohérences pour réduire l'arbre

o Définition
MACQ - Etape 3
des f° de sûreté
F° de sûreté
Ctrl de réactivité
Refroidissement du cœur
Ctrl du débit d'eau du CP
Ctrl de la P en eau du CP
Refroidissement du fluide
Isolement de l'enceinte
Ctrl de la teneur en H
une probabilité
une conséquence (quantité de pdt radioactif relâché)

Objectifs
arrêt du réacteur pour réduire la p° de chaleur
transférer la chaleur du cœur au fluide primaire
maintenir un débit suffisant pour refroidir le cœur
maintenir une P suffisante
extraire la chaleur du fluide primaire
éviter les relâchements de produits radioactifs
éviter les explosions liées à la présence d'H2 ds l'enceinte
pour chaque évt initiateur
évts génériques : perte des ≠ fonctions de sûreté

Aides
considérer la chronologie d'intervention des ∑ de sûreté
élimination des séquences incohérentes

des évts initiateurs
z

évaluation technologique
et/ou arbre des causes

Arbre des conséquences "fonctions"

79
n°2-fusion du cœur
séq. irréaliste
évt
initiateur
échec
MACQ - Problèmes posés

Défaill. Incident Défaill.
dégazage unité de garde
perm.
cond. hydrau.
évt initiateur
succession de défaillances conduisant à des csq
acceptables ou non ≡ "séquence (in)acceptable"
Association ∑ élémentaires Ù "évts génériques"

76

T° trop
élevée
Séquences d'évts

B'1
Accu suffisante de
contaminant réactif
NAH
Pesée
en panne en panne
complexité des ∑ élémentaires
nombreuses interactions, redondances fonctionnelles
⇒ nécessité d'une approche systématique
F
Défaill. ∑
de ctrl
Impact
corps
ext.
MACQ - Séquence d'évts
Ö
B1
Panne
PAH
74
6 niveaux de probas (1..6)
règles simplifiées pour P[F]
F
Blocage
soupape
pos.
fermée
MACQ - Introduction
Exploitation semi-quantitative

Défaill.
opérateur
eau: séchage et contrôle humidité
gaz: garde hydraulique + dégazage
ouvrier contrôlant l'unité de condensation+stockage
MAC - Exemple - Exploitation de l'arbre

Défaill.
PAH
eau: corrosion acier en présence du produit
un gaz: réaction violente avec le produit
Surpression >
limite élastique
Exemple: déchirure de
l'enveloppe du stockage
Surcharge gaz
dans stockage
APD + Etude sur Schéma de Circulation des Fluides
Ö contaminants indésirables
z
solution
neutralisante
Réservoir de stockage
de gaz liquéfié toxique

Examen du ∑
Purification
Séchage
MAC - Exemple - Arbre
Evt indésirable

membrane
déchirure
enveloppe
Ex.
Ex. séquences fonctionnelles : déf(F1) ⇒ déf(F2)
R upture tuyauterie
prim aire
succès
Regroupement par f° de sécurité
échec
80
évt
initiateur
F° d'injection
de sécurité
F ° d'a spersion de
l'e nceinte
S équences
n°1
n°2
n°3
n°4
9
81
MACQ - Etape 4

MACQ - Exemple
Arbre des conséquences "systèmes"

Chaque fonction Ù 1/plusieurs ∑ élémentaire(s)
Dans l'arbre précédent, remplacer les fonctions par les
∑ de sûreté correspondants

z

Rupture
Mission du
Mission du Mission du Mission du ∑
tuyauterie
réservoir
∑ des alims ∑ d'injection d'aspersion de
primaire commun aux 2 ∑ électriques de sécurité
l'enceinte
z
z
z
z
z
z
83
Echec mission ∑ 1
arbres des causes des évts indésirables
en rechercher les "coupes minimales"
introduire les évts de causes communes en tant qu'évts
génériques dans un nouvel arbre de conséquences
construire cet arbre en incluant les réductions booléennes
A
B
Evt initiateur
Seq. inacceptable
C
Evt A
D
E
Evt F
F
A
Mission du ∑ 1 Mission du ∑ 2
succès
évt
échec initiateur
β = β1 + β2
F
δ = δ1 + δ2 + δ3 + δ4

Sortie
Oui Non
Entrée
Sortie
Sortie
la MAC (analyse déductive)
et la MACQ (analyse inductive)

D
ou
D
Entrée
parties

Nom
Porte
"oui-non"
Condition
Principe : combiner
δ1
β1
δ2
δ3
α
β2
γ
δ4
Déf. f°
de sûreté
Sélection
évts
initiateurs
Entrée
Sortie
"conséquences" = csq. lorsque se réalisent ces évts
NON
88
Arbre
"fonctions"
Arbre
" ∑"
Etude évts
indésirables au
niveau des ∑
élémentaires
Arbre réduit
-séq. d'évts
-quantification
MDCC - Elaboration du diagramme
n Sélection
Opérateur
"retard"
Signification
- L’évt de sortie est "oui" si la
condition est remplie, "non" sinon
- Un arbre des causes du non-respect
de la condition peut être développé
en parallèle
L’évt de sortie se réalise un temps D
après celui d’entrée
Entrée
d'un évt initiateur (ou critique)
lié à des défaillances de composants ou sous-∑
ª évt "sommet" de l'analyse

des causes Ö MAC (évt indésirable)
p Recherche des conséquences
o Recherche

en tenant compte
z
Evénement Décrit les csq d’une combinaison
"conséquence" d’évts (fin de branche du diagramme)
symboles : identiques à MAC
Arbre des
causes des évts
indésirables
87
Entrée
"causes" = 1/plusieurs évts "sommets" (indésirables)
z
- retour exploit.
- accidents de
dimensionnt
Séquences
Symboles spécifiques (partie "conséquences")
Symbole
Riso (Danemark), formalisée par Nielsen & Taylor
champ d'application : surtout centrales nucléaires

Recueil
infos
MDCC - Symboles
Historique
⇒2
Résumé de la démarche
86
MDCC - Introduction

G
85

84
MACQ - Résumé
Echec mission∑ 2
Séquences
n°1- séquence α
n°2- séquence β
n°3- séquence γ
n°4- séquence δ
évt
initiateur
temps (ordonnancement des évts génériques)
interactions (incompatibilité & dépendances) fonctionnelles
interactions entre ∑
MACQ - Etape 5 (3)
Ex.
succès
échec
z
échec
de séq. minimales par réduction booléenne
Evt initiateur Mission du ∑ 1 Mission du ∑ 2
du nombre d'évts génériques
n évts génériques à 2 états Ù nombre de séquences
considérer

z
82
des ∑ élémentaires
? sens physique des combinaisons
? cohérence avec les états considérés précédemment
évt
initiateur
MACQ - Etape 5 (2)
z
but: simplifier le calcul des probas des séquences
o Réduction
succès
temps
interactions fonctionnelles
interactions entre ∑ élémentaires
p Obtention

Séquences
n°1-accidents maîtrisés
n°2-rejets limités
Nb interactions entre f° de sûreté, entre ∑
∑ accomplissant plusieurs f° de sûreté
Facteurs à considérer
z
Réduction de l'arbre
n Pertinence
Pourquoi revoir cet ordre ?
z

réservoir commun
∑ auxiliaire (alims électriques)
+
Ordre des évts génériques

∑ associés aux fonctions de sûreté considérées
+

MACQ - Etape 5 (1)
z
Opérateur de L’évt de sortie est le complément de
complémen- celui de l’entrée
tarité
z

89
des actions de sécurité (auto/manuelles) qui peuvent être
sollicitées et de leurs défaillances possibles
des défaillances d'autres composants, sous-∑
d'évts extérieurs
en s'inspirant de la construction des séquences MACQ 10
90
MDCC - Elaboration du diagramme (2)
q DCC
MDCC - Elaboration du diagramme (3)
et coupes minimales

Etapes précédentes sur tous les évts "sommets"
ª ensemble de DCC Ù toutes combinaisons (=coupes,
=séquences) d'évts pouvant ⇒ les évts indésirables
Réduction des AC Ö coupes minimales

Csqs
Forme
générale
Csqs
Aide de:
-APD
-AMDE
-MCPR
MAC
Recherche
causes
d'un évt
initiateur
Sélection
d'1/+ évt
initiateur
Recherche
csq de
l'évt
initiateur
Recherche
causes des
évts intermédiaires
Oui Non
Le courant
traverse le
filament
Fil
débranché
Evt
initiateur
Evt. intermédiaire
Recherche
csq des
évts intermédiaires
Obtention
des csq
"sommets"
Oui Non
Le circuit
se ferme
DCC
z

Bouton poussoir (BP)
causes de l'évt initiateur
causes du (non-)respect d'une condition liée à une porte O/N
Batterie
z
z
Comp
.
Fusible
BP
Relais
Batterie
M
A
MACQ: similitudes
z
Moteur

Evt indésirable (APD) = surchauffe fil AB
Hypothèses
Fusible
fct prolongé du M ⇒ court-circuit ⇒ destruction
court-circuit ⇒ contact reste collé, même si désexcité
sources d'énergies (+défaillances) non prises en compte
Intérêt et utilisation
Analyser des ∑ d'ampleur limitée ou à séquentiel
Visualiser l'ordre chronologique d'apparition des évts
94

Moteur
93
Effets sur le ∑
- le contact du BP
reste collé
- défaillance première (méca.)
- l’opérateur ne relâche par le
BP (err. hum.)
- le fusible ne fond
pas
- court-circuit
- perte de la f° du ∑ : le moteur
ne tourne pas
- le moteur tourne pdt un temps
trop long, d’où court-circuit du
moteur, apparition d’un courant
élevé et fusion du fusible
ne tourne pas
trop long, d’où court-circuit du
moteur, apparition d’un courant
élevé et fusion du fusible
- en cas de court-circuit, le
fusible n’ouvre pas le circuit
- défaillance première
(mécanique)
(mécanique)
- un courant élevé traverse le
contact
- l’opérateur a surdimensionné
le fusible (err. hum.)
- le BP est bloqué
ne tourne pas
- le contact du relais reste ouvert
- le court-circuit du moteur ⇒
courant élevé+ fusion fusible; le
trop long
contact du relais reste collé
96

Court-circuit du
moteur
Le 2ème circuit
est resté fermé
Fil
Exemple - MAC (3)
Surchauffe
fil AB
Réduction de
l'arbre
Lampe
Causes possibles
- défaillance première (méca.)
Exemple - MAC (2)
Surchauffe
fil AB
Court-circuit du
moteur
MdD
- le BP est bloqué
95
Exemple - MAC
Bouton poussoir
Fusible
- le moteur ne
tourne pas

fct
Batterie
BP
bloqué
- le contact du
relais reste ouvert
- le contact du
Relais
relais reste collé
B
Fil
porte OUI-NON Ù succès ou échec
combinaisons d'évts Ù séquences
définition identique de l'évt initiateur

Lampe
grillée
Exemple - AMDE simplifié
Commande à distance d'un moteur à cc
AMDEC Ö aide à définir les évts initiateurs
MAC Ö
z

Exemple - Présentation
Liens avec les autres méthodes

Fusible
ouvert
L'opérateur
appuie sur
le BP
92
MDCC - Conclusion

Batterie
déchargée
D
91

La lampe ne
s'allume pas
D
Oui Non
Condition
Règles
d'élaboration de
l'ACQ
MAC
Csqs
Non Oui
Condition
Résumé
Règles
d'élaboration de
l'ACQ
MDCC - Exemple
La lampe
s'allume
Arbre réduit
Le 2ème circuit
est resté fermé
Surchauffe
fil AB
Court-circuit du
moteur
Le fusible n'ouvre
pas le circuit
D
Le contact du
relais reste collé
Déf.
première
Le contact du
relais reste collé
Le fusible n'ouvre
pas le circuit
Le contact du
relais reste collé
A
Le contact du
BP reste collé
Déf.
première
Court-circuit
du moteur
Déf.
première
Le contact du
BP reste collé
L'opérateur
a surdim. le
fusible
Déf.
première
Le contact du
BP reste collé
Bp
Déf.
première
Le contact du
relais reste collé
Déf.
première
Le fusible n'ouvre
pas le circuit
Court-circuit
du moteur
Déf.
première
Le contact du
BP reste collé
L'opérateur
a surdim. le
fusible
Déf.
première
Le contact du
relais reste collé
Déf.
première
L'opérateur
ne relâche pas
le BP
Déf.
première
L'opérateur
ne relâche pas
le BP
97
Déf.
première
L'opérateur
ne relâche pas
le BP
Déf.
première
Déf.
première
L'opérateur
ne relâche pas
le BP
Déf.
première
L'opérateur
ne relâche pas
le BP
Le contact du Le contact du
BP reste collé relais reste collé
Court-circuit
du moteur
Cp
Déf.
première
L'opérateur
a surdim. le
fusible
Déf.
première
Déf.
première
Déf.
première
11
98
99
Exemple - MACQ

Exemple - MACQ (2)

Evt indésirable = "surchauffe du fil AB"
F° de sécurité (contre court-circuit) considérées
F1=protection immédiate par le fusible
F2=protection à plus long terme par le contact du relais

∑ élémentaires
∑1=∑ proprement dit
∑2=opérateur
n°4-surchauffe du fil AB
Mission du contact
Séquences
du relais (∑ 1)
Le contact du relais n°1-pas de surchauffe
Le fusible
s'ouvre
ouvre le circuit Le contact du relais n°2-pas de surchauffe
reste collé
n°3-pas de surchauffe
Le fusible
n'ouvre pas le circuit
n°4-surchauffe du fil AB
Mission du
fusible (∑ 1)
échec
100

Evt
initiateur
interdépendance
Le contact du
relais reste collé
succès
Court-circuit du
moteur (déf. 1ère)
Causes d'origine externe
Le contact du
Le contact du
BP reste collé relais reste collé
Déf.
première
L'opérateur
ne relâche pas
le BP
Déf.
première
Déf.
première
Court-circuit
du moteur
Déf.
première
échec
Le contact du
BP reste collé
Cause intrinsèque Déf.
première
au moteur
L'opérateur
ne relâche pas
le BP
Déf.
première

Diagramme final
Equation de l'évt
indésirable
Coupe minimale

Surchauffe
fil AB
Oui Non
Fusion du
fusible
D
succès
Remarque
Le contact du
relais reste collé
Court-circuit du
moteur et le contact
du relais reste collé
"court-circuit moteur" = point de passage obligé vers
l'évt indésirable
recherche des causes (MAC) ⇒ évts de base =

Séquences
Le fusible
reste collé
ouvre le circuit
z
Le fusible
Le contact du relais n°2-surchauffe du fil AB
reste collé
z
Court-circuit du
moteur (le contact
du BP reste collé)
z
z

Le fusible
reste collé
ouvre le circuit
z
Le fusible
reste collé

Bases mathématiques - Probabilité d'évts.

Bases mathématiques
Probabilité d'évts
Variable aléatoire
Notions fondamentales de SdF

Le contact du
BP reste collé
P[Ω] = 1
(Ω : Ensemble des observables)
P[A+B] = P[A] + P[B] si A.B = ∅

Données de sûreté de fonctionnement
L'opérateur
ne relâche pas
le BP
Propriétés
P[A] = 1 - P[A]
A ⊂ B ⇒ P[A] ≤ P[B]

Recherche, sources
Elaboration Ö lois de proba des paramètres
Déf.
première Bp
Application P qui associe à chaque évt A un
nombre 0 ≤ P[A] ≤ 1 appelé probabilité, avec

A
le contact du relais reste collé si court-circuit ⇒ évts liés
conséquence éventuelle: fusion du fusible Ù porte O/N
105

Déf.
première
Déf.
première Cp
court-circuit moteur (défaillance première)
le contact du relais reste collé (défaillance première)
le contact du BP reste collé (défaillance première)
l'opérateur ne relâche pas le BP
hypothèse
z
Introduction à l'analyse quantitative - Plan
Le fusible n'ouvre
pas le circuit
L'opérateur
a surdim. le
fusible
Evt initiateur
104
Le contact du
relais reste collé
Court-circuit du
moteur
Mission du contact
du relais (∑ 1)
Le fusible
Court-circuit du
reste collé
moteur (le contact ouvre le circuit
du relais reste collé)
Le fusible
reste collé
échec
échec
Exemple - MDCC (2)
Mission du
fusible (∑ 1)

succès
103
Etat sûr du
circuit
Exemple - MDCC
Arbres des conséquences finals
arbres des causes (suite)
Court-circuit du
moteur
Déf.
première
102
Exemple - MACQ (5)
Considérer

L'opérateur
a surdim. le
fusible
101
Exemple - MACQ (4)

Le fusible n'ouvre
pas le circuit
Arbre des conséquences "systèmes"
évt
initiateur
Perte de la
fonction F2
temps
interactions fonctionnelles
interactions entre ∑ élémentaires
dépendances entre évts Ö arbres des causes

Court-circuit du
moteur
Perte de la
fonction F1
Considérer

succès
Court-circuit
du moteur
Séquences
évt
initiateur
Surchauffe
fil AB
AC de niveau 1

F2
succès

Recherche des évts initiateurs

F1
échec

Arbre des conséquences "fonctions"
Court-circuit du
moteur

Exemple - MACQ (3)

Relation probabilité/fréquence
P[E] = lim (f) lorsque le nombre d'essais → ∞
Théorème de Poincaré: P[A+B] = P[A] + P[B] - P[A.B]

Déf.
première
106
107
12
108
Bases mathématiques - Probabilité d'évts. (2)

Théorème de Poincaré: P[A+B] = P[A] + P[B] - P[A.B]
Proba conditionnelle que A se produise sachant
que X s’est déjà produit :
P[ A. X ]
P[ A / X ] =
Bases mathématiques - Probabilité d'évts. (3)
Théorème de Bayes

B : événement de probabilité ≠ 0
Ai : ensemble d'événements complets
Théorème
P[ B / A ]P[ A ]
Variable pouvant prendre n'importe quelle valeur d'un
ensemble déterminé de valeurs numériques, et à
laquelle est associée une loi de probabilité
Continue ou discontinue

P[ X ]
P[ Ai / B ] =
Evts indépendants ⇔ P[A/B] = P[A] P[B]
i
i
∑ P[ B / A ]P[ A ]
i
F
i

i
Théorème des proba totales

Evts incompatibles: A.B = ∅
Système complet d'évts : ensemble fini d'évts 2 à 2
incompatibles Ö P[∑Ai] = ∑ P[Ai] = 1
Théorème:
P[B] = ∑ P[B/Ai] P[Ai]
Syn. Théorème sur la probabilité des causes

Moment d'ordre k de la variable aléatoire X
+∞

k
z
+∞
−∞
k
n−k
P[ X = k ] = e − m
Lois de proba continues (suite)

z
Densité de probabilité
f (t ) =
z
1
σ 2π
⎛ 1⎛t −m⎞
exp⎜ − ⎜
⎜ 2 ⎝ σ ⎟⎠
⎝
Fonction de répartition
⎞
⎟
⎟
⎠
z
t
1.0
z
z
z
t
z
115
t
Utilisation: caractériser la période à taux de défaillance
constant Ö décrit l'intervalle de temps entre 2 défaillances
2
Moyenne m = exp(μ + σ / 2)
Médiane X 0.50 = e μ
F
eμ
t
Loi du χ2 à ν degrés de liberté (ν entier)
z
1.0
z
z
0.9 0.5
t
eμ-1.645σ
z
z
σ=1.0
0.95
Bases mathématiques - Variable aléatoire (7)

σ=0.3
0.05
Si X suit N(m,σ), alors Y=(X-m)/σ suit loi réduite N(0,1)
Application : nbx phénomènes (incertitudes sur mesures, …)
1.0
114

f
⎛ 1 ⎛ log t − μ ⎞ 2 ⎞
1
exp⎜ − ⎜
f (t ) =
⎟ ⎟⎟
⎜ 2⎝ σ
σt 2π
⎠ ⎠
⎝
0.95 0.65
z
z
0
Loi log-normale
z
m
m-2σ
m+2σ
m-σ m+σ
t
F (t ) = 1 − e − λt
0.06/σ
F
0
F
mk
k!

0.24/σ
2
λ
113

f
Loi normale N(m,σ)
f
f (t ) = λe − λt où λ=cste
= proba d'apparition de k évts en un temps donné, à
proba d'occurrence constante (⇒ m = λ .t )
Loi exponentielle
z
, 0 ≤ k ≤ n; 0 ≤ p ≤ 1
112

Lois de proba continues
Loi de Poisson
Ecart-type
σ[X ] = V[X ]

p=P[A]
La variable aléatoire discrète X (nombre de réalisations de A
au cours de n expériences) est distribuée suivant la loi :
P[ X = k ] = C p (1 − p )

k
n
V [ X ] = ∫ ( x − E[ X ]) 2 f ( x)dx

x
111
Loi binomiale
Espérance mathématique ou moyenne : E[X]
Variance
0
f
x
Lois de proba discrètes
z

dF ( x)
f ( x) =
dx
−∞

1
110
E[ X ] = ∫ x f ( x)dx
k

P[ B / X ]P[ X ]
P[ B / X ]P[ X ] + P[ B / Y ]P[Y ]
109
d'1 var aléatoire X : F(x) = P [X≤x]
Si B s'est produit, avec les causes possibles X et Y, la
proba que B soit dû à X est
P[ X / B ] =
Définition

Bases mathématiques - Variable aléatoire
f (t ) =
(t≥0)
(
Représentation des durées de réparation des composants,
incertitudes dans la connaissance d'une donnée de sûreté, ...
t
Moyenne = ν ; variance = 2ν
Calcul d'intervalles de confiance
Souvent tabulée de manière à donner les valeurs de
telles que
)
F χα2 (ν ) = ∫
eμ+1.645σ
−
tν / 2−1
e 2
2 Γ(ν / 2 )
ν /2
χα2 (ν )
0
χ α2 (ν )
f ( x)dx = α
13
116
117
Bases math. - Notions fondamentales (1)

Principales caractéristiques

Disponibilité A(t)=P [E non défaillante à l'instant t]

fct
1ère

Maintenabilité M(t) = P [E est réparée sur [0,t] ]
fonction croissante de 0 à 1 sur [0,+∞[ et lim M (t ) = 1
t → +∞
Immaintenabilité M(t)=1-M(t)
MTBF : durée moyenne entre 2 défaillances
consécutives d'une entité réparée
défaillance remise en service
0
∞
MDT
∞

0
Δt → 0

Δt → 0

t
0
t
V (t ) = ∫ G (t − x)W ( x)dx
122

Fiabilité
MTTF
Maintenabilité
MTTR

2
σ=1.0
m
t
Relations particulières
W (t ) = U (t ) + ∫ U (t − x)V ( x)dx
A(t ) = N D (0, t ) − N R (0, t ) = ∫ [W ( x) − V ( x)]dx
R(t)=e-λt
irréparable A(t)=R(t)=e−Λt
réparable : entité remise en service "neuve"

asymptotique
μ
MTTF
A(∞) =
=
λ + μ MTTF + MTTR
Proportion du temps pendant laquelle
E est en état de fonctionner
124
A(0)=1
Λ (t ) = λ
μ (t ) = μ
U ( t ) = λ e − λt
G (t ) = 0
M (t ) = 0
M TTR = ∞
U ( t ) = λ e − λt
G ( t ) = μ e − μt
R ( t ) = e − λt
MTTF = 1 / λ
MTTR = 1 / μ
W ( t ) = λ e − λt
μ
λ+μ
V (t ) = 0
N D ( 0, t ) = 1 − e − λt
A(0)=0
N R ( 0, t ) = 0
t
125
Composant réparable
μ (t ) = 0
A( t ) = R ( t ) = e − λt
A(t)
123
Λ (t ) = λ
R ( t ) = e − λt
MTTF = 1 / λ
A(t+Δt) = P[ E non défaillante à t+Δt ]
ª disponiblité
1/λ
M(t)=1-e-μt (hypothèse μ(t)= μ=cste)
1/μ = τ (durée moyenne de réparation)
Composant irréparable
2 classes d'entités
⎛
μ ⎞ −( λ + μ )t
μ
⎟.e
⇒ A(t ) = ⎜⎜ A(0) −
+
λ + μ ⎟⎠
λ+μ
⎝
t
Agés
0
Bases math. - Modèle à λ et μ constants
Bases math. - Fiabilité et disponibilité
σ=0.3
t
1 P[la réparation de E se termine sur [t, t+Δt]
sachant qu'elle est en fct au temps t=0]
Δt
t
Λ(t)=U(t)/R(t)
Modélise composants Ni jeunes ni âgés
1 P[E défaille sur [t, t+Δt]
sachant qu'elle est en fct au temps t=0]
Δt
0
Log-N
σ π
∞
0
Intensité de réparation
V (t ) = lim
t
M (t ) = 1 − exp⎛⎜ − ∫ μ (u )du ⎞⎟
⎝ 0
⎠
t
⎛
G (t ) = M (t ) exp⎜ − ∫ μ (u )du ⎞⎟
⎝ 0
⎠
Bases math. - Calcul des taux pour les ≠ lois
λ
∫ [1 − M (t )]dt
Intensité de défaillance
W (t ) = lim
121
Λ(t)
R (t )dt
120

t
R(t ) = exp⎛⎜ − ∫ Λ (u )du ⎞⎟
0
⎝
⎠
t
⎛
U (t ) = Λ (t ) exp⎜ − ∫ Λ (u )du ⎞⎟
⎝ 0
⎠
1 P[la réparation de E se termine sur [t, t+Δt]
μ (t ) = lim
sachant qu'elle a été en panne sur [0,t] ]
Δt →0 Δt
G (t )
=
1 − M (t )
N(m,σ)
0
D'où les équations
Taux de réparation (instantané)
Expon.
∞
119
1 P[E défaille sur [t, t+Δt] sachant qu'elle
Λ (t ) = lim
n'a pas eu de défaillance sur [0,t] ]
Δt →0 Δt
R (t ) − R(t + Δt )
= lim
Δt →0
Δt.R (t )
U (t )
=
R (t )
Loi
Taux de
défaillance Λ
IPP
⇒ MTTR = ∫ tG (t )dt =
Taux de défaillance (instantané)
∫
Densité de réparation G=dM/dt
MUT
MTBF

0

MTTF
IPP
⇒ MTTF = ∫ tU (t )dt =
défaillance
118

⊂ détection panne, réparation panne & remise en service
Entité irréparable : A(t) = R(t)
Cas général :
A(t) ≥ R(t)
Densité de défaillance
T : variable aléatoire mesurant la durée de fct de E
Fonction de répartition de T
F(t) = P [T≤t] = 1-R(t) = R(t)
car R(t) = P [T>t]
Densité de défaillance
U(t) = dF(t)/dt = -dR(t)/dt
MTTF : durée moyenne de avant la
défaillance
MTTR : durée moyenne de réparation
MUT : durée moyenne de fct après réparation
MDT : durée moyenne d'indisponibilité
Fiabilité
R(t)=P [ E non défaillante sur [0,t] ]
fonction décroissante de t avec
lim R(t ) = 0
t → +∞
Défiabilité R(t)=1-R(t)
z
Définitions

z
A(t ) =
M ( t ) = 1 − e − μt
μ
λ
e −( λ + μ )t
+
λ+μ λ+μ
λμ
λ2
+
e −( λ + μ )t
λ+μ λ+μ
λμ
[1 − e − ( λ + μ ) t ]
V (t ) =
λ+μ
W (t ) =
λμ
λ2
[1 − e − ( λ + μ ) t ]
t+
λ+μ
(λ + μ )2
λμ
λμ
[1 − e − ( λ + μ ) t ]
N R ( 0, t ) =
t+
λ+μ
(λ + μ )2
N D ( 0, t ) =
14
126
Données de sûreté de fct. - Principe

Données de sûreté - Recherche de données

Pour obtenir des infos quantitatives, observer
Types de
composants
Essais de fiabilité

pendant un certain temps
dans des conditions données

z
Evaluation sûreté de fct
Réparables ?
Electronique
élevée
non
Essais de fiabilité
Electrique
élevée
oui
Essais de fiabilité ou
expérience d’exploitation
Electromécaniques actifs
faible
oui
Expérience d’exploitation
réelle dans une installation
Mécaniques
passifs
Très
faible

z
z
z
Difficilement
Difficile (expérience propre
à une installation)
127

taux de défaillance en fct λ̂ =
N df

taux de défaillance à l’arrêt
λ̂a =

taux de défaillance à la sollicitation

taux de réparation

MTTR MTTR =
1
μ̂ =
Df
N da
Da
γˆ =

z
z
μ̂
0
En général MDT, Dr<<Df
défaillance
MTTF
remise en
service
MDT
défaillance
MTBF
1
z

z
taux de réparation (μ)

MTTF, MTTR, MUT, MDT, MTBF
Principe
Evaluation des bornes [λinf, λsup] d'un intervalle (dit de
confiance) entourant l'estimateur λ̂
Soit α = P[ λ ∉ [λinf, λsup] ]
Alors 1- α est appelé niveau de confiance

Calcul de l'intervalle

Hypothèse λ=cste.
λsup =

Principe

2
2T f
, λinf =
χ α2 (2 N f )
2
2T f

λb : taux de base obtenu à partir d'essais de fiabilité
sous contraintes normalisées (environnement,…)
πE : coef d'environnement. Ex (composant e- donné):

1100 matériels (vannes, pompes...) / paire de tranches
Echantillon en 1982=150 000 h fct., 4000 défaillances
Collecte de l'info

– 0.2 : normal, utilisation au sol
– 4 : soumis à vibrations et chocs, au sol
– 10 : conditions sévères (embarquement sur missile)
Recalculer l'estimateur et son intervalle de confiance
Montrer que la précision des résultats est améliorée
Mise en place: 1974; étendu en 83 à 40 tranches

fiche signalétique (Öclasses de matériels id.)
z
z
Caract techniques et historiques (mise en service, entretien)
Conditions de fct et environnement
1 fiche de fct./an: données de fct. (nb h, sollicitations)
fiches de défaillance

πA : coef d'ajustement à l'utilisation (contraintes sec.)
πQ : coef de qualité (de conception)
πn : coef d'ajustement (autres facteurs: cycles répétes)

133
1−
Données de sûreté - Exemple: SRDF d'EDF
λ=λb*πE*πA*πQ*πn , avec:
Calculer l'estimateur du taux de défaillance
Calculer l'intervalle de confiance de cet estimateur
χ 2 α (2 N f + 2 )
132
Données de sûreté - Modélisation de λ
On a poursuivi l'observation et on a recensé 14
défaillances sur 70 000 h de fonctionnement.
z

131
Une pop de pompes a subi 2 défaillances en 10 000 h.
z
taux de défaillance à la sollicitation (γ)
γ = P [ E refuse de changer d'état lorsque cela lui est
Données de sûreté - Intervalle de confiance

bien adaptée aux composants électroniques
+ composants électro-mécaniques si maintenance préventive
130
Exemple

Tests d'hypothèse
Données de sûreté - Intervalle de confiance

taux de défaillance à l’arrêt (λa)
1
λa = lim P[E défaille sur [t, t+Δt] sachant qu'elle
Δt → 0 Δ t
était à l’arrêt, en état de fct. sur [0,t] ]
Ö la variable aléatoire est-elle bien régie par cette loi ?
Test du χ²
MUT
λ̂

129
Loi log-normale: bien adaptée aux durées de réparation

taux de défaillance en fonctionnement (λ)
128
Hypothèse du taux de défaillance constant
Données insuffisantes pour vérifier d'autres lois
Courbe λ=f(t) "en baignoire" Ö durée de vie utile
Nr
Dr
⇒ MTBF ≅ MUT ≅ MTTF =
Relevé de données événementielles qui, traitées,
fourniront les paramètres de fiabilité recherchés
Choix d'une loi
N ds
Ns

demandé sous forme d'une sollicitation ]
Données de sûreté - Lois de proba des params.
Estimateurs des paramètres à taux de défaillance
et de réparation constants

au temps T
à la rième défaillance (r < nb composants)
mixte (durée + nb défaillances)
progressif (la décision dépend des résultats déjà obtenus)
Recueil en exploitation

Données de sûreté - Elaboration de données
Inaccessibilité
Nouveaux matériels
Paramètres de sûreté de fonctionnement:
Type des tests: plusieurs critères d'arrêt
z

Utilisation : observation en exploitation difficile
z
Taille
pop stat
Données de sûreté - Elaboration de données
z
z
134
rédigées sur incident et saisies en local
en moyenne 350 par tranche et par an
15
135
Données de sûreté - Exemple: SRDF d'EDF

Données de sûreté - Sources de données
Traitement de l'information

tests de cohérence, présence de l'info indispensable, ...
constitution de groupes de matériels identiques
requêtes possibles pour consulter les fichiers

Types de sources

z
z
z
obtention de paramètres statistiques
λˆ , γˆ , μˆ , indisponib ilité

z
136
CNET : abaques pour ts composants électroniques
NASA, NAVY Ö MIL HDBK
Plates-formes pétrolière Ö OREDA (λ, MDT)
Centrales nucléaires en GB (SYREL), USA (NPRDS),
Euope (ERDS), Scandinavie (ATV-System)
"Sûreté de fonctionnement des Σ industriels", A. Villemeur, Eyrolles, 1988
www.sudqualite.org/documents/encyclopedie/P/pieuvre.htm
z
www.innovsw.com/fmeafmeca.htm

Q/AMDEC/Analyse prév.
z
z
"L'AMDEC, un atout pour les PMI", Recueil de conférences CETIM, 1992
"Techniques d'analyse de la fiabilité des systèmes. Procédure AMDE", AFNOR
X60-150, CEI 812-1985
chaqual.free.fr/outils/amdec/methodologie.html
perso.wanadoo.fr/olivier.albenge/page_site/qualite/
www.gsip.cran.uhp-nancy.fr/desspai/dess_frame/confs/Exposes/leger/

MAC
z
"Les différentes méthodes d'analyse de sécurité dans la conception d'une
installation chimique - Analyse par l'arbre des causes", Cahier de sécurité n°3,
138
CP Chimie Promotion, 1981
z
z
z
Nucléaire: Evaluation Probabiliste de Risques (EPR)
IEEE: 150 000 comptes-rendus de maintenance analysés
(In-Plant Reliability Data System)
137
Ouvrages généraux
z
z
docs avec listes de données (domaine, obj spécifiques)
z
recherche de la loi stat la mieux adaptée pour
représenter la durée de vie d'équipements
limites d'un intervalle de confiance

banques de données (de fiabilité ou disponibilité)
z
Restitution des données

Bibliographie
16