Sûreté de fonctionnement des systèmes industriels
Transcription
Sûreté de fonctionnement des systèmes industriels
Sommaire Master Sciences et Technologies - Mention ASE - Spécialité INFORMATIQUE INDUSTRIELLE DOUBLE COMPETENCE Introduction aux méthodes Historique Principaux concepts Sûreté de fonctionnement des systèmes industriels Analyse qualitative Principales étapes de l'analyse prévisionnelle Analyse fonctionnelle Méthodes APD, AMDEC, MAC, MACQ, MDCC Introduction à l'analyse quantitative Bases mathématiques de la SdF Données de SdF Olivier LOSSON 2 Historique (1) Historique (2) Ere industrielle→ 1930s Années 60 sys mécaniques, électricité, transport aérien analyse intuitive de grandes catastrophes durée de vie=celle du maillon le plus faible étude des défaillances des composants & effets concepts : fiabilité, maintenabilité méthodes : diag. de succès, arbre des causes, AMDE harmonisation et normalisation internationale (CEI) Années 40-50 outils de l'ingénieur : fiabilité prévisionnelle Fiabilité (∑) << Fiabilité (élément moyen) amélioration de la Q application : aéronautique & électronique militaires Années 70-80 industrie nucléaire pétrochimie, transports, traitement des eaux, logiciel cercles de Q Mais ... peu de grandes études de risques début 80 3 4 Principaux concepts - Fiabilité Principaux concepts - Sûreté de fct. Définition Aptitude d'une entité à accomplir une fonction requise, dans des conditions données, pendant une durée donnée Fiabilités Aptitude d'une entité à satisfaire une ou plusieurs fonctions requises dans des conditions données z z z Caractérisée par Fiabilité R(t)=P [ E non défaillante sur [0,t] ] Disponibilité A(t)=P [E non défaillante à l'instant t] Maintenabilité M(t) = P [la maintenance de E est achevée au temps t] = P [E est réparée sur [0,t] ] opérationnelle (observée) prévisionnelle (prédite) extrapolée Fiabilité et Q Définition (sens strict) Q = conformité à une spécification Fiabilité = aptitude à conserver cette conformité 5 6 1 Principaux concepts - Composants et ∑ Principaux concepts - Sûreté de fct. (2) Sécurité = P [E évite de faire apparaître, dans des conditions données, des évts critiques/ catastrophiques] Système = Ensemble déterminé d'élts discrets (composants) interconnectés ou en interaction Durabilité : Demeurer en état d'accomplir une fonction dans des conditions d'utilisation et de maintenance jusqu'à un état limite Continuabilité : Aptitude d'un service, une fois obtenu, à continuer d'être fourni pendant une durée voulue Servibilité : Aptitude d'un service à être obtenu à la demande d'un usager et à continuer d'être fourni pdt la durée voulue ∑ Environnement élém. S2 B Système élémentaire S1 C Sous-Système D A F E ∑ Limites extérieures Composants Interface élém. S3 Pièce ⊂ Composant ⊂ Sous-∑ ⊂ ∑ élémentaire ⊂ ∑ 7 8 Principaux concepts - Caract. des ∑ (2) Principaux concepts - Caractéristiques des ∑ n Fonctions (missions) q Conditions Principales, secondaires, d° d'importance surveillance (alarmes, inspection, tests, vérifs) intervention (maintenance préventive, corrective) spécifs techniques d'exploitation o Structure Composants (rôle, caractéristiques, performances) relations (ex. connexions) localisation p Conditions d'exploitation r Environnement autres ∑ élémentaires opérateurs humains environnement proprement dit (conditions ambiantes) de fonctionnement états conditions de fonctionnement des composants changements de configuration Données précisées au fur et à mesure de la conception ⇒ actualisation des analyses de sûreté 9 Principaux concepts - Défaillances 10 Principaux concepts - Défaillances (2), Panne s Causes = circonstances liées à la conception, la fabrication ou l'emploi, ayant entraîné la défaillance (par un mécanisme physique, chimique, …) Défaillance = Cessation de l'aptitude d'une entité à accomplir une fonction requise Classification z n Rapidité de manifestation o Amplitude : déviation des caract. au-delà de limites p Rapidité + amplitude Précoce A taux constant D'usure Taux de q Date d'apparition défaillance r Effets Début de vie Période de vie utile Fin de vie z z Panne = Inaptitude d'une entité à accomplir une fonction requise (résulte d'une défaillance) t 11 défaillance première : résulte d'une cause interne à l'entité défaillance seconde : résulte de la défaillance d'une autre entité ayant entraîné des conditions excessives défaillance de commande : résulte de signaux incorrects de contrôle /commande Classif : identique à celles des défaillances ou en fonction de l'aptitude des pannes à être constatées 12 2 Analyse prévisionnelle - Analyse d'un ∑ Principaux concepts - Modes de défaillance Mode de défaillance = Effet par lequel une défaillance est observée Difficulté de distinguer cause (en gal, défaillances des pièces) et mode (traduction des effets sur les f°) z défaut n'entraîne pas forcément défaillance toute défaillance conduit à un défaut d'informations Acquisition investigation complémentaires traitement Modèle du ∑ Modèle final Démarche inductive (particulier Ö général) Défaut = Non-conformité à des objectifs ou clauses de spécification Relation défaut/défaillance z Acquisition investigation traitement ∑ réel Défaut et défaillance Principe Etude des conséquences d'une défaillance sur le ∑ luimême ou son environnement MdD Ö Causes possibles Ö Effets Démarche déductive (général Ö particulier) Partant d'un ∑ défaillant on en recherche les causes 13 14 Analyse prévisionnelle - Analyse d'un ∑ (2) Analyse prévisionnelle - Principales étapes Méthodes nAnalyse technique et fonctionnelle 9 Analyse Préliminaire des Dangers 9 Analyse des Modes de Défaillance et de leurs effets I Méthode du Diagramme de Succès I Méthode de la Table de vérité 9 Méthode de l'Arbre des Causes D Méthode des Combinaisons de Pannes Résumées I 9 Méthode de l'Arbre des Conséquences I 9 Méthode du Diagramme Causes-Conséquences Méthode de l'Espace des Etats oAnalyse pAnalyse q Modification du ∑ qualitative quantitative Révision du projet Synthèses, conclusions Non Objectifs remplis ? Oui Fin de l'étude 15 16 Analyse prévisionnelle - Démarche Q Les 5 impératifs de la Q INSATISFACTION : n Conformité non spécifié et non DEFAUT : non réalisé réalisé o Prévention Etude qualitative - Initialisation QUALITE PLUS : réalisé mais non spécifié SUR-QUALITE : spécifié mais non demandé. z Inventaire de la documentation (animateur) GASPILLAGE : réalisé mais non demandé z Définition des objectifs (animateur + demandeur) poser le problème, délimiter le ∑ et l'étude descriptif du groupe de travail, planning des réunions DOUBLE ILLUSION : non demandée et non réalisée prospective (AMDEC) corrective (Maîtrise Statistique de Procédé) Cahier des charges, plans, dossier maintenance Groupe de travail (6-7 pers) animateur (garant de la méthode) pilote (garant de l'aboutissement des actions) représentants des services en relation avec le moyen autres spécialistes p Excellence : recherche continuelle de l'amélioration q Mesure : pas de progrès sans mesure r Responsabilité ⇒ implication 17 18 3 Analyse fonctionnelle - n Analyse externe Analyse fonctionnelle - Introduction Point d'entrée de toute analyse de Sûreté de fct. Nombreuses méthodes Trame commune: n Analyse z z z z fonctionnelle externe phase 1.1 : définir le système phase 1.2 : définir les fonctions phase 1.3 : définir les phases o Analyse z "boîte noire" & identification des caractéristiques c Définir le ∑ (délimitation, interfaces) d Définir les fonctions réalisées e Définir les phases (=configurations d'emploi) t Appréhender le fc . interne du ∑ c Décomposition arborescente d Identification des flux fonctionnelle interne phase 2.1 : Décomposer phase 2.2 : Identifier les flux ª TAF Conclusion : diagramme fonctionnel et/ou Tableau AF (diagramme fonctionnel) 19 20 Analyse fct. externe - Analyse du besoin Analyse fct. externe - Déf. des fonctions Analyse concrète du besoin qui justifie le projet ª Exprimer et satisfaire le besoin et rien que lui Outil : la "bête à cornes" Sur quoi agit-il ? FP = but des relations créées par le ∑ entre éléments de son milieu d'utilisation FC = contraintes imposées au ∑ par son milieu A qui rendil service ? ∑ Validation du besoin Dans quel but ? Pourquoi existe-t-il ? Quel évt. externe pourrait le faire évoluer/disparaître ? Conclusions quant à sa validité 21 z z ∑ 22 visualiser les interactions des composants du ∑ z z les critères d'appréciation ou de valeur (Cv) leurs niveaux = performance attendue du service la flexibilité de chaque niveau de la part du demandeur le taux d'échange associé (rapport acceptable prix/variation) en vue de négocier une variation de perf. / besoin initial z entre eux avec le milieu extérieur En pratique: schématisation des "contacts" z numéroter chaque composant du ∑ matérialiser chaque liaison fonctionnelle par un trait Etablissement du schéma de flux traversant le ∑ types : effort, matière, énergie, information, ... contribuant aux FP, FC et fonctions techniques Importance relative de chq serviceÖfuturs prestataires ª Cahier A qui rendil service ? FP Etablissement du bloc-diagramme Hiérarchisation Sur quoi agit-il ? Eléments extérieurs contraignants pour chaque fonction de service, évaluer z Outil : la "pieuvre" Analyse fct. externe - Définition des flux Qualification et quantification = critères permettant de choisir une solution technique z Associent aux f° de service des solutions techniques pressenties FC Analyse fct. externe - Déf. des fonctions (2) Fonctions techniques Fonctions de services des Charges Fonctionnel (CdCF) 23 24 4 Analyse fct. externe - TAF Analyse fct. externe - Exemple Poignée1 Etablissemt du Tableau d'Analyse Fonctionnelle Clip1 Vis1 Fonctions de base Fonctions élémentaires Fonctions de contact Plaque1 Fonctions techniques FP1 FP2 FP3 FC1 S1 S2 S3 S4 Axe Porte Ecrou1 Ecrou2 8 8 Clip2 8 Poignée de porte Plaque2 FP1 Poignée2 Fonctions de flux 8 Porte 8 Main Vis2 Une 8 matérialise la participation de chaque fonction élémentaire aux FP, FC et Fonctions techniques FP2 Serrure FP1=Permettre à la main de tirer/pousser la porte FP2=Permettre à la main d'ouvrir la serrure 25 26 Analyse fct. externe - Exemple (3) Main Diverses méthodes Flux ouverts Flux 1 Cde serrure PHA = Preliminary Hazard Analysis Poignée1 Flux 2 Poussée porte Plaque1 Clip1 Axe Clip2 Poignée2 Serrure Vis1 Vis2 Ecrou1 Ecrou2 Flux bouclés (de conception) MAC = Méthode de l'Arbre des Causes = Arbre des défaillances / des défauts / des fautes FAM/FTA = Fault/Failure Tree Method/Analysis MACQ = Méthode de l'Arbre des Conséquences ETM = Event Tree Method Flux K1, K2 Serrage clips sur poignées Plaque2 AMDEC=Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité FMECA = Failure Mode Effect and Criticality Analysis Flux 3 Tirage porte APD = Analyse Préliminaire des Dangers MDCC = Méthode du Diagramme Causes/Conséquences CCD = Cause-Consequence Diagrams Porte 27 28 Analyse Préliminaire des Dangers AMDE - Intro Principe Objectifs: z z Identifier les dangers et leurs causes Evaluer la gravité des accidents potentiels ª Actions correctrices pour éliminer/maîtriser les dangers Moyens: expériences des ingénieurs, listes-guides ª ª Système ou fonction Ö ensemble étudié Phase Ö mode d'utilisation pdt laquelle il peut y avoir danger Entités dangereuses Situations dangereuses Accidents potentiels USA, début années 60 (aérospatial) aéronautique, nucléaire, puis chimie, automobile, … Méthodes dérivées Etapes Historique & utilisation AMDEC HAZOP (Hazard & Operability Study): adaptation aux circuits thermo-hydrauliques Définition Technique d’analyse prévisionnelle, formalisée et rigoureuse, visant à étudier et maîtriser les risques de défaillance d'un produit, d'un processus ou d'un service, afin d'améliorer sa fiabilité 29 30 5 AMDE - Intro (2) AMDE - Principe Buts Conception : atteindre un bon niveau de fiabilité Expertise : améliorer fiabilité et/ou disponibilité Exploiter infos pour préparer la doc. et la maintenance Causes Méthode inductive Synoptique Inductif Principe Effets Niveau composant Déductif Niveau système Une AMDE est réalisée dans un état de fct donné du ∑ (phase) Démarche générale étude de la probabilité de survenir des défaillances évaluation des conséquences sur les fonctions identification des modes de défaillance majeurs Définition du ∑, de ses fonctions et composants Aspect préventif : 2 démarches Top-down Bottom-up Etablissement des modes de défaillances des composants, et de leurs causes Etude des effets des modes de défaillance des composants Conclusions Recommandat° 31 32 AMDE - Détail des étapes 1 et 2 AMDE - Modes de défaillances (MdD) En amont : analyse fonctionnelle décomposition du ∑ définition des limites fonctionnelles spécifs relatives au fct., composants, environnement Essais de fiabilité, tests, ... Recenser et caractériser les états de fct. du ∑ Prise en compte de l'état de fct du ∑ Expérience d'exploitation Recensement des MdD potentiels 1ère liste de MdD retenue pour l'analyse Causes (int/ext) de défaillance MdD et leurs causes retenues pour l'analyse Analyse prévisionnelle de sûreté Une AMDE par état de fct (ou phase) Etablir les MdD "Effets par lesquels une défail. est observée" Considérer L'utilisation du composant La classification des principaux MdD La liste-guide des MdD génériques (cf. diapo suivante) Dépend de l'état de fonctionnement considéré !! Pour chaque composant du ∑ Dans l'état de fct. étudié Etablir les causes possibles pour chaque MdD 33 34 AMDE - Liste-guide des MdD génériques 1. Défaillance structurelle (rupture) 2. Blocage physique (coincement) 3. Vibrations 4. Ne reste pas en position 5. Ne s'ouvre pas 6. Ne se ferme pas 7. Défaillance en position ouverte 8. Défaillance en position fermée 9. Fuite interne 10. Fuite externe 11. Dépasse la limite > tolérée 12. En-dessous de la limite < tolérée 13. Fonctionnement intempestif 14. Fonctionnement intermittent 15. Fonctionnement irrégulier 16. Indication erronée 17. Ecoulement réduit AMDE - Causes de défaillances 18. Mise en marche erronée 19. Ne s'arrête pas 20. Ne démarre pas 21. Ne commute pas 22. Fonctionnement prématuré 23. Fonctionnement après délai prévu (retard) 24. Entrée erronée (augmentation) 25. Entrée erronée (diminution) 26. Sortie erronée (augmentation) 27. Sortie erronée (diminution) 28. Perte de l'entrée 29. Perte de la sortie 30. Court-circuit (électrique) 31. Circuit ouvert (électrique) 32. Fuite (électrique) 33. Autres conditions de défaillance Effets: fct anormaux composant1 MdD Composant1 (PR globales) Décomp en parties Compos1 Effets: fct anormaux C2 Causes externes (PR externes) Causes internes (PR internes) Partie composant1 MdD Comp2 Causes internes MdD de chaque partie du composant1 35 Causes externes MdD de chaque partie du C2 Etude composant1 36 6 AMDE - Effets des MdD et conclusions Etude des effets de chaque MdD AMDEC - Principe systématique, complète, en considérant le MdD seul Généralités Conclusions, recommandations z recensement des MdD suivant l'ampleur de leurs effets procédures de détection (alarmes, ...) et maintenance z Projet : Système : Documents de référence : Identif F°, MdD composant états NASA (LEM) Nbx autres domaines : Toyota, Renault Principe Rechercher les éléments ou opérations critiques Hiérarchiser les défaillances Causes Effets Effets Moyens Fréquence Obserpossibles sur ∑ sur ∑ de inspections vations d'une externes détection ou essais défaillance Démarche Proba d'occurrence de chaque MdD Classe de gravité des effets de ces défaillances 37 AMDEC - Calcul de la criticité Extension de l'AMDE Utilisation AMDEC - Calcul de la criticité (2) Niveau général de risque = Indice de Priorité de Risque (IPR) (=seuil de criticité DOS) Grille d'analyse de la criticité (Criticality Analysis) P ro b a (F ré q ) G ra v ité IPR = F × G ou IPR = F × G × D Très faible Faible Moyenne ª Critère de sélection des risques ª Solutions correctives Zone non acceptable Zone acceptable 39 40 AMDEC - Conclusions AMDEC - Conclusions (2) Partition des composants C = F x G x D ou D x O x S C<R R<C<S C>S Forte Classe I (Effets mineurs) Classe II (Effets significatifs) Classe III (Effets critiques) Classe IV (Effets catastrophiques) Fréquence Gravité Non-Détectabilité Définition Proba d'occurrence Niveau de Proba que la cause de la défaillance conséquence et/ou le MdD atteigne l'utilisateur Evaluation Probas/Indices Indices Probas/Indices 38 Liste par Effets de Défaillance (LED) Aucun problème, R.A.S. ⇒ Maintenance corrective Acceptable mais ⇒ surveillance particulière + maintenance préventive/conditionnelle Remise en cause complète de l'étude ⇒ Nouvelle étude (amélioratif) pour un effet donné, rechercher z z intérêt : définir z z Liste des Articles Critiques (LAC) toutes les causes les composants associés les opérations de maintenance corrective la doc système Tableaux AMDEC Dispositif de remplacement Maintenance préventive Moyens de détection partition : criticité inacceptable nouvelle étude pour réduire F ou G 41 42 7 AMDEC - Utilisation Réalisation AMDEC - Progiciels Nom ∑ en cours de développement ou déjà opérationnel Exploitation justification d'un niveau de fiabilité/d'une architecture assistance à la maintenance, rédaction des docs Familles d'AMDEC produit/projet : phase de conception du pdt produit/procédé : défaillance du pdt dues au processus moyen : machines, installations Ö "0 défaut, 0 panne" Type AMDAO AMIDEC FIABEX FMECA FMECA Processus GAMDEC LARA Q-PAK RELEX AMDEC RELIASEP SAFAD SOFIA AMDEC - Sofia Complément par d'autres méthodes (MCPR) Concepteur AMDEC AF + AMDEC AF + AMDEC AMDEC Produit AMDEC Procédé AMDEC AMDEC AF + AMDEC AMDEC Produit AF + AMDEC AF + AMDEC Produit, procédé AF AMDEC Renault SA (F) Calladan (F) CEP Systèmes (F) ALD Ltd (Israël) Europe Qualité Services (F) Gamma Systèmes (F) Serete Productique (F) Oscar Software Ltd (UK) ISD (USA) SEP (F) Raisonnance SA (F) Sofreten (F) Sofreten (F) 43 44 Analyse qualitative - Résumé AMDEC - Exemple Déf du ∑ Initialisation Sous-systèmes étudiés Déf des f° CdCf (Fp,Fc, Cv) AF Roller in line Tige Conception Solution optimisée en coût Q technique AV Q économique Bloc-diagramme TAF AMDEC Solution fiabilisée Solution fiable et optimale Soft Collier Berceau Calcul des IPR Déterm. d'actions correctives Liaison tige/châssis 46 AMDEC - Exemple : analyse fct. (2) Sur quoi agit-il ? A qui rendil service ? Définition des fonctions Outil : la "Pieuvre" Infrastructure Patineur Environnement Ambiance agressif thermique FP2 FP3 FP1 Oeil Dans quel but ? Pied du patineur ROLLER in LINE FC3 ROLLER in LINE Se déplacer Liaison châssis/roues 45 Analyse du besoin Outil : la "bête à cornes" Infrastructure Roue/Roulements/Freins Id. des causes perturbant les f° AMDEC - Exemple : analyse fonctionnelle Châssis (2 flasques) FC2 Environnement sensible FC1 Eléments agressifs FP1. Permettre au pied du patineur de rouler sur l'infrastructure FC1. Fonctionner malgré l'action d'éléments agressifs Se déplacer sur l'infrastructure pour le patineur 47 48 8 AMDEC - Exemple : Calcul de la criticité AMDEC - Exemple : Calcul de la criticité (2) Niveau de Gravité (pour le client final) Classes Critères pour le client Exemples Majeur Critique Pb de sécurité sans avertissement - Manque sécu/risque d'accident - Retour ponctuels produit - Risque de recall / de procès Pb de sécurité avec avertissement - Manque sécu/risque d'accident - Utilisation impossible du pdt - Retour ponctuels produit - Risque de recall / de procès Effet grave - Réduct° importante utilisation pdt (confort, commodité, perf.) - Remet en cause l'image de marque & désir d'achat - Retour ponctuel pdt/risque recall Note - Axe d'articulation pas riveté Casse berceau Perte du patin de frein Perte ou casse roue Casse broche BdJ Dévissage liaison tige/chassis 5 - Casse crochetAvP Casse crochet PcT Plis important chausson Usure prématurée pdt (dégradation rapide) 3 Niveau de Gravité (suite) Classes 4 Critères pour le client Effet mineur - Affecte pas/peu l'utilisation du pdt - Dégradat° rapide de l'esthétique - Image de marque ternie - Mécontement du client pas forcément exprimé - Pas de retour Effet infime - Difficile à détecter par le client en magasin - Pas de retour Mineur Exemples Note - Réglage crochets difficile - Jaunissement des pièces - Corrosion 2 - Petits rayures - Légère différence de teintes 1 49 50 AMDEC - Exemple : Calcul de la criticité (3) AMDEC - Exemple : Tableau d'analyse Composant Niveau de Fréquence (pour le client final) Mineur Majeur Critique Classes Critères pour le client Fréquence Excessif - Très nbx incidents clientèle - Plainte des clients Très fréquent - Bcp d'apparitions en clientèle - Plainte des clients Fréquent - Qq apparitions en clientèle - Début de l'alerte Rare - Très faible apparition - Pas de remontée clientèle Peu probable - Pas d'apparition en clientèle F > 5% 1% < F < 5% 0,5% < F < 1% F < 1% par modèle sur 3 ans F ≤ 0,5% par ligne de pdt sur 3 ans F < 0,05% Note 5 MdD Effets Transmission • dégradation défaillante du - performance Flux de - confort puissance Soft Transmission • pb potentiel de défaillante du sécurité du patineur ΦP • dégradation - performance • pb potentiel de sécurité du patineur Berceau Transmission • pb potentiel de défaillante du sécurité du patineur ΦP Liaison Transmission • dégradation Soft/Collier défaillante du - performance - confort ΦP Liaison Transmission • dégradation Soft/Berceau défaillante du - performance - confort ΦP Collier 4 3 2 1 Criticité FxG 2*3=6 4*3=12 4*3=12 4*3=12 4*3=12 1*5=5 2*3=6 Causes Actions défaillance corr. déchirure mat. - chgt couture matériau passants lacets clous casse - renforcer sangle - casse 2*4=8 - crochets 1*5=5 2*3=6 - casse - strap PCT - rivets - coutures 2*3=6 2*3=6 - écrou de liaison châssis - rivets - - rempl. crochet - revoir sys fixation - couture suppl. 51 52 AMDEC - Exemple2 : Calcul de la criticité AMDEC - HAZOP SdF d'une gare SNCF Gravité G Mort d’homme / dégâts matériels considérables (coût>2 M?) Blessé grave / dégâts matériels T importants (500 k?< coût <2 M?) Blessé léger / dégâts matériels importants (20 k?<coût <500 k?) Dégâts matériels non négligeables (2 k?<coût<20 k?) Dégâts matériels mineurs (500<coût<2 k?) Fréquence F Maîtrise Note < une semaine Pas d’action possible 10 < un mois Pas de maîtrise connue 8 < une année Maîtrise non garantie 6 < 10 ans Maîtrise moyenne 4 >10 ans Bonne maîtrise 2 Adaptée aux ∑ thermo-hydrauliques grandeurs : débit, pression, courant, température,... Absence Guide word NONE MORE Excès de /val nominale Manque de LESS Partie de (flux incomplet) Impuretés, autres phases Hors fct normal 53 Deviation Possible Csq Action causes required No flow More flow More pressure More temperature Less flow Less temperature High water concentration or stream Organi acids presence OF PART OF MORE THAN OTHER Maintenance 54 9 AMDEC - HAZOP (2) Avantages z Formalisation a posteriori des connaissances expertes z Définition Principe déterminer les diverses combinaisons possibles d'évts qui entraînent la réalisation d'un évt indésirable représenter graphiquement ces combinaisons au moyen d'une structure arborescente difficultés d'affecter à chaque "mot-guide" z Bell Telephone (1962), formalisation : Boeing (1965) Auj.: méthode d'analyse de SdF la plus utilisée Méthode logique destinée à analyser les causes possibles d'un événement redouté afin d'en limiter la probabilité (pression, température, débit, niveau, …) Inconvénients Historique des évolutions cinétiques des causalités Utilisation de mesures de variables de conduite z étude qualitative et quasi-exhaustive z MAC - Introduction une portion délimitée du ∑ des causes de défaillance 55 56 MAC - Introduction (2) Objectif MAC - Concepts de base - Evt indésirable réduire la probabilité d'occurrence de l'évt indésirable but de l'analyse: en déterminer toutes les causes sommet de l'arbre Méthode déductive ? causes d'un événement indésirable potentiel ? causes d’un accident qui s’est déjà produit Généralités Nature évt catastrophique indisponibilité de ∑ Ùsécurité/dispo d'une installation Etapes de mise en œuvre définition de l'évt indésirable examen du ∑ en cause construction de l'arbre exploitation de l'arbre Définition résultant en général d'une APD précise et ciblée, pour obtenir un arbre exploitable (en fonction de la phase d'utilisation) 57 MAC - Concepts de base - Arbre des causes 58 MAC - Concepts de base - Portes logiques L'arbre des causes z E1 z z matérielles humaines défauts logiciels, … E1 niveau des évts élémentaires (= "de base") z z z non décomposables en évts plus simples indépendants entre eux leur proba d'occurrence peut être estimée/calculée E2 E2 Porte OU 2/4 E1 E2 E3 E4 Porte COMBINAISON m/n E1 avant E2 E1 avant E2 Porte OU avec condition E2 S E1 E3 S 59 E1 E3 S évts=défauts associés à des défaillances z chq évt est généré à partir des évts du niveau inférieur par l'intermédiaire de divers opérateurs (ou portes) logiques Porte ET avec condition S niveaux successifs tels que z Porte ET S E2 Porte SI S x E1 60 10 MAC - Concepts de base - Evénements Cercle Evt élémentaire ne nécessitant pas de développement futur Evt qui ne peut être considéré comme élémentaire, mais dont les Losange causes ne sont et ne seront pas développées Résulte de la combinaison d'autres évts par l'intermédiaire d'une porte logique Rectangle Ovale Double losange MAC - Concepts de base - Evts de base Evt conditionnel qui peut être utilisé avec certaines portes logiques Evt dont les causes ne sont ne sont pas développées mais le seront ultérieurement Evt qui correspond à un fct. normal du ∑ (P=1) z 62 MAC - Construire l'arbre - Causes INS Partir de l'évt indésirable En rechercher les causes immédiates, puis "remonter" A l'aide des params & lois physiques Pas de signal d'entrée pour E B A Ö Défaillance 1ère de D Pas de signal Pas de signal de sortie de D d'entrée pr D Pas de signal d'entrée pr D Pas de signal Pas de signal de sortie de B de sortie de64C MAC - Construire l'arbre - Evts intermédiaires Définition évt intermédiaire Ei1 Obtention des évts de base E Pas de signal d'entrée pour E Recherche causes INS Ö évts intermédiaires Ei Classement: 3 classes Défaillance d'un composant Déf. D C MAC - Construire l'arbre - Classement des Ei 2nde Recherche des causes INS 63 Déf. 1ère Critères déterminant le niveau de détail de l'analyse 61 Principes Ei=évt de base Ei=défaut de composant évt survenant normalement pdt le fct. du ∑….. objectifs de l'étude avancement de la conception du ∑ connaissance des composants et de leurs MdD Recherche des causes immédiates, nécessaires et suffisantes (INS) Classement des événements intermédiaires Analyse des défauts de composants Recherche des causes INS des évts intermédiaires jusqu'à n'obtenir que des évts de base Démarche itérative Autres règles par choix (du ∑ étudié) par manque de renseignements ex. défaillance première, erreur humaine élémentaire évts correspondant à une limite de l'étude….. z MAC - Construction de l'arbre des causes évt élémentaire ……………………………... z Maison Une partie semblable, mais La partie de l'arbre qui non identique à celle qui suit le 2ème symbole est suit le 2ème symbole est transférée à Triangle Triangle l'emplacement du 1er transférée à l'emplact du 1er inversé Différents types Déf. de cde Ei="défaut du système" plusieurs composants responsables ou évt de base + défaut de composant ⇒ recherche causes INS Ö évts interm. liés par portes logiques z oui Ei1=évt de base ? non oui E 1=défaut de i non composant ? Recherche de la défaillance 1ère Recherche des défaillances 2ndes Recherche des défaillances de cde Ei1 est un défaut du ∑ Recherche des causes INS z 65 Déf des évts intermédiaires Ei2 liés par des portes logiques 66 11 MAC - Construire l'arbre - Autres règles MAC - Construire l'arbre - Aide de l'AMDEC Garder en tête que: l'existence simultanée de 2 défaillances ne peut conduire à un fct. du ∑ ! il faut bien compléter les évts d'entrée d'une porte avant d'examiner ceux-ci une porte logique ne doit pas être directement connectée à une autre porte les causes sont antérieures aux conséquences A chaque niveau de décomposition Com- F° Mode de Cause Effet Détect° G F N Criticité posant défaillance Défaillance ª élimination ª facilite Effet AMDEC de certaines branches la résolution des ∑ "bouclés" Evite les oublis Simplifie l'analyse des causes Cause2 Cause1 67 68 MAC - Réduction de l'arbre Coupe (ou chemin) MAC - Réduction de l'arbre (2) F F ensemble d'évts entraînant l'évt indésirable Coupe minimale (ou chemin critique) plus petite combinaison d'évts ⇒ évt indésirable (l'un ne se produit pas ⇒ l'évt indésirable non plus) correspond à un "maillon faible" du ∑ E1 Ö E2 réduction A Recherche C E3 C E5 E4 A transformer l'arbre en expression boolénne rechercher l'expression réduite (ex. Karnaugh) B F = C1 + C2 + " + Cn avec B Coupes mini = Ci = Bi1.Bi2 .". Bimi C A B F = (A+B+C).[C+(A.B)] = A.C+B.C+C+A.B+A.B+C.A.B = C+A.B 69 70 MAC - Exploitation de l'arbre (1) MAC - Exploitation de l'arbre (2) Analyse qualitative Règles de combinaison (∑ irréparable) logique des défaillances, pts faibles de la conception actions F z z sur conception, moyens de ctrl, de régulation, de sécurité pour introduire le plus possible de portes ET B1 Analyse semi-quantitative F B2 P[F]=P[B1]+P[B2]-P[B1].P[B2] obtention difficile des probas des évts de base classement par niveaux de probas calcul de la proba de l'évt indésirable ª Action sur les évts de base les plus influents B1 B2 P[F]= P[B1].P[B2] Analyse quantitative proba Ù indisponibilité composants a(t) simulation informatique critiques (conduisent le + fréqt à l'évt indésirable) ª évts les + influents (sensibilité à la variation de proba) ª chemins 71 72 12 MAC - Exemple - Définition du ∑ MAC - Exemple - Evt indésirable, examen ∑ utilisation dégazage Production PAH TP Evt indésirable membrane NAH soupape Examen du ∑ Purification Séchage Réservoir de stockage de gaz liquéfié toxique fuite de produit à partir du stockage (sauf soupape) APD + Etude sur Schéma de Circulation des Fluides Ö contaminants indésirables z solution neutralisante z Condensation systèmes de sécurité z z WAH Exemple: déchirure de l'enveloppe du stockage Surpression > limite élastique Accu suffisante de contaminant réactif Surcharge gaz dans stockage z eau: séchage et contrôle humidité gaz: garde hydraulique + dégazage ouvrier contrôlant l'unité de condensation+stockage 73 74 déchirure enveloppe MAC - Exemple - Arbre Pesée continue eau: corrosion acier en présence du produit un gaz: réaction violente avec le produit MAC - Exemple - Exploitation de l'arbre Impact corps ext. Exploitation semi-quantitative 6 niveaux de probas (1..6) règles simplifiées pour P[F] T° trop élevée F Défaill. PAH Défaill. opérateur Blocage soupape pos. fermée Panne PAH Défaill. ∑ de ctrl Défaill. Incident Défaill. dégazage unité de garde perm. cond. hydrau. NAH Pesée en panne en panne B1 B2 B1 B2 sup(P[B1],P[B2]) min(P[B1],P[B2])-1 F B1 B2 B3 B'1 B3 min(min(P[B1],P[B2])-1,P[B3])-1 Résultat: événement final indésirable de niveau 1 (extrêment rare) 75 76 MACQ - Introduction F Ö Source Soupape chaleur inopéran ext. te Blocage Défaill. ∑ vanne pos de mesure fermée F MACQ - Séquence d'évts Domaine privilégié : nucléaire complexité des ∑ élémentaires nombreuses interactions, redondances fonctionnelles ⇒ nécessité d'une approche systématique Séquences d'évts évt initiateur succession de défaillances conduisant à des csq acceptables ou non ≡ "séquence (in)acceptable" Association ∑ élémentaires Ù "évts génériques" Ex. R u p t u r e d 'u n e tu y a u te r ie p rim a ire (A ) M iss io n d u ∑ d e s a lim é le c tr iq u e s ( B ) M iss io n d u ∑ d 'i n j e c t i o n d e s é c u r ité ( C ) Séquences n°1-accident maîtrisé succès échec 77 évt initiateur n°2-fusion du cœur n°3-fusion du cœur séq. irréaliste n°4-fusion du cœur 78 13 MACQ - Problèmes posés MACQ - Etapes 1 et 2 n Définition Etude quantitative : à chq séquence on associe une probabilité une conséquence (quantité de pdt radioactif relâché) des f° de sûreté F° de sûreté Ctrl de réactivité Refroidissement du cœur Ctrl du débit d'eau du CP Ctrl de la P en eau du CP Refroidissement du fluide Isolement de l'enceinte Ctrl de la teneur en H Problèmes: comment définir l'évt initiateur recenser tous les évts initiateurs possibles élaborer l'arbre des conséquences définir les évts génériques éliminer les incohérences pour réduire l'arbre o Définition Objectifs arrêt du réacteur pour réduire la p° de chaleur transférer la chaleur du cœur au fluide primaire maintenir un débit suffisant pour refroidir le cœur maintenir une P suffisante extraire la chaleur du fluide primaire éviter les relâchements de produits radioactifs éviter les explosions liées à la présence d'H2 ds l'enceinte des évts initiateurs évaluation technologique et/ou arbre des causes Regroupement par f° de sécurité 79 80 MACQ - Etape 3 MACQ - Etape 4 Arbre des conséquences "fonctions" Chaque fonction Ù 1/plusieurs ∑ élémentaire(s) Dans l'arbre précédent, remplacer les fonctions par les ∑ de sûreté correspondants pour chaque évt initiateur évts génériques : perte des ≠ fonctions de sûreté Aides considérer la chronologie d'intervention des ∑ de sûreté élimination des séquences incohérentes z Ex. Arbre des conséquences "systèmes" Ordre des évts génériques Ex. séquences fonctionnelles : déf(F1) ⇒ déf(F2) Pourquoi revoir cet ordre ? z z R up ture tu yau terie p rim aire succès échec F° d 'injectio n de sécurité F° d'a spersion de l'e nceinte évt initiateur S équences n°1 n°2 n°3 n°4 Facteurs à considérer z z z 81 Nb interactions entre f° de sûreté, entre ∑ ∑ accomplissant plusieurs f° de sûreté temps interactions fonctionnelles interactions entre ∑ élémentaires MACQ - Exemple MACQ - Etape 5 (1) ∑ associés aux fonctions de sûreté considérées + + Réduction de l'arbre réservoir commun ∑ auxiliaire (alims électriques) but: simplifier le calcul des probas des séquences n Pertinence Rupture Mission du Mission du Mission du Mission du ∑ tuyauterie réservoir ∑ des alims ∑ d'injection d'aspersion de primaire commun aux 2 ∑ électriques de sécurité l'enceinte Séquences n°4-fusion du cœur z z n°6-fusion du cœur z échec 83 du nombre d'évts génériques n évts génériques à 2 états Ù nombre de séquences considérer n°5-fusion du cœur évt initiateur des ∑ élémentaires ? sens physique des combinaisons ? cohérence avec les états considérés précédemment o Réduction n°1-accidents maîtrisés n°2-rejets limités n°3-fusion du cœur succès 82 temps (ordonnancement des évts génériques) interactions (incompatibilité & dépendances) fonctionnelles interactions entre ∑ 84 14 MACQ - Etape 5 (2) p Obtention z z z z MACQ - Etape 5 (3) Echec mission ∑ 1 de séq. minimales par réduction booléenne arbres des causes des évts indésirables en rechercher les "coupes minimales" introduire les évts de causes communes en tant qu'évts génériques dans un nouvel arbre de conséquences construire cet arbre en incluant les réductions booléennes A B Evt initiateur Ex. Evt initiateur Mission du ∑ 1 Mission du ∑ 2 succès échec Evt A D E Evt F F A F Mission du ∑ 1 Mission du ∑ 2 Séquences n°1- séquence α n°2- séquence β n°3- séquence γ n°4- séquence δ évt initiateur C Echec mission∑ 2 Seq. inacceptable succès évt échec initiateur β = β1 + β2 δ = δ1 + δ2 + δ3 + δ4 G Séquences δ1 β1 δ2 δ3 α β2 γ δ4 85 86 MACQ - Résumé MDCC - Introduction Résumé de la démarche Historique Riso (Danemark), formalisée par Nielsen & Taylor champ d'application : surtout centrales nucléaires Recueil infos - retour exploit. - accidents de dimensionnt Arbre des causes des évts indésirables Sélection évts initiateurs Etude évts indésirables au niveau des ∑ élémentaires Principe : combiner la MAC (analyse déductive) et la MACQ (analyse inductive) Déf. f° de sûreté Arbre "fonctions" Arbre " ∑" Arbre réduit -séq. d'évts -quantification ⇒2 parties "causes" = 1/plusieurs évts "sommets" (indésirables) z symboles : identiques à MAC "conséquences" = csq. lorsque se réalisent ces évts 87 88 MDCC - Symboles MDCC - Elaboration du diagramme n Sélection Symboles spécifiques (partie "conséquences") Symbole Sortie Oui Non Nom Porte "oui-non" Condition Entrée Sortie Sortie D ou D Entrée Opérateur "retard" Signification - L’évt de sortie est "oui" si la condition est remplie, "non" sinon - Un arbre des causes du non-respect de la condition peut être développé en parallèle L’évt de sortie se réalise un temps D après celui d’entrée lié à des défaillances de composants ou sous-∑ ª évt "sommet" de l'analyse des causes Ö MAC (évt indésirable) p Recherche des conséquences o Recherche Entrée NON Entrée en tenant compte z Evénement Décrit les csq d’une combinaison "conséquence" d’évts (fin de branche du diagramme) Entrée Sortie d'un évt initiateur (ou critique) z Opérateur de L’évt de sortie est le complément de complémen- celui de l’entrée tarité z 89 des actions de sécurité (auto/manuelles) qui peuvent être sollicitées et de leurs défaillances possibles des défaillances d'autres composants, sous-∑ d'évts extérieurs en s'inspirant de la construction des séquences MACQ 90 15 MDCC - Elaboration du diagramme (2) q DCC MDCC - Elaboration du diagramme (3) et coupes minimales Etapes précédentes sur tous les évts "sommets" de DCC Ù toutes combinaisons (=coupes, =séquences) d'évts pouvant ⇒ les évts indésirables Réduction des AC Ö coupes minimales Csqs Forme générale MAC Sélection d'1/+ évt initiateur Recherche causes d'un évt initiateur Règles d'élaboration de l'ACQ MAC Recherche csq de l'évt initiateur Recherche causes des évts intermédiaires Règles d'élaboration de l'ACQ Recherche csq des évts intermédiaires D Oui Non Condition Résumé Aide de: -APD -AMDE -MCPR Csqs Non Oui Condition ª ensemble Csqs D Evt initiateur Evt. intermédiaire Obtention des csq "sommets" DCC 91 92 MDCC - Exemple La lampe s'allume MDCC - Conclusion La lampe ne s'allume pas Liens avec les autres méthodes Oui Non Le courant traverse le filament AMDEC Ö aide à définir les évts initiateurs MAC Ö z z Fil débranché Batterie déchargée Fusible ouvert Lampe grillée MACQ: similitudes z z Oui Non Le circuit se ferme z Bouton poussoir Batterie Lampe BP bloqué Intérêt et utilisation Analyser des ∑ d'ampleur limitée ou à fct séquentiel Visualiser l'ordre chronologique d'apparition des évts Fusible Fil 93 Exemple - Présentation Bouton poussoir (BP) Batterie Fusible Relais BP M A Moteur MdD Evt indésirable (APD) = surchauffe fil AB Hypothèses Fusible fct prolongé du M ⇒ court-circuit ⇒ destruction court-circuit ⇒ contact reste collé, même si désexcité sources d'énergies (+défaillances) non prises en compte - défaillance première (méca.) - le contact du BP reste collé - défaillance première (méca.) - l’opérateur ne relâche par le BP (err. hum.) - le fusible ne fond pas - le moteur ne tourne pas Moteur 95 Causes possibles - le BP est bloqué - le contact du relais reste ouvert - le contact du Relais relais reste collé B Fil 94 Exemple - AMDE simplifié Comp . Commande à distance d'un moteur à cc Batterie porte OUI-NON Ù succès ou échec combinaisons d'évts Ù séquences définition identique de l'évt initiateur L'opérateur appuie sur le BP causes de l'évt initiateur causes du (non-)respect d'une condition liée à une porte O/N - court-circuit Effets sur le ∑ - perte de la f° du ∑ : le moteur ne tourne pas - le moteur tourne pdt un temps trop long, d’où court-circuit du moteur, apparition d’un courant élevé et fusion du fusible - perte de la f° du ∑ : le moteur ne tourne pas - le moteur tourne pdt un temps trop long, d’où court-circuit du moteur, apparition d’un courant élevé et fusion du fusible - en cas de court-circuit, le fusible n’ouvre pas le circuit - défaillance première (mécanique) - défaillance première (mécanique) - un courant élevé traverse le contact - défaillance première - l’opérateur a surdimensionné le fusible (err. hum.) - défaillance première - perte de la f° du ∑ : le moteur - le BP est bloqué ne tourne pas - le contact du relais reste ouvert - défaillance première - le court-circuit du moteur ⇒ - le moteur tourne pdt un temps courant élevé+ fusion fusible; le trop long contact du relais reste collé 96 16 Exemple - MAC Exemple - MAC (2) Surchauffe fil AB Court-circuit du moteur Surchauffe fil AB Réduction de l'arbre Court-circuit du moteur Le 2ème circuit est resté fermé Le 2ème circuit est resté fermé D Le contact du relais reste collé Le contact du relais reste collé Déf. première Le fusible n'ouvre pas le circuit Le contact du relais reste collé A Le contact du BP reste collé Déf. première Court-circuit du moteur Déf. première Le contact du BP reste collé L'opérateur a surdim. le fusible Le contact du BP reste collé Déf. première Le contact du relais reste collé Déf. première Bp Le fusible n'ouvre pas le circuit Cp Déf. première Court-circuit du moteur Déf. première Le contact du BP reste collé L'opérateur a surdim. le fusible Déf. première Déf. première L'opérateur ne relâche pas le BP Le contact du relais reste collé Déf. première Déf. première Déf. première L'opérateur ne relâche pas le BP L'opérateur ne relâche pas le BP Déf. première L'opérateur ne relâche pas le BP Déf. première 97 98 Exemple - MAC (3) Arbre réduit Exemple - MACQ Surchauffe fil AB Court-circuit du moteur Le contact du Le contact du BP reste collé relais reste collé Le fusible n'ouvre pas le circuit Court-circuit du moteur Déf. première L'opérateur ne relâche pas le BP L'opérateur a surdim. le fusible Evt indésirable = "surchauffe du fil AB" F° de sécurité (contre court-circuit) considérées F1=protection immédiate par le fusible F2=protection à plus long terme par le contact du relais Déf. première ∑ élémentaires ∑1=∑ proprement dit ∑2=opérateur Déf. première Déf. première Recherche des évts initiateurs Surchauffe fil AB AC de niveau 1 Court-circuit du moteur Perte de la fonction F1 99 100 Exemple - MACQ (2) F1 F2 Séquences temps interactions fonctionnelles interactions entre ∑ élémentaires dépendances entre évts Ö arbres des causes n°2-pas de surchauffe évt initiateur n°3-pas de surchauffe échec n°4-surchauffe du fil AB Le fusible n'ouvre pas le circuit Arbre des conséquences "systèmes" Court-circuit du moteur succès évt initiateur échec Considérer n°1-pas de surchauffe succès Exemple - MACQ (3) Arbre des conséquences "fonctions" Court-circuit du moteur Perte de la fonction F2 Mission du contact Séquences du relais (∑ 1) Le contact du relais n°1-pas de surchauffe Le fusible s'ouvre ouvre le circuit Le contact du relais n°2-pas de surchauffe reste collé n°3-pas de surchauffe Le fusible n'ouvre pas le circuit n°4-surchauffe du fil AB Mission du fusible (∑ 1) 101 L'opérateur a surdim. le fusible Déf. première 102 17 Exemple - MACQ (4) Exemple - MACQ (5) Considérer Arbres des conséquences finals arbres des causes (suite) Court-circuit du moteur Evt initiateur interdépendance Le contact du relais reste collé Causes d'origine externe Le contact du Le contact du BP reste collé relais reste collé Déf. première L'opérateur ne relâche pas le BP Déf. première Déf. première Court-circuit du moteur Déf. première échec Le contact du BP reste collé Cause intrinsèque Déf. première au moteur L'opérateur ne relâche pas le BP Déf. première Le fusible Le contact du relais n°3-pas de surchauffe Court-circuit du reste collé moteur (le contact ouvre le circuit du relais reste collé) Le fusible Le contact du relais n°4-surchauffe du fil AB reste collé échec n'ouvre pas le circuit succès Court-circuit du moteur (le contact du BP reste collé) échec Exemple - MDCC "court-circuit moteur" = point de passage obligé vers l'évt indésirable recherche des causes (MAC) ⇒ évts de base = z z z Equation de l'évt indésirable Coupe minimale court-circuit moteur (défaillance première) le contact du relais reste collé (défaillance première) le contact du BP reste collé (défaillance première) l'opérateur ne relâche pas le BP Court-circuit du moteur Le contact du relais reste collé Court-circuit du moteur et le contact du relais reste collé A Le contact du BP reste collé L'opérateur ne relâche pas le BP Le fusible n'ouvre pas le circuit L'opérateur a surdim. le fusible Déf. première Déf. première Cp Déf. première Bp Déf. première 106 Bases mathématiques - Probabilité d'évts. Introduction à l'analyse quantitative - Plan Bases mathématiques D Le contact du relais reste collé Remarque le contact du relais reste collé si court-circuit ⇒ évts liés conséquence éventuelle: fusion du fusible Ù porte O/N Surchauffe fil AB Oui Non Fusion du fusible Diagramme final 105 Probabilité d'évts Variable aléatoire Notions fondamentales de SdF Application P qui associe à chaque évt A un nombre 0 ≤ P[A] ≤ 1 appelé probabilité, avec P[Ω] = 1 (Ω : Ensemble des observables) P[A+B] = P[A] + P[B] si A.B = ∅ Etat sûr du circuit hypothèse z Le fusible Le contact du relais n°6-surchauffe du fil AB reste collé n'ouvre pas le circuit 104 z Le fusible Le contact du relais n°5-pas de surchauffe reste collé ouvre le circuit Exemple - MDCC (2) Evt initiateur z Le fusible Le contact du relais n°2-surchauffe du fil AB reste collé n'ouvre pas le circuit succès 103 Séquences Le fusible Le contact du relais n°1-pas de surchauffe reste collé ouvre le circuit succès Court-circuit du moteur (déf. 1ère) Mission du contact du relais (∑ 1) Mission du fusible (∑ 1) Données de sûreté de fonctionnement Propriétés P[A] = 1 - P[A] A ⊂ B ⇒ P[A] ≤ P[B] Recherche, sources Elaboration Ö lois de proba des paramètres Relation probabilité/fréquence P[E] = lim (f) lorsque le nombre d'essais → ∞ Théorème de Poincaré: P[A+B] = P[A] + P[B] - P[A.B] 107 108 18 Bases mathématiques - Probabilité d'évts. (2) Théorème de Poincaré: P[A+B] = P[A] + P[B] - P[A.B] Proba conditionnelle que A se produise sachant que X s’est déjà produit : P[ A. X ] P[ A / X ] = Bases mathématiques - Probabilité d'évts. (3) Théorème de Bayes B : événement de probabilité ≠ 0 Ai : ensemble d'événements complets Théorème P[ B / A ]P[ A ] P[ X ] P[ Ai / B ] = Evts indépendants ⇔ P[A/B] = P[A] P[B] i i ∑ P[ B / Ai ]P[ Ai ] i Théorème des proba totales Evts incompatibles: A.B = ∅ Système complet d'évts : ensemble fini d'évts 2 à 2 incompatibles Ö P[∑Ai] = ∑ P[Ai] = 1 Théorème: P[B] = ∑ P[B/Ai] P[Ai] Syn. Théorème sur la probabilité des causes Si B s'est produit, avec les causes possibles X et Y, la proba que B soit dû à X est P[ X / B ] = P[ B / X ]P[ X ] P[ B / X ]P[ X ] + P[ B / Y ]P[Y ] 109 Bases mathématiques - Variable aléatoire 110 Bases mathématiques - Variable aléatoire (2) Définition Variable pouvant prendre n'importe quelle valeur d'un ensemble déterminé de valeurs numériques, et à laquelle est associée une loi de probabilité Continue ou discontinue Moment d'ordre k de la variable aléatoire X +∞ E[ X k ] = ∫ x k f ( x)dx −∞ F Fonction de répartition 1 Espérance mathématique ou moyenne : E[X] Variance −∞ Densité de probabilité f ( x) = dF ( x) dx +∞ V [ X ] = ∫ ( x − E[ X ]) 2 f ( x)dx d'1 var aléatoire X : F(x) = P [X≤x] 0 x f Ecart-type σ[X ] = V[X ] x 111 Bases mathématiques - Variable aléatoire (3) Lois de proba discrètes z Lois de proba continues p=P[A] La variable aléatoire discrète X (nombre de réalisations de A au cours de n expériences) est distribuée suivant la loi : Loi exponentielle z f λ Densité de probabilité f (t ) = λe − λt où λ=cste P[ X = k ] = Cnk p k (1 − p ) n − k , 0 ≤ k ≤ n; 0 ≤ p ≤ 1 Bases mathématiques - Variable aléatoire (4) Loi binomiale z 112 0 t F z Fonction de répartition 1.0 Loi de Poisson P[ X = k ] = e − m F (t ) = 1 − e − λt mk k! 0 = proba d'apparition de k évts en un temps donné, à proba d'occurrence constante (⇒ m = λ .t ) z 113 t Utilisation: caractériser la période à taux de défaillance constant Ö décrit l'intervalle de temps entre 2 défaillances 114 19 Bases mathématiques - Variable aléatoire (5) Lois de proba continues (suite) Densité de probabilité Lois de proba continues (suite) 0.24/σ ⎛ 1 ⎛ t − m ⎞2 ⎞ 1 ⎟ f (t ) = exp⎜ − ⎜ ⎜ 2 ⎝ σ ⎟⎠ ⎟ σ 2π ⎠ ⎝ z f Loi normale N(m,σ) z Bases mathématiques - Variable aléatoire (6) z m m-2σ m+2σ m-σ m+σ t 1.0 Fonction de répartition z z 0.95 0.65 z t z z σ=0.3 Densité de probabilité f (t ) = 0.06/σ F f Loi log-normale σ=1.0 ⎛ 1 ⎛ log t − μ ⎞ 2 ⎞ 1 exp⎜ − ⎜ ⎟ ⎟⎟ ⎜ 2⎝ σ σt 2π ⎠ ⎠ ⎝ Fonction de répartition 2 Moyenne m = exp(μ + σ / 2) Médiane X 0.50 = e μ eμ F 0.95 t 1.0 0.9 0.5 t 0.05 eμ-1.645σ Si X suit N(m,σ), alors Y=(X-m)/σ suit loi réduite N(0,1) Application : nbx phénomènes (incertitudes sur mesures, …) z eμ+1.645σ Représentation des durées de réparation des composants, incertitudes dans la connaissance d'une donnée de sûreté, ... 115 116 Bases mathématiques - Variable aléatoire (7) Lois de proba continues (suite) Loi du χ2 à ν degrés de liberté (ν entier) z z z z Densité de probabilité f (t ) = (t≥0) − tν / 2−1 e 2 ν /2 2 Γ(ν / 2 ) ( ) χα2 (ν ) 0 Principales caractéristiques Fiabilité R(t)=P [ E non défaillante sur [0,t] ] fonction décroissante de t avec lim R(t ) = 0 t → +∞ Défiabilité R(t)=1-R(t) Disponibilité A(t)=P [E non défaillante à l'instant t] t Moyenne = ν ; variance = 2ν Calcul d'intervalles de confiance Souvent tabulée de manière à donner les valeurs de telles que F χα2 (ν ) = ∫ Bases math. - Notions fondamentales (1) χ α2 (ν ) z z f ( x)dx = α Entité irréparable : A(t) = R(t) Cas général : A(t) ≥ R(t) Maintenabilité M(t) = P [E est réparée sur [0,t] ] fonction croissante de 0 à 1 sur [0,+∞[ et lim M (t ) = 1 t → +∞ Immaintenabilité M(t)=1-M(t) 117 118 Bases math. - Notions fondamentales (2) Bases math. - Notions fondamentales (3) Définitions MTTF : durée moyenne de fct avant la 1ère défaillance MTTR : durée moyenne de réparation MUT : durée moyenne de fct après réparation MDT : durée moyenne d'indisponibilité T : variable aléatoire mesurant la durée de fct de E Fonction de répartition de T F(t) = P [T≤t] = 1-R(t) = R(t) car R(t) = P [T>t] Densité de défaillance U(t) = dF(t)/dt = -dR(t)/dt ⊂ détection panne, réparation panne & remise en service MTBF : durée moyenne entre 2 défaillances consécutives d'une entité réparée défaillance remise en service 0 Densité de défaillance ∞ défaillance 0 MTTF MDT IPP ⇒ MTTF = ∫ tU (t )dt = ∞ MTBF 0 119 ∞ 0 R (t )dt Densité de réparation G=dM/dt IPP ⇒ MTTR = ∫ tG (t )dt = MUT ∫ ∫ [1 − M (t )]dt ∞ 0 120 20 Bases math. - Notions fondamentales (4) Bases math. - Notions fondamentales (5) Taux de défaillance (instantané) 1 P[E défaille sur [t, t+Δt] sachant qu'elle Λ (t ) = lim n'a pas eu de défaillance sur [0,t] ] Δt →0 Δt R (t ) − R(t + Δt ) = lim Δt →0 Δt.R (t ) U (t ) = R (t ) D'où les équations t R(t ) = exp⎛⎜ − ∫ Λ (u )du ⎞⎟ 0 ⎝ ⎠ t ⎛ U (t ) = Λ (t ) exp⎜ − ∫ Λ (u )du ⎞⎟ ⎝ 0 ⎠ t M (t ) = 1 − exp⎛⎜ − ∫ μ (u )du ⎞⎟ ⎝ 0 ⎠ t ⎛ G (t ) = M (t ) exp⎜ − ∫ μ (u )du ⎞⎟ ⎠ ⎝ 0 Taux de réparation (instantané) 1 P[la réparation de E se termine sur [t, t+Δt] sachant qu'elle a été en panne sur [0,t] ] Δt →0 Δt G (t ) = 1 − M (t ) μ (t ) = lim 121 122 Bases math. - Calcul des taux pour les ≠ lois Bases math. - Notions fondamentales (6) Intensité de défaillance Loi Taux de défaillance Λ 1 P[E défaille sur [t, t+Δt] W (t ) = lim sachant qu'elle est en fct au temps t=0] Δt → 0 Δ t Intensité de réparation 1 P[la réparation de E se termine sur [t, t+Δt] V (t ) = lim Δt → 0 Δ t sachant qu'elle est en fct au temps t=0] W (t ) = U (t ) + ∫ U (t − x)V ( x)dx 0 t V (t ) = ∫ G (t − x)W ( x)dx 0 t irréparable A(t)=R(t)=e−Λt réparable : entité remise en service "neuve" A(t+Δt) = P[ E non défaillante à t+Δt ] asymptotique μ MTTF A(∞) = = λ + μ MTTF + MTTR Proportion du temps pendant laquelle E est en état de fonctionner σ π t t Agés 124 A(0)=1 μ (t ) = 0 Λ (t ) = λ μ (t ) = μ U ( t ) = λ e − λt U ( t ) = λ e − λt G ( t ) = μ e − μt R ( t ) = e − λt G (t ) = 0 M (t ) = 0 R ( t ) = e − λt M ( t ) = 1 − e − μt MTTF = 1 / λ M TTR = ∞ MTTF = 1 / λ MTTR = 1 / μ W ( t ) = λ e − λt μ λ+μ V (t ) = 0 N D ( 0, t ) = 1 − e − λt A(0)=0 N R ( 0, t ) = 0 t 125 Composant réparable Λ (t ) = λ A( t ) = R ( t ) = e − λt A(t) σ=1.0 m R(t)=e-λt 1/λ M(t)=1-e-μt (hypothèse μ(t)= μ=cste) 1/μ = τ (durée moyenne de réparation) Composant irréparable ª disponiblité 2 Bases math. - Modèle à λ et μ constants 2 classes d'entités ⎛ μ ⎞ −( λ + μ )t μ ⎟⎟.e ⇒ A(t ) = ⎜⎜ A(0) − + λ+μ⎠ λ+μ ⎝ σ=0.3 λ 123 Bases math. - Fiabilité et disponibilité Fiabilité MTTF Maintenabilité MTTR Log-N Λ(t)=U(t)/R(t) t t 0 N(m,σ) Modélise composants Ni jeunes ni âgés Relations particulières A(t ) = N D (0, t ) − N R (0, t ) = ∫ [W ( x) − V ( x)]dx Expon. Λ(t) A(t ) = μ λ e −( λ + μ )t + λ+μ λ+μ λμ λ2 + e −( λ + μ )t λ+μ λ+μ λμ [1 − e − ( λ + μ ) t ] V (t ) = λ+μ W (t ) = λμ λ2 [1 − e − ( λ + μ ) t ] t+ λ+μ (λ + μ )2 λμ λμ [1 − e − ( λ + μ ) t ] N R ( 0, t ) = t+ λ+μ (λ + μ )2 N D ( 0, t ) = 126 21 Données de sûreté de fct. - Principe Données de sûreté - Recherche de données Pour obtenir des infos quantitatives, observer pendant un certain temps dans des conditions données Types de composants Essais de fiabilité Utilisation : observation en exploitation difficile z z Evaluation sûreté de fct Taille pop stat Réparables ? Electronique élevée non Essais de fiabilité Electrique élevée oui Essais de fiabilité ou expérience d’exploitation Electromécaniques actifs faible oui Expérience d’exploitation réelle dans une installation Mécaniques passifs Très faible Difficilement Difficile (expérience propre à une installation) Type des tests: plusieurs critères d'arrêt z z z z 127 taux de défaillance en fonctionnement (λ) taux de défaillance en fct λ̂ = N df taux de défaillance à l’arrêt (λa) 1 λa = lim P[E défaille sur [t, t+Δt] sachant qu'elle Δt → 0 Δ t était à l’arrêt, en état de fct. sur [0,t] ] taux de défaillance à l’arrêt λ̂a = taux de défaillance à la sollicitation taux de défaillance à la sollicitation (γ) γ = P [ E refuse de changer d'état lorsque cela lui est taux de réparation MTTR MTTR = taux de réparation (μ) μ̂ = 1 Données de sûreté - Lois de proba des params. Choix d'une loi z N ds Ns MTTF remise en service MDT défaillance MUT MTBF 1 λ̂ 130 Principe Evaluation des bornes [λinf, λsup] d'un intervalle (dit de confiance) entourant l'estimateur λ̂ Soit α = P[ λ ∉ [λinf, λsup] ] Alors 1- α est appelé niveau de confiance bien adaptée aux composants électroniques + composants électro-mécaniques si maintenance préventive Loi log-normale: bien adaptée aux durées de réparation γˆ = Données de sûreté - Intervalle de confiance Hypothèse du taux de défaillance constant Données insuffisantes pour vérifier d'autres lois Courbe λ=f(t) "en baignoire" Ö durée de vie utile z N da Da défaillance 0 En général MDT, Dr<<Df ⇒ MTBF ≅ MUT ≅ MTTF = MTTF, MTTR, MUT, MDT, MTBF Df Nr Dr μ̂ 129 128 Estimateurs des paramètres à taux de défaillance et de réparation constants demandé sous forme d'une sollicitation ] Relevé de données événementielles qui, traitées, fourniront les paramètres de fiabilité recherchés Données de sûreté - Elaboration de données Paramètres de sûreté de fonctionnement: au temps T à la rième défaillance (r < nb composants) mixte (durée + nb défaillances) progressif (la décision dépend des résultats déjà obtenus) Recueil en exploitation Données de sûreté - Elaboration de données Inaccessibilité Nouveaux matériels Calcul de l'intervalle Hypothèse λ=cste. Tests d'hypothèse λsup = Ö la variable aléatoire est-elle bien régie par cette loi ? Test du χ² 131 χ 2 α (2 N f + 2 ) 1− 2 2T f , λinf = χ α2 (2 N f ) 2 2T f 132 22 Données de sûreté - Modélisation de λ Données de sûreté - Intervalle de confiance Exemple λ=λb*πE*πA*πQ*πn , avec: Une pop de pompes a subi 2 défaillances en 10 000 h. z z Principe Calculer l'estimateur du taux de défaillance Calculer l'intervalle de confiance de cet estimateur λb : taux de base obtenu à partir d'essais de fiabilité sous contraintes normalisées (environnement,…) πE : coef d'environnement. Ex (composant e- donné): On a poursuivi l'observation et on a recensé 14 défaillances sur 70 000 h de fonctionnement. z z – 0.2 : normal, utilisation au sol – 4 : soumis à vibrations et chocs, au sol – 10 : conditions sévères (embarquement sur missile) Recalculer l'estimateur et son intervalle de confiance Montrer que la précision des résultats est améliorée πA : coef d'ajustement à l'utilisation (contraintes sec.) πQ : coef de qualité (de conception) πn : coef d'ajustement (autres facteurs: cycles répétes) 133 134 Données de sûreté - Exemple: SRDF d'EDF Données de sûreté - Exemple: SRDF d'EDF Mise en place: 1974; étendu en 83 à 40 tranches 1100 matériels (vannes, pompes...) / paire de tranches Echantillon en 1982=150 000 h fct., 4000 défaillances tests de cohérence, présence de l'info indispensable, ... constitution de groupes de matériels identiques requêtes possibles pour consulter les fichiers Collecte de l'info fiche signalétique (Öclasses de matériels id.) z z Traitement de l'information Caract techniques et historiques (mise en service, entretien) Conditions de fct et environnement Restitution des données 1 fiche de fct./an: données de fct. (nb h, sollicitations) fiches de défaillance obtention de paramètres statistiques λˆ , γˆ , μˆ , indisponib ilité z z recherche de la loi stat la mieux adaptée pour représenter la durée de vie d'équipements limites d'un intervalle de confiance rédigées sur incident et saisies en local en moyenne 350 par tranche et par an 135 136 Données de sûreté - Sources de données Bibliographie Types de sources z z z CNET : abaques pour ts composants électroniques NASA, NAVY Ö MIL HDBK Plates-formes pétrolière Ö OREDA (λ, MDT) Centrales nucléaires en GB (SYREL), USA (NPRDS), Euope (ERDS), Scandinavie (ATV-System) z z "Sûreté de fonctionnement des Σ industriels", A. Villemeur, Eyrolles, 1988 www.sudqualite.org/documents/encyclopedie/P/pieuvre.htm z www.innovsw.com/fmeafmeca.htm Q/AMDEC/Analyse prév. z z "L'AMDEC, un atout pour les PMI", Recueil de conférences CETIM, 1992 "Techniques d'analyse de la fiabilité des systèmes. Procédure AMDE", AFNOR X60-150, CEI 812-1985 chaqual.free.fr/outils/amdec/methodologie.html perso.wanadoo.fr/olivier.albenge/page_site/qualite/ www.gsip.cran.uhp-nancy.fr/desspai/dess_frame/confs/Exposes/leger/ MAC z "Les différentes méthodes d'analyse de sécurité dans la conception d'une installation chimique - Analyse par l'arbre des causes", Cahier de sécurité n°3, 138 CP Chimie Promotion, 1981 z docs avec listes de données (domaine, obj spécifiques) z z Nucléaire: Evaluation Probabiliste de Risques (EPR) IEEE: 150 000 comptes-rendus de maintenance analysés (In-Plant Reliability Data System) 137 Ouvrages généraux z z banques de données (de fiabilité ou disponibilité) z 23