Sûreté de fonctionnement des systèmes industriels

Transcription

Sommaire
Master Sciences et Technologies - Mention ASE - Spécialité
INFORMATIQUE INDUSTRIELLE DOUBLE COMPETENCE
Introduction aux méthodes

Historique
Principaux concepts

Sûreté de fonctionnement
des systèmes industriels
Analyse qualitative

Principales étapes de l'analyse prévisionnelle
Analyse fonctionnelle
Méthodes APD, AMDEC, MAC, MACQ, MDCC

Introduction à l'analyse quantitative

Bases mathématiques de la SdF
Données de SdF

Olivier LOSSON
2
Historique (1)

Historique (2)
Ere industrielle→ 1930s

Années 60
sys mécaniques, électricité, transport aérien
analyse intuitive de grandes catastrophes
durée de vie=celle du maillon le plus faible

étude des défaillances des composants & effets
concepts : fiabilité, maintenabilité
méthodes : diag. de succès, arbre des causes, AMDE
harmonisation et normalisation internationale (CEI)

Années 40-50
outils de l'ingénieur : fiabilité prévisionnelle
Fiabilité (∑) << Fiabilité (élément moyen)
amélioration de la Q
application : aéronautique & électronique militaires

Années 70-80
industrie nucléaire
pétrochimie, transports, traitement des eaux, logiciel
cercles de Q
Mais ... peu de grandes études de risques début 80

3
4
Principaux concepts - Fiabilité

Principaux concepts - Sûreté de fct.
Définition

Aptitude d'une entité à accomplir une fonction
requise, dans des conditions données, pendant une
durée donnée
Fiabilités
Aptitude d'une entité à satisfaire une ou plusieurs
fonctions requises dans des conditions données

z
z
z

Caractérisée par
Fiabilité
R(t)=P [ E non défaillante sur [0,t] ]
Disponibilité A(t)=P [E non défaillante à l'instant t]
Maintenabilité
M(t) = P [la maintenance de E est achevée au temps t]
= P [E est réparée sur [0,t] ]

opérationnelle (observée)
prévisionnelle (prédite)
extrapolée
Fiabilité et Q

Définition (sens strict)
Q = conformité à une spécification
Fiabilité = aptitude à conserver cette conformité
5
6
1
Principaux concepts - Composants et ∑
Principaux concepts - Sûreté de fct. (2)

Sécurité = P [E évite de faire apparaître, dans des conditions
données, des évts critiques/ catastrophiques]
Système = Ensemble déterminé d'élts discrets
(composants) interconnectés ou en interaction

Durabilité : Demeurer en état d'accomplir une
fonction dans des conditions d'utilisation et de
maintenance jusqu'à un état limite
Continuabilité : Aptitude d'un service, une fois
obtenu, à continuer d'être fourni pendant une durée
voulue
Servibilité :
Aptitude d'un service à être obtenu à la
demande d'un usager et à continuer d'être fourni pdt la
durée voulue

∑
Environnement
élém. S2
B
Système
élémentaire S1
C
Sous-Système
D
A
F
E
∑
Limites extérieures
Composants
Interface
élém. S3

Pièce ⊂ Composant ⊂ Sous-∑ ⊂ ∑ élémentaire ⊂ ∑
7
8
Principaux concepts - Caract. des ∑ (2)
Principaux concepts - Caractéristiques des ∑
n Fonctions

(missions)
q Conditions
Principales, secondaires, d° d'importance
surveillance (alarmes, inspection, tests, vérifs)
intervention (maintenance préventive, corrective)
spécifs techniques d'exploitation

o Structure
Composants (rôle, caractéristiques, performances)
relations (ex. connexions)
localisation

p Conditions
d'exploitation
r Environnement
autres ∑ élémentaires
opérateurs humains
environnement proprement dit (conditions ambiantes)

de fonctionnement
états
conditions de fonctionnement des composants
changements de configuration

Données précisées au fur et à mesure de la
conception ⇒ actualisation des analyses de sûreté
9
Principaux concepts - Défaillances

10
Principaux concepts - Défaillances (2), Panne
s Causes
= circonstances liées à la conception, la
fabrication ou l'emploi, ayant entraîné la défaillance
(par un mécanisme physique, chimique, …)
Défaillance = Cessation de l'aptitude d'une entité
à accomplir une fonction requise
Classification
z
n Rapidité
de manifestation
o Amplitude : déviation des caract. au-delà de limites
p Rapidité + amplitude
Précoce A taux constant D'usure
Taux de
q Date d'apparition défaillance
r Effets
Début
de vie
Période de vie
utile
Fin
de vie
z
z

Panne = Inaptitude d'une entité à accomplir une
fonction requise (résulte d'une défaillance)

t
11
défaillance première : résulte d'une cause interne à l'entité
défaillance seconde : résulte de la défaillance d'une autre
entité ayant entraîné des conditions excessives
défaillance de commande : résulte de signaux incorrects de
contrôle /commande
Classif : identique à celles des défaillances ou en
fonction de l'aptitude des pannes à être constatées
12
2
Analyse prévisionnelle - Analyse d'un ∑
Principaux concepts - Modes de défaillance

Mode de défaillance = Effet par lequel une
défaillance est observée

Difficulté de distinguer cause (en gal, défaillances des
pièces) et mode (traduction des effets sur les f°)

z

défaut n'entraîne pas forcément défaillance
toute défaillance conduit à un défaut
d'informations
Acquisition
investigation complémentaires
traitement
Modèle
du ∑
Modèle
final
Démarche inductive (particulier Ö général)

Défaut = Non-conformité à des objectifs ou clauses de
spécification
Relation défaut/défaillance

z
Acquisition
investigation
traitement
∑
réel
Défaut et défaillance

Principe
Etude des conséquences d'une défaillance sur le ∑ luimême ou son environnement
MdD Ö Causes possibles Ö Effets
Démarche déductive (général Ö particulier)

Partant d'un ∑ défaillant on en recherche les causes
13
14
Analyse prévisionnelle - Analyse d'un ∑ (2)

Analyse prévisionnelle - Principales étapes
Méthodes
nAnalyse
technique et
fonctionnelle
9 Analyse
Préliminaire des Dangers
9 Analyse des Modes de Défaillance et de leurs effets I
Méthode du Diagramme de Succès
I
Méthode de la Table de vérité
9 Méthode de l'Arbre des Causes
D
Méthode des Combinaisons de Pannes Résumées
I
9 Méthode de l'Arbre des Conséquences
I
9 Méthode du Diagramme Causes-Conséquences
Méthode de l'Espace des Etats
oAnalyse
pAnalyse
q
Modification du ∑
qualitative
quantitative
Révision du projet
Synthèses, conclusions
Non
Objectifs
remplis ?
Oui Fin de
l'étude
15
16
Analyse prévisionnelle - Démarche Q

Les 5 impératifs de la Q
INSATISFACTION :
n Conformité non spécifié et non

DEFAUT : non réalisé
réalisé
o Prévention
Etude qualitative - Initialisation
QUALITE PLUS :
réalisé mais non
spécifié
SUR-QUALITE :
spécifié mais non
demandé.
z

Inventaire de la documentation (animateur)

GASPILLAGE : réalisé mais non demandé
z
Définition des objectifs (animateur + demandeur)
poser le problème, délimiter le ∑ et l'étude
descriptif du groupe de travail, planning des réunions
DOUBLE ILLUSION : non
demandée et non réalisée

prospective (AMDEC)
corrective (Maîtrise Statistique de Procédé)
Cahier des charges, plans, dossier maintenance
Groupe de travail (6-7 pers)
animateur (garant de la méthode)
pilote (garant de l'aboutissement des actions)
représentants des services en relation avec le moyen
autres spécialistes

p Excellence : recherche continuelle de l'amélioration
q Mesure : pas de progrès sans mesure
r Responsabilité ⇒ implication
17
18
3
Analyse fonctionnelle - n Analyse externe
Analyse fonctionnelle - Introduction

Point d'entrée de toute analyse de Sûreté de fct.
Nombreuses méthodes
Trame commune:
n Analyse
z
z
z
z

fonctionnelle externe
phase 1.1 : définir le système
phase 1.2 : définir les fonctions
phase 1.3 : définir les phases
o Analyse
z
"boîte noire" & identification des caractéristiques
c Définir le ∑ (délimitation, interfaces)
d Définir les fonctions réalisées
e Définir les phases (=configurations d'emploi)
t
Appréhender le fc . interne du ∑

c Décomposition
arborescente
d Identification des flux
fonctionnelle interne
phase 2.1 : Décomposer
phase 2.2 : Identifier les flux
ª TAF
Conclusion : diagramme fonctionnel et/ou Tableau AF
(diagramme fonctionnel)
19
20
Analyse fct. externe - Analyse du besoin
Analyse fct. externe - Déf. des fonctions
Analyse concrète du besoin qui justifie le projet
ª Exprimer et satisfaire le besoin et rien que lui
Outil : la "bête à cornes"

Sur quoi
agit-il ?

FP = but des relations créées par le ∑ entre éléments
de son milieu d'utilisation
FC = contraintes imposées au ∑ par son milieu

A qui rendil service ?

∑

Validation du besoin
Dans quel but ?

Pourquoi existe-t-il ?
Quel évt. externe pourrait le faire évoluer/disparaître ?
Conclusions quant à sa validité
21
z
z

∑
22
visualiser les interactions des composants du ∑
z
z
les critères d'appréciation ou de valeur (Cv)
leurs niveaux = performance attendue du service
la flexibilité de chaque niveau de la part du demandeur
le taux d'échange associé (rapport acceptable prix/variation)
en vue de négocier une variation de perf. / besoin initial

z

entre eux
avec le milieu extérieur
En pratique: schématisation des "contacts"
z
numéroter chaque composant du ∑
matérialiser chaque liaison fonctionnelle par un trait
Etablissement du schéma de flux traversant le ∑
types : effort, matière, énergie, information, ...
contribuant aux FP, FC et fonctions techniques

Importance relative de chq serviceÖfuturs prestataires
ª Cahier
FP
Etablissement du bloc-diagramme

Hiérarchisation

Sur quoi
agit-il ?
Eléments
extérieurs
contraignants
pour chaque fonction de service, évaluer
z

Outil : la
"pieuvre"
Analyse fct. externe - Définition des flux
Qualification et quantification = critères
permettant de choisir une solution technique
z
Associent aux f° de service des solutions techniques
pressenties
FC
Analyse fct. externe - Déf. des fonctions (2)

Fonctions techniques

Fonctions de services
des Charges Fonctionnel (CdCF)
23
24
4
Analyse fct. externe - TAF

Analyse fct. externe - Exemple
Poignée1
Etablissemt du Tableau d'Analyse Fonctionnelle
Clip1
Vis1
Fonctions de base
Fonctions élémentaires
Fonctions de contact
Plaque1
Fonctions
techniques
FP1 FP2 FP3 FC1 S1 S2 S3 S4
Axe
Porte
Ecrou1
Ecrou2
8
8
Clip2
8
Poignée de porte
Plaque2
FP1
Poignée2
Fonctions de flux
8
Porte
8

Main
Vis2
Une 8 matérialise la participation de chaque fonction

élémentaire aux FP, FC et Fonctions techniques

FP2
Serrure
FP1=Permettre à la main de tirer/pousser la porte
FP2=Permettre à la main d'ouvrir la serrure
25
26
Analyse fct. externe - Exemple (3)

Main
Diverses méthodes
Flux ouverts
Flux 1
Cde serrure

PHA = Preliminary Hazard Analysis

Poignée1
Flux 2
Poussée porte
Plaque1
Clip1
Axe
Clip2
Poignée2
Serrure
Vis1
Vis2
Ecrou1
Ecrou2

Flux bouclés
(de conception)
MAC = Méthode de l'Arbre des Causes = Arbre des
défaillances / des défauts / des fautes
FAM/FTA = Fault/Failure Tree Method/Analysis

MACQ = Méthode de l'Arbre des Conséquences
ETM = Event Tree Method
Flux K1, K2
Serrage clips
sur poignées
Plaque2
AMDEC=Analyse des Modes de Défaillance, de leurs
Effets et de leur Criticité
FMECA = Failure Mode Effect and Criticality Analysis
Flux 3
Tirage porte

APD = Analyse Préliminaire des Dangers

MDCC = Méthode du Diagramme Causes/Conséquences
CCD = Cause-Consequence Diagrams
Porte
27
28
Analyse Préliminaire des Dangers

AMDE - Intro
Principe

Objectifs:
z
z

Identifier les dangers et leurs causes
Evaluer la gravité des accidents potentiels

ª Actions
correctrices pour éliminer/maîtriser les dangers
Moyens: expériences des ingénieurs, listes-guides

ª
ª
Système ou fonction Ö ensemble étudié
Phase Ö mode d'utilisation pdt laquelle il peut y avoir danger
Entités dangereuses
Situations dangereuses
Accidents potentiels

USA, début années 60 (aérospatial)
aéronautique, nucléaire, puis chimie, automobile, …
Méthodes dérivées

Etapes

Historique & utilisation
AMDEC
HAZOP (Hazard & Operability Study): adaptation aux
circuits thermo-hydrauliques
Définition
Technique d’analyse prévisionnelle, formalisée et rigoureuse,
visant à étudier et maîtriser les risques de défaillance d'un produit,
d'un processus ou d'un service, afin d'améliorer sa fiabilité
29
30
5
AMDE - Intro (2)

AMDE - Principe
Buts

Conception : atteindre un bon niveau de fiabilité
Expertise : améliorer fiabilité et/ou disponibilité
Exploiter infos pour préparer la doc. et la maintenance
Causes
Méthode inductive
Synoptique

Inductif
Principe

Effets
Niveau
composant
Déductif
Niveau
système
Une AMDE est réalisée
dans un état de fct
donné du ∑ (phase)
Démarche générale
étude de la probabilité de survenir des défaillances
évaluation des conséquences sur les fonctions
identification des modes de défaillance majeurs

Définition du ∑,
de ses fonctions
et composants
Aspect préventif : 2 démarches
Top-down
Bottom-up

Etablissement
des modes de
défaillances des
composants, et
de leurs causes
Etude des
effets des
modes de
défaillance des
composants
Conclusions
Recommandat°
31
32
AMDE - Détail des étapes 1 et 2

AMDE - Modes de défaillances (MdD)
En amont : analyse fonctionnelle
décomposition du ∑
définition des limites fonctionnelles
spécifs relatives au fct., composants, environnement

Essais de
fiabilité,
tests, ...
Recenser et caractériser les états de fct. du ∑

Prise en compte de
l'état de fct du ∑
Expérience
d'exploitation
Recensement
des MdD
potentiels
1ère liste de
MdD retenue
pour l'analyse
Causes
(int/ext) de
défaillance
MdD et leurs
causes retenues
pour l'analyse
Analyse
prévisionnelle
de sûreté
Une AMDE par état de fct (ou phase)

Etablir les MdD "Effets par lesquels une défail. est observée"
Considérer
L'utilisation du composant
La classification des principaux MdD
La liste-guide des MdD génériques (cf. diapo suivante)
Dépend de l'état de fonctionnement considéré !!

Pour chaque composant du ∑
Dans l'état de fct. étudié
Etablir les causes possibles pour chaque MdD

33
34
AMDE - Liste-guide des MdD génériques
1. Défaillance structurelle (rupture)
2. Blocage physique (coincement)
3. Vibrations
4. Ne reste pas en position
5. Ne s'ouvre pas
6. Ne se ferme pas
7. Défaillance en position ouverte
8. Défaillance en position fermée
9. Fuite interne
10. Fuite externe
11. Dépasse la limite > tolérée
12. En-dessous de la limite < tolérée
13. Fonctionnement intempestif
14. Fonctionnement intermittent
15. Fonctionnement irrégulier
16. Indication erronée
17. Ecoulement réduit
AMDE - Causes de défaillances
18. Mise en marche erronée
19. Ne s'arrête pas
20. Ne démarre pas
21. Ne commute pas
22. Fonctionnement prématuré
23. Fonctionnement après délai
prévu (retard)
24. Entrée erronée (augmentation)
25. Entrée erronée (diminution)
26. Sortie erronée (augmentation)
27. Sortie erronée (diminution)
28. Perte de l'entrée
29. Perte de la sortie
30. Court-circuit (électrique)
31. Circuit ouvert (électrique)
32. Fuite (électrique)
33. Autres conditions de défaillance
Effets: fct
anormaux composant1
MdD Composant1
(PR globales)
Décomp
en parties
Compos1
Effets: fct
anormaux C2
Causes externes
(PR externes)
Causes internes
(PR internes)
Partie composant1
MdD
Comp2
Causes
internes
MdD de chaque
partie du composant1
35
Causes
externes
MdD de chaque
partie du C2
Etude composant1
36
6
AMDE - Effets des MdD et conclusions

Etude des effets de chaque MdD

AMDEC - Principe

systématique, complète, en considérant le MdD seul
Généralités

Conclusions, recommandations

z
recensement des MdD suivant l'ampleur de leurs effets
procédures de détection (alarmes, ...) et maintenance

z

Projet :
Système :
Documents de référence :
Identif
F°, MdD
composant états
NASA (LEM)
Nbx autres domaines : Toyota, Renault
Principe
Rechercher les éléments ou opérations critiques
Hiérarchiser les défaillances

Causes Effets Effets Moyens Fréquence Obserpossibles sur ∑ sur ∑
de
inspections vations
d'une
externes détection ou essais
défaillance

Démarche
Proba d'occurrence de chaque MdD
Classe de gravité des effets de ces défaillances

37
AMDEC - Calcul de la criticité

Extension de l'AMDE
Utilisation
AMDEC - Calcul de la criticité (2)
Niveau général de risque

= Indice de Priorité de Risque (IPR) (=seuil de criticité DOS)
Grille d'analyse de la criticité (Criticality Analysis)
P ro b a (F ré q )
G ra v ité
IPR = F × G ou IPR = F × G × D
Très
faible
Faible
Moyenne
ª Critère
de sélection des risques
ª Solutions correctives
Zone non acceptable
Zone acceptable
39
40
AMDEC - Conclusions
AMDEC - Conclusions (2)
Partition des composants

C = F x G x D ou D x O x S
C<R
R<C<S
C>S

Forte
Classe I
(Effets mineurs)
Classe II
(Effets significatifs)
Classe III
(Effets critiques)
Classe IV
(Effets catastrophiques)
Fréquence
Gravité
Non-Détectabilité
Définition Proba d'occurrence Niveau de
Proba que la cause
de la défaillance
conséquence et/ou le MdD atteigne
l'utilisateur
Evaluation Probas/Indices
Indices
Probas/Indices

38
Liste par Effets de Défaillance (LED)

Aucun problème, R.A.S.
⇒ Maintenance corrective
Acceptable mais
⇒ surveillance particulière
+ maintenance préventive/conditionnelle
Remise en cause complète de l'étude
⇒ Nouvelle étude (amélioratif)
pour un effet donné, rechercher
z
z

intérêt : définir
z
z

Liste des Articles Critiques (LAC)
toutes les causes
les composants associés
les opérations de maintenance corrective
la doc système
Tableaux AMDEC
Dispositif de remplacement
Maintenance préventive
Moyens de détection

partition : criticité inacceptable
nouvelle étude pour réduire F ou G

41
42
7
AMDEC - Utilisation

Réalisation

AMDEC - Progiciels
Nom
∑ en cours de développement ou déjà opérationnel
Exploitation
justification d'un niveau de fiabilité/d'une architecture
assistance à la maintenance, rédaction des docs

Familles d'AMDEC
produit/projet : phase de conception du pdt
produit/procédé : défaillance du pdt dues au processus
moyen : machines, installations Ö "0 défaut, 0 panne"

Type
AMDAO
AMIDEC
FIABEX
FMECA
FMECA Processus
GAMDEC
LARA
Q-PAK
RELEX AMDEC
RELIASEP
SAFAD
SOFIA
AMDEC - Sofia
Complément par d'autres méthodes (MCPR)
Concepteur
AMDEC
AF + AMDEC
AF + AMDEC
AMDEC Produit
AMDEC Procédé
AMDEC
AMDEC
AF + AMDEC
AMDEC Produit
AF + AMDEC
AF + AMDEC
Produit, procédé
AF
AMDEC
Renault SA (F)
Calladan (F)
CEP Systèmes (F)
ALD Ltd (Israël)
Europe Qualité Services (F)
Gamma Systèmes (F)
Serete Productique (F)
Oscar Software Ltd (UK)
ISD (USA)
SEP (F)
Raisonnance SA (F)
Sofreten (F)
Sofreten (F)
43
44
Analyse qualitative - Résumé
AMDEC - Exemple
Déf du ∑

Initialisation
Sous-systèmes étudiés
Déf des f°
CdCf (Fp,Fc, Cv)
AF
Roller in line
Tige
Conception
Solution optimisée
en coût
Q technique
AV
Q économique
Bloc-diagramme
TAF
AMDEC
Solution
fiabilisée
Solution fiable
et optimale
Soft Collier Berceau

Calcul des IPR
Déterm. d'actions
correctives
Liaison tige/châssis
46
AMDEC - Exemple : analyse fct. (2)

Sur quoi
agit-il ?
Définition des fonctions
Outil : la "Pieuvre"
Infrastructure
Patineur
Environnement
Ambiance
agressif
thermique
FP2
FP3
FP1
Oeil
Dans quel but ?
Pied du
patineur
ROLLER in LINE
FC3
ROLLER in LINE
Se déplacer
Liaison châssis/roues
45
Analyse du besoin
Outil : la "bête à cornes"
Infrastructure
Roue/Roulements/Freins
Id. des causes
perturbant les f°
AMDEC - Exemple : analyse fonctionnelle

Châssis
(2 flasques)
FC2
Environnement
sensible
FC1
Eléments
agressifs
FP1. Permettre au pied du patineur de rouler sur l'infrastructure
FC1. Fonctionner malgré l'action d'éléments agressifs
Se déplacer sur l'infrastructure pour le patineur
47
48
8
AMDEC - Exemple : Calcul de la criticité
AMDEC - Exemple : Calcul de la criticité (2)
Niveau de Gravité (pour le client final)

Classes
Critères pour le client
Exemples
Majeur
Critique
Pb de sécurité sans avertissement
- Manque sécu/risque d'accident
- Retour ponctuels produit
- Risque de recall / de procès
Pb de sécurité avec avertissement
- Manque sécu/risque d'accident
- Utilisation impossible du pdt
- Retour ponctuels produit
- Risque de recall / de procès
Effet grave
- Réduct° importante utilisation pdt
(confort, commodité, perf.)
- Remet en cause l'image de marque
& désir d'achat
- Retour ponctuel pdt/risque recall
Note
-
Axe d'articulation pas riveté
Casse berceau
Perte du patin de frein
Perte ou casse roue
Casse broche BdJ
Dévissage liaison
tige/chassis
5
-
Casse crochetAvP
Casse crochet PcT
Plis important chausson
Usure prématurée pdt
(dégradation rapide)
3
Niveau de Gravité (suite)
Classes
4
Effet mineur
- Affecte pas/peu l'utilisation du pdt
- Dégradat° rapide de l'esthétique
- Image de marque ternie
- Mécontement du client pas
forcément exprimé
- Pas de retour
Effet infime
- Difficile à détecter par le client en
magasin
- Pas de retour
Mineur

Exemples
Note
- Réglage crochets difficile
- Jaunissement des pièces
- Corrosion
2
- Petits rayures
- Légère différence de teintes
1
49
50
AMDEC - Exemple : Calcul de la criticité (3)
AMDEC - Exemple : Tableau d'analyse
Composant
Niveau de Fréquence (pour le client final)

Mineur
Majeur
Critique
Classes
Fréquence
Excessif
- Très nbx incidents clientèle
- Plainte des clients
Très fréquent
- Bcp d'apparitions en clientèle
- Plainte des clients
Fréquent
- Qq apparitions en clientèle
- Début de l'alerte
Rare
- Très faible apparition
- Pas de remontée clientèle
Peu probable
- Pas d'apparition en clientèle
F > 5%
1% < F < 5%
0,5% < F < 1%
F < 1% par modèle sur 3 ans
F ≤ 0,5% par ligne de pdt sur 3 ans
F < 0,05%
Note
5
MdD
Effets
Transmission • dégradation
défaillante du - performance
Flux de
- confort
puissance
Soft
Transmission • pb potentiel de
défaillante du
sécurité du patineur
ΦP
• dégradation
- performance
• pb potentiel de
Berceau
Transmission • pb potentiel de
défaillante du
ΦP
Liaison
Soft/Collier défaillante du - performance
- confort
ΦP
Liaison
Soft/Berceau défaillante du - performance
- confort
ΦP
Collier
4
3
2
1
Criticité
FxG
2*3=6
4*3=12
4*3=12
4*3=12
4*3=12
1*5=5
2*3=6
Causes
Actions
défaillance
corr.
déchirure mat. - chgt
couture
matériau
passants
lacets
clous
casse
- renforcer
sangle
- casse
2*4=8
- crochets
1*5=5
2*3=6
- casse
- strap PCT
- rivets
- coutures
2*3=6
2*3=6
- écrou de
liaison châssis
- rivets
-
- rempl.
crochet
- revoir
sys
fixation
- couture
suppl.
51
52
AMDEC - Exemple2 : Calcul de la criticité

AMDEC - HAZOP
SdF d'une gare SNCF
Gravité G
Mort d’homme / dégâts
matériels considérables
(coût>2 M?)
Blessé grave / dégâts
matériels T importants
(500 k?< coût <2 M?)
Blessé léger / dégâts
matériels importants
(20 k?<coût <500 k?)
Dégâts matériels non
négligeables
(2 k?<coût<20 k?)
Dégâts matériels
mineurs
(500<coût<2 k?)

Fréquence F
Maîtrise
Note
< une semaine
Pas d’action possible
10
< un mois
Pas de maîtrise connue
8
< une année
Maîtrise non garantie
6
< 10 ans
Maîtrise moyenne
4
>10 ans
Bonne maîtrise
2
Adaptée aux ∑ thermo-hydrauliques

grandeurs : débit, pression, courant, température,...
Absence
Guide
word
NONE
MORE
Excès de
/val nominale
Manque de LESS
Partie de
(flux incomplet)
Impuretés,
autres phases
Hors fct normal
53
Deviation
Possible Csq Action
causes
required
No flow
More flow
More pressure
More temperature
Less flow
Less temperature
High water concentration or
stream
Organi acids presence
OF
PART
OF
MORE
THAN
OTHER Maintenance
54
9
AMDEC - HAZOP (2)

Avantages

z

Formalisation a posteriori des connaissances expertes

z
Définition
Principe
déterminer les diverses combinaisons possibles d'évts
qui entraînent la réalisation d'un évt indésirable
représenter graphiquement ces combinaisons au
moyen d'une structure arborescente

difficultés d'affecter à chaque "mot-guide"
z
Bell Telephone (1962), formalisation : Boeing (1965)
Auj.: méthode d'analyse de SdF la plus utilisée
Méthode logique destinée à analyser les causes possibles
d'un événement redouté afin d'en limiter la probabilité
(pression, température, débit, niveau, …)
Inconvénients

Historique

des évolutions cinétiques
des causalités
Utilisation de mesures de variables de conduite
z

étude qualitative et quasi-exhaustive
z

MAC - Introduction
une portion délimitée du ∑
des causes de défaillance
55
56
MAC - Introduction (2)

Objectif

MAC - Concepts de base - Evt indésirable

réduire la probabilité d'occurrence de l'évt indésirable
but de l'analyse: en déterminer toutes les causes
sommet de l'arbre

Méthode déductive
? causes d'un événement indésirable potentiel
? causes d’un accident qui s’est déjà produit

Généralités
Nature
évt catastrophique
indisponibilité de ∑ Ùsécurité/dispo d'une installation

Etapes de mise en œuvre
définition de l'évt indésirable
examen du ∑ en cause
construction de l'arbre
exploitation de l'arbre

Définition
résultant en général d'une APD
précise et ciblée, pour obtenir un arbre exploitable
(en fonction de la phase d'utilisation)

57
MAC - Concepts de base - Arbre des causes

58
MAC - Concepts de base - Portes logiques
L'arbre des causes

z
E1
z
z
matérielles
humaines
défauts logiciels, …
E1
niveau des évts élémentaires (= "de base")
z
z
z
non décomposables en évts plus simples
indépendants entre eux
leur proba d'occurrence peut être estimée/calculée
E2
E2
Porte
OU
2/4
E1 E2 E3 E4
Porte
COMBINAISON
m/n
E1 avant E2
E1 avant E2
Porte OU
avec
condition
E2
S
E1
E3
S
59
E1
E3
S
évts=défauts associés à des défaillances
z

chq évt est généré à partir des évts du niveau inférieur
par l'intermédiaire de divers opérateurs (ou portes) logiques
Porte ET
avec
condition
S
niveaux successifs tels que
z

Porte
ET
S
E2
Porte SI
S
x
E1
60
10
MAC - Concepts de base - Evénements
Cercle
Evt élémentaire ne
nécessitant pas de
développement futur
Evt qui ne peut être
considéré comme
élémentaire, mais dont les
Losange causes ne sont et ne seront
pas développées
Résulte de la combinaison
d'autres évts par
l'intermédiaire d'une porte
logique
Rectangle
Ovale
Double
losange
MAC - Concepts de base - Evts de base
Evt conditionnel qui
peut être utilisé
avec certaines
portes logiques
Evt dont les causes
ne sont ne sont pas
développées mais le
seront
ultérieurement
Evt qui correspond
à un fct. normal du
∑ (P=1)

z

62
MAC - Construire l'arbre - Causes INS

Partir de l'évt indésirable
En rechercher les causes immédiates, puis "remonter"
A l'aide des params & lois physiques Pas de signal
d'entrée pour E
B
A
Ö
Défaillance
1ère de D
Pas de signal Pas de signal
de sortie de D d'entrée pr D
Pas de signal
d'entrée pr D
Pas de signal Pas de signal
de sortie de B de sortie de64C
MAC - Construire l'arbre - Evts intermédiaires
Définition évt
intermédiaire Ei1
Obtention des évts de base

E
Pas de signal
d'entrée pour E
Recherche causes INS Ö évts intermédiaires Ei
Classement: 3 classes
Défaillance d'un composant
Déf.
D
C
MAC - Construire l'arbre - Classement des Ei
2nde
Recherche des causes INS

63
Déf.
1ère
Critères déterminant le niveau de détail de l'analyse
61
Principes
Ei=évt de base
Ei=défaut de composant
évt survenant normalement pdt le fct. du ∑…..
objectifs de l'étude
avancement de la conception du ∑
connaissance des composants et de leurs MdD
Recherche des causes immédiates, nécessaires et
suffisantes (INS)
Classement des événements intermédiaires
Analyse des défauts de composants
Recherche des causes INS des évts intermédiaires
jusqu'à n'obtenir que des évts de base
Démarche itérative
Autres règles

par choix (du ∑ étudié)
par manque de renseignements

ex. défaillance première, erreur humaine élémentaire
évts correspondant à une limite de l'étude…..
z
MAC - Construction de l'arbre des causes

évt élémentaire ……………………………...
z
Maison
Une partie semblable, mais
La partie de l'arbre qui
non identique à celle qui
suit le 2ème symbole est
suit le 2ème symbole est
transférée à
Triangle
Triangle
l'emplacement du 1er
transférée
à l'emplact du 1er
inversé
Différents types
Déf. de cde
Ei="défaut du système"
plusieurs composants responsables
ou évt de base + défaut de composant
⇒ recherche causes INS Ö évts interm. liés par portes logiques
z
oui
Ei1=évt de
base ?
non
oui E 1=défaut de
i
non
composant ?
Recherche de la
défaillance 1ère
Recherche des
défaillances 2ndes
Recherche des
défaillances de cde
Ei1 est un
défaut du ∑
Recherche des
causes INS
z
65
Déf des évts intermédiaires
Ei2 liés par des portes logiques
66
11
MAC - Construire l'arbre - Autres règles

MAC - Construire l'arbre - Aide de l'AMDEC
Garder en tête que:

l'existence simultanée de 2 défaillances ne peut
conduire à un fct. du ∑ !
il faut bien compléter les évts d'entrée d'une porte
avant d'examiner ceux-ci
une porte logique ne doit pas être directement
connectée à une autre porte
les causes sont antérieures aux conséquences
A chaque niveau de décomposition

Com- F° Mode de Cause Effet Détect° G F N Criticité
posant
défaillance
Défaillance
ª élimination
ª facilite
Effet
AMDEC
de certaines branches
la résolution des ∑ "bouclés"

Evite les oublis
Simplifie l'analyse des causes
Cause2
Cause1
67
68
MAC - Réduction de l'arbre

Coupe (ou chemin)

MAC - Réduction de l'arbre (2)
F
F
ensemble d'évts entraînant l'évt indésirable
Coupe minimale (ou chemin critique)
plus petite combinaison d'évts ⇒ évt indésirable
(l'un ne se produit pas ⇒ l'évt indésirable non plus)
correspond à un "maillon faible" du ∑

E1
Ö
E2
réduction
A
Recherche
C
E3
C
E5
E4
A
transformer l'arbre en expression boolénne
rechercher l'expression réduite (ex. Karnaugh)
B

F = C1 + C2 + " + Cn
avec
B
Coupes mini = Ci = Bi1.Bi2 .". Bimi
C
A
B
F = (A+B+C).[C+(A.B)]
= A.C+B.C+C+A.B+A.B+C.A.B
= C+A.B
69
70
MAC - Exploitation de l'arbre (1)

MAC - Exploitation de l'arbre (2)
Analyse qualitative

Règles de combinaison (∑ irréparable)
logique des défaillances, pts faibles de la conception
actions
F

z
z

sur conception, moyens de ctrl, de régulation, de sécurité
pour introduire le plus possible de portes ET
B1
Analyse semi-quantitative
F
B2
P[F]=P[B1]+P[B2]-P[B1].P[B2]
obtention difficile des probas des évts de base
classement par niveaux de probas
calcul de la proba de l'évt indésirable
ª Action sur les évts de base les plus influents

B1
B2
P[F]= P[B1].P[B2]
Analyse quantitative
proba Ù indisponibilité composants a(t)
simulation informatique

critiques (conduisent le + fréqt à l'évt indésirable)
ª évts les + influents (sensibilité à la variation de proba)
ª chemins
71
72
12
MAC - Exemple - Définition du ∑
MAC - Exemple - Evt indésirable, examen ∑
utilisation dégazage

Production
PAH
TP
Evt indésirable

membrane

NAH
soupape
Examen du ∑

Purification
Séchage
Réservoir de stockage
de gaz liquéfié toxique
fuite de produit à partir du stockage (sauf soupape)
APD + Etude sur Schéma de Circulation des Fluides
Ö contaminants indésirables
z
solution
neutralisante
z

Condensation
systèmes de sécurité
z
z
WAH
Exemple: déchirure de
l'enveloppe du stockage
Surpression >
limite élastique
Accu suffisante de
contaminant réactif
Surcharge gaz
dans stockage
z
eau: séchage et contrôle humidité
gaz: garde hydraulique + dégazage
ouvrier contrôlant l'unité de condensation+stockage
73
74
déchirure
enveloppe
MAC - Exemple - Arbre

Pesée continue
eau: corrosion acier en présence du produit
un gaz: réaction violente avec le produit
MAC - Exemple - Exploitation de l'arbre
Impact
corps
ext.

Exploitation semi-quantitative
6 niveaux de probas (1..6)
règles simplifiées pour P[F]

T° trop
élevée
F
Défaill.
PAH
Défaill.
opérateur
Blocage
soupape
pos.
fermée
Panne
PAH
Défaill. ∑
de ctrl
Défaill. Incident Défaill.
dégazage unité de garde
perm.
cond. hydrau.
NAH
Pesée
en panne en panne
B1
B2
B1
B2
sup(P[B1],P[B2]) min(P[B1],P[B2])-1

F
B1 B2 B3
B'1
B3
min(min(P[B1],P[B2])-1,P[B3])-1
Résultat: événement final indésirable de niveau 1
(extrêment rare)
75
76
MACQ - Introduction

F
Ö
Source Soupape
chaleur inopéran
ext.
te
Blocage Défaill. ∑
vanne pos de mesure
fermée
F
MACQ - Séquence d'évts
Domaine privilégié : nucléaire

complexité des ∑ élémentaires
nombreuses interactions, redondances fonctionnelles
⇒ nécessité d'une approche systématique
Séquences d'évts
évt initiateur
succession de défaillances conduisant à des csq
acceptables ou non ≡ "séquence (in)acceptable"
Association ∑ élémentaires Ù "évts génériques"

Ex.
R u p t u r e d 'u n e
tu y a u te r ie
p rim a ire (A )
M iss io n d u ∑
d e s a lim
é le c tr iq u e s ( B )
M iss io n d u ∑
d 'i n j e c t i o n d e
s é c u r ité ( C )
Séquences
n°1-accident maîtrisé
succès
échec
77
évt
initiateur
n°2-fusion du cœur
séq. irréaliste
78
13
MACQ - Problèmes posés

MACQ - Etapes 1 et 2
n Définition
Etude quantitative : à chq séquence on associe
une probabilité
une conséquence (quantité de pdt radioactif relâché)

des f° de sûreté
F° de sûreté
Ctrl de réactivité
Refroidissement du cœur
Ctrl du débit d'eau du CP
Ctrl de la P en eau du CP
Refroidissement du fluide
Isolement de l'enceinte
Ctrl de la teneur en H
Problèmes: comment
définir l'évt initiateur
recenser tous les évts initiateurs possibles
élaborer l'arbre des conséquences
définir les évts génériques
éliminer les incohérences pour réduire l'arbre

o Définition
Objectifs
arrêt du réacteur pour réduire la p° de chaleur
transférer la chaleur du cœur au fluide primaire
maintenir un débit suffisant pour refroidir le cœur
maintenir une P suffisante
extraire la chaleur du fluide primaire
éviter les relâchements de produits radioactifs
éviter les explosions liées à la présence d'H2 ds l'enceinte
des évts initiateurs
évaluation technologique
et/ou arbre des causes

Regroupement par f° de sécurité
79
80
MACQ - Etape 3

MACQ - Etape 4
Arbre des conséquences "fonctions"

Chaque fonction Ù 1/plusieurs ∑ élémentaire(s)
Dans l'arbre précédent, remplacer les fonctions par les
∑ de sûreté correspondants
pour chaque évt initiateur
évts génériques : perte des ≠ fonctions de sûreté

Aides
considérer la chronologie d'intervention des ∑ de sûreté
élimination des séquences incohérentes

z

Ex.
Arbre des conséquences "systèmes"

Ordre des évts génériques

Ex. séquences fonctionnelles : déf(F1) ⇒ déf(F2)
Pourquoi revoir cet ordre ?
z
z
R up ture tu yau terie
p rim aire
succès
échec
F° d 'injectio n
de sécurité
F° d'a spersion de
l'e nceinte
évt
initiateur
S équences

n°1
n°2
n°3
n°4
Facteurs à considérer
z
z
z
81
Nb interactions entre f° de sûreté, entre ∑
∑ accomplissant plusieurs f° de sûreté
temps
interactions fonctionnelles
interactions entre ∑ élémentaires
MACQ - Exemple

MACQ - Etape 5 (1)
∑ associés aux fonctions de sûreté considérées
+
+

Réduction de l'arbre

réservoir commun
∑ auxiliaire (alims électriques)
but: simplifier le calcul des probas des séquences
n Pertinence

Rupture
Mission du
Mission du Mission du Mission du ∑
tuyauterie
réservoir
∑ des alims ∑ d'injection d'aspersion de
primaire commun aux 2 ∑ électriques de sécurité
l'enceinte

Séquences
z
z
z
échec
83
du nombre d'évts génériques
n évts génériques à 2 états Ù nombre de séquences
considérer

évt
initiateur
des ∑ élémentaires
? sens physique des combinaisons
? cohérence avec les états considérés précédemment
o Réduction
n°1-accidents maîtrisés
n°2-rejets limités
succès
82
temps (ordonnancement des évts génériques)
interactions (incompatibilité & dépendances) fonctionnelles
interactions entre ∑
84
14
MACQ - Etape 5 (2)
p Obtention
z
z
z
z
MACQ - Etape 5 (3)
Echec mission ∑ 1
de séq. minimales par réduction booléenne
arbres des causes des évts indésirables
en rechercher les "coupes minimales"
introduire les évts de causes communes en tant qu'évts
génériques dans un nouvel arbre de conséquences
construire cet arbre en incluant les réductions booléennes
A
B
Evt initiateur
Ex.
Evt initiateur Mission du ∑ 1 Mission du ∑ 2
succès
échec
Evt A
D
E
Evt F
F
A
F
Mission du ∑ 1 Mission du ∑ 2
Séquences
n°1- séquence α
n°2- séquence β
n°3- séquence γ
n°4- séquence δ
évt
initiateur
C
Echec mission∑ 2
Seq. inacceptable
succès
évt
échec initiateur
β = β1 + β2
δ = δ1 + δ2 + δ3 + δ4
G
Séquences
δ1
β1
δ2
δ3
α
β2
γ
δ4
85
86
MACQ - Résumé

MDCC - Introduction
Résumé de la démarche

Historique
Riso (Danemark), formalisée par Nielsen & Taylor
champ d'application : surtout centrales nucléaires

Recueil
infos
- retour exploit.
- accidents de
dimensionnt
Arbre des
causes des évts
indésirables
Sélection
évts
initiateurs
Etude évts
indésirables au
niveau des ∑
élémentaires

Principe : combiner
la MAC (analyse déductive)
et la MACQ (analyse inductive)

Déf. f°
de sûreté
Arbre
"fonctions"
Arbre
" ∑"
Arbre réduit
-séq. d'évts
-quantification
⇒2
parties

"causes" = 1/plusieurs évts "sommets" (indésirables)
z

symboles : identiques à MAC
"conséquences" = csq. lorsque se réalisent ces évts
87
88
MDCC - Symboles

MDCC - Elaboration du diagramme
n Sélection
Symboles spécifiques (partie "conséquences")
Symbole
Sortie
Oui Non
Nom
Porte
"oui-non"
Condition
Entrée
Sortie
Sortie
D
ou
D
Entrée
Opérateur
"retard"
Signification
- L’évt de sortie est "oui" si la
condition est remplie, "non" sinon
- Un arbre des causes du non-respect
de la condition peut être développé
en parallèle
L’évt de sortie se réalise un temps D
après celui d’entrée
lié à des défaillances de composants ou sous-∑
ª évt "sommet" de l'analyse

des causes Ö MAC (évt indésirable)
p Recherche des conséquences
o Recherche

Entrée
NON
Entrée
en tenant compte
z
Evénement Décrit les csq d’une combinaison
"conséquence" d’évts (fin de branche du diagramme)
Entrée
Sortie
d'un évt initiateur (ou critique)
z
Opérateur de L’évt de sortie est le complément de
complémen- celui de l’entrée
tarité
z

89
des actions de sécurité (auto/manuelles) qui peuvent être
sollicitées et de leurs défaillances possibles
des défaillances d'autres composants, sous-∑
d'évts extérieurs
en s'inspirant de la construction des séquences MACQ
90
15
MDCC - Elaboration du diagramme (2)
q DCC
MDCC - Elaboration du diagramme (3)
et coupes minimales

Etapes précédentes sur tous les évts "sommets"
de DCC Ù toutes combinaisons (=coupes,
=séquences) d'évts pouvant ⇒ les évts indésirables
Réduction des AC Ö coupes minimales

Csqs
Forme
générale
MAC
Sélection
d'1/+ évt
initiateur
Recherche
causes
d'un évt
initiateur
Règles
d'élaboration de
l'ACQ
MAC
Recherche
csq de
l'évt
initiateur
Recherche
causes des
évts intermédiaires
Règles
d'élaboration de
l'ACQ
Recherche
csq des
évts intermédiaires
D
Oui Non
Condition
Résumé
Aide de:
-APD
-AMDE
-MCPR
Csqs
Non Oui
Condition
ª ensemble

Csqs
D
Evt
initiateur
Evt. intermédiaire
Obtention
des csq
"sommets"
DCC
91
92
MDCC - Exemple
La lampe
s'allume
MDCC - Conclusion
La lampe ne
s'allume pas

Liens avec les autres méthodes

Oui Non
Le courant
traverse le
filament
AMDEC Ö aide à définir les évts initiateurs
MAC Ö
z
z
Fil
débranché
Batterie
déchargée
Fusible
ouvert

Lampe
grillée
MACQ: similitudes
z
z
Oui Non
Le circuit
se ferme
z
Bouton poussoir
Batterie
Lampe

BP
bloqué
Intérêt et utilisation
Analyser des ∑ d'ampleur limitée ou à fct séquentiel
Visualiser l'ordre chronologique d'apparition des évts
Fusible
Fil
93
Exemple - Présentation
Bouton poussoir (BP)
Batterie
Fusible
Relais
BP
M
A
Moteur

MdD
Evt indésirable (APD) = surchauffe fil AB
Hypothèses
Fusible
fct prolongé du M ⇒ court-circuit ⇒ destruction
court-circuit ⇒ contact reste collé, même si désexcité
sources d'énergies (+défaillances) non prises en compte
- défaillance première (méca.)
- le contact du BP
reste collé
- défaillance première (méca.)
- l’opérateur ne relâche par le
BP (err. hum.)
- le fusible ne fond
pas
- le moteur ne
tourne pas

Moteur
95
Causes possibles
- le BP est bloqué
- le contact du
relais reste ouvert
- le contact du
Relais
relais reste collé
B
Fil

94
Exemple - AMDE simplifié
Comp
.
Commande à distance d'un moteur à cc
Batterie
porte OUI-NON Ù succès ou échec
combinaisons d'évts Ù séquences
définition identique de l'évt initiateur

L'opérateur
appuie sur
le BP

causes de l'évt initiateur
causes du (non-)respect d'une condition liée à une porte O/N
- court-circuit
Effets sur le ∑
- perte de la f° du ∑ : le moteur
ne tourne pas
- le moteur tourne pdt un temps
trop long, d’où court-circuit du
moteur, apparition d’un courant
élevé et fusion du fusible
ne tourne pas
trop long, d’où court-circuit du
moteur, apparition d’un courant
élevé et fusion du fusible
- en cas de court-circuit, le
fusible n’ouvre pas le circuit
- défaillance première
(mécanique)
(mécanique)
- un courant élevé traverse le
contact
- l’opérateur a surdimensionné
le fusible (err. hum.)
- le BP est bloqué
ne tourne pas
- le contact du relais reste ouvert
- le court-circuit du moteur ⇒
courant élevé+ fusion fusible; le
trop long
contact du relais reste collé
96
16
Exemple - MAC
Exemple - MAC (2)
Surchauffe
fil AB

Court-circuit du
moteur
Surchauffe
fil AB
Réduction de
l'arbre
Court-circuit du
moteur
Le 2ème circuit
est resté fermé
Le 2ème circuit
est resté fermé
D
Le contact du
relais reste collé
Le contact du
relais reste collé
Déf.
première
Le fusible n'ouvre
pas le circuit
Le contact du
relais reste collé
A
Le contact du
BP reste collé
Déf.
première
Court-circuit
du moteur
Déf.
première
Le contact du
BP reste collé
L'opérateur
a surdim. le
fusible
Le contact du
BP reste collé
Déf.
première
Le contact du
relais reste collé
Déf.
première
Bp
Le fusible n'ouvre
pas le circuit
Cp
Déf.
première
Court-circuit
du moteur
Déf.
première
Le contact du
BP reste collé
L'opérateur
a surdim. le
fusible
Déf.
première
Déf.
première
L'opérateur
ne relâche pas
le BP
Le contact du
relais reste collé
Déf.
première
Déf.
première
Déf.
première
L'opérateur
ne relâche pas
le BP
L'opérateur
ne relâche pas
le BP
Déf.
première
L'opérateur
ne relâche pas
le BP
Déf.
première
97
98
Exemple - MAC (3)

Arbre réduit
Exemple - MACQ
Surchauffe
fil AB

Court-circuit du
moteur
Le contact du Le contact du
BP reste collé relais reste collé
Le fusible n'ouvre
pas le circuit
Court-circuit
du moteur
Déf.
première
L'opérateur
ne relâche pas
le BP
L'opérateur
a surdim. le
fusible
Evt indésirable = "surchauffe du fil AB"
F° de sécurité (contre court-circuit) considérées
F1=protection immédiate par le fusible
F2=protection à plus long terme par le contact du relais

Déf.
première
∑ élémentaires
∑1=∑ proprement dit
∑2=opérateur

Déf.
première
Déf.
première

Recherche des évts initiateurs

Surchauffe
fil AB
AC de niveau 1
Court-circuit
du moteur
Perte de la
fonction F1
99
100
Exemple - MACQ (2)

F1
F2

Séquences
temps
interactions fonctionnelles
interactions entre ∑ élémentaires
dépendances entre évts Ö arbres des causes

n°2-pas de surchauffe
évt
initiateur
échec
n°4-surchauffe du fil AB
Le fusible n'ouvre
pas le circuit
Arbre des conséquences "systèmes"
Court-circuit du
moteur
succès
évt
initiateur
échec
Considérer

succès

Exemple - MACQ (3)
Arbre des conséquences "fonctions"
Court-circuit du
moteur
Perte de la
fonction F2
Mission du contact
Séquences
du relais (∑ 1)
Le contact du relais n°1-pas de surchauffe
Le fusible
s'ouvre
ouvre le circuit Le contact du relais n°2-pas de surchauffe
reste collé
Le fusible
n'ouvre pas le circuit
n°4-surchauffe du fil AB
Mission du
fusible (∑ 1)
101
L'opérateur
a surdim. le
fusible
Déf.
première
102
17
Exemple - MACQ (4)

Exemple - MACQ (5)
Considérer

Arbres des conséquences finals
arbres des causes (suite)
Court-circuit du
moteur
Evt
initiateur
interdépendance
Le contact du
relais reste collé
Causes d'origine externe
Le contact du
Le contact du
BP reste collé relais reste collé
Déf.
première
L'opérateur
ne relâche pas
le BP
Déf.
première
Déf.
première
Court-circuit
du moteur
Déf.
première
échec
Le contact du
BP reste collé
Cause intrinsèque Déf.
première
au moteur
L'opérateur
ne relâche pas
le BP
Déf.
première
Le fusible
Court-circuit du
reste collé
moteur (le contact ouvre le circuit
du relais reste collé)
Le fusible
Le contact du relais n°4-surchauffe du fil AB
reste collé
échec
succès
Court-circuit du
moteur (le contact
du BP reste collé)
échec
Exemple - MDCC

"court-circuit moteur" = point de passage obligé vers
l'évt indésirable
recherche des causes (MAC) ⇒ évts de base =
z
z

z
Equation de l'évt
indésirable
Coupe minimale

court-circuit moteur (défaillance première)
le contact du relais reste collé (défaillance première)
le contact du BP reste collé (défaillance première)
l'opérateur ne relâche pas le BP

Court-circuit du
moteur
Le contact du
relais reste collé
Court-circuit du
moteur et le contact
du relais reste collé
A
Le contact du
BP reste collé
L'opérateur
ne relâche pas
le BP
Le fusible n'ouvre
pas le circuit
L'opérateur
a surdim. le
fusible
Déf.
première
Déf.
première Cp
Déf.
première Bp
Déf.
première
106
Bases mathématiques - Probabilité d'évts.
Introduction à l'analyse quantitative - Plan

Bases mathématiques
D
Le contact du
relais reste collé
Remarque
le contact du relais reste collé si court-circuit ⇒ évts liés
conséquence éventuelle: fusion du fusible Ù porte O/N
Surchauffe
fil AB
Oui Non
Fusion du
fusible
Diagramme final
105
Probabilité d'évts
Variable aléatoire
Notions fondamentales de SdF

Application P qui associe à chaque évt A un
nombre 0 ≤ P[A] ≤ 1 appelé probabilité, avec
P[Ω] = 1
(Ω : Ensemble des observables)
P[A+B] = P[A] + P[B] si A.B = ∅

Etat sûr du
circuit
hypothèse
z

Le fusible
reste collé
104

z
Le fusible
reste collé
ouvre le circuit
Exemple - MDCC (2)
Evt initiateur
z
Le fusible
reste collé
succès
103

Séquences
Le fusible
reste collé
ouvre le circuit
succès
Court-circuit du
moteur (déf. 1ère)
Mission du contact
du relais (∑ 1)
Mission du
fusible (∑ 1)

Données de sûreté de fonctionnement
Propriétés
P[A] = 1 - P[A]
A ⊂ B ⇒ P[A] ≤ P[B]

Recherche, sources
Elaboration Ö lois de proba des paramètres

Relation probabilité/fréquence
P[E] = lim (f) lorsque le nombre d'essais → ∞
Théorème de Poincaré: P[A+B] = P[A] + P[B] - P[A.B]

107
108
18
Bases mathématiques - Probabilité d'évts. (2)

Théorème de Poincaré: P[A+B] = P[A] + P[B] - P[A.B]
Proba conditionnelle que A se produise sachant
que X s’est déjà produit :
P[ A. X ]
P[ A / X ] =
Bases mathématiques - Probabilité d'évts. (3)
Théorème de Bayes
B : événement de probabilité ≠ 0
Ai : ensemble d'événements complets
Théorème
P[ B / A ]P[ A ]

P[ X ]
P[ Ai / B ] =
Evts indépendants ⇔ P[A/B] = P[A] P[B]
i
i
∑ P[ B / Ai ]P[ Ai ]
i
Théorème des proba totales

Evts incompatibles: A.B = ∅
Système complet d'évts : ensemble fini d'évts 2 à 2
incompatibles Ö P[∑Ai] = ∑ P[Ai] = 1
Théorème:
P[B] = ∑ P[B/Ai] P[Ai]

Syn. Théorème sur la probabilité des causes

Si B s'est produit, avec les causes possibles X et Y, la
proba que B soit dû à X est
P[ X / B ] =
P[ B / X ]P[ X ]
P[ B / X ]P[ X ] + P[ B / Y ]P[Y ]
109
Bases mathématiques - Variable aléatoire

110
Bases mathématiques - Variable aléatoire (2)
Définition

Variable pouvant prendre n'importe quelle valeur d'un
ensemble déterminé de valeurs numériques, et à
laquelle est associée une loi de probabilité
Continue ou discontinue
Moment d'ordre k de la variable aléatoire X

+∞
E[ X k ] = ∫ x k f ( x)dx
−∞

F

Fonction de répartition
1

Espérance mathématique ou moyenne : E[X]
Variance

−∞
Densité de probabilité
f ( x) =
dF ( x)
dx
+∞
V [ X ] = ∫ ( x − E[ X ]) 2 f ( x)dx
d'1 var aléatoire X : F(x) = P [X≤x]
0
x

f
Ecart-type
σ[X ] = V[X ]
x
111

Lois de proba discrètes

z
Lois de proba continues

p=P[A]
La variable aléatoire discrète X (nombre de réalisations de A
au cours de n expériences) est distribuée suivant la loi :
Loi exponentielle
z
f
λ
f (t ) = λe − λt où λ=cste
P[ X = k ] = Cnk p k (1 − p ) n − k , 0 ≤ k ≤ n; 0 ≤ p ≤ 1

Loi binomiale
z
112
0
t
F
z
1.0
Loi de Poisson
P[ X = k ] = e − m
F (t ) = 1 − e − λt
mk
k!
0
= proba d'apparition de k évts en un temps donné, à
proba d'occurrence constante (⇒ m = λ .t )
z
113
t
Utilisation: caractériser la période à taux de défaillance
constant Ö décrit l'intervalle de temps entre 2 défaillances
114
19

Lois de proba continues (suite)

0.24/σ
⎛ 1 ⎛ t − m ⎞2 ⎞
1
⎟
f (t ) =
exp⎜ − ⎜
⎜ 2 ⎝ σ ⎟⎠ ⎟
σ 2π
⎠
⎝
z

f
Loi normale N(m,σ)
z
z
m
m-2σ
m+2σ
m-σ m+σ
t
1.0
z
z
0.95 0.65
z
t
z
z
σ=0.3
f (t ) =
0.06/σ
F
f
Loi log-normale
σ=1.0
⎛ 1 ⎛ log t − μ ⎞ 2 ⎞
1
exp⎜ − ⎜
⎟ ⎟⎟
⎜ 2⎝ σ
σt 2π
⎠ ⎠
⎝
2
Moyenne m = exp(μ + σ / 2)
Médiane X 0.50 = e μ
eμ
F
0.95
t
1.0
0.9 0.5
t
0.05
eμ-1.645σ
Si X suit N(m,σ), alors Y=(X-m)/σ suit loi réduite N(0,1)
Application : nbx phénomènes (incertitudes sur mesures, …)
z
eμ+1.645σ
Représentation des durées de réparation des composants,
incertitudes dans la connaissance d'une donnée de sûreté, ...
115
116

Loi du χ2 à ν degrés de liberté (ν entier)
z
z
z
z
f (t ) =
(t≥0)
−
tν / 2−1
e 2
ν /2
2 Γ(ν / 2 )
(
)
χα2 (ν )
0
Principales caractéristiques

Fiabilité
R(t)=P [ E non défaillante sur [0,t] ]
fonction décroissante de t avec
lim R(t ) = 0
t → +∞
Défiabilité R(t)=1-R(t)

Disponibilité A(t)=P [E non défaillante à l'instant t]
t
Moyenne = ν ; variance = 2ν
Calcul d'intervalles de confiance
Souvent tabulée de manière à donner les valeurs de
telles que
F χα2 (ν ) = ∫
Bases math. - Notions fondamentales (1)
χ α2 (ν )
z
z

f ( x)dx = α
Entité irréparable : A(t) = R(t)
Cas général :
A(t) ≥ R(t)
Maintenabilité M(t) = P [E est réparée sur [0,t] ]
fonction croissante de 0 à 1 sur [0,+∞[ et lim M (t ) = 1
t → +∞
Immaintenabilité M(t)=1-M(t)
117
118

Définitions

MTTF : durée moyenne de fct avant la 1ère défaillance
MTTR : durée moyenne de réparation
MUT : durée moyenne de fct après réparation
MDT : durée moyenne d'indisponibilité
T : variable aléatoire mesurant la durée de fct de E
Fonction de répartition de T
F(t) = P [T≤t] = 1-R(t) = R(t)
car R(t) = P [T>t]
Densité de défaillance
U(t) = dF(t)/dt = -dR(t)/dt

⊂ détection panne, réparation panne & remise en service

MTBF : durée moyenne entre 2 défaillances
consécutives d'une entité réparée
défaillance remise en service
0
Densité de défaillance
∞
défaillance
0

MTTF
MDT
IPP
⇒ MTTF = ∫ tU (t )dt =
∞
MTBF
0
119
∞
0
R (t )dt
Densité de réparation G=dM/dt
IPP
⇒ MTTR = ∫ tG (t )dt =
MUT
∫
∫ [1 − M (t )]dt
∞
0
120
20

Taux de défaillance (instantané)

1 P[E défaille sur [t, t+Δt] sachant qu'elle
Λ (t ) = lim
n'a pas eu de défaillance sur [0,t] ]
Δt →0 Δt
R (t ) − R(t + Δt )
= lim
Δt →0
Δt.R (t )
U (t )
=
R (t )

D'où les équations
t
R(t ) = exp⎛⎜ − ∫ Λ (u )du ⎞⎟
0
⎝
⎠
t
⎛
U (t ) = Λ (t ) exp⎜ − ∫ Λ (u )du ⎞⎟
⎝ 0
⎠
t
M (t ) = 1 − exp⎛⎜ − ∫ μ (u )du ⎞⎟
⎝ 0
⎠
t
⎛
G (t ) = M (t ) exp⎜ − ∫ μ (u )du ⎞⎟
⎠
⎝ 0
Taux de réparation (instantané)
1 P[la réparation de E se termine sur [t, t+Δt]
sachant qu'elle a été en panne sur [0,t] ]
Δt →0 Δt
G (t )
=
1 − M (t )
μ (t ) = lim
121
122
Bases math. - Calcul des taux pour les ≠ lois

Intensité de défaillance
Loi
Taux de
défaillance Λ
1 P[E défaille sur [t, t+Δt]
W (t ) = lim
sachant qu'elle est en fct au temps t=0]
Δt → 0 Δ t

Intensité de réparation
1 P[la réparation de E se termine sur [t, t+Δt]
V (t ) = lim
Δt → 0 Δ t
sachant qu'elle est en fct au temps t=0]

W (t ) = U (t ) + ∫ U (t − x)V ( x)dx

0
t
V (t ) = ∫ G (t − x)W ( x)dx

0

t
irréparable A(t)=R(t)=e−Λt
réparable : entité remise en service "neuve"
A(t+Δt) = P[ E non défaillante à t+Δt ]
asymptotique
μ
MTTF
A(∞) =
=
λ + μ MTTF + MTTR
Proportion du temps pendant laquelle
E est en état de fonctionner
σ π
t
t
Agés
124
A(0)=1
μ (t ) = 0
Λ (t ) = λ
μ (t ) = μ
U ( t ) = λ e − λt
U ( t ) = λ e − λt
G ( t ) = μ e − μt
R ( t ) = e − λt
G (t ) = 0
M (t ) = 0
R ( t ) = e − λt
M ( t ) = 1 − e − μt
MTTF = 1 / λ
M TTR = ∞
MTTF = 1 / λ
MTTR = 1 / μ
W ( t ) = λ e − λt
μ
λ+μ
V (t ) = 0
N D ( 0, t ) = 1 − e − λt
A(0)=0
N R ( 0, t ) = 0
t
125
Composant réparable
Λ (t ) = λ
A( t ) = R ( t ) = e − λt
A(t)
σ=1.0
m
R(t)=e-λt
1/λ
M(t)=1-e-μt (hypothèse μ(t)= μ=cste)
1/μ = τ (durée moyenne de réparation)
Composant irréparable

ª disponiblité
2
Bases math. - Modèle à λ et μ constants
2 classes d'entités
⎛
μ ⎞ −( λ + μ )t
μ
⎟⎟.e
⇒ A(t ) = ⎜⎜ A(0) −
+
λ+μ⎠
λ+μ
⎝
σ=0.3
λ
123
Bases math. - Fiabilité et disponibilité

Fiabilité
MTTF
Maintenabilité
MTTR
Log-N
Λ(t)=U(t)/R(t)
t
t
0
N(m,σ)
Modélise composants Ni jeunes ni âgés
Relations particulières
A(t ) = N D (0, t ) − N R (0, t ) = ∫ [W ( x) − V ( x)]dx
Expon.
Λ(t)
A(t ) =
μ
λ
e −( λ + μ )t
+
λ+μ λ+μ
λμ
λ2
+
e −( λ + μ )t
λ+μ λ+μ
λμ
[1 − e − ( λ + μ ) t ]
V (t ) =
λ+μ
W (t ) =
λμ
λ2
[1 − e − ( λ + μ ) t ]
t+
λ+μ
(λ + μ )2
λμ
λμ
[1 − e − ( λ + μ ) t ]
N R ( 0, t ) =
t+
λ+μ
(λ + μ )2
N D ( 0, t ) =
126
21
Données de sûreté de fct. - Principe

Données de sûreté - Recherche de données

Pour obtenir des infos quantitatives, observer

pendant un certain temps
dans des conditions données

Types de
composants
Essais de fiabilité
Utilisation : observation en exploitation difficile
z
z
Evaluation sûreté de fct
Taille
pop stat
Réparables ?
Electronique
élevée
non
Essais de fiabilité
Electrique
élevée
oui
Essais de fiabilité ou
expérience d’exploitation
Electromécaniques actifs
faible
oui
Expérience d’exploitation
réelle dans une installation
Mécaniques
passifs
Très
faible
Difficilement
Difficile (expérience propre
à une installation)

Type des tests: plusieurs critères d'arrêt
z
z
z
z

127

taux de défaillance en fonctionnement (λ)

taux de défaillance en fct λ̂ =
N df
taux de défaillance à l’arrêt (λa)
1
λa = lim P[E défaille sur [t, t+Δt] sachant qu'elle
Δt → 0 Δ t
était à l’arrêt, en état de fct. sur [0,t] ]

taux de défaillance à l’arrêt
λ̂a =

taux de défaillance à la sollicitation
taux de défaillance à la sollicitation (γ)
γ = P [ E refuse de changer d'état lorsque cela lui est

taux de réparation

MTTR MTTR =
taux de réparation (μ)

μ̂ =
1
Données de sûreté - Lois de proba des params.
Choix d'une loi
z

N ds
Ns
MTTF
remise en
service
MDT
défaillance
MUT
MTBF
1
λ̂
130
Principe
Evaluation des bornes [λinf, λsup] d'un intervalle (dit de
confiance) entourant l'estimateur λ̂
Soit α = P[ λ ∉ [λinf, λsup] ]
Alors 1- α est appelé niveau de confiance

bien adaptée aux composants électroniques
+ composants électro-mécaniques si maintenance préventive
Loi log-normale: bien adaptée aux durées de réparation

γˆ =
Données de sûreté - Intervalle de confiance
Hypothèse du taux de défaillance constant
Données insuffisantes pour vérifier d'autres lois
Courbe λ=f(t) "en baignoire" Ö durée de vie utile
z
N da
Da
défaillance
0
En général MDT, Dr<<Df
⇒ MTBF ≅ MUT ≅ MTTF =
MTTF, MTTR, MUT, MDT, MTBF
Df
Nr
Dr
μ̂
129

128
Estimateurs des paramètres à taux de défaillance
et de réparation constants

demandé sous forme d'une sollicitation ]

Relevé de données événementielles qui, traitées,
fourniront les paramètres de fiabilité recherchés
Données de sûreté - Elaboration de données
Paramètres de sûreté de fonctionnement:

au temps T
à la rième défaillance (r < nb composants)
mixte (durée + nb défaillances)
progressif (la décision dépend des résultats déjà obtenus)
Recueil en exploitation

Données de sûreté - Elaboration de données
Inaccessibilité
Nouveaux matériels

Calcul de l'intervalle

Hypothèse λ=cste.
Tests d'hypothèse
λsup =
Ö la variable aléatoire est-elle bien régie par cette loi ?
Test du χ²
131
χ 2 α (2 N f + 2 )
1−
2
2T f
, λinf =
χ α2 (2 N f )
2
2T f
132
22
Données de sûreté - Modélisation de λ
Données de sûreté - Intervalle de confiance

Exemple

λ=λb*πE*πA*πQ*πn , avec:
Une pop de pompes a subi 2 défaillances en 10 000 h.
z
z

Principe

Calculer l'estimateur du taux de défaillance
Calculer l'intervalle de confiance de cet estimateur
λb : taux de base obtenu à partir d'essais de fiabilité
sous contraintes normalisées (environnement,…)
πE : coef d'environnement. Ex (composant e- donné):

On a poursuivi l'observation et on a recensé 14
défaillances sur 70 000 h de fonctionnement.
z
z
– 0.2 : normal, utilisation au sol
– 4 : soumis à vibrations et chocs, au sol
– 10 : conditions sévères (embarquement sur missile)
Recalculer l'estimateur et son intervalle de confiance
Montrer que la précision des résultats est améliorée
πA : coef d'ajustement à l'utilisation (contraintes sec.)
πQ : coef de qualité (de conception)
πn : coef d'ajustement (autres facteurs: cycles répétes)

133
134
Données de sûreté - Exemple: SRDF d'EDF

Données de sûreté - Exemple: SRDF d'EDF
Mise en place: 1974; étendu en 83 à 40 tranches

1100 matériels (vannes, pompes...) / paire de tranches
Echantillon en 1982=150 000 h fct., 4000 défaillances
tests de cohérence, présence de l'info indispensable, ...
constitution de groupes de matériels identiques
requêtes possibles pour consulter les fichiers

Collecte de l'info

fiche signalétique (Öclasses de matériels id.)
z
z
Traitement de l'information

Caract techniques et historiques (mise en service, entretien)
Conditions de fct et environnement
Restitution des données

1 fiche de fct./an: données de fct. (nb h, sollicitations)
fiches de défaillance
obtention de paramètres statistiques
λˆ , γˆ , μˆ , indisponib ilité

z
z
recherche de la loi stat la mieux adaptée pour
représenter la durée de vie d'équipements
limites d'un intervalle de confiance

rédigées sur incident et saisies en local
en moyenne 350 par tranche et par an
135
136
Données de sûreté - Sources de données

Bibliographie
Types de sources

z
z
z
CNET : abaques pour ts composants électroniques
NASA, NAVY Ö MIL HDBK
Plates-formes pétrolière Ö OREDA (λ, MDT)
Centrales nucléaires en GB (SYREL), USA (NPRDS),
Euope (ERDS), Scandinavie (ATV-System)
z
z
"Sûreté de fonctionnement des Σ industriels", A. Villemeur, Eyrolles, 1988
www.sudqualite.org/documents/encyclopedie/P/pieuvre.htm
z
www.innovsw.com/fmeafmeca.htm

Q/AMDEC/Analyse prév.
z
z
"L'AMDEC, un atout pour les PMI", Recueil de conférences CETIM, 1992
"Techniques d'analyse de la fiabilité des systèmes. Procédure AMDE", AFNOR
X60-150, CEI 812-1985
chaqual.free.fr/outils/amdec/methodologie.html
perso.wanadoo.fr/olivier.albenge/page_site/qualite/
www.gsip.cran.uhp-nancy.fr/desspai/dess_frame/confs/Exposes/leger/

MAC
z
"Les différentes méthodes d'analyse de sécurité dans la conception d'une
installation chimique - Analyse par l'arbre des causes", Cahier de sécurité n°3,
138
CP Chimie Promotion, 1981
z
docs avec listes de données (domaine, obj spécifiques)
z
z
Nucléaire: Evaluation Probabiliste de Risques (EPR)
IEEE: 150 000 comptes-rendus de maintenance analysés
(In-Plant Reliability Data System)
137
Ouvrages généraux
z
z
banques de données (de fiabilité ou disponibilité)
z

23