LGM Toulouse Outils & Méthodes de la SdF 15 septembre 2004 La Sûreté de Fonctionnement « Outils...

LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004

La Sûreté de Fonctionnement

« Outils et méthodes de la SdF »

MFQ Midi-Pyrénées

15 Septembre 2004


Avant-propos

Cette présentation est réalisée dans le cadre du GETSDF Midi Pyrénées – Groupe d’Échange Thématique Sûreté de Fonctionnement

Environ 350 « adhérents »

Président: François LECERF (LGM)

Secrétaire: Julien PEDRAZA (Sinters)

Organisation de présentations thématiques (toutes les 6 semaines) et une journée atelier (une par an)



• Contexte et Enjeux de la SdF

• Dimensionnement de la SdF

• Les outils de la SdF et leurs Articulations

Som

mai

re


?

?

Qu’est ce que la Sûreté de Fonctionnement ?C

onte

xte

& E

nje

ux

de

la S

dF

Pour une télévisionPour une usinePour un avionPour un boîtier dans un avion

Pour une télévisionPour une usinePour un avionPour un boîtier dans un avion

Pour un hommePour une « organisation »

Pour un hommePour une « organisation »

???

?


Qu’est ce que la Sûreté de fonctionnement ?C

onte

xte

& E

nje

ux

de

la S

dF

Les problématiques rencontrées par chaque client sont très variées :

DGA qui commande un système d’arme

PSA qui fabrique un nouveau véhicule

AIRBUS qui construit un avion

THOMSON qui fabrique des téléviseurs


Définition de la Sûreté de Fonctionnement

Fiabilité ReliabilityDisponibilité AvailabilityMaintenabilité MaintainabilitySécurité Safety

(FMDS) (RAMS)

La SdF =

Ensemble d’aptitudes d’un produit qui lui permettent de disposer des performances fonctionnelles spécifiées, au moment voulu, pendant la durée de vie prévue et sans dommages pour lui-même et son environnement

(CEI 191)Ensembles des propriétés qui décrivent la disponibilité et lesfacteurs qui la conditionnent : fiabilité, maintenabilité, logistique de maintenance, en intégrant la sécurité des biens et des personnes.

Con

text

e &

En

jeu

x d

e la

Sd

F


Bref HistoriqueDéveloppement du transport aérien dans années 30 : Premier recueil d’informations statistiques des incidents (panne moteur).Les années 40 :

• Premier modèle de fiabilité prévisionnelle en Allemagne avec les missiles V1 (VON BRAUN) :– Amélioration de la fiabilité et de la qualité aux USA– Matériel plus résistant, Contrôle pour améliorer la vie utile, Premières utilisations de méthode probabilistes pour

le dimensionnement.• 1949 « Loi de Murphy » « Si un ennui a la moindre chance de se produire, dites vous qu’il se

produira. »Les années 50 :

• Naissance de la fiabilité en tant que science de l’ingénieur aux USA dans le domaine de l’électronique

• Début de la prise en compte des erreurs commises par l’opérateur humain.• Premières études et estimations qualitatives des performances humaines (orientation militaire).• 1955, le Centre d’Etude National des Télécommunications débutent ses premiers travaux de

fiabilité.Les années 60 : Début des méthodes classiques.

• 1961, introduction du concept d’arbre des causes par Watson des «Bell Telephone Laboratories »,• Création de la méthode de l’Analyse des Modes de Défaillances et de leurs Effets (AMDE),• Introduction de la méthode des Combinaisons de Pannes pour les programmes Concorde et Airbus.• Objectifs de sécurité probabiliste dans la conception des avions,• Approche déterministe et conservative de la conception des centrales nucléaires.• Quelques dates :

– 1962 : Reconnaissance du terme de fiabilité par l’académie des sciences,– 1965 : introduction de la notion de maintenabilité.

Depuis les années 70 : Grand essor de l’industrie nucléaire :• 1975 : Première étude complète d’une installation nucléaire Scénarios d’un grand nombre

d’incidents,• 1983 : Guide d’analyses probabilistes des centrales nucléaires Prise en compte des aspects humains.• Les années 80 sont l’ère de la généralisation des études de risques.

Con

text

e &

En

jeu

x d

e la

Sd

F


Historiquement, pas de contraintes majeures : il fallait surtout que ça marche…

Maintenant :

Contraintes de coût de MCO,

Contraintes de sécurité des biens et des personnes,

Contraintes de disponibilité.

Con

text

e &

En

jeu

x d

e la

Sd

F


Développement d’un nouvel avion

Pour pouvoir circuler dans le trafic aérien international, un avion doit faire l ’objet d’une certification auprès de la EASA et de la FAA

Démonstration de tenue d’objectifs de sécurité quantifiés

Démonstration d’une disponibilité opérationnelle maximale (argument commercial)C

onte

xte

& E

nje

ux

de

la S

dF


Con

text

e &

En

jeu

x d

e la

Sd

F Nouveau véhicule PSA

Il n’existe pas à proprement parler de normes imposant des objectifs de sécurité et de fiabilité

==> c’est le marché qui impose ses règles

Si le véhicule n’est pas assez fiable ou pas assez sûr, mauvaise image de marque

Contraintes de coût majeures


Con

text

e &

En

jeu

x d

e la

Sd

FObjet des analyses Sûreté de Fonctionnement : la maîtrise des risques

La discipline de la SdF naît de 2 notions complémentaires mais souvent contradictoires :

la sécurité :• risque de destruction, d’atteinte à l’homme ou à l’environnement,

«risque technologique»,• risque d’appropriation (données, savoir-faire, produit…),• risque d’utilisation frauduleuse (logiciel …).

la disponibilité :• risque d’interruption de service (installation, chaîne, équipement

…),• risque de non rentabilité (produit non fiable, non maintenable, ou

ne répondant pas au besoin – non qualité).


Sûreté de Fonctionnement

Réussite Technique de la mission

Sécurité du système et de son environnement

Atteinte de l’objectif technique pour lequel le système a été réalisé

Disponibilité

Fiabilité Maintenabilité Sécurité

Non occurrence d’événement à conséquence catastrophique ou grave sur des éléments du système ou sur son environnement dans les trois cas possibles :-Mission technique réussie,-Mission technique dégradée,-Mission échouée.

Optimisation

La SdF englobe les concepts de la Fiabilité, la Maintenabilité, la Disponibilité, et la Sécurité lui permettant la réalisation de ses deux missions principales :

garantie du niveau de sécurité,garantie du niveau de disponibilité.

Con

text

e &

En

jeu

x d

e la

Sd

F



• Contexte et enjeux de la SdF


• Fiabilité

• Maintenabilité

• Disponibilité

• Sécurité


Dim

ensi

onn

emen

t d

e la

Sd

F


Fiabilité

Aptitude à la non défaillance (continuité de service)

« Ma voiture me permettra d ’accomplir le trajet prévu dans les délais prévus, compte tenu des conditions de circulation (elle n ’aura jamais de pannes pendant le trajet) »

Ex. Moyen de production: « La machine ne doit pas interrompre la production par ses défaillances »

« Ma voiture me permettra d ’accomplir le trajet prévu dans les délais prévus, compte tenu des conditions de circulation (elle n ’aura jamais de pannes pendant le trajet) »

Ex. Moyen de production: « La machine ne doit pas interrompre la production par ses défaillances »

Dim

ensi

onn

emen

t d

e la

Sd

FCaractéristique d ’un système exprimée par la probabilité qu ’il accomplisse une fonction requise, dans des conditions données, pendant une durée donnée.


Fiabilité – exigencesQuantitative

• MTBF : Mean Time Between Failure (en heure)– La voiture a en moyenne une panne tous les 10 000 km– L’avion a en moyenne une panne toutes les 15 heures de

vol

• Taux de défaillance : en nombre de panne par heures– La voiture a « x » pannes par km– L’avion a « y » pannes par heure de vol

Qualitative• Utiliser telle technologie

Exigence de conception• Limiter le facteur de charge du composant (exemple

processeur sur PC)

Tâche à réaliser• Estimer la fiabilité en se basant sur un recueil de fiabilité

Dim

ensi

onn

emen

t d

e la

Sd

F


MTBUR : Mean Time Between Unscheduled Repair C’est la moyenne des temps entre deux déposes non programmées (dues à une défaillance). MTBR : Mean Time Between Repair C’est la moyenne des temps entre deux déposes (dues à une défaillance ou pour fin de potentiel).

MTBUR : Mean Time Between Unscheduled Repair C’est la moyenne des temps entre deux déposes non programmées (dues à une défaillance). MTBR : Mean Time Between Repair C’est la moyenne des temps entre deux déposes (dues à une défaillance ou pour fin de potentiel).

MTBF : Mean Time Between Failure ou Moyenne des Temps de Bon Fonctionnement

MTTF : Mean Time To Failure : durée moyenne du fonctionnement d'un système avant sa première défaillance

Dim

ensi

onn

emen

t d

e la

Sd

F

Et aussi

Taux de défaillance en fonctionnement : mentfonctionnedecumuléeDurée

mentfonctionneenesdéfaillancdeNb

___

____ , (perte en cours)

Taux de défaillance à l’arrêt : arrêtlàcumuléeDurée

arrêtlàesdéfaillancdeNb

'___

'____ ,

Taux de défaillance à la sollicitation : ionssollicitatcumuléNb

ionsollicitatlaàesdéfaillancdeNb

__

_____ ,(absence à la sollicitation)


Différence entre MTBF et MTTF :

• Le MTBF représente la moyenne des temps de bon fonctionnement d'un système entre le moment où une panne vient d'être réparée et l'apparition de la panne suivante.

• Le MTTF représente la moyenne des temps de bon fonctionnement d'un système jusqu'à l'apparition de sa première défaillance.

==> dans le cas d'un système non réparable.

Dim

ensi

onn

emen

t d

e la

Sd

F


La fiabilité est envisagée différemment suivant son origine :

la fiabilité opérationnelle (ou fiabilité estimée ou observée)

la fiabilité prévisionnelle (ou fiabilité prédite)

la fiabilité extrapolée,

Dim

ensi

onn

emen

t d

e la

Sd

F


Fiabilité

Les estimations de fiabilité :Résultats d’essais de fiabilité

Retour d’expérience

Les calculs

Les recueils de données• RDF 93 / RDF 2000• MIL HDBK 217 F (part count & part stress)• RADC TR 67 108• NPRD 95 ( vérin, batterie, hydraulique et pneumatique,

composants mécaniques, …)

Dim

ensi

onn

emen

t d

e la

Sd

F

T0 t

r


D u r é e d e v ie u t i le

0

t

Fiabilité

Si le composant, ou le système de composants électronique, fonctionne à t0, la fiabilité pour une mission à durée donnée t est indépendante de t0 : le dispositif ne se souvient pas de son passé !

Dim

ensi

onn

emen

t d

e la

Sd

F

Taux de défaillance

0,00E+00

5,00E-04

1,00E-03

1,50E-03

0 100 200 300 400 500

lw

lexp


MTBF = 1 /

Dim

ensi

onn

emen

t d

e la

Sd

F

Et pour constant !!Et pour constant !!


Maintenabilité

Aptitude à la réparation (facile à réparer)

« Lorsque je dois conduire ma voiture chez le garagiste (pour entretien programmé ou réparation), la durée d’immobilisation et le coût doivent être les plus faibles possible »

Ex. Moyen de production: « La maintenance préventive doit être compatible avec la marche de l ’installation. L’installation doit pouvoir être remise en marche dans les délais les plus courts en cas de panne. »

« Lorsque je dois conduire ma voiture chez le garagiste (pour entretien programmé ou réparation), la durée d’immobilisation et le coût doivent être les plus faibles possible »

Ex. Moyen de production: « La maintenance préventive doit être compatible avec la marche de l ’installation. L’installation doit pouvoir être remise en marche dans les délais les plus courts en cas de panne. »

Dim

ensi

onn

emen

t d

e la

Sd

FDans les conditions données d’utilisation pour lesquelles il a été conçu, aptitude d’un système à être maintenu ou rétabli dans un état dans lequel il peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données, avec des procédures et des moyens prescrits.


i

iiMTTR

iMTTRD

imen

sion

nem

ent

de

la S

dF

M(t)-1dt

-dM

(t))(t

Maintenabilité

Probabilité qu’une entité E soit remis en état de fonctionnement sur l’intervalle [0, t].

M(t) = P [E réparé sur [0, t] ]

MTTR : Mean Time To Repair ou Temps Moyen de Réparation

et


Maintenabilité

Les estimations de maintenabilité

Considérer tous les temps de maintenance :

• Temps de localisation (directement dépendant de la testabilité)

• Temps d’accès (optimisé par les choix de conception)

• Temps d’échange

• Temps de VBF et remise en route du système

Dim

ensi

onn

emen

t d

e la

Sd

F


MaintenabilitéD

imen

sion

nem

ent

de

la S

dF

LES NIVEAUX DE MAINTENANCE

On distingue cinq niveaux :- premier degré :

nettoyage, graissage, pleins, échange de fusibles et de voyants,personnel : les utilisateurs

- second degré :

réparation par échange d’unités interchangeablespersonnel : les utilisateurs

- troisième degré :

réparation des unités interchangeables envoyées par les utilisateurs en échangeant des sous-ensembles,

- quatrième degré :

réparation de sous-ensembles à partir de composants. Travaux de mécanique, d’hydraulique ou autres spécialités,équipes mobiles de techniciens,équipes pour les travaux lourds,laboratoire et équipes d’étalonnage des instruments,supervision générale de la maintenance,achats.

- cinquième degré :

l’industrie ou ateliers niveau industriel.


Maintenabilité / Testabilité

Il manque l’aspect localisation

« Lorsque je démarre ma voiture, je désire être prévenu si une panne risque de « griller » le moteur. La capacité à trouver le plus rapidement la panne et sans ambiguïté permet de récupérer la voiture le plus rapidement possible »

« Lorsque je démarre ma voiture, je désire être prévenu si une panne risque de « griller » le moteur. La capacité à trouver le plus rapidement la panne et sans ambiguïté permet de récupérer la voiture le plus rapidement possible »

Dim

ensi

onn

emen

t d

e la

Sd

F"La testabilité d'un dispositif est l'aptitude qu'il soit déclaré bon ou mauvais, dans des limites de temps spécifiées, selon des procédures et dans des conditions données."


FONCTION/ PHASE

EQT MODE DE DEFAILL.

PROB.10-6

CAUSE EFFET LOCAL

EFFET SYSTEME

MODE DE DETECT

TYPE DE

DETEC

SYMPT.

Alimentation carburant

Distributeur ne commute plus d'un

réservoir à l'autre

5 Electro aimant HS

Pas de sélection de

réservoir

capacité de roulage limité par manque de carburant

Opérateur ON LINE

pas de changt de réservoir à

l'écran Surveillance

incendie Calculateur 1 perte carte

E/S 20 plus de

signal sortie plus de

détection d'incendie

Interne ON LINE

Message pupitre 125

Surveillance incendie

Détecteur Plus de fonction

50 plus de signal

transmis vers cal 2

plus de détection d'incendie

Interne ON LINE

Message pupitre 125

"

"

"

"

"

"

"

Externe OFF LINE

Pas de tension sur sortie sur stimul.

Test Capteur perte du capteur

2 Plus de remontée vitesse

moteur vers le système

Alarme 25 " Moteur en

panne" remontée à l'opérateur

Opérateur ON LINE

Fausse alarme

Maintenabilité / TestabilitéD

imen

sion

nem

ent

de

la S

dF


CALCUL DE PERFORMANCE : TAUX DE DETECTION

LE TAUX DE DETECTION POUR CHAQUE TYPE OU MODE DE TEST SE CALCULE PAR :

PROBA DES MODES DETECTES __________________________________________

PROBA TOTALES

ATTENTION: IL EST TRES IMPORTANT, DANS LES SOMMES, DE NE PAS COMPTER PLUSIEURS FOIS LE MEME MODE DE DEFAILLANCE LORSQU'IL

EST DETECTE PAR PLUSIEURS MODES DE TEST.


imen

sion

nem

ent

de

la S

dF


....... MODESDE DEF

PROBA MODE DEDETECT .

TYPE SYMPT . ONLINE

OFFLINE

OPERAT EXT ....

1 A OPER ON LINE A A

2 B

3 C INT ON LINE C

4 D EXT OFF LINE D D

5 E OPER OFF LINE E E

CALCUL DE PERFORMANCE : TAUX DE DETECTION

CONSTRUIRE A PARTIR DE L’ AMDE UN TABLEAU VENTILANT LES PROBABILITES

OCCURENCE DE CHAQUE MODE DE PANNE PAR TYPE ET MODE DE DETECTION SOUHAITE.

AMDE TABLEAU DE DETECTION


imen

sion

nem

ent

de

la S

dF


CALCUL DE PERFORMANCE : TAUX DE LOCALISATION

3) CALCULER LA PRECISION DE LOCALISATION POUR AVOIR UNE AMBIGUITE A N ELEMENTS

PROBA( DANS LA COLONNE A N ELEMENTS)

PAMB (N)= ___________________________________________________

PROBA DETECTEES

4) PRECISION DE LOCALISATION A N RECHANGES

PAMB (I)


imen

sion

nem

ent

de

la S

dF


....... SYMPT. MODES DEDEF

EQT PROBA LOCAL. A 1

ELEMENT

LOCAL. A 2

ELEMENTS

....

S1 1 V A A

S1 2 W B B

S2 3 X C C

S2 4 X D D

S3 5 Y E E

CALCUL DE PERFORMANCE : TAUX DE LOCALISATION

1) INVERSER LE TABLEAU AMDE EN LE TRIANT PAR SYMPTOME DE DETECTION (PUIS SELON LE TYPE ET LE MODE DE DETECTION SOUHAITE)

2) CONSTRUIRE UN TABLEAU DE LOCALISATION POUR CHAQUE MODE DE DEFAILLANCE

TABLEAU DELOCALISATIONAMDE


imen

sion

nem

ent

de

la S

dF


Maintenabilité – Exigences

Quantitative• MTTR :

– Le temps d’échange de la carte VGA du PC est de 15mn

Qualitative• Opération réalisable par un seul maintenancier

Exigence de conception• Utiliser des vis papillons pour une roue de vélo

Tâche à réaliser• Analyse les alternatives de conceptions,

estimer le MTTR (temps gamme)

Dim

ensi

onn

emen

t d

e la

Sd

F


Testabilité – Exigences

Quantitative• Taux de couverture

– Les Built In Test doivent couvrir 95% des pannes

• Taux de localisation– 80% des pannes ont une ambiguïté à 1 LRU, 90% à 2

LRU, 95% à 3 LRU

Qualitative• Détection des pannes majeures ou catastrophiques

Exigence de conception• Tester les entrées tout ou rien à chaque mise sous tension

Tâche à réaliser• Réaliser une étude de testabilité portant sur le taux de

couverture et de localisation.

Dim

ensi

onn

emen

t d

e la

Sd

F


Disponibilité

Aptitude à l’emploi (être prêt à fonctionner)

« Ma voiture est « prête » lorsque je veux l ’utiliser (elle n ’est pas chez mon garagiste, elle est en état de marche) »

Ex. Moyen de production: « La machine doit être en état de travailler lorsque j ’ai besoin d ’elle. »

« Ma voiture est « prête » lorsque je veux l ’utiliser (elle n ’est pas chez mon garagiste, elle est en état de marche) »

Ex. Moyen de production: « La machine doit être en état de travailler lorsque j ’ai besoin d ’elle. »

Dim

ensi

onn

emen

t d

e la

Sd

FAptitude d’un système à remplir ou à être en état de remplir une fonction requise, à un instant donné.


La Disponibilité Intrinsèque :• Se calcule uniquement à partir des mesures de fiabilité

et de maintenabilité

La Disponibilité Opérationnelle :• Intègre des paramètres liés à l’organisation de la

maintenance (temps d’attente logistique, maintenance préventive, ...) et au profil d’emploi du système

MTTRA i

MTBF

MTBF

A oTemps de bon fonctionnement

Temps total d'utilisationMUT

MUT

+MDT

MTBF : Mean Time Between FailureMTTR : Mean Time To RepairMUT : Mean Up TimeMDT : Mean Down Time

1ère

défaillance2ème

défaillance

MTBF

MDT MUT

MTTF

0 t

Dim

ensi

onn

emen

t d

e la

Sd

F


Disponibilité

MTTF MTBF

MTTR

1

0

On en déduit la disponibilité : MTBF - MTTR

MTBFA =

Dim

ensi

onn

emen

t d

e la

Sd

F


Disponibilité – Exigences

Quantitative• % de temps HS

– Le téléphone est non accessible 10mn / an

• Disponibilité intrinsèque / opérationnelle

Qualitative• Réalisation des maintenances préventives en temps

masqué

Exigence de conception• Utiliser des vis papillons pour une roue de vélo

Tâche à réaliser• Estimer la disponibilité en prenant en compte la fiabilité,

la maintenance et les temps logistiques

Dim

ensi

onn

emen

t d

e la

Sd

F


Sécurité

Aptitude à la non agression (peu dangereux)

« Ma voiture ne portera pas atteinte à l ’intégrité de ses occupants et de son environnement et les protégera des agressions »

Ex. Moyen de production: « La machine ne doit pas agresser le personnel ou les visiteurs »

« Ma voiture ne portera pas atteinte à l ’intégrité de ses occupants et de son environnement et les protégera des agressions »

Ex. Moyen de production: « La machine ne doit pas agresser le personnel ou les visiteurs »

Dim

ensi

onn

emen

t d

e la

Sd

F

Aptitude d’un système à éviter de faire apparaître, dans des conditions données, des événements critiques ou catastrophiques.

Aptitude d’un système à éviter de faire apparaître, dans des conditions données, des événements critiques ou catastrophiques.


Sécurité – Dimensionnement

Probabilité d’occurrence• Qu’est ce qu’une probabilité ?

Fréquence par unité de temps

La probabilité tend vers la fréquence

Exemple aéronautique française :Probabilités 10-5 /heure 10-7 /heure 10-9 /heure

Effets fréquent oupeu fréquent

rareextrêmement

rareextrêmementimprobable

MineursSignificatifsCritiquesCatastrophiques

Dim

ensi

onn

emen

t d

e la

Sd

F


Qu’est ce qu’une probabilité?

Probabilité

1

Temps à la défaillance

F(t) : croissante / max = 1

f(t) : intégrale = 1

0

Probabilité comprise entre 0 et 1Dim

ensi

onn

emen

t d

e la

Sd

F


Sécurité – Exigences

Quantitative

Qualitative

Exigence de conception

Tâche à réaliser

Dim

ensi

onn

emen

t d

e la

Sd

F


Sécurité – Exigences

Quantitative• Risque de tir intempestif : 1 sur 1 000 000 par an• Risque de crash : 1 sur 1 000 000 000

Qualitative• Pas de panne simple:

– La simple panne d’un calculateur avion n’entraîne pas de crash

Exigences de conception• Il est interdit d’utiliser un relais dans une chaîne de tir

sur hélicoptère• Mettre deux roues soniques sur la turbine

Tâche à réaliser• Mener une démarche de SdF avec une APR et des arbres

de défaillances…

Dim

ensi

onn

emen

t d

e la

Sd

F


Synthèse

Fiabilité : MTBF

Maintenabilité : MTTR Testabilité : Taux de couverture et taux de localisation

Disponibilité : MTBF / (MTBF + MTTR)

Sécurité : probabilité d’occurrence

Dim

ensi

onn

emen

t d

e la

Sd

F

En connaissez-vous d ’autres ?En connaissez-vous d ’autres ?



• Contexte et enjeux de la SdF



La méthode AMDEC

Présentation des méthodes AMDEC

Processus de réalisation d’une AMDEC

Exploitation d’une AMDEC

Structurer une AMDEC pour répondre aux objectifs

Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

s


Les Outils de la SdF et leurs articulationsAnalyse Fonctionnelle Externe

Analyse Préliminaire de Risques

Traitement del'objectif fiabilité

Évaluation duTaux Prévisionnel

d'Incidents

Traitement de l'objectif sécurité

Analyse FonctionnelleInterne

AMDEC

Arbres deDéfaillances

ModélisationOU

Allocation et spécificationd'objectifs vers les

fournisseurs interneset externes

Analyse des dossiersjustificatifs

Intégration desrésultats

Rédaction du dossierde synthèse

Traitement de l'objectif immobilisation véhicule

Etablissement et suivi d’actions correctives

Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

s


Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

sLes Outils de la SdF et leurs articulations


Objectifs :Identifier et hiérarchiser les événements redoutés liés à un système afin de déterminer les risques à étudier plus en détail.

Ce que l’on obtient : Listes des événements redoutés classés par gravité.

Liste d’actions de maîtrise des risques.

L’APRL

es o

uti

ls d

e la

Sd

F e

t le

urs

ar

ticu

lati

ons


Principes de la méthodeMéthode inductive

Événement initiateur

scénarios de dysfonctionnement conséquences et événement redouté

2 approches complémentaires Une approche fonctionnelle : conséquences des défaillances des

fonctions du système Une approche agression (comment être exhaustif dans la prédiction des

risques ?) :– conséquences des agressions du système (approche énergétique /

événementielle) vers l’extérieur (éléments potentiellement dangereux)– conséquences des agressions du milieu extérieur (climat, pollutions, animaux,

… ) sur le système (éléments sensibles)

L’APRL

es o

uti

ls d

e la

Sd

F e

t le

urs

ar

ticu

lati

ons


Approche fonctionnelleRecherche des conséquences des événements initiateurs suivants :

• Perte (ou arrêt) de la fonction

• Dégradation de la fonction

• Absence de la fonction à la sollicitation

• Fonctionnement intempestif

SYSTEME

Élément 1

Élément2

Élément 3

Défaillance d’une fonctiondu système

MILIEUEXTERIEUR

INTERFACE

Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

s


Approche agressionAgressions du système vers l’extérieur

• Identification des éléments du système potentiellement dangereux : composants possédant une énergie latente capable d ’être libérée de manière incontrôlée (ressort, accumulateur, condensateur, réservoir sous pression, ...)

SYSTEME

Élément potentiellement

dangereux

Agression système vers milieu extérieur

MILIEUEXTERIEUR

INTERFACE

Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

s


Approche agressionAgressions du milieu extérieur sur les éléments

sensibles du système• L ’agression peut provenir de l ’environnement

externe (ambiant, route, ...) ou des autres systèmes interfacés (alimentation électrique, ...)

SYSTEME

ÉlémentSensible

Agression environnement

sur système

MILIEUEXTERIEUR

INTERFACE

Environnement

Agression interface sur

système

Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

s


Typed ’approche

Événementinitiateur

Conséquenceset scénario

Événementredouté Risqu

e

Actions de maîtrise

des risques

Risqueréévalu

éFonctionnelle(Fonction système)

Fonction

Danger(Système vers Extérieur)

Agression(Extérieur vers système)

Élémentpotentiellement

dangereux

Élémentsensible

Mode dedéfaillance

Agressionsystème

Agressionextérieure

Cheminemententre

l ’événementinitiateur

etl ’événement

redouté

Gêne,Coût,

Risquecorporel

Couple(F,G)

Mise neœuvre

d ’actionssi risque

inacceptable

Couple(F ’,G ’)

Analyse Préliminaire des Risques


Bloc diagrammesL

es o

uti

ls d

e la

Sd

F e

t le

urs

ar

ticu

lati

ons

Cette analyse consiste à établir les relations entre les solutions envisageables et l’expression fonctionnelle du besoin formalisée par les fonctions de service.

Un ensemble de fonctions mais également comme un ensemble technologique d’éléments matériels. Principe de base :- Respecter la formulation fonctionnelle (recenser les fonctions de conception, les caractériser, les hiérarchiser...)

Objectifs :- Construire un système conforme au besoin fonctionnel- Acquérir la connaissance parfaite du système (décomposition fonctionnelle du système)- Avoir une vision globale et hiérarchisée du système.


CommandeEnregistrement

1.

CPU

4.

Wat

chdo

gE

ntré

e/S

orti

eEntrée/Sortie

5.

Con

nect

ique

Interface

6.

Alimentation 12V5V3.

Liaison

2.

7.

Ordre

Défaut

RX

TX

12V

5V +12V -12V

Calculateur

Boîtier enregistrement

Emetteur /

Récepteur distant

Mise en œuvre :Le BDF (Bloc Diagramme Fonctionnel) est une représentation graphique schématique qui met en évidence :- les sous-fonctions (ou sous-systèmes) constituant le système,- les milieux extérieurs identifiés,- les interactions entre les sous-fonctions (ou sous-systèmes) et le milieu extérieur (cheminement des FP et FC),- les interactions entre les sous-fonctions elles-mêmes (contacts réels ou virtuels) L'élaboration des BDF suit les règles suivantes :- faire un BDF pour chaque phase de vie du système,- positionner les sous-fonctions ou sous-systèmes,- disposer à la périphérie les éléments du milieu extérieur,- r représenter les flux ou les relations entre sous-systèmes d'une part, entre sous-systèmes et milieux extérieurs d'autre part,- toute fonction de service doit être supportée par un contact entre deux constituants. Exemple:

Bloc diagrammesL

es o

uti

ls d

e la

Sd

F e

t le

urs

ar

ticu

lati

ons


Objectifs :Identifier l’ensemble des modes de défaillance d’un système, en rechercher les effets, en identifier les causes et évaluer les conséquences et les risques liés à ces défaillances

Ce que l’on obtient :Connaissances exhaustives des défaillances potentielles du produit étudié

Synthèse des actions correctives

L’AMDECL

es o

uti

ls d

e la

Sd

F e

t le

urs

ar

ticu

lati

ons


- Référence ou LCN- Désignation- Quantité- Fiabilité

Equipement

- Modes de défaillance- Probabilité d’apparition- Effets locaux- Effets système

Défaillance

- Gravité- Criticité- Mesure de réduction du risque

Sécurité

- Symptômes- Détection- Localisation

Testabilité

LGM Consultants

L’AMDECL

es o

uti

ls d

e la

Sd

F e

t le

urs

ar

ticu

lati

ons


Tableau d’AMDEC

N° de Ligne

SRU MTTR ORGANE

LAMBDA SRU

% SRU

LAMBDA FT

Mode de Défaillance

FT fonctionnelle % mode LAMBDA

mode

Effet Organe Effet Système Symptôme

PBIT CBIT IBIT MNT OP LAMBDA détecté

Système

LAMBDA Sans Effet

Remarques

Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

s


Les arbres de défaillances

Objectifs :Méthode permettant à partir d'une représentation graphique de traduire les mécanismes de dysfonctionnement qui conduisent à un événement redouté et de les quantifier.

Ce que l’on obtient :Représentation arborescente des combinaisons de causes conduisant à l’événement redouté (sommet)

Liste des scénarios possibles (coupes) et de leur probabilité d’apparition

Probabilité de réalisation de l’événement redouté Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

s


Principes de la méthode Méthode déductive et itérative

• On part d’un ER sommet pour rechercher l’ensemble des événements conduisant à sa réalisation

• Les relations causes/effets entre ces événements (ou causes) sont représentées à l’aide d’une structure de type arbre logique (portes logiques ET, OU, …)

Les arbres de défaillanceL

es o

uti

ls d

e la

Sd

F e

t le

urs

ar

ticu

lati

ons


ER

E1

E2

A E3

E4

E

B C A D

Événement redouté sommet

Événement intermédiaire

Porte OU Porte ET

Événement de base

Les arbres de défaillancesL

es o

uti

ls d

e la

Sd

F e

t le

urs

ar

ticu

lati

ons



ER : E.R.01 : Perte de communication entre deux BO lors de l’envoi d’un message critique durant une mission

Objectif : Pmax < 10-7 / Heure

d’exposition aux risques

Type Analyse : Qualitative & Quantitative

Description de l’Evénement Redouté Modes de défaillances

système Phase de vie Scénario et circonstances Délais apparition

ER La perte du signal à destination de l’écouteur

En mission Cette défaillance entraîne une perte de la fonction écoute du BO

Instantanné lors de l’envoi d’un message critique

La perte du signal en provenance du micro

En mission Cette défaillance entraîne une perte de la fonction émission du BO.

Instantanné lors de l’envoi d’un message critique

Dispositifs de maîtrise des risques Type Description Phase de vie Test de Bon Fonctionnement

Avant chaque départ de mission un échange entre les servants du char est effectué afin de vérifier le bon fonctionnement de la chaîne de communication.

Avant départ en mission

Commentaires La perte du BO est vraiment critique lorsque le BO est hors service lors d’un échange critique entre les servants du char. L’événement redouté prend en compte la perte de communication grâce à l’écoute locale et grâce au réseau interphonie. Lors d’une défaillance sur un des modes de communication, l’événement redouté est atteint, si et seulement si, le deuxième mode de communication est défaillant.

Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

s



Perte de la communication d'1BO pendant l'envoi d'un

message critique durant unemission d'une heure

G1

Perte de la communicationentre 2 BO pendant l'envoi

d'un message critiquedurant une mission d'une

heure

ER.01

Perte du signal à destination del'écouteur durant une mission

d'une heure

G101

Perte du signal en provenance dumicro durant une mission d'une

heure

G102

Perte de l'alimentation d'un BOdurant une mission d'une heure

G3

Perte de l'alimentation d'un BOdurant une mission d'une heure

G3

Perte de l'émission sur la voielocale

G100

Perte émission voies locale etinterphonie

G201

Perte réception voies locale etinterphonie

G200

Perte de la réception sur la voielocale

G120

Perte de l'émission sur la voieinterphonie

G5

Perte de la réception sur la voieinterphonie

G6

Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

s



Ordre de la coupe

Taux de défaillanceN° de

l'événementDescription de l'événement

1 9,78E-08 E007 Perte du V+1 7,78E-08 E033 Perte du réglage volume1 7,30E-08 E008 Perte du V-1 7,30E-08 E009 Perte du VCC1 4,52E-08 E001 Perte du micro1 2,20E-08 E005 Perte du connecteur FLEX Broches alimentation1 2,06E-08 E004 Perte du connecteur interphonie Broches alimentation1 1,67E-08 E011 Saturation du signal Mélange1 1,23E-08 E012 Dégradation du signal Mélange1 1,05E-08 E042 Perte du signal Ecouteur BF1 1,05E-08 E039 Perte du signal Retour écouteur BF1 7,00E-09 E038 Saturation du signal retour écouteur BF1 3,50E-09 E040 Saturation du signal Ecouteur BF1 2,81E-09 E003 Dégradation du réglage volume1 2,66E-09 E002 Saturation du signal provenant du micro1 1,83E-09 E006 Perte du connecteur Toron broches alimentation

Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

s



Ordre de la coupe

Probabilité de la coupe

Contribution de la coupe

Contribution cumulée

N° de l'événement

Description de l'événement

1 9,78E-08 20,50% 20,50% E007 Perte du V+1 7,78E-08 16,30% 36,80% E033 Perte du réglage volume1 7,30E-08 15,30% 52,10% E008 Perte du V-1 7,30E-08 15,30% 67,39% E009 Perte du VCC1 4,52E-08 9,47% 76,87% E001 Perte du micro1 2,20E-08 4,61% 81,48% E005 Perte du connecteur FLEX Broches alimentation1 2,06E-08 4,32% 85,79% E004 Perte du connecteur interphonie Broches alimentation1 1,67E-08 3,50% 89,29% E011 Saturation du signal Mélange1 1,23E-08 2,58% 91,87% E012 Dégradation du signal Mélange2 6,28E-15 < 0,00% < 0,00% E020 Perte du connecteur interphonie Broche réception voie locale

E028 Perte du réseau interphonie du au BOE2 4,60E-15 < 0,00% < 0,00% E019 Perte du connecteur FLEX Broches émission voie locale

E028 Perte du réseau interphonie du au BOE2 4,29E-15 < 0,00% < 0,00% E010 Perte du signal Mélange

E028 Perte du réseau interphonie du au BOE2 4,29E-15 < 0,00% < 0,00% E021 Perte du connecteur FLEX Broche réception voie locale

E028 Perte du réseau interphonie du au BOE2 2,80E-15 < 0,00% < 0,00% E018 Perte du connecteur interphonie Broche émission voie locale

E028 Perte du réseau interphonie du au BOE

Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

s



Les points clés

Définition de l’E.R.Définition, contexte,

Analyse fonctionnelle

Réalisation de l’arbre / événement de base

Réalisation simultanée

Analyse des coupes

Coupes simples, couples doubles avec logiciel, coupes doubles avec panne cachée

Perte de la communication d'1BO pendant l'envoi d'un

message critique durant unemission d'une heure

G1

Perte de la communicationentre 2 BO pendant l 'envo i

d'un message critiquedurant une mission d 'une

heure

ER.01

Perte du s ignal à des tination del'écouteur durant une m iss ion

d'une heure

G101

Perte du s ignal en provenance dumic ro durant une miss ion d'une

heure

G102

Perte de l 'al imentation d'un BOdurant une miss ion d'une heure

G3

Perte de l 'al imentation d'un BOdurant une miss ion d'une heure

G3

Perte de l 'émiss ion sur la voielocale

G100

Perte émiss ion voies locale etinterphonie

G201

Perte réception voies locale etinterphonie

G200

Perte de la réception sur la voielocale

G120

Perte de l 'émiss ion sur la voieinterphonie

G5

Perte de la réception sur la voieinterphonie

G6

Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

s


Les

ou

tils

de

la S

dF

et

leu

rs

arti

cula

tion

s

Si objectif atteint : RAS

Si objectif non atteint, il faut mener une analyse afin de ramener la probabilité d'occurrence à une valeur acceptable




Modification de l'architecture du système

Elimination des coupes minimales

Fiabilisation des éléments de bases

Ajout de mesures de sécurité

Réduction du taux d'exposition au risque (lié à la stratégie de maintenance)L

es o

uti

ls d

e la

Sd

F e

t le

urs

ar

ticu

lati

ons


vous remercie de votre attention

LGM Toulouse Outils & Méthodes de la SdF 15 septembre 2004 La Sûreté de Fonctionnement « Outils...

Documents

Transcript of LGM Toulouse Outils & Méthodes de la SdF 15 septembre 2004 La Sûreté de Fonctionnement « Outils...