Courssfd.iga

EL Hassan IRHIRANE 2009 - 2010 1

MODULE : Sret de fonctionnement et gestion des risques

SUPPORT DE COURS

SURETE DE FONCTIONNEMENT

(RESUME)

EL Hassan IRHIRANE

IGA Marrakech

5 I.S.A

EL Hassan IRHIRANE 2009 - 2010 Page 1

Avant-propos

Ce cours prsente les principales composantes de la sret de fonctionnement et un grand nombre doutils et de mthodes. Il nest nullement exhaustif. Le lecteur pourra se reporter aux rfrences bibliographiques (les premires rfrences en particulier) pour obtenir une apprciation globale de la sret de fonctionnement, et quelques prcisions concernant les mthodes illustres par des exemples. Lobjectif est plutt de montrer que la sret de fonctionnement est devenue un domaine trs tendu faisant appel de nombreuses spcialits, do son approche difficile tant elle revt de nombreuses facettes en gardant un esprit de globalit. Cette tendance est encore en pleine volution et stend encore, de nombreux groupes de travail (ISdF, Institut de Sret de Fonctionnement, etc...) se penchant sur ses diffrents aspects.


Sommaire

1. Introduction 1.1. Bref historique

2. Dfinitions et concepts 2.1. Notions et concepts de base 2.2. Systmes, composants et dfaillances 2.3. Notions et concepts complmentaires

3. Analyse prvisionnelle des dysfonctionnements des systmes 3.1. Principe 3.2. Etapes dune analyse en sret de fonctionnement 3.3. Mthodes danalyse en sret de fonctionnement

4. Approche oprationnelle : donnes de sret de fonctionnement 4.1. Les donnes de fiabilit 4.2. Les banques de donnes

5. Dmonstrations/Exemples 5.1. Dfinition du taux de dfaillance en fonction de la fiabilit 5.2. Dfinition du taux de remise en service en fonction de la maintenabilit 5.3. Formulation intgrale des dures moyennes MTTF et MTTR 5.4. Les grandeurs de sret de fonctionnement pour une entit rparable 5.5. Etude d'un systme 2 composants identiques redondance active 5.6. Etude d'un systme l'aide d'un arbre de dfaillance

Rfrences bibliographiques

Annexe 1 : Abrviations


1. Introduction

La sret de fonctionnement est apparue rcemment dans lhistoire, et sest dveloppe au cours du XXme sicle pour tre un domaine incontournable actuellement pour les industries risques (en premier chef, lindustrie nuclaire et les industries chimiques) mais aussi de plus en plus pour toute lindustrie en raison de sa corrlation avec la notion de qualit, les problmes ergonomiques (relation homme-machine) et limpact sur lenvironnement.

1.1. Bref historique

1.1.1. Prmices et balbutiements (jusquaux annes 30) re industrielle (XIXme sicle dbut XXme sicle) approche intuitive : mises en parallle, redondance (chemin de fer, systmes mcaniques puis lectriques) dveloppement avec les transports ariens (dbut XXme sicle, fin 1re guerre mondiale) approche statistique, notion de taux de dfaillance : quipements des avions (moteurs) apparition de la thorie de la fiabilit (annes 30) : aspect prvisionnel

Quelques accidents marquants... Delft (Pays-Bas, 1654) : fabrique de poudre, nombreuses victimes Paris (1794) : fabrique de poudre, plus de 1000 victimes Meudon (8/5/1842) : chemins de fer, 150 victimes Titanic (14/4/1912) : naufrage, 1490 victimes Oppau (Allemagne, 21/9/1921), usine de salptre et gaz : 561 victimes

1.1.2. Dbuts (annes 40 et 50) deuxime guerre mondiale : tude de fiabilit des fuses V1 de Von Braun (loi de Lusser, formulation de Pieruschka) amlioration de la qualit (contrle qualit), loi de Murphy : if anything can go wrong, it will (1949) dveloppement de la fiabilit surtout aux Etats-Unis en lectronique (applications militaires) : commission AGREE (Advisory Group on Reliability of Electronic Equipment)


Quelques accidents marquants... Tessenderlo (Belgique, 1942) : dpt de nitrate dammonium, 200 victimes Le Mans (13/6/1955) : piste automobile, automobile partant dans la foule, 82

victimes Tcheliabinsk 40 (Kychtym, Oural, URSS, 29/9/1957) : explosion, dchets

radioactifs

1.1.3. Elargissement des applications (annes 60) apparition de nouveaux outils et mthodes : Arbres des Causes (aronautique, A. Watson puis Haasl, NASA : Gemini, Apollo), Analyse des Modes de Dfaillance et de leurs Effets (aronautique), Mthode des Combinaisons de Pannes (SNIAS : Concorde, puis Airbus), et mthode THERP (Technique for Human Error Rate Prediction, A.D. Swain) apparition de normes (Department of Defense, USA, et CEI) publications de tables de taux de dfaillance des quipements cration de la premire revue spcialise : IEEE Transaction on Reliability

Un accident marquant... Torrey Canyon (Seven stones, Angleterre, 18/3/1967) : 119000 t de brut, mare

noire

1.1.4. Dveloppements tant prvisionnels quoprationnels (annes 70) analyses de risques pour les centrales nuclaires (USA, France), tendues lindustrie chimique (ptrochimie, Convay Island, Angleterre) nombreuses collectes de donnes de fiabilit (banques de donnes) essais de dispersion de gaz et dexplosions (essais AMEDE, EDF et CEA) normes internationales de la CEI nouvelles mthodes : Mthode de lArbre des Consquences,...

Quelques accidents marquants... Seveso (Italie, 10/7/1976) : usine ICMESA (Hoffman-Laroche), vapeurs de

dioxine, population expose (36000 personnes) Three Mile Island (Pennsylvanie, USA, 28/3/1979) : fuites Mississauga (Canada, 10/11/1979) : chemins de fer, manations toxiques,

vacuation de 250000 personnes.


1.1.5. Nouvelles mthodes et extension toute lindustrie (annes 8090) dveloppement de la notion de qualit (cration de lAFCERQ) nouvelles mthodes et nouveaux moyens : rseaux de Petri, simulation...; pour les facteurs humains : HCR, HEART; utilisation de logiciels de calcul de fiabilit; modlisation et simulation des accidents (dispersion de gaz...) extension toutes les industries (automobile, industries chimiques...) essais grande chelle (Thorney Island, 1982-1984), collecte de fiabilit Directive Seveso (CEE 82/501, 24/6/1981) : tudes de risque des installations largissement ltude gnrale de la vie dun systme, la prvention et la minimisation des facteurs humains

Quelques accidents marquants... Bhopal (Inde, 3/12/1984) : usine de pesticides, 2000 victimes officiellement Mtogura (Japon, 12/8/1985) : Boeing 747 cras, 524 victimes Tchernobyl (URSS, 26/4/1986) : explosions puis fonte dun racteur et fuites... Piper Alpha (mer du Nord, G.B., 1988) : plate-forme ptrolire, incendie, 167

victimes Exxon Valdez (Alaska, 24/3/1989) : 40000 t de brut, mare noire

2. Dfinitions et concepts [1,5,6]

2.1. Notions et concepts de base Les notions et concepts introduits dans ce paragraphe sont prsents dans loptique

dtudier des systmes techniques . Les facteurs humains sont sommairement introduits au 3.3.4. et ncessiteraient des dfinitions appropries concernant la fiabilit, disponibilit etc...(cf. [1]).

2.1.1. Notion de Risques Les circonstances et les consquences des catastrophes et accidents sont variables. Elles

montrent que le risque prsente deux aspects : probabilit et consquences. Au niveau des consquences, elles se caractrisent par la scurit : protection des personnes, de lenvironnement mais aussi protection de loutil de production (aspect conomique, et par extension social).

Deux voies peuvent tre pratiques pour rduire les risques :

diminution de la probabilit doccurrence de lvnement indsirable attnuation des consquences de lvnement indsirable


2.1.2. Sret de fonctionnement La sret de fonctionnement est galement appele Science des dfaillances .

Dautres dsignations existent suivant le ou les domaines dapplication : analyse de risque (milieu ptrolier), alatique, cyndinique (Science du Danger), FMDS (Fiabilit, Maintenabilit, Disponibilit, Scurit, RAMS en anglais)... Elle se caractrise la fois par ltude structurelle (statique) et dynamique des systmes du point de vue prvisionnel, mais aussi oprationnel et exprimental (essais, accidents), en tenant compte des aspects probabilits et consquences des dfaillances. Cette discipline intervient non seulement au niveau du produit fini (systme existant) mais aussi au niveau conceptuel pour la ralisation dun systme ou la connexion de plusieurs sous-systmes (surtout sils sont de natures diffrentes).

La sret de fonctionnement consiste connatre, valuer, prvoir, mesurer, et matriser les dfaillances des systmes. Les grandeurs fondamentales utilises dans cette discipline sont dfinies dans les paragraphes suivants. Les termes spcifiques utiliss dans les dfinitions qui suivent sont galement normaliss (norme NF X 60-500, cf. [5,6]).

2.1.3. Fiabilit (Reliability)

Norme NF X 60-500

Aptitude dune entit accomplir une fonction requise, dans des conditions donnes, pendant un intervalle de temps donn.

Lentit (E) dsigne un composant, sous-systme ou systme et la fonction requise est la ou les fonctions que doit accomplir le dispositif pour pleinement remplir la tche qui lui est assigne.

Par extension, on appelle galement fiabilit la probabilit associe R(t) cette notion alors qu'elle n'en est qu'une mesure. Elle est dfinie par :

R(t) = P(E non dfaillante sur la dure [0,t])

Laptitude contraire est appele dfiabilit, et est dfinie par : On distingue plusieurs types de fiabilits (termes spcifiques) :

la fiabilit oprationnelle (observe ou estime) dduite de lanalyse dentits identiques dans les mmes conditions oprationnelles la fiabilit prvisionnelle (prdite) correspondant la fiabilit future dun systme et tablie par son analyse connaissant les fiabilits de ces composants la fiabilit extrapole dduite de la fiabilit oprationnelle par extrapolation ou interpolation pour des conditions ou des dures diffrentes.

R t R t( ) ( )= 1


Une grandeur moyenne associe la fiabilit souvent utilise est le temps moyen de fonctionnement dune entit avant la premire dfaillance, Mean operating Time To Failure (MTTF). On peut crire (sous certaines conditions mathmatiques, cf [1] et 5.3.) :

MTTF = R(t).dt0

+

Dfinition du taux de dfaillance en fonction de la fiabilit

La dfinition du taux de dfaillance (norme NF X 60-500) donne au 2.2.2. peut s'exprimer ainsi :

(t) = lim t0

P(E df.sur[t, t + t]sachant queE non df.sur[0,t]) / t

En utilisant la formule de Bayes sur les probabilits conditionnelles, on peut rexprimer l'galit ci-dessus :

(t) = limt 0

P(E df.sur[t,t + t]etE nondf.sur [0,t])t.P(E nondf.sur [0,t])

Au dnominateur le terme P(E non df. sur [0,t]) = R(t) par dfinition. Lanalyse de P(Edf.sur[t, t + t]et Enondf.sur[0, t]) conduit conclure quelle est

quivalente P(Edf.sur[t,t + t]). En effet si lon sintresse au comportement de lentit E entre [t, t+t], cest quelle fonctionnait linstant t.

La probabilit au numrateur pouvant galement s'crire soit par : F[t + t] F[t]

ou

1- F[t + t]( ) 1- F[t]( ) :

(t) = limt 0

F t + t( ) F(t)t. 1 F(t)( )

( t) = limt 0

1 R(t + t)( ) 1 R(t)( )t.R( t) = limt0

R( t) R(t + t)t.R(t )

(t) est donc mathmatiquement une densit de probabilit conditionnelle et scrit (cf. dmonstration 5.1.) :

(t) = limt 0

R(t) R(t + t)t.R(t) =

R (t)R(t)

ou bien


(t) = limt 0

F t + t( ) F(t)t. 1 F(t)( ) =

f (t)1 F(t)

(En effet en calcul diffrentiel si dt est petit : y(t+dt)-y(t)=y(t) dt) La fonction dR(t)/dt est appel densit de dfaillance et le terme (t)dt taux de hazard

Relations entre R(t), F(t), f(t) et (x)

d Ln(u)( )' = duu

duu = Ln(u) u = e

duu

(t) = R (t)R(t) =

ddt

Log(R(t))

(u)0

t

du = Log(R(u))[ ]0t = Log(R(t)) Log(R(0))[ ]

(u)0

t

du = Log(R(t)) R(t) = e (u)

0

t du

Comme on mesure la fiabilit partir de t = 0, il est vident que R(o) = 1, do

F(t) R(t) f(t) (t) F(t) 1 1-R(t) f (u)du

0

t

1 e (u )

0

t du

R(t) 1-F(t) 1 f (u)dut

e (u )

0

t du

f(t) dF(t)dt

dR(t)dt

1 (t)e

(u)0

t du

(t) dF(t)dt

1 F(t)

R (t)R(t)

f (t)f (u)du

t

+

1

2.1.4. Disponibilit (Availability)

Norme NF X 60-500

Aptitude dune entit tre en tat daccomplir une fonction requise dans des conditions donnes, un instant donn ou pendant un intervalle de temps donn, en

supposant que la fourniture des moyens extrieurs ncessaires soit assure

La probabilit associe A(t) linstant t est aussi appele disponibilit et sexprime par :

A(t) = P(E non dfaillante linstant t)


Laptitude contraire est appele indisponibilit, et est dfinie par :

ATTENTION : la disponibilit A(t) est une grandeur instantane. Le systme peut donc avoir subi une panne puis une rparation avant linstant t, contrairement la fiabilit R(t) qui est une grandeur mesure sur une dure (intervalle [0,t]). La confusion entre disponibilit et fiabilit est due au fait que ces deux concepts sont quivalents quand le systme est non rparable.

Comme la fiabilit, plusieurs types de disponibilits peuvent tre utilises : la disponibilit instantane prvisionnelle (dfinie ci-dessus) la disponibilit moyenne : moyenne sur un intervalle de temps donn [t1,t2] de la disponibilit instantane prvisionnelle, ou mesure en phase oprationnelle par la dure de fonctionnement effectif divise par la dure donne.

Les grandeurs moyennes associes la disponibilit le plus souvent utilises sont : le Temps Moyen de Disponibilit (TMD), Mean Up Time (MUT) : dure moyenne de fonctionnement aprs rparation le Temps Moyen dIndisponibilit (TMI), Mean Down Time (MDT)

2.1.5. Maintenabilit (Maintainability) et Maintenance (Maintenance)

Norme NF X 60-500

Dans les conditions donnes dutilisation, aptitude dune entit tre maintenue ou rtablie, sur un intervalle de temps donn,

dans un tat dans lequel elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions donnes, avec des procdures

et des moyens prescrits.

La maintenance tant dfinie par :

Norme NF X 60-500

Ensemble des actions destines maintenir ou rtablir une entit dans un tat dans lequel elle peut accomplir une fonction requise

La maintenabilit est caractrise par une probabilit M(t) (galement appele maintenabilit) que la maintenance dune entit E accomplie dans des conditions donnes, avec des procdures et des moyens prescrits, soit acheve au temps t, sachant que E est dfaillante au temps t = 0 :

M(t) = P(la maintenance de E est acheve au temps t)

A t A t( ) ( )= 1


= 1 P(E non rpare sur la dure [0,t])

Il sagit donc dun quivalent la fiabilit mais appliqu la rparation au lieu de la dfaillance.

Limmaintenabilit correspond la probabilit contraire, soit : M t M t( ) ( )= 1

Les grandeurs moyennes associes la maintenabilit le plus souvent utilises sont : le temps Moyen de Fonctionnement Entre Dfaillances (FMED), Mean operating Time Between Failures (MTBF), on a MTBF = MUT + MDT. le Temps Moyen avant Remise en Service ou temps dindisponibilit aprs dfaillance (TMRS), Mean Time To Restoration (Mean Time To Repair, MTTR). On peut lexprimer par (sous certaines conditions mathmatiques, cf [1] et 5.3.) :

MTTR = 1 M(t)[ ]0

+

.dt

2.1.6. Scurit La scurit restant un terme trs gnral, il nexiste pas actuellement de consensus pour

une normalisation. La dfinition de la probabilit associe reste donc dpendante des approches. Une dfinition est donne par la rfrence [1] :

Aptitude dune entit viter de faire apparatre, dans des conditions donnes, des vnements critiques ou catastrophiques.

Lvaluation de la scurit est actuellement encore limite et est effectue pour les installations chimiques, les centrales nuclaires, les plates-formes ptrolires et laronautique. Elle est base sur des tudes statistiques des impacts des accidents (rels, expriments ou simuls) sur lhomme et lenvironnement (notion de gravit).

2.1.7. Schmas explicatifs pour quelques grandeurs moyennes Pour prciser les dfinitions des grandeurs moyennes utilises en sret de

fonctionnement, deux schmas sont prsents figure 1. Attention, ces schmas ne sont pas normaliss, ils ne prsentent que lusage courant. A noter que la notion de MTTR peut tre tendue aux dures entre dfaillance et remise en service, la diffrence avec la MDT ntant alors plus que les dures dindisponibilit dues aux contrles de maintenance.


2.2. Systmes, composants et dfaillances

2.2.1. Systmes et composants Du point de vue classique (dterministe, donc non systmique), un systme est un

ensemble dtermin dlments discrets (composants) interconnects ou en interaction. Il faut remarquer que cette dfinition ne fait pas paratre laspect dynamique dun systme susceptible dvoluer dans le temps. Ainsi, une dfaillance spcifique dun composant donn peut avoir un effet diffrent suivant linstant auquel elle se produit. Les composants sont considrs comme non dcomposables et correspondent aux limites de rsolution de lanalyse du systme. De mme, le choix des limites dextension du systmes sont choisies en fonction de ltendue de lanalyse et de linfluence de lvolution de lenvironnement du systme sur celui-ci.

Hormis ces notions de systmes et composants, on peut dfinir des structures intermdiaires telles que les systmes lmentaires, sous-systmes etc...

Les systmes sont de formes varies suivant les technologies mises en jeu (lectriques, lectroniques, thermo-hydrauliques, mcaniques, informatiques, etc...) et parfois hybrides. On caractrise un systme par :


Fig. 1

temps

MTTF MDT MUT

MTBF

Dfaillance1re Dfaillance

Remise en

service

temps

MDT

Dfaillance

Remise en

service

dtection de la

dfaillance

fin de la rparation

MTTR

dbut de la rparation


ses fonctions ou missions (hirarchises) sa structure : les composants, leurs caractristiques, leurs interactions et leurs localisations son fonctionnement (tats du systme et des composants, volutions possibles) son exploitation (maintenance et conditions spcifiques dexploitation)

2.2.2. Dfaillances, panne et rparation

La dfaillance dune entit est dfinie suivant la norme :

Norme NF X 60-500

Cessation de laptitude dune entit accomplir une fonction requise.

De mme, la panne dun composant ou systme (entit) est dfinie de la manire suivante :

Norme NF X 60-500 Etat dune entit inapte accomplir une fonction requise,

dans des conditions donnes dutilisation.

La panne est donc ltat induit par la dfaillance de lentit considre, elle-mme pouvant tre la consquence dune ou plusieurs dfaillances de ses composants. On distingue la panne : intermittente (retour au fonctionnement sans maintenance corrective), fugitive (intermittente mais non dtectable), permanente (maintenance corrective ncessaire), et latente ou cache (non dtecte).

La remise en service rend apte lentit accomplir une fonction requise. Remarquons que le temps dindisponibilit comprend le temps de rparation plus le temps coul depuis la dfaillance jusqu sa dtection et puis la mise en uvre de la rparation. Il faut galement souligner lexistence des notions dentits rparables ou non rparables aux sens technique et/ou conomique.

Une grandeur fondamentale souvent utilise caractrise la dfaillance dun composant : le taux de dfaillance (t) (instantan).


Il est dfini par : Norme NF X 60-500

Limite, si elle existe, du quotient de la probabilit conditionnelle pour que linstant dune dfaillance dune entit soit comprise dans un intervalle de

temps donn, [t,t+t], par la dure t de lintervalle de temps, lorsque t tend vers zro sachant que lentit na pas t dfaillante entre 0 et t


( ) lim ( ) ( )( ). ( )( )

tR t R t t

R t t R tR t

tt=

+=

0

1 dd

On appelle la fonction f(t) = dR(t)/dt, densit de dfaillance. De mme, on dfinit un taux de remise en service (t) :

Norme NF X 60-500

Limite, si elle existe, du quotient de la probabilit conditionnelle pour quune entit soit remise en service dans un intervalle [t,t+t], sachant quelle a une

dfaillance linstant 0 et que la remise en service na pas encore t effectue linstant t, par la dure t de lintervalle de temps, lorsque t tend vers 0.


( ) lim ( ) ( )( ( )). ( )( )

tM t t M t

M t t M tM t

tt=

+

=

0 1

11

dd

On dfinit galement un taux de rparation not (t) et qui parfois se confond avec (t). On peut mettre en vidence plusieurs types de dfaillances suivant la manire, linstant, les causes et les consquences (effets) qui caractrisent leurs manifestations :

1. la manire rapidit : dfaillance progressive ou soudaine (prvisible ou non par contrles et surveillances) amplitude : dfaillance partielle ou complte (disparition partielle ou complte de la fonction requise) rapidit et amplitude : dfaillance catalectique ou par graduation (soudaine et complte, ou progressive et partielle)


2. linstant Ceci fait rfrence lvolution du taux de dfaillance des composants pendant leur vie.

Cette volution se divise en trois priodes (fig. 1 : courbe baignoire valable essentiellement en lectronique) : la priode de jeunesse (1 : dcroissance plus ou moins rapide du taux de dfaillance jusqu un minimum), la priode de taux constant de dfaillance (2 : taux de dfaillance pratiquement constant : palier), et la priode de fin de vie (3 : croissance plus ou rapide du taux de dfaillance depuis le palier). Elle conduit la distinction de trois types de dfaillances :

dfaillance prcoce (priode de jeunesse) dfaillance taux constant (priode de taux constant) dfaillance par vieillissement ou dusure (priode de fin de vie)

3. les causes Les origines dune dfaillance peuvent tre de natures diffrentes :

dfaillance premire (la dfaillance est due uniquement lentit elle-mme qui est utilise conformment aux spcificits prvues) dfaillance secondaire (la dfaillance est semblable la prcdente, mais hors spcificits) dfaillance de commande (mme processus mais lautre entit est mettrice de commandes et peut tre corrige pour rtablir le fonctionnement)

1 2 3

Temps

( )t

Fig. 1.


4. les consquences (effets) On peut diffrencier quatre classes deffets des dfaillances :

dfaillance mineure (nuisance au bon fonctionnement du systme, dommages ngligeables tous les niveaux) dfaillance significative (nuisance au bon fonctionnement du systme, dommages non notables et sans risque important pour lhomme) dfaillance critique (perte de fonctions essentielles du systme, dommages importants au systme et environnement, risque ngligeable de blessure ou de mort) dfaillance catastrophique (perte de fonctions essentielles du systme, dommages importants au systme et environnement, risque de mort ou dommages corporels)

Les modes de dfaillance ou de panne Un mode de dfaillance caractrise leffet ou les effets observs au cours de la

dfaillance dun composant. Il est plutt recommand dutiliser le terme de mode de panne dfini par :

Norme NF X 60-500

Un des tats possibles dune entit en panne pour une fonction requise donne.

2.3. Notions et concepts complmentaires

Dautres concepts peuvent tre dfinis : durabilit (durability), continuabilit (service retainability performance), servibilit (serveability performance), accessibilit (service accessibility performance)...

On utilisera souvent le terme de redondance. Une redondance consiste donner plus dun moyen une entit (systme) pour accomplir une fonction requise. On distingue trois types de redondances :

la redondance active : les moyens accomplissent simultanment la fonction requise. la redondance passive : une partie seulement des moyens accomplit la fonction requise, le reste tant sollicit en cas de dfaillance de la partie en fonctionnement. la redondance majoritaire m/n : une fonction requise nest assure que si au moins m des n moyens existants sont en tat de fonctionner ou en fonctionnement.


3. Analyse prvisionnelle des dysfonctionnements des systmes

3.1. Principe

Organigramme 1.

Principe d'analyse prvisionnelleen sret de fonctionnement

Synthse/Dcisions

Analyse qualitativeAnalyse quantitative(choix des mthodes)

Modlisation du systme

Identification des risques

Analyse fonctionnelleAnalyse technique

Dfinition des ObjectifsDfinition du systme

(recueil d'informations)


Lanalyse des systmes est ralise partir dinformations diverses dont le tri et lanalyse permet de concevoir un modle du systme. Ce modle permet laide de diffrentes mthodes de prvoir son futur comportement.

Les informations ncessaires lanalyse sont : la description du systme rel : structure physique les caractristiques des composants du systme et des interactions entre eux (les modes de dfaillance et leurs consquences...) les relations entre le systme et son environnement la prise en compte des erreurs humaines en phase dexploitation

3.2. Les tapes dune analyse en sret de fonctionnement

On peut diviser une analyse de sret de fonctionnement de systme en quatre tapes principales, savoir :

lanalyse structurelle et fonctionnelle du systme lanalyse qualitative du systme lanalyse quantitative du systme la synthse des analyses prcdentes et une conclusion

Les dtails et lenchanement de ces tapes sont donns dans lorganigramme 1. Il faut remarquer que ces tapes ne sont pas totalement disjointes et prsentent des aspects communs. De plus, une tude relle est itrative, les quatre tapes principales sont rptes plusieurs fois jusqu lobtention dune conclusion acceptable (objectifs raliss).

3.3. Les mthodes danalyse en sret de fonctionnement

3.3.1. Prsentation gnrale Les mthodes danalyse en sret de fonctionnement sont varies. Elles sont adaptes

une ou plusieurs formes danalyse (structurelle et fonctionnelle, qualitative, quantitative) ou un ou plusieurs domaines de lindustrie (ptrolire, chimique, lectrotechnique...). Elles font appel la logique inductive (vnements lmentaires comportement gnral du systme, cause/effets) ou dductive (comportement gnral du systme vnements lmentaires, effets/cause).

Les paragraphes suivants prsentent brivement les mthodes suivantes : Analyse Prliminaire des Dangers (APD), Analyse Prliminaire des Risques (APR) (annes 60, aronautique) Analyse des Modes de Dfaillances et de leurs Effets (AMDE, annes 60, aronautique), Analyse des Modes de Dfaillances, de leurs Effets et de leur Criticit


(AMDEC, annes 60, NASA), Failure Mode , Effects and Criticality Analysis (FMECA) HAZard and OPerability study (HAZOP, annes 70, industries chimiques) Mthode du Diagramme de Succs ou de Fiabilit (MDS ou MDF, annes 60), Reliability Block Diagram Method (RBDM) Mthode de la Table de Vrit (MTV), Mthode de la Table de Dcision (MTD) Mthode de lArbre des Causes (MAC, annes 60), Fault Tree Method (FTM) Mthode des Combinaisons de Pannes Rsumes (MCPR, annes 70, aronautique) Mthode de lArbre des Consquences ou des Arbres dEvnements (MACQ ou MAE, annes 70, nuclaire), Event Tree Method (ETM) Mthode du Diagramme Causes-Consquences (MDCC, annes 70, nuclaire), Cause-Consequence Diagram Method (CCDM) Mthode de lEspace des Etats (MEE, annes 50, processus de Markov)

3.3.2. Mthodes qualitatives Toutes ces mthodes qualitatives sont bases sur la nomenclature des dangers et

risques, de leurs origines et causes. Elles utilisent des tableaux standards permettant de classer les donnes et vnements.

3.3.2.1. Analyse Prliminaire des Dangers, des Risques (APD, APR) Preliminary Hazard Analysis [1,2] Cette mthode a t utilise au dbut des annes 60 aux Etats-Unis pour lanalyse de

scurit de missiles. La mthode a pour but didentifier les dangers dune installation et ses causes (lments dangereux) et dvaluer la gravit des consquences lies aux situations dangereuses et accidents potentiels. Lidentification des dangers est effectue grce lexprience et la connaissance des spcialistes et de listes-guides (check-lists) dlments et situations dangereuses qui dpendent du domaine dapplication. Par extension, on appelle Analyse Prliminaire des Risques, la mme analyse complte par une estimation de la probabilit doccurrence des situations dangereuses et accidents potentiels ainsi que leurs effets et consquences.

Ces mthodes sont souvent utilises pour la phase didentification des risques et son orientes vers la scurit.

3.3.2.2. Analyse des Modes de Dfaillance et de leurs Effets (AMDE) Failure Mode and Effect Analysis (FMEA) [1,4,6] Cette mthode utilise depuis les annes 60 en aronautique a t depuis gnralise

de nombreux domaines de lindustrie. Elle est inductive et permet ltude systmatique des causes et des effets des dfaillances (modes de dfaillance et effets) qui affectent les


composants dun systme. La mthode se divise en quatre tapes et se caractrise par une prsentation sous forme de tableaux (cf. exemple en annexe 2).

1. Dfinition du systme, de ses fonctions et de ses composants : dfinition des principales fonctions du systme, de ses limites fonctionnelles (globales et composants), et des spcifications relatives au fonctionnement du systme, de ses composants ou lenvironnement du systme.

Modes de dfaillance gnriques 1. Dfaillance structurelle 18. Mise en marche errone 2. Blocage physique au coincement 19. Ne sarrte pas 3. Vibrations 20. Ne dmarre pas 4. Ne reste pas en position 21. Ne commute pas 5. Ne souvre pas 22. Fonctionnement prmatur 6. Ne se ferme pas 23. Fonctionnement aprs le dlai prvu

(retard) 7. Dfaillance en position ouverte 24. Entre errone (augmentation) 8 Dfaillance en position ferme 25. Entre errone (diminution) 9. Fuite interne 26. Sortie errone (augmentation) 10. Fuite externe 27. Sortie errone (diminution) 11. Dpasse la limite suprieure tolre 28. Perte de lentre 12. Est en dessous de la limite infrieure tolre

29. Perte de la sortie

13. Fonctionnement intempestif 30. Court-circuit (lectrique) 14. Fonctionnement intermittent 31. Circuit ouvert (lectrique) 15. Fonctionnement irrgulier 32. Fuite (lectrique) 16. Indication errone 33. Autres conditions de dfaillance

excep- 17. Ecoulement rduit tionnelles suivant les caractristiques du

systme, les conditions de fonctionnement et les contraintes oprationnelles

Tableau 1.

2. Etablissement des modes de dfaillance des composant et leurs causes : cette phase doit tre la plus complte que possible, et demeure le point faible de la mthode. On classifie les modes de dfaillances en gnral en quatre catgories (normalises) :

fonctionnement prmatur (ou intempestif)


ne fonctionne pas au moment prvu ne sarrte pas au moment prvu dfaillance en fonctionnement

Les modes de dfaillances sont dfinis par rapport un fonctionnement prcis du systme, et sont donc dpendants de celui-ci. Pour aider lanalyse, on utilise des tableaux comme le tableau 1 donnant une liste-guide de modes de dfaillance gnrique (norme NF X 60-510, dc. 1986, [6]).

3. Etude des effets des modes de dfaillances : tude complte des effets sur les fonctions des systmes et sur chacun des composants, en supposant un seul mode de dfaillance (les autres composants tant tous en tat de fonctionner). Il faut tenir compte des variations des paramtres importants et tudier leurs effets (modles de phnomnes physiques parfois ncessaire) en sachant distinguer ceux qui concerne le systme lui-mme et ceux qui concernent son environnement (suivant les objectifs, les uns ou les autres peuvent tre prioritaires). Cette phase permet galement didentifier les dfaillances secondaires.

4. Conclusions, recommandations : partir des tapes prcdentes, on peut conclure et tablir des recommandations compte tenu des objectifs de ltude. Les recommandations permettent dmettre des propositions : ajout de redondances, de procdures de dtection et de maintenance pour chaque mode de dfaillance.

3.3.2.3. Analyse des Modes de Dfaillance, de leurs Effets et de leur criticit (AMDEC) Failure Mode, Effects and Criticality Analysis (FMECA) [1,2,7,8] Cette mthode est une extension naturelle de la mthode AMDE. Elle considre la

probabilit doccurrence de chaque mode de dfaillance et la gravit des effets associs pour effectuer une classification suivant une chelle en criticit. Ce type danalyse a t dvelopp dans laronautique pendant les annes 60, lune des premires utilisations importantes tant pour la conception du module lunaire LEM (NASA). Une grille spcifique permet lanalyse de la criticit qui fait la spcificit de cette mthode [1,2,6] et annexe 2.

3.3.2.4. Mthode danalyse HAZOP (HAZard and Operability Study) [1,2,9,10] Cette mthode a t dveloppe par la socit Imperial Chemical Industries au dbut

des annes 70 et sapplique lindustrie chimique. Elle est de mme type que lAMDE mais est mieux adapte pour lanalyse des circuits thermo-hydrauliques. Elle consiste remplir un tableau standard contenant pralablement un certain nombre de mots-clefs. Ceux-ci permettent de passer en revue les dviations des paramtres importants en mettant en vidence les causes et les consquences de leurs dviations ventuelles, ainsi que les moyens de dtection et les actions correctrices possibles. Une hirarchisation daprs la frquence et


la gravit des dviations possibles est alors effectue. Un mthode drive a t dveloppe par lUnion des Industries Chimiques [10].

3.3.2.5. Mthode des Combinaisons de Pannes Rsumes (MCPR) Failure Combination Method [1,11] Cette mthode complte la mthode AMDE en incluant une tude des combinaisons de

dfaillances conduisant des vnements indsirables. Elle a t cre par la SNIAS et les Autorits de certification du Ministre de lAir franais pour lanalyse de la scurit des avions Concorde puis Airbus [11]. Cette mthode se divise en quatre tapes :

dcomposition du systme lmentaire : AMDE applique chaque systme lmentaire laboration des pannes rsumes internes : regroupement des modes de dfaillances qui seuls ou groups produisent les mmes effets sur le systme lmentaire considr ou les autres systmes lmentaires laboration des pannes rsumes externes : les pannes rsumes internes ou leurs combinaisons relatives aux autres systmes pouvant affecter le fonctionnement du systme lmentaire tudi constituent les pannes rsumes externes. laboration des pannes rsumes globales : elles sont composes des pannes rsumes internes, externes et de leurs combinaisons ayant les mmes effets sur le systme lmentaire tudi et sur les autres systmes lmentaires.

Cette mthode permet de regrouper les pannes ayant les mmes effets et de tenir compte des interactions entre systmes lmentaires. De plus, partir des modes de dfaillances conduisant aux vnements indsirables, il est possible de construire facilement un Arbre des Causes, et donc daborder laspect quantitatif directement.

3.3.3. Mthodes mixtes et quantitatives Ces mthodes sont nombreuses, soit inductive, ou dductive comme celle de lArbre

des Causes ou de Dfaillance, ou encore un mlange des deux. On distingue trois types dapproches suivant laspect du support diagrammatique utilis :

approche arborescente (MAC/MAD, MACQ/MAE, MDCC) approche structurelle (MDS/MDF, MTV, MTD) approche par graphe des tats (MEE) De plus, on peut diviser ces mthodes en deux classes : mthodes dites statiques : le systme est tudi partir de sa structure et de sa logique de fonctionnement sans tenir compte de son volution possible dans le temps.


mthodes dites dynamiques : le systme est tudi partir de sa structure en tenant compte de son volution au cours du temps.

3.3.3.1. Mthode du Diagramme de Succs ou de Fiabilit (MDS/MDF) Reliability Block Diagram Method [1,2,3] Cette mthode est la plus ancienne, et reste encore appele souvent Mthode du

Diagramme de Fiabilit (MDF). En effet, elle est naturelle car proche de la structure physique du systme. Elle consiste construire un diagramme compos de blocs, chacun deux reprsentant une entit (composant, sous-systme, voire une fonction) relis par des lignes orientes indiquant les dpendances des entits entre elles. Le comportement des entits est binaire (fonctionnement/dfaillance).

Les diagrammes sont constitus dune entre E, dun corps diagrammatique et dune sortie S. On suppose quun signal est mis en E, et est transmis par les lignes jusqu la sortie S, la dfaillance dune entit entranant larrt du signal au niveau du bloc qui lui est associ. Sil nexiste aucun chemin daccs permettant le passage du signal de E vers S, le systme est dfaillant, sinon il fonctionne. Un tel diagramme est une reprsentation statique du systme. Ltude consiste chercher les combinaisons de dfaillances dentits lmentaires conduisant la dfaillance du systme, appeles coupes . Les coupes ne contenant aucune autre coupe sont dites minimales (la notion de chemins minimaux est aussi utilise pour ce type dtude). Ces dernires sont essentielles pour les calculs probabilistes dcoulant de cette premire analyse. Les rgles de transmission du signal sont numres ci-dessous :

en srie : toutes les entits doivent fonctionner pour que le signal passe. en parallle : il suffit que toutes les entits dune branche fonctionnent pour que le signal passe. cas de redondance : la reprsentation fait apparatre un nud commun spcifiant sil sagit dun cas m/n ou non et des interrupteurs si la redondance est passive.

Un descriptif de ces configurations est donn dans l'annexe 3, et un exemple figure au 5.5.1.

3.3.3.2. Mthode de lArbre des Causes ou de Dfaillance (MAC/MAD) Fault Tree method Analysis (FTA) [1,2,3,12] Cette mthode a t dveloppe en 1961-1962 par la Socit Bell Telephone par

A. Watson. Elle fut amliore peu aprs par Haasl (Boeing), avant de se gnraliser de nombreux domaines de lindustrie. Loutil de cette mthode dductive est couramment appel Arbre de Dfaillance (AdD) et est une reprsentation statique du systme. Elle consiste donc considrer une dfaillance donne du systme et construire dune manire arborescente (descendante) lensemble des combinaisons de dfaillances des composants mises en jeu


(comportement binaire des vnements lmentaires). Lvnement indsirable ou non souhait est au sommet de larbre do la dnomination dvnement-sommet , les vnements indsirables intermdiaires ou de base tant relis en cascade laide de symboles correspondant des oprations logiques. Une branche se termine toujours par un vnement de base. Ces oprateurs appels portes sont ( cf. annexe 3) :

portes ET, ET prioritaire ou squentiel, ET avec condition portes OU, OU exclusif, OU avec condition porte SI condition porte k/n combinaison porte DELAI porte NON porte matricielle (sortie gnre pour certaines combinaisons dentre)

Les vnements sont spcifis dans des blocs de formes normalises ( entre parenthse, sont spcifis si lvnement est dveloppable et la dfaillance de composant correspondante, cf. annexe 3) :

rectangle : vnement-sommet ou intermdiaire ( dfaillance de commande) cercle : vnement de base lmentaire (non dvelopp, dfaillance premire) losange : vnement de base non lmentaire (non dvelopp, dfaillance seconde) double losange : vnement non de base (dveloppement effectuer) maison : vnement de base considr comme normal (vnement de

fonctionnement) ovale : vnement conditionnel (portes logiques)

Des triangles sont galement utiliss pour effectuer des transferts dun arbre dautres sous-arbres, et donc de simplifier la prsentation dun arbre complexe.

Pour construire lAdD, on procde comme suit : recherche des causes immdiates, ncessaires et suffisantes de lvnement indsirable (obtention dvnements intermdiaires) classement et analyse des vnements intermdiaires (lis un ou plusieurs composants et quels types de dfaillances) recherche des causes immdiates, ncessaires et suffisantes des vnements intermdiaires jusqu obtention dvnements de base Il faut remarquer que ces phases doivent souvent tre rptes pour permettre

lanalyste de mieux connatre le systme et damliorer sa dcomposition en vnements de base. Enfin, lAdD permet de gnrer lensemble des coupes (comme un diagramme de fiabilit dont il est le dual ) et den dduire celui des coupes minimales . Avant


deffectuer cette valuation, des techniques de rduction de larbre (simplification) peuvent tre appliques.

On distingue plusieurs types dAdD suivant leur complexit : AdD-c : Arbres de Dfaillance cohrents composs de portes ET, OU, et de variables monoformes (vnements lmentaires de mme catgorie : dfaillance) AdD-nc : Arbres de Dfaillance non cohrents composs de portes ET, OU, et de variables biformes (vnements lmentaires de catgories diffrentes) AdD dlai : Arbres de Dfaillance composs de portes ET, OU et DELAI AdD-r : Arbres de Dfaillance avec restriction, gnralisant les AdD-nc pour des vnements lmentaires exclusifs non complmentaires AdD-mp : Arbres de Dfaillance multiperformants, gnralisation des oprateurs n entres...

Un exemple d'application sur un cas simple est prsent au 5.6.

3.3.3.3. Mthodes de la Table de Vrit et de la Table de Dcision (MTV, MTD) [1] Base sur lalgbre boolenne, la mthode de la Table de Vrit permet didentifier tous

les tats (fonctionnement ou panne) du systme partir de comportements binaires. Elle reste limite aux cas simples pour lanalyse manuelle, mais peut tre automatise. La construction de la table est ralise aprs identification des modes de dfaillances des composants et de leurs tats de panne, ainsi que leurs effets (AMDE). A chaque tat de composant est associe une variable qui peut prendre la valeur 0 (fonctionnement) ou 1 (panne). Le nombre de combinaisons devenant important quand le nombre de composants crot, cette mthode reste limite aux systmes comportant peu de composants. La table de dcision est une extension de la table de vrit permettant de traiter un nombre quelconque d'tats pour chaque entre de la table. Elle peut servir l'laboration d'un arbre de dfaillance.

3.3.3.4. Mthode de lArbre des Consquences ou des Arbres dEvnements (MACQ/MAE) Event Tree Method [1,13] Lutilisation de cette mthode remonte aux annes 70 aux Etats-Unis pour lvaluation

des risques dans les centrales nuclaires. Cette mthode est drive de la mthode des arbres de dcisions (analyse de dcision) et est principalement utilise dans lindustrie nuclaire.

Une squence dvnements est constitue dun vnement initiateur et dune combinaison de dfaillances et fonctionnements de systmes de sret. Elle est qualife dinacceptable ou dacceptable suivant les consquences quelle engendre.


La mthode MACQ permet didentifier ces squences et ensuite de les tudier quantativement et qualitativement. Il faut dabord dfinir les fonctions de sret du systme et les vnements initiateurs (utilisation dun arbre des causes standard ). Deux approches sont possibles, soit inductive, soit dductive.

Lapproche dductive commence par construction dun arbre des consquences fonctions partir dun vnement initiateur. Il se dveloppe en envisageant chaque tape le succs ou lchec de la fonction de sret considre. Ensuite, larbre est rduit : certaines squences sont supprimes en raison de leur incohrence. Larbre des consquences systmes est dduit en remplaant dans larbre prcdent les fonctions par les systmes de sret correspondants. Souvent, il faut revoir lordre des vnements gnriques en raison des interactions entre fonctions de sret, ceci permettant galement de simplifier larbre. La mise en ordre est guide par les aspects temporel, les interactions fonctionnelles et les interactions entre systmes lmentaires. Une simplification laide de lalgbre boolenne est galement possible.

Lapproche inductive est base sur la mthode MCPR qui permet llaboration des pannes rsumes globales. Celles-ci permettent la slection des vnements initiateurs et ensuite llaboration des arbres des consquences. La simplification des arbres des consquences est ralise sur les mmes critres et laide des mmes mthodes que dans lapproche dductive.

3.3.3.5. Mthode du Diagramme Causes-Consquences (MDCC) Cause-Consequence Diagram Method [1,2,14] Mthode dveloppe dans les annes 70 par le laboratoire Ris (Danemark), la Mthode

du Diagramme Causes-Consquences est une combinaison des mthodes MAC et MACQ (Arbre des Causes et Arbre des Consquences). Elle met en uvre la fois les logiques inductive de larbre des consquences (AC) et dductive de larbre des causes (AdD). Donc, un diagramme causes-consquences (DCC) est constitu dun ou plusieurs sommets comme un AdD conduisant des consquences indsirables, redoutes ou inacceptables, et dune partie consquences qui correspond aux consquences des vnements sommets. Comme pour les AdD, des symboles spcifiques sont utiliss pour la construction des DCC, la partie cause conservant les conventions des AdD. Les symboles spcifiques aux DCC sont donns en annexe 3.

La construction dun DCC suit les rgles cumules des AdD et AC, et seffectue en slectionnant un vnement initiateur, puis en cherchant les causes (AdD) et les consquences (AC) de cet vnement.

Ensuite, ltablissement des coupes, puis des coupes minimales permet dobtenir des rsultats quantitatifs.


3.3.3.6. Mthode de lEspace des Etats (MEE) et extensions [1,2,3] Cette approche est assez ancienne (annes 50) et sest dabord dveloppe pour ltude

des processus stochastiques du type markovien . On considre le systme comme un ensemble de composants pouvant se trouver dans un nombre fini dtats de fonctionnement ou de panne (il est possible dadmettre des tats dits dgrads ). On dispose donc dun ensemble dtats de composants qui combins permettent de dfinir lensemble des tats du systme. Cet ensemble est divis en deux sous-ensembles des tats de fonctionnement et de panne, devant tre dfinis pralablement. Dans le cas de n composants binaires , on obtient un nombre maximum de 2n tats. Ensuite, il faut recenser toutes les transitions possibles entre les diffrents tats du systme en identifiant leurs causes. Un support graphique appel graphe des tats permet de visualiser les tats, les transitions et leurs caractristiques (taux de dfaillance, de remise en service ou de rparation...). Il consiste reli des cercles (tats) par des arcs orients (transitions dtats de dpart vers des tats darrive) avec des paramtres spcifis avec ceux-ci (caractristiques des transitions). Les mthodes de rsolutions bases sur ces graphes permettent une tude dynamique du systme (volution dans le temps).

Processus markoviens, systmes markoviens homognes On considre souvent les processus markoviens pour tudier lvolution des

systmes dans le temps. Un systme est dit markovien si la probabilit conditionnelle de transition dun tat prsent vers un tat suivant est indpendante du pass du systme. On parlera aussi de chane de Markov si le processus est discret (temps valeurs entires). Remarquons que sous certaines conditions, un processus markovien peut tendre vers un rgime stationnaire (notion de disponibilit asymptotique). Si les transitions entre les tats se caractrisent par des taux constants (indpendants du temps : densit de probabilit de type exponentielle), le processus est dit markovien homogne .

Ltude dun tel systme ncessite la rsolution dun systme dquations diffrentielles linaires couples du premier ordre et coefficients constants. De nombreuses mthodes analytiques et numriques permettent de rsoudre ce type dquations (transformation de Laplace, exponentiation de matrices, intgrations numriques, calculs de valeurs propres...) et dobtenir fiabilit, disponibilit et maintenabilit en fonction du temps. De surcrot, des grandeurs moyennes (MTTF, MTTR, MUT, MDT, MTBF) et la disponibilit asymptotique (A(), si le processus est rgime permanent) peuvent tre facilement obtenues par inversion dun systme dquations linaires.


Processus semi-markoviens Un processus semi-markovien est tel que la probabilit de transition dun tat vers un

autre ne dpende que du temps coul depuis larrive dans cet tat. Ce type de processus conduit un systme dquations couples qui peut tre rsolu analytiquement.

Processus non markoviens homognes, extensions Certaines mthodes permettent de transformer un processus non markovien homogne

(transitions paramtres non constants) en processus markovien homogne ou semi-markovien :

mthode des variables complmentaires (limite car le nombre de variables crot trs vite en fonction du nombre de taux non constants) mthode des tats fictifs (substitution des transition taux non constants par un ensemble dtats et transitions taux constants) mthode de la chane immerge (utilisation des points de rgnrations pour construire une chane de Markov)

Ces mthodes restant limites, dautres approches ont t dveloppes permettant dtudier les systmes partir des graphes dtats supports de reprsentation du systme en utilisant la simulation Monte-Carlo. Les rseaux de Petri, utiles pour lidentification des tats en vue de ltude dun processus markovien (aspect statique), sont des supports efficaces pour ce type de simulation (aspect dynamique) [2,15]. Ils permettent une reprsentation de lvolution temporelle du systme dans des cas complexes et de ses interactions avec dautres systmes ou son environnement. Dautres supports peuvent tre galement utiliss...

3.3.4. Les facteurs humains En raison de limportance de lintervention humaine dans les installations industrielles,

une tude de sret de fonctionnement doit tenir compte des facteurs humains. LEvaluation Prvisionnelle de Fiabilit Humaine (EPFH) a t dveloppe partir des annes 60 suite de nombreux travaux montrant son importance ds les annes 50. Les apports de lergonomie permettent de mieux comprendre et matriser ces facteurs.

3.3.4.1. Loprateur humain Laccomplissement dune tche par un oprateur humain peut se diviser en plusieurs

tapes : lacquisition des informations (activit sensorielle)


le traitement de linformation (activit mentale) : traitement logique des informations (diagnostic par mthode algorithmique ou heuristique), valuation de lvolution possible de la situation (calcul de paramtre laide de mthodes mathmatiques) la prise de dcision : consquence directe du traitement dinformation (activit mentale) la rponse physique (activit physique)

Lanalyse des erreurs humaines a mis en vidence limportance de lactivit mentale rflexe ou consciente. Rasmussen [16] a propos trois grandes classes de comportement humain :

le comportement machinal (skill-based behaviour) : comportement automatique de loprateur agissant comme une machine , lactivit mentale consciente nest presque pas active. le comportement procdural (rule-based behaviour) : comportement faisant appel une activit mentale consciente et consistant excuter des tches de manire coordonne en suivant des rgles (ou procdures) apprises ou crites. le comportement cognitif (knowledge-based behaviour) : cas des situations inhabituelles o lactivit mentale consciente est complexe afin de rsoudre des problmes et des planifications de tches.

Il faut remarquer que lexcution des tches humaines prsente certaines spcificits : la variabilit (diffrence dexcution dune mme action dans des conditions quivalentes) le besoin dinformation et la capacit de prvision (le manque dinformation nest pas tolr par le cerveau, il cherche obtenir un maximum dinformations en vue dune prvision) : aspect positif pour laccumulation dinformation, ngatif pour lextrapolation pouvant tre errone la capacit compenser les variations de difficult de la tche par une augmentation de charge de travail sans variation des performances : peut devenir dangereux pour loprateur et altrer le processus de production, cet effet admettant un niveau maximum qui sil est dpass conduit une chute brutale des capacits daccomplissement de la tche. le stress : ensemble des ractions physiologiques une situation stressante (perception par le sujet dun cart entre les exigences de la situation et ses possibilits), se rpercutant galement au niveau psychologique.


On distingue plusieurs types de tches qui permettent une premire approche des erreurs humaines : tches simples, complexes, de vigilance, de contrle, et post-incidentelles ou post-accidentelles.

3.3.4.2. Les mthodes Une EPFH se dcompose de la manire suivante : recherche des erreurs humaines potentielles slection des erreurs pertinentes analyse dtaille des erreurs pertinentes intgration dans le modlisation du systme quantification

La procdure SHARP (Systematic Human Action Reliability Procedure) [17] de lEPRI permet en suivant ces diffrentes tapes de choisir les mthodes adquates pour effectuer une EPFH. Citons quelques mthodes :

TESEO (Tecnica Empirica Stima Errori Operatori) [18], due lENI (compagnie ptrolire italienne), probabilit derreur exprime par le produit de cinq facteurs tabuls exprimant la complexit de laction, le temps disponible, lexprience et la formation de loprateur, son motion et linterface homme-machine. THERP (Technique for Human Error Rate Prediction) [19] due Swain, probabilit derreur lmentaire gale au produit de trois termes exprimant une probabilit de base (suivant opration et interface homme-machine), un coefficient correctif (stress) et une probabilit de non-rcupration de lerreur. HCR (Human Cognitive Reliability) [20], probabilit dabsence de rponse un incident sous forme de trois fonctions possibles (comportement machinal, procdural ou cognitif) et laide de 5 paramtres exprimant le temps disponible, le temps ncessaire, la comptence de loprateur, le stress et linterface homme-machine. HEART (Human Error Assessment and Reduction Technique)

Un exemple est prsent en annexe 5 accompagn d'extraits des tables de Swain.

4. Etude oprationnelle : donnes de sret de fonctionnement

Les donnes de sret de fonctionnement sont essentielles pour toute tude prvisionnelle et principalement quantitative. Les donnes de sret de fonctionnement sont de deux types : vnementielles et fiabilistes.


Les donnes vnementielles sont obtenues laide dtudes statistiques des accidents et des exprimentations en grandeur nature. Elles concernent donc laspect macroscopique , et donnent des estimations du comportement dun systme entier dans certaines circonstances (grand nombre dvnements indiscernables ou non quantifiables). Elles sont surtout utiles pour lvaluation des risques (probabilit/gravit des consquences) et donc de la scurit.

Par contre, les donnes fiabilistes sont obtenues par des essais sur des composants de base des systmes dans des conditions donnes (vnements discernables et quantifiables). Elles sont donc microscopiques et sont essentielles pour les mthodes prdictives dcrites dans le chapitre prcdent, largement utilises. Pour cette raison, nous nous attarderons sur ce type de donnes.

4.1. Les donnes de fiabilit

On distingue les donnes de fiabilit qualitatives et quantitatives. Lapproche qualitative est rcente et concerne la description de larchitecture du systme du point de vue matriel et fonctionnel (utilisation de systmes experts). Laspect matriel se caractrise par le recensement des composants et la description de leurs connexions, alors que pour laspect fonctionnel, il sagit de modlisation de la logique du systme, de ses conditions dutilisation et du comportement de ses composants laide de variables dtat.

Lapproche quantitative est base sur des donnes techniques, humaines et conomiques. Les donnes conomiques sont importantes pour lvaluation des cots de remise en fonctionnement des composants (maintenance curative) et des cots de prvention des dfaillances de ceux-ci (maintenance prventive). Ceci met en jeu les cots en personnels, matriels et de production.

Les donnes sur les facteurs humains sont obtenues de plusieures manires : retour dexprience, simulateurs, jugements dexperts, expriences en laboratoire (utilises pour HCR [20]) et banques de donnes (par exemple, CONFUCIUS de EDF).

Les donnes techniques sont obtenues soit par ralisation dessais, par lutilisation des rsultats en exploitation (retour dexprience), ou sur avis dexperts. Nous allons prciser maintenant les mthodes dvaluation des donnes techniques.

4.1.1. Les paramtres On caractrise la sret de fonctionnement dun composant (ou dune entit) par les

paramtres suivants :


taux de dfaillance en fonctionnement () taux de dfaillance larrt (a) taux de dfaillance la sollicitation () taux de rparation () grandeurs moyennes (MTTF, MTTR, MUT, MDT, MTBF)

A chacun de ces paramtres, on associe un estimateur permettant son valuation partir dexpriences ou dessais dans des conditions donnes.

4.1.2. Les estimateurs Les estimateurs sont calculs directement daprs les dfinitions des paramtres

donnes au 2.1. On a donc :

(t) : = (Nbre de df. obs. en fonct.)/(Dure cumule de fonct.) a(t) : (Nbre de df. obs. larrt)/(Dure cumule darrt) (t) : = (Nbre de df. obs. la sollicitation)/(Nbre de sollicitations) (t) : (Nbre de rparations)/(Dure cumule de rparation)

Les grandeurs moyennes sont galement dtermines partir des dfinitions correspondantes, sachant que certaines peuvent tre calcules daprs les estimateurs ci-

dessus. Ainsi, et .

Ces estimateurs sont accompagns de calculs dintervalles de confiance qui permettent de se donner une ide de la prcision statistique sur ceux-ci. Ils suivent des lois de probabilit que lon peut approcher par des lois simples (dtermination par le maximum de vraisemblance...) prsentes ci-dessous.

4.1.3. Les lois de probabilit La courbe en baignoire du 2.2.2. montre lexistence dune partie de la vie dun

composant appele vie utile dans laquelle le taux de dfaillance est constant. La validit de cette variation du taux de dfaillance est rduite essentiellement aux composants lectroniques. Dans cette hypothse, la densit de dfaillance f(t) suit une loi exponentielle. En effet, si est constant, la relation = [-dR(t)/dt]/R(t) conduit avec R( t = 0) = 1, et donc qui est bien une densit de probabilit car . Il faut

galement remarquer quun taux de dfaillance constant simplifie la tche de lanalyse quand le systme est markovien, celui-ci tant alors homogne et de rsolution plus aise (cf. 3.3.3.6).

$ a =

$ =

MTTR =1$ MTTF =

1$

R t e t( ) = f t e t( ) = f t t( )d

IR+ = 1


Nanmoins, de nombreuses tudes ont montr que cette loi est loin dtre gnrale. Aussi, dautres lois de probabilit permettent de dcrire les taux de dfaillance et les taux de rparation. On peut citer :

la loi normale, deux paramtres, utilisable sur IR+ pour modliser la dure de vie des

systmes, soit f (t) = 1 2pi

exp 12

t m

2

, avec >0.

la loi log-normale, deux paramtres, qui permet de modliser les dures de

rparation, f (t) = 1t. 2pi

exp 12

ln t

2

, avec >0.

la loi de Weibull, ajustable grce ces trois paramtres, elle est utilise dans plusieurs domaines, mais surtout pour la fiabilit des composants mcaniques, o

f (t) = t ( )1

exp t

, avec , > 0, >0 et t > .

la loi Gamma, deux paramtres, o f (t) = t1

( ) et

. Quand le paramtre est entier, la loi est appele loi dErlang et est le produit de convolution de lois exponentielles. Alors, il sagit dune loi de la variable alatoire somme de variables alatoires distribues sur une mme loi exponentielle (utilisation dans la mthode des tats fictifs, cf. 3.3.3.6).

4.1.4. Les mthodes de calcul des estimateurs et intervalles de confiance Les intervalles de confiance sont imposs par le niveau de confiance

1 ( reprsente la probabilit que la valeur relle se trouve en dehors de lintervalle) et la loi de probabilit correspondant au processus alatoire. Par exemple, une dfaillance se droulant dans lintervalle [0,t] suit une loi de Poisson, alors quun refus de dmarrage suite une sollicitation obit une loi binmiale.

Les principales mthodes de calcul des estimateurs sont : lapproche baysienne (probabilits conditionnelles) [21] qui partir de la connaissance dautres paramtres permet de calculer le nouveau paramtre. Dans le cas o plusieurs sources de donnes sont utilises, la mthode de Kaplan [22] est souvent utilise (double application du thorme de Bayes). la modlisation qui dcompose le taux de dfaillance en produit de paramtres permettant de tenir compte des conditions relles dutilisation du composant (MIL-HDBK-217B [23]) les jugements dexperts, utiliss si aucune donne nest connue et souvent bass sur la mthode Delphi (IEEE-Standard-500 [24])


4.2. Les banques de donnes

Les banques de donnes sont soit volutives (mise jour priodique, surtout dans le domaine du nuclaire), soit spcialises (lectronique, mcanique...). On peut citer :

Electronique : CNET (tome 1), MIL-HDBK-217B/F (quipement militaire) Mcanique : CNET (tome 2) Electromcanique : NPRDS-91 (nuclaire), OREDA 92 (plates-formes ptrolires) Mixte : IEEE-Stantard-500-1984 Nuclaire : SYREL, ERDS, ...

Des extraits de banques de donnes (CNET) sont prsents dans lannexe 4.

5. Dmonstrations/Exemples

5.1. Dfinition du taux de dfaillance en fonction de la fiabilit

La dfinition du taux de dfaillance (norme NF X 60-500) donne au 2.2.2. peut s'exprimer ainsi :

(t) = lim t0

P(E df.sur[t, t + t]sachant queE non df.sur[0,t]) / t

En utilisant la formule de Bayes sur les probabilits conditionnelles, on peut rexprimer l'galit ci-dessus :

( t) = limt 0

P(E df.sur [t,t + t]et E nondf.sur [0,t])t.P(E nondf .sur [0,t])

Or, P(E non df. sur [0,t]) = R(t), et la probabilit au numrateur pouvant galement s'crire P(E df. sur [0, t+t])P(E df. sur [0, t]), on obtient l'expression :

( t) = limt 0

1 R(t + t)( ) 1 R(t)( )t.R( t) = limt0

R( t) R(t + t)t.R(t )

5.2. Dfinition du taux de remise en service en fonction de la maintenabilit

Le taux de remise en service est dfini par la norme NF X 60-500 ( 2.2.2.) et peut s'crire :

(t) = limt0

P(E rp.sur[t,t + t]sachantqueE enpannesur[0,t]) / t


Comme au 5.1., l'utilisation de la formule de Bayes donne :

(t) = limt0

P(E rp.sur [t, t + t]et E en pannesur[0,t])t. P(E en pannesur[0,t])

On fait apparatre ainsi 1 M(t) au dnominateur, et on peut exprimer le numrateur par la diffrence P(E rp. sur [0, t+t])P(E rp. sur [0, t]). D'o l'expression :

(t) = limt0

M(t + t) M(t)t. 1 M( t)( )

5.3. Formulation intgrale des dures moyennes MTTF et MTTR

La MTTF est la dure moyenne avant premire dfaillance du systme. La dfaillance est caractrise par la dfiabilit R (t) (probabilit de dfaillance sur l'intervalle [0,t]). Pour calculer une valeur moyenne, il faut utiliser la densit de probabilit correspondante, soit la

densit de dfiabilit dR (t)dt

. On a donc par dfinition :

MTTF = t.dR (t)

dt0+

.dt

Comme R (t) = 1R(t), on peut reformuler facilement l'intgrale en fonction de dR( t)dt

:

MTTF = t.dR(t)

dt0+

.dt

En intgrant par partie, on peut faire apparatre R(t), et obtenir une expression simple. Ceci peut s'effectuer si R(t) admet un comportement spcifique quand t tend vers l'infini. En effet :

MTTF = R(t)0

+

.dt t. R(t)[ ]0+

ce qui donne MTTF = R(t)0

+

.dt si l'on a limt+ t.R(t ) = 0 . Cette condition indique que R(t) doit tendre vers zro quand t tend vers l'infini plus vite que la fonction 1/t.

La formulation intgrale de la MTTR est semblable. On a :

MTTR = t.dM(t)

dt0+

.dt


On peut faire apparatre l'expression 1M(t) dans l'intgrale, et ainsi par intgration par partie on obtient :

MTTR = t.ddt0

+

1-M( t)( ).dt = t(1 M( t)[ ]0+ + 1 - M(t)( )0+ dt

donc MTTR = (1 M( t))0

+

.dt . Cette expression est valable uniquement si lim

t+t.(1 M(t)) = 0 , soit que 1-M(t) tend vers 0 plus vite que 1/t quand t tend vers l'infini.

5.4. Les grandeurs de sret de fonctionnement pour une entit rparable

Dans ce calcul lmentaire on considre une entit rparable de taux de dfaillance constant et de taux de remise en service constant. Nous commenons par nous intresser la disponibilit de l'entit A(t). On a :

A(t + dt) = P(fonctionneen t et pas df.sur[t,t + dt]) + P(enpanneen t et rp.sur[t,t + dt])

Ceci peut galement s'crire :

A(t + dt) = A( t) 1 dt( )+ 1 A(t)( )dt

A partir de cette relation, on peut faire apparatre la drive dA( t)dt

=

A(t + dt) A( t)dt

:

dA( t)dt

= ( + )A(t)

Cette quation diffrentielle du premier ordre en A(t) tant coefficients constants, se rsoud facilement :

A(t ) = ke( + )t + +

la constante k tant dtermine sachant que A(0)=1 : k = 1 + =

+ .

On remarque que la disponibilit asymptotique A() = limt+

A(t) existe. Elle est gale

au rapport + .

La fiabilit R(t) est dfinie directement partir de la dfinition du taux de dfaillance ( 2.2.2.) par l'quation diffrentielle du premier ordre :


= 1R(t)

dR(t)dt

Ainsi, la solution est videmment : R(t) = et avec R(0)=1. De mme la maintenabilit est caractrise par l'quation diffrentielle (d'aprs la

dfinition du taux de remise en service) :

= 11 M(t)

dM(t)dt

ce qui donne M( t) = 1 et avec M(0)=0.

A partir de ces valeurs et des dfinitions intgrales des MTTF et MTTR ( 2.1.3. et 2.1.5., puis 5.3.), on obtient :

MTTF = R(t)dt0

+

= etdt

0

+

=1 et MTTR = 1- M(t)( )dt0

+

= etdt

0

+

=1

5.5. Etude d'un systme 2 composants identiques en redondance active

On rappelle qu'un redondance active est caractrise par le fonctionnement simultan d'un ensemble de composants remplissant les mmes fonctions ou missions, un seul de ceux-ci suffisant pour les raliser.

5.5.1. Cas de deux rparateurs disponibles Ce cas peut tre tudi partir du diagramme de fiabilit, le systme ne prsentant pas

de dlais d'attente ni d'indisponinilit pour maintenance. En effet, dans ces situations, la reprsentation statique des composants dans le systme n'est plus adquate pour une description dynamique correcte et ne peut servir qu'en tant que support pour l'tablissement des scnarios de panne.

Le diagramme de fiabilit est du type parallle et le seul tat de panne est donn par X Y comme le montre le schma ci-dessous. En effet, pour que le flux partant de l'entre E ne puisse plus atteindre la sortie S, il faut que les deux composants X et Y soient dfaillants.

E SX

Y


La disponibilit du systme est alors simple calculer. La probabilit que le systme soit en panne P est gale la probabilit que chaque composante soit en panne. La probabilit qu'un composante soit en panne est 1a(t), o a(t) est la disponibilit du composant. Donc :

P = 1 ax (t)( )1 ay (t)( )

Or, la disponibilit du systme est A(t)=1P. Utilisons maintenant les rsultats du 5.4. Ainsi, en remplaant ax(t) et ay(t) qui sont identiques par l'expression de la disponibilit d'un composant rparable, on obtient :

A(t ) = 1 +

2

1 e( + )t( )2

De la mme manire, on en dduit la fiabilit du systme, mais avec des composants irrparables, et sa maintenabilit (calcul valide uniquement s'il n'existe qu'un tat de panne du systme) :

R(t) = 1 1 et( )2 et M(t) = 1 e2t

Les MTTF et MTTR se calculent facilement, on obtient :

MTTF =5

2 et MTTR =1

2

On peut remarquer que la MTTR peut se calculer directement pour n composants en redondance active (n rparateurs) par l'inverse de la somme des taux de remise en service des composants. De mme, la MTTF pour n composants en srie (n rparateurs) est l'inverse de la somme des taux de dfaillance des composants.

5.5.2. Cas d'un seul rparateur disponible Espace des tats- rduction du nombre d'tats Comme prcis prcdemment, l'approche par un diagramme de fiabilit n'est plus

suffisante si le nombre de rparateurs disponibles est infrieur au nombre de composants. On dispose d'autres mthodes pour rsoudre ce problme, en particulier bases sur l'espace des tats. Une des plus efficaces et couramment utilise, est la mthode markovienne. Nous allons donc prsenter cette mthode applique ce cas lmentaire.

D'abord, il faut tablir l'ensemble des tats du systme. On distingue pour chaque composant trois types d'tats : les tats de marche (fonctionnement), de rparation (un "r" sera indiqu en indice) et de panne.


Ainsi, compte tenu qu'une seule rparation peut tre effectue la fois, on distingue les tats suivants :

tats de fonctionnement du systme : XY , XY ,XYr , X Y , XrY tats de panne du systme : XrY ,X Yr, X Y

En fait, pour faciliter l'tude (rduction du nombre d'tats), on peut considrer que les tats de rparation et de panne relve d'un mme comportement vis vis du systme (le taux de remise en service peut inclure la dure ncessaire la dtection de la dfaillance du composant). Ainsi, on rduit le nombre d'tats possibles de 8 5 (on distingue les composants, en particulier le premier dfaillant). Comme les deux composants sont identiques, ils sont donc indiscernables par rapport au systme ce qui veut dire que les tats "symtriques" peuvent tre confondus en un seul. Les tats XY et X Y sont dans ce cas indiffrencis, ainsi que la distinction du premier composant dfaillant quand les deux deviennent dfaillants. Le nombre d'tats est finalement de 3 au lieu de 8. Cette technique de rduction du nombre d'tats peut tre tendue quand le nombre d'tats est important (mthode des aggrgats).

On nommera les trois tats ainsi : tous les composants fonctionnent (tat 1) un composant est dfaillant ou en rparation (tat 2) tous les composants sont dfaillants ou en rparation (tat 3) On reprsente l'espace des tats l'aide du graphe des tats. Chaque place (cercle)

reprsente un tat du systme, et un ensemble d'arcs orients permet d'indiquer les transitions possibles d'tat tat. En principe, le graphe que l'on devrait construire serait constitu de 8 ou 5 places en indiquant sur chaque arc "le taux de transition" (taux de dfaillance, de rparation ou de remise en service...). Cependant, nous nous contenterons de prsenter le "graphe de Markov" constitu des trois tats prsents ci-dessus (graphe des tats associ un systme markovien).

1 2 3


Approche markovienne (cf. 3.3.3.6.) Un systme est dit "markovien" si la probabilit conditionnelle de transition d'un tat

prsent vers un tat suivant est indpendante du pass du systme. Si les taux de transition entre les tats sont constants, le systme est "markovien homogne" et est quivalent un systme d'quations diffrentielles couples du premier ordre coefficients constants, les inconnues tant les probabilits d'tre dans un tat donn. Dans ce cas, la rsolution analytique du systme d'quations est possible. La transformation de Laplace est bien adapte, l'approche par calcul des valeurs propres et exponentiation pouvant galement tre pratique.

Formulation markovienne du problme La premire tape est la construction du graphe de Markov. Le graphe donn ci-dessus

indique les taux de transition d'tat tat. Il faut remarquer que le taux de transition de l'tat 1 vers l'tat 2 est 2 car l'un ou l'autre des deux composants peut tre dfaillant. Pour les autres transitions, il n'y a qu'une possibilit chaque fois (dfaillance ou rparation). A partir de ce graphe, on peut crire le systme d'quations diffrentielles suivant :

dP1( t)dt

= 2P1(t) +P2(t )dP2(t)

dt= 2P1(t) ( + )P2 (t) +P3( t)

dP3(t )dt

= P2(t) P3( t)

Ce systme est obtenu en considrant pour chaque tat, que la variation de la probabilit correspondante Pi en fonction du temps est la somme des probabilits d'tre dans chacun des tats voisins et de transiter vers cet tat (produit Pj par le taux correspondant), moins la probabilit d'tre dans cet tat et de transiter vers l'tat suivant (produit Pi par le taux correspondant). Alors, on peut construire la matrice associe T dite de "transition" qui a la proprit d'tre "singulire" (la somme de chaque colonne est nulle, donc son dterminant est nul) :

T =2 02 ( + ) 0

La matrice transpose de T est galement appele matrice de transition par certains auteurs (le vecteur probabilit P(t) est alors un vecteur ligne au lieu de colonne)

Calcul des probabilits d'occupation des tats puis de la disponibilit


On peut rsoudre ce systme l'aide de la transformation de Laplace. On commence par calculer la transforme de Laplace des trois galits :

s. L1(s) P1(0) = 2L1(s) +L2 (s)s. L2(s) P2 (0) = 2L1(s) ( + )L2(s) +L3(s)s. L3(s) P3(0) = L2(s) L3(s)

On utilise pour cela la proprit bien connue de la transforme de Laplace d'une drive :

LdPi(t)

dt

(s) = sL(s) Pi (0)

En inversant le systme, on en dduit L1(s), L2(s) et L3(s) en supposant que P1(0)=1 et que P2(0)=P3(0)=0 (systme avec ses deux composants en fonctionnement l'origine des temps) :

L1(s) =s 2 + (2 + )s + 2

s. f (s)L2(s) = 2

(s + )s. f (s)

L3(s) = 2 2

s. f (s)

avec f (s) = s2 + s(2 + 3 ) + (22 + 2 + 2) . Il reste calculer les transformes inverses de Laplace de L1(s), L2(s) et L3(s) pour

obtenir les probabilits P1(t), P2(t) et P3(t). Ceci se calcule facilement en dcomposant les fractions rationnelles en s en lments simples, la fonction f(s) admettant deux racines relles. En effet, rappelons que sur IR+, la transforme de Laplace inverse de 1/(s+) est e-t. On obtient donc les solutions :

P1(t) = 22 s1 + + 2 + 2s1

es1t +

22 s2 + + 2 +

2s2

es2t +

222

P2(t ) =

1 +s1

es1t +

1+

s2

es2 t +

P3(t) =

s1e

s1t +s2

es2t +


o les paramtres , et s'expriment en fonction de et et de s1 et s2, racines de l'quation f(s) = 0 : = 2

2

s1 s2= et = 2

2

2 + 22 + 2 .

La disponibilit A(t) est donc la somme P1(t)+P2(t).

Calcul de la fiabilit La fiabilit par dfinition ( 2.1.3.), est la probabilit que le systme ne soit pas tomb

en panne pendant l'intervalle de temps [0,t]. Ceci implique qu'il ne faut pas tenir compte des contributions dues des remises en service du systme. Donc, pour calculer la fiabilit, il faut reprendre le calcul prcdent en supprimant toutes les transitions des tats de panne vers des tats de marche (ici, la transition de 3 vers 2). Ceci revient rsoudre le systme rduit aux tats de fonctionnement sans tenir compte des tats de panne. Ici, il faut donc rsoudre le systme :

dP1( t)dt

= 2P1(t) +P2(t )dP2(t)

dt= 2P1(t) ( + )P2 (t)

On peut utiliser la transformation de Laplace comme prcdemment ou, en dcouplant les quations, se ramener la rsolution de deux quations diffrentielles linaires du second ordre, l'une en P1(t) et l'autre en P2(t). On obtient :

P1(t) = 1s1 s2

(s1 + + )es1t (s2 + + )es2 t( )P2(t ) = 2

s1 s2(es1t es2t )

o s1 et s2 sont racines de l'quation s2 + s(3 + ) + 22 = 0 . La fiabilit R(t) est donc la somme P1(t)+P2(t).

Calcul de la maintenabilit La maintenabilit tant la probabilit de rparation du systme sur un intervalle de

temps [0,t] alors qu'il tait en panne en t=0, il faut considrer que P1(0)=P2(0)=0 et P3(0)=1, et supprimer toutes les transitions des tats de marche vers les tats de panne. En effet, il ne faut pas que le systme soit rpar plus d'une fois sur l'intervalle [0,t], c'est--dire qu'une fois rpar il ne puisse plus retomber en panne avant l'instant t. Alors, la quantit complmentaire 1 de la somme des probabilits des tats de panne est la maintenabilit. Dans notre cas, seul P3(t) est un tat de panne, ce qui donne l'quation :


dP3(t)dt

= P3(t)

La solution est videmment P3(t) = et donc M( t) = 1 et . Ce rsultat est identique celui d'un composant rparable. Cela s'explique par le fait que le seul tat de panne du systme correspond l'indisponibilit de ses deux composants sachant que la rparation d'un seul d'entre eux est ralisable par un unique rparateur et qu'alors le systme se retrouve dans un tat de marche. Ceci est quivalent la rparation d'un seul composant.

Calcul des grandeurs moyennes On peut dduire MTTF et MTTR partir des rsultats prcdents sur la fiabilit et la

maintenabilit. Nanmoins, il existe une mthode directe utilisant la matrice stochastique introduite prcdemment qui permet de calculer indpendamment MTTF, MTTR, MUT et MDT (MTBF=MUT+MDT).

5.6. Etude d'un systme l'aide d'un Arbre de Dfaillance

On considre un systme compos d'un rservoir et d'un dispositif associ destin prvenir tout dbordement de celui-ci (cf. schma ci-aprs). Le scurit du systme est envisage de la manire suivante :

ds que le niveau du fluide contenu dans le rservoir atteint un premier seuil, le dtecteur NH (Niveau Haut) commande la fermeture de la vanne V2.

En cas d'chec de l'action prcdente un second capteur de niveau NTH (Niveau Trs Haut) commande la fermeture de la vanne V3 et alerte un oprateur OP par l'intermdiaire d'un signal d'alarme mis par un klaxon K.

L'oprateur OP vrifie alors que l'alimentation en fluide est coupe, sinon il ferme la vanne manuelle V1 ou, en dernier recours, ouvre la vanne manuelle d'vacuation V4 qui autorise un dbit suprieur celui des autres vannes.

L'vnement indsirable est donc le dbordement du rservoir ( R ). Il constitue l'vnement sommet. Pour construire l'Arbre de Dfaillance (AdD), il faut identifier les vnements intermdiaires de proche en proche jusqu' atteindre un vnement lmentaire pour chaque branche de l'arbre. Dans notre cas, les vnement lmentaires sont les dfaillances des composants suivants : les vannes V1, V2, V3 et V4, les dtecteurs NH et NTH, le klaxon K et l'oprateur OP. Ces vnements seront nots : V1, V2,V3,V 4, NH,NTH,K ,et OP . On ne tiendra pas compte des fuites ventuelles des conduits ou du rservoir.


Les vnements causant directement le dbordement du rservoir, sont l'impossibilit d'un arrt de l'alimentation en eau et l'impossibilit d'vacuation de l'eau. Ensuite, on dcompose ses deux vnements intermdiaires.

Schma du principe de fonctionnement du systme

S'il n'y pas d'arrt d'alimentation en eau, cela veut dire que la vanne V1 n'a pas effectu cet arrt ainsi que la vanne V2 et la vanne V3. Pour chacune de ces vannes, cela signifie que soit elles sont dfaillantes, soit non actionnes. Ce dernier vnement a une origine diffrente suivant la vanne. Ainsi, la vanne V1 devant tre actionne par l'oprateur OP, ne l'est pas soit parce que l'oprateur est "dfaillant", soit qu'il n'a pas t averti, cette dernire possibilit impliquant que le klaxon K est dfaillant ou que le dtecteur NTH est dfaillant. Pour les autres vannes, elles peuvent ne pas tre actionnes parce que le dtecteur correspondant est dfaillant (NH pour V2 et NTH pour V3).

L'impossibilit d'vacuation est due soit la dfaillance de V4, soit au fait qu'elle ne soit pas actionne. Alors, on se retrouve dans le mme cas de figure qu'avec la vanne V1 dans le paragraphe prcdent.

Tous ces enchanements d'vnements peuvent tre rsums par un AdD prsent ci-aprs.

La structure logique de l'arbre permet de reconstituer facilement le boolen R associ l'vnement sommet en fonction des autres boolens associs aux vnements lmentaires. Il suffit de remonter chaque branche en utilisant les proprits des boolens par rapport aux oprateurs logiques. On obtient finalement l'expression :

R = V1+ OP + K + NTH( ) V2 + NTH( ) V3 + NH( )[ ]V4 + OP + K + NTH( )

K

Source

V1 V2 V3

V4

OP

Consommateur

Evacuation

NTH NH


Le but tant de dterminer la probabilit de l'vnement indsirable, il faut que l'expression finale soit prsente sous forme d'un somme contenant un minimum de terme et de prfrence disjoints pour rduire les calculs l'aide de la formule de Sylvester-Poincar. On rappelle cette formule :

P Eii=1

n

U

= P(Ei

i=1

n

) P(Ej Ek )Ij k +K+(1) r+1. P Ei

i=l1

l r

I

l j lk +K+(1)n+1. P Ei

i=1

n

I

Cette expression est compose de 2n1 termes, ce qui crot trs rapidement. Elle est donc d'usage limit et ncessite des approximations ou une modification des coupes minimales l'aide d'algorithmes pour les rendre disjointes. Nous nous limiterons ici au calcul des coupes minimales.

On commence par s'intresser aux trois premiers facteurs de l'expression de R . Le dveloppement du produit des deux premiers termes donne V1.V2 + OP.V2 + K .V2 + NTH . On rappelle qu'en algbre boolenne X2 = X et que XY+Y = Y. Le produit de cette expression par le troisime facteur donne les huit termes :

V1.V2.V3 + OP.V2.V3 + K .V2.V3 + NTH.V3 +V1.V2.NH + OP.V2.NH + K .V2.NH + NTH.NH

Reste effectuer le produit par le quatrime facteur. Il faut commencer par les termes les plus courts qui sont susceptibles de faire disparatre des termes plus long l'aide de la relation XY+Y=Y. On gnre donc en premier les termes NTH.V3 + NTH.NH en multipliant par NTH , les autres termes tant simplifis. Ces deux termes tant minimaux et dj prsents dans les huit termes prcdents, les produits suivants seront uniquement effectus par les six autres termes. Les produits suivants sont prfrentiellement effectus par des coupes composes d'vnements lmentaires communs avec celles dj obtenues. Ici, on peut prendre soit OP , soit K . Pour K , on remarque que les produits V2.V3 et V 2.NH apparaissent plusieurs fois ce qui permet d'crire le rsultat simplifi de ce produit : V2.V3. K + V2.NH.K . Mme remarque pour OP , d'o le rsultat : V2.V3.OP + V2. NH.OP. Enfin, le produit par V4 est simplifi en utilisant les coupes minimales dj trouves. On obtient finalement huit coupes minimales :

V1.V2.V3.V 4 + V1.V2.NH.V4 + V2.V3.OP + V2.NH.OP +V2.V3. K + V2.NH.K + NTH.V3 + NTH.NH

Donc, pour ce petit exemple, le calcul l'aide de la formule de Sylvester-Poincar ncessite dj l'valuation de 255 termes !


Pour indication, il existe des algorithmes pouvant produire 8 termes "disjoints" quivalents aux prcdents, ce qui rduit donc le nombre d'valuations de 255 8.


Rfrences bibliographiques

1. 2. Le risque technologique, Alain Leroy et Jean-pierre Signoret, Que sais-je ?, Presses Universitaires de France, 1992.

2. Fiabilit des Systmes, A. Pags, M. Gondran, Collection de la Direction des Etudes et Recherches dEDF, Ed. Eyrolles, 1980.

3. Techniques danalyse de la fiabilit des systmes. Procdures danalyse des modes de dfaillance et de leurs effets (AMDE). Publication 812 de la CEI, 1985. [AMDE]

4. Fiabilit-maintenabilit-disponibilit. Recueil de normes franaises AFNOR, afnor-ute, 1988.

5. Maintenance industrielle. Recueil de normes franaises AFNOR, afnor-ute, 1988. 6. Design Analysis Procedure for Failure Mode, Effects and Criticality Analysis

(FMECA). Recommanded Practice ARP 926. SAE Aerospace, sept. 1967. [AMDEC] 7. Failure Modes, Effects and Criticality Analysis, W.E. Jordan, G.C. Marshall. Annual

Reliability and Maintainability Symposium. San Fransisco, California, Jan. 25-27, 1972. [AMDEC]

8. Operating Study and hazards analysis, H.G. Lawley. Chemical Engineering Progress, 70 (1974, n4) 45-56. [HAZOP]

9. Les diffrentes mthodes danalyse de scurit dans la conception dune circulation dune installation chimique. 2me mthode : ltude de scurit sur schmas de circulation des fluides. Les cahiers de la scurit. Union des Industries Chimiques, nov. 1980. [HAZOP]

10. Scurit des systmes, C. Lievens, Cepadues Editions, Toulouse, 1976. [MCPR] 11. Arbres de dfaillance, N. Limnios,Trait des Nouvelles T

Courssfd.iga

Documents

Transcript of Courssfd.iga