Surete Cours Selection 9dpp

16
Sûreté de fonctionnement des systèmes industriels Master Sciences et Technologies - Mention ASE - Spécialité INFORMATIQUE INDUSTRIELLE DOUBLE COMPETENCE Olivier LOSSON 2 Sommaire Introduction aux méthodes Historique Principaux concepts Analyse qualitative Principales étapes de l'analyse prévisionnelle Analyse fonctionnelle Méthodes APD, AMDEC, MAC, MACQ, MDCC Introduction à l'analyse quantitative Bases mathématiques de la SdF Données de SdF 3 Historique (1) Ere industrielle1930s sys mécaniques, électricité, transport aérien analyse intuitive de grandes catastrophes durée de vie=celle du maillon le plus faible Années 40-50 outils de l'ingénieur : fiabilité prévisionnelle Fiabilité () << Fiabilité (élément moyen) amélioration de la Q application : aéronautique & électronique militaires 4 Historique (2) Années 60 étude des défaillances des composants & effets concepts : fiabilité, maintenabilité méthodes : diag. de succès, arbre des causes, AMDE harmonisation et normalisation internationale (CEI) Années 70-80 industrie nucléaire pétrochimie, transports, traitement des eaux, logiciel cercles de Q Mais ... peu de grandes études de risques début 80 5 Principaux concepts - Fiabilité Définition Aptitude d'une entité à accomplir une fonction requise, dans des conditions données, pendant une durée donnée Fiabilités opérationnelle (observée) prévisionnelle (prédite) extrapolée Fiabilité et Q Q = conformité à une spécification Fiabilité = aptitude à conserver cette conformité 6 Principaux concepts - Sûreté de fct. Définition (sens strict) Aptitude d'une entité à satisfaire une ou plusieurs fonctions requises dans des conditions données Caractérisée par Fiabilité R(t)=P [ E non défaillante sur [0,t] ] Disponibilité A(t)=P [E non défaillante à l'instant t] Maintenabilité M(t) = P [la maintenance de E est achevée au temps t] = P [E est réparée sur [0,t] ] 7 Principaux concepts - Sûreté de fct. (2) Sécurité = P [E évite de faire apparaître, dans des conditions données, des évts critiques/ catastrophiques] Durabilité : Demeurer en état d'accomplir une fonction dans des conditions d'utilisation et de maintenance jusqu'à un état limite Continuabilité : Aptitude d'un service, une fois obtenu, à continuer d'être fourni pendant une durée voulue Servibilité : Aptitude d'un service à être obtenu à la demande d'un usager et à continuer d'être fourni pdt la durée voulue 8 Principaux concepts - Composants et Système = Ensemble déterminé d'élts discrets (composants) interconnectés ou en interaction Pièce Composant Sous-élémentaire Environnement élém. S 2 Système élémentaire S 1 A B C F D E Interface Sous-Système élém. S 3 Composants Limites extérieures 9 Fonctions (missions) Principales, secondaires, d° d'importance Structure Composants (rôle, caractéristiques, performances) relations (ex. connexions) localisation Conditions de fonctionnement états conditions de fonctionnement des composants changements de configuration Principaux concepts - Caractéristiques des 1

Transcript of Surete Cours Selection 9dpp

Page 1: Surete Cours Selection 9dpp

Sûreté de fonctionnementdes systèmes industriels

Master Sciences et Technologies - Mention ASE - SpécialitéINFORMATIQUE INDUSTRIELLE DOUBLE COMPETENCE

Olivier LOSSON2

Sommaire

Introduction aux méthodesHistoriquePrincipaux concepts

Analyse qualitativePrincipales étapes de l'analyse prévisionnelleAnalyse fonctionnelleMéthodes APD, AMDEC, MAC, MACQ, MDCC

Introduction à l'analyse quantitativeBases mathématiques de la SdFDonnées de SdF

3

Historique (1)

Ere industrielle→ 1930s sys mécaniques, électricité, transport aérienanalyse intuitive de grandes catastrophesdurée de vie=celle du maillon le plus faible

Années 40-50outils de l'ingénieur : fiabilité prévisionnelleFiabilité (∑) << Fiabilité (élément moyen)amélioration de la Qapplication : aéronautique & électronique militaires

4

Historique (2)

Années 60étude des défaillances des composants & effetsconcepts : fiabilité, maintenabilitéméthodes : diag. de succès, arbre des causes, AMDEharmonisation et normalisation internationale (CEI)

Années 70-80industrie nucléairepétrochimie, transports, traitement des eaux, logicielcercles de QMais ... peu de grandes études de risques début 80

5

Principaux concepts - Fiabilité

DéfinitionAptitude d'une entité à accomplir une fonction requise, dans des conditions données, pendant une durée donnéeFiabilités

opérationnelle (observée)prévisionnelle (prédite)extrapolée

Fiabilité et QQ = conformité à une spécificationFiabilité = aptitude à conserver cette conformité

6

Principaux concepts - Sûreté de fct.

Définition (sens strict)Aptitude d'une entité à satisfaire une ou plusieursfonctions requises dans des conditions données

Caractérisée parFiabilité R(t)=P [ E non défaillante sur [0,t] ]Disponibilité A(t)=P [E non défaillante à l'instant t]MaintenabilitéM(t) = P [la maintenance de E est achevée au temps t]

= P [E est réparée sur [0,t] ]

7

Principaux concepts - Sûreté de fct. (2)

Sécurité = P [E évite de faire apparaître, dans des conditions données, des évts critiques/ catastrophiques]

Durabilité : Demeurer en état d'accomplir une fonction dans des conditions d'utilisation et de maintenance jusqu'à un état limiteContinuabilité : Aptitude d'un service, une fois obtenu, à continuer d'être fourni pendant une durée voulueServibilité : Aptitude d'un service à être obtenu à la demande d'un usager et à continuer d'être fourni pdt la durée voulue

8

Principaux concepts - Composants et ∑

Système = Ensemble déterminé d'élts discrets (composants) interconnectés ou en interaction

Pièce ⊂ Composant ⊂ Sous-∑ ⊂ ∑ élémentaire ⊂ ∑

Environnement∑élém. S2

Système élémentaire S1

A

B C

F

D

EInterface

Sous-Système

∑élém. S3

Composants

Limites extérieures

9

Fonctions (missions)Principales, secondaires, d° d'importance

StructureComposants (rôle, caractéristiques, performances)relations (ex. connexions)localisation

Conditions de fonctionnementétatsconditions de fonctionnement des composantschangements de configuration

Principaux concepts - Caractéristiques des ∑

1

Page 2: Surete Cours Selection 9dpp

10

Conditions d'exploitation surveillance (alarmes, inspection, tests, vérifs)intervention (maintenance préventive, corrective)spécifs techniques d'exploitation

Environnementautres ∑ élémentairesopérateurs humainsenvironnement proprement dit (conditions ambiantes)

Données précisées au fur et à mesure de la conception ⇒ actualisation des analyses de sûreté

Principaux concepts - Caract. des ∑ (2)

11

Défaillance = Cessation de l'aptitude d'une entité à accomplir une fonction requiseClassification

Rapidité de manifestationAmplitude : déviation des caract. au-delà de limitesRapidité + amplitudeDate d'apparition

Effets

Principaux concepts - Défaillances

Début de vie

Période de vie utile

Fin de vie

Précoce A taux constant D'usureTaux de défaillance

t

12

Causes = circonstances liées à la conception, la fabrication ou l'emploi, ayant entraîné la défaillance (par un mécanisme physique, chimique, …)

défaillance première : résulte d'une cause interne à l'entitédéfaillance seconde : résulte de la défaillance d'une autre entité ayant entraîné des conditions excessivesdéfaillance de commande : résulte de signaux incorrects de contrôle /commande

Panne = Inaptitude d'une entité à accomplir une fonction requise (résulte d'une défaillance)

Classif : identique à celles des défaillances ou en fonction de l'aptitude des pannes à être constatées

Principaux concepts - Défaillances (2), Panne

13

Mode de défaillance = Effet par lequel une défaillance est observée

Difficulté de distinguer cause (en gal, défaillances des pièces) et mode (traduction des effets sur les f°)

Défaut et défaillanceDéfaut = Non-conformité à des objectifs ou clauses de spécificationRelation défaut/défaillance

défaut n'entraîne pas forcément défaillancetoute défaillance conduit à un défaut

Principaux concepts - Modes de défaillance

14

Principe

Démarche inductive (particulier général)Etude des conséquences d'une défaillance sur le ∑ lui-même ou son environnement

MdD Causes possibles EffetsDémarche déductive (général particulier)

Partant d'un ∑ défaillant on en recherche les causes

Analyse prévisionnelle - Analyse d'un ∑

∑réel

Modèledu ∑

Acquisitioninvestigationtraitement

d'informations

Modèlefinal

Acquisitioninvestigationtraitement

complémentaires

15

MéthodesAnalyse Préliminaire des DangersAnalyse des Modes de Défaillance et de leurs effetsMéthode du Diagramme de SuccèsMéthode de la Table de véritéMéthode de l'Arbre des CausesMéthode des Combinaisons de Pannes RésuméesMéthode de l'Arbre des ConséquencesMéthode du Diagramme Causes-ConséquencesMéthode de l'Espace des Etats

Analyse prévisionnelle - Analyse d'un ∑ (2)

I

IDII

16

Analyse prévisionnelle - Principales étapes

Analyse technique et fonctionnelle

Analyse qualitative

Analyse quantitative

Synthèses, conclusionsObjectifs remplis ?

Révision du projet

Oui

Non

Fin de l'étude

Modification du ∑

17

Les 5 impératifs de la Q Conformité

Préventionprospective (AMDEC)corrective (Maîtrise Statistique de Procédé)

Excellence : recherche continuelle de l'amélioration

Mesure : pas de progrès sans mesure

Responsabilité ⇒ implication

Analyse prévisionnelle - Démarche Q

DEFAUT : non réalisé

DOUBLE ILLUSION : non demandée et non réalisée

INSATISFACTION :non spécifié et non

réalisé

QUALITE PLUS :réalisé mais non

spécifié

SUR-QUALITE :spécifié mais non

demandé.

GASPILLAGE : réalisé mais non demandé

18

Définition des objectifs (animateur + demandeur)poser le problème, délimiter le ∑ et l'étudedescriptif du groupe de travail, planning des réunions

Inventaire de la documentation (animateur)Cahier des charges, plans, dossier maintenance

Groupe de travail (6-7 pers)animateur (garant de la méthode)pilote (garant de l'aboutissement des actions)représentants des services en relation avec le moyenautres spécialistes

Etude qualitative - Initialisation

2

Page 3: Surete Cours Selection 9dpp

19

Point d'entrée de toute analyse de Sûreté de fct.Nombreuses méthodesTrame commune:

Analyse fonctionnelle externephase 1.1 : définir le systèmephase 1.2 : définir les fonctionsphase 1.3 : définir les phases

Analyse fonctionnelle internephase 2.1 : Décomposerphase 2.2 : Identifier les flux

Conclusion : diagramme fonctionnel et/ou Tableau AF

Analyse fonctionnelle - Introduction

20

"boîte noire" & identification des caractéristiquesDéfinir le ∑ (délimitation, interfaces)Définir les fonctions réaliséesDéfinir les phases (=configurations d'emploi)Appréhender le fct. interne du ∑

Décomposition arborescenteIdentification des flux

TAF (diagramme fonctionnel)

Analyse fonctionnelle - Analyse externe

21

Analyse concrète du besoin qui justifie le projetExprimer et satisfaire le besoin et rien que luiOutil : la "bête à cornes"

Validation du besoinPourquoi existe-t-il ?Quel évt. externe pourrait le faire évoluer/disparaître ?Conclusions quant à sa validité

Analyse fct. externe - Analyse du besoin

Sur quoi agit-il ?

A qui rend-il service ?

Dans quel but ?

22

Fonctions de servicesFP = but des relations créées par le ∑ entre éléments de son milieu d'utilisation FC = contraintes imposées au ∑ par son milieu

Fonctions techniquesAssocient aux f° de service des solutions techniques pressenties

Outil : la "pieuvre"

Analyse fct. externe - Déf. des fonctions

Sur quoi agit-il ?

A qui rend-il service ?

FP

FCEléments extérieurs contraignants 23

Qualification et quantification = critères permettant de choisir une solution technique

pour chaque fonction de service, évaluerles critères d'appréciation ou de valeur (Cv)leurs niveaux = performance attendue du servicela flexibilité de chaque niveau de la part du demandeurle taux d'échange associé (rapport acceptable prix/variation)en vue de négocier une variation de perf. / besoin initial

HiérarchisationImportance relative de chq service futurs prestataires

Cahier des Charges Fonctionnel (CdCF)

Analyse fct. externe - Déf. des fonctions (2)

24

Etablissement du bloc-diagramme visualiser les interactions des composants du ∑

entre euxavec le milieu extérieur

En pratique: schématisation des "contacts"numéroter chaque composant du ∑matérialiser chaque liaison fonctionnelle par un trait

Etablissement du schéma de flux traversant le ∑types : effort, matière, énergie, information, ...contribuant aux FP, FC et fonctions techniques

Analyse fct. externe - Définition des flux

25

Etablissemt du Tableau d'Analyse Fonctionnelle

Une matérialise la participation de chaque fonction élémentaire aux FP, FC et Fonctions techniques

Analyse fct. externe - TAF

Fonctions de base Fonctionstechniques

Fonctions élémentaires FP1 FP2 FP3 FC1 S1 S2 S3 S4Fonctions de contact

Fonctions de flux

26

Analyse fct. externe - Exemple

Poignée de porte

FP1=Permettre à la main de tirer/pousser la porteFP2=Permettre à la main d'ouvrir la serrure

Main

Porte Serrure

FP2

Clip1

Vis1

Axe Porte

Poignée1

Poignée2Clip2

Plaque1

Plaque2

Vis2

Ecrou2Ecrou1

FP1

27

Analyse fct. externe - Exemple (3)

Flux 1Cde serrure

Flux 2Poussée porte

Flux 3Tirage porte

Flux K1, K2Serrage clipssur poignées

Clip1Vis1

Axe

Poignée2

Clip2

Plaque1

Plaque2

Vis2

Ecrou2Ecrou1

Main

PorteSerrure

Poignée1

Flux ouverts

Flux bouclés(de conception)

3

Page 4: Surete Cours Selection 9dpp

28

APD = Analyse Préliminaire des DangersPHA = Preliminary Hazard Analysis

AMDEC=Analyse des Modes de Défaillance, de leurs Effets et de leur CriticitéFMECA = Failure Mode Effect and Criticality Analysis

MAC = Méthode de l'Arbre des Causes = Arbre des défaillances / des défauts / des fautesFAM/FTA = Fault/Failure Tree Method/Analysis

MACQ = Méthode de l'Arbre des ConséquencesETM = Event Tree Method

MDCC = Méthode du Diagramme Causes/ConséquencesCCD = Cause-Consequence Diagrams

Diverses méthodes

29

PrincipeObjectifs:

Identifier les dangers et leurs causesEvaluer la gravité des accidents potentiels

Actions correctrices pour éliminer/maîtriser les dangersMoyens: expériences des ingénieurs, listes-guides

EtapesSystème ou fonction ensemble étudiéPhase mode d'utilisation pdt laquelle il peut y avoir dangerEntités dangereusesSituations dangereusesAccidents potentiels

Analyse Préliminaire des Dangers

30

Historique & utilisationUSA, début années 60 (aérospatial)aéronautique, nucléaire, puis chimie, automobile, …

Méthodes dérivéesAMDECHAZOP (Hazard & Operability Study): adaptation aux circuits thermo-hydrauliques

DéfinitionTechnique d’analyse prévisionnelle, formalisée et rigoureuse, visant à étudier et maîtriser les risques de défaillance d'un produit, d'un processus ou d'un service, afin d'améliorer sa fiabilité

AMDE - Intro

31

ButsConception : atteindre un bon niveau de fiabilitéExpertise : améliorer fiabilité et/ou disponibilitéExploiter infos pour préparer la doc. et la maintenance

Démarche généraleétude de la probabilité de survenir des défaillancesévaluation des conséquences sur les fonctionsidentification des modes de défaillance majeurs

Aspect préventif : 2 démarchesTop-downBottom-up

AMDE - Intro (2)

32

PrincipeMéthode inductiveSynoptique

AMDE - Principe

Définition du ∑, de ses fonctions et composants

Une AMDE est réalisée dans un état de fct

donné du ∑ (phase)

Etude des effets des modes de

défaillance des composants

Etablissement des modes de

défaillances des composants, et de leurs causes

ConclusionsRecommandat°

Causes Effets

Niveau composant

Niveau système

Inductif

Déductif

33

En amont : analyse fonctionnelledécomposition du ∑définition des limites fonctionnellesspécifs relatives au fct., composants, environnement

Recenser et caractériser les états de fct. du ∑Une AMDE par état de fct (ou phase)

Etablir les MdD "Effets par lesquels une défail. est observée"

Pour chaque composant du ∑Dans l'état de fct. étudiéEtablir les causes possibles pour chaque MdD

AMDE - Détail des étapes 1 et 2

34

ConsidérerL'utilisation du composantLa classification des principaux MdDLa liste-guide des MdD génériques (cf. diapo suivante)Dépend de l'état de fonctionnement considéré !!

AMDE - Modes de défaillances (MdD)

Recensement des MdDpotentiels

Prise en compte de l'état de fct du ∑

Causes (int/ext) de défaillance

1ère liste de MdD retenue pour l'analyse

MdD et leurs causes retenues pour l'analyse

Expérience d'exploitation

Essais de fiabilité, tests, ...

Analyse prévisionnelle

de sûreté

35

AMDE - Liste-guide des MdD génériques1. Défaillance structurelle (rupture) 18. Mise en marche erronée2. Blocage physique (coincement) 19. Ne s'arrête pas3. Vibrations 20. Ne démarre pas4. Ne reste pas en position 21. Ne commute pas5. Ne s'ouvre pas 22. Fonctionnement prématuré6. Ne se ferme pas 23. Fonctionnement après délai7. Défaillance en position ouverte prévu (retard)8. Défaillance en position fermée 24. Entrée erronée (augmentation)9. Fuite interne 25. Entrée erronée (diminution)10. Fuite externe 26. Sortie erronée (augmentation)11. Dépasse la limite > tolérée 27. Sortie erronée (diminution)12. En-dessous de la limite < tolérée 28. Perte de l'entrée13. Fonctionnement intempestif 29. Perte de la sortie14. Fonctionnement intermittent 30. Court-circuit (électrique)15. Fonctionnement irrégulier 31. Circuit ouvert (électrique)16. Indication erronée 32. Fuite (électrique)17. Ecoulement réduit 33. Autres conditions de défaillance

36

AMDE - Causes de défaillances

Causes externes(PR externes)

MdD Composant1(PR globales)

Causes internes(PR internes)

MdD de chaquepartie du composant1

Effets: fct

anormaux composant1

Causes externes

MdDComp2

Causes internes

MdD de chaquepartie du C2

Effets: fct

anormaux C2

Décompen partiesCompos1

Partie composant1 Etude composant14

Page 5: Surete Cours Selection 9dpp

37

Etude des effets de chaque MdDsystématique, complète, en considérant le MdD seul

Conclusions, recommandationsrecensement des MdD suivant l'ampleur de leurs effetsprocédures de détection (alarmes, ...) et maintenance

AMDE - Effets des MdD et conclusions

Projet : Documents de référence :Système :

Identifcomposant

F°,états

MdD Causespossibles

d'unedéfaillance

Effetssur ∑

Effetssur ∑

externes

Moyensde

détection

Fréquenceinspectionsou essais

Obser-vations

38

GénéralitésExtension de l'AMDEUtilisation

NASA (LEM)Nbx autres domaines : Toyota, Renault

PrincipeRechercher les éléments ou opérations critiquesHiérarchiser les défaillances

DémarcheProba d'occurrence de chaque MdDClasse de gravité des effets de ces défaillances

AMDEC - Principe

39

Niveau général de risque= Indice de Priorité de Risque (IPR) (=seuil de criticité DOS)

IPR = F × G ou IPR = F × G × D

AMDEC - Calcul de la criticité

Fréquence Gravité Non-DétectabilitéDéfinition Proba d'occurrence

de la défaillanceNiveau deconséquence

Proba que la causeet/ou le MdD atteignel'utilisateur

Evaluation Probas/Indices Indices Probas/Indices

Critère de sélection des risquesSolutions correctives

40

Grille d'analyse de la criticité (Criticality Analysis)

AMDEC - Calcul de la criticité (2)

P r o b a ( F r é q )G r a v i t é

Trèsfaible Faible Moyenne Forte

Classe I(Effets mineurs)Classe II(Effets significatifs)Classe III(Effets critiques)Classe IV(Effets catastrophiques)

Zone non acceptable Zone acceptable

41

Partition des composants

Liste des Articles Critiques (LAC) partition : criticité inacceptablenouvelle étude pour réduire F ou G

AMDEC - Conclusions

C = F x G x D ou D x O x SC < R Aucun problème, R.A.S.

⇒ Maintenance correctiveR < C < S Acceptable mais

⇒ surveillance particulière+ maintenance préventive/conditionnelle

C > S Remise en cause complète de l'étude⇒ Nouvelle étude (amélioratif)

42

Liste par Effets de Défaillance (LED)pour un effet donné, rechercher

toutes les causesles composants associés

intérêt : définirles opérations de maintenance correctivela doc système

Tableaux AMDECDispositif de remplacementMaintenance préventiveMoyens de détection

AMDEC - Conclusions (2)

43

Réalisation ∑ en cours de développement ou déjà opérationnel

Exploitationjustification d'un niveau de fiabilité/d'une architectureassistance à la maintenance, rédaction des docs

Familles d'AMDECproduit/projet : phase de conception du pdtproduit/procédé : défaillance du pdt dues au processusmoyen : machines, installations "0 défaut, 0 panne"

Complément par d'autres méthodes (MCPR)

AMDEC - Utilisation

44

AMDEC - ProgicielsNom Type Concepteur

AMDAO AMDEC Renault SA (F)AMIDEC AF + AMDEC Calladan (F)FIABEX AF + AMDEC CEP Systèmes (F)FMECA AMDEC Produit ALD Ltd (Israël)FMECA Processus AMDEC Procédé Europe Qualité Services (F)GAMDEC AMDEC Gamma Systèmes (F)LARA AMDEC Serete Productique (F)Q-PAK AF + AMDEC Oscar Software Ltd (UK)RELEX AMDEC AMDEC Produit ISD (USA)RELIASEP AF + AMDEC SEP (F)SAFAD AF + AMDEC

Produit, procédéRaisonnance SA (F)

SOFIA AF Sofreten (F)AMDEC - Sofia AMDEC Sofreten (F)

45

Analyse qualitative - Résumé

Bloc-diagrammeTAF

AF

Solution optimisée en coût

AV AMDEC

Solution fiabilisée

Solution fiableet optimale

Déf du ∑

Déf des f°CdCf (Fp,Fc, Cv)

Initialisation

Conception

Id. des causes perturbant les f°

Calcul des IPR

Déterm. d'actions correctives

Q é

cono

miq

ue

Q te

chni

que

5

Page 6: Surete Cours Selection 9dpp

46

Sous-systèmes étudiés

AMDEC - Exemple

Roller in line

Tige Châssis(2 flasques)

Roue/Roulements/Freins

Soft Collier Berceau

Liaison tige/châssis Liaison châssis/roues47

Analyse du besoinOutil : la "bête à cornes"

AMDEC - Exemple : analyse fonctionnelle

Infrastructure

A qui rend-il service ?

Dans quel but ?

ROLLER in LINE

Se déplacer sur l'infrastructure pour le patineur

Patineur

Se déplacer

Sur quoi agit-il ?

48

Définition des fonctionsOutil : la "Pieuvre"

AMDEC - Exemple : analyse fct. (2)

Infrastructure

Pied du patineur

ROLLER in LINE

FP1. Permettre au pied du patineur de rouler sur l'infrastructureFC1. Fonctionner malgré l'action d'éléments agressifs

FP1FC3

Oeil

FC2Environnement

sensible

FC1

Eléments agressifs

Ambiance thermique

FP2

Environnement agressifFP3

49

Niveau de Gravité (pour le client final)

AMDEC - Exemple : Calcul de la criticité

Clas-ses

Critères pour le client Exemples Note

Pb de sécurité sans avertissement- Manque sécu/risque d'accident- Retour ponctuels produit- Risque de recall / de procès

- Axe d'articulation pas riveté- Casse berceau- Perte du patin de frein- Perte ou casse roue

5

Crit

ique

Pb de sécurité avec avertissement- Manque sécu/risque d'accident- Utilisation impossible du pdt- Retour ponctuels produit- Risque de recall / de procès

- Casse broche BdJ- Dévissage liaison

tige/chassis

4

Maj

eur

Effet grave- Réduct° importante utilisation pdt

(confort, commodité, perf.)- Remet en cause l'image de marque

& désir d'achat- Retour ponctuel pdt/risque recall

- Casse crochetAvP- Casse crochet PcT- Plis important chausson- Usure prématurée pdt

(dégradation rapide)

3

50

Niveau de Gravité (suite)

AMDEC - Exemple : Calcul de la criticité (2)

Clas-ses

Critères pour le client Exemples Note

Effet mineur- Affecte pas/peu l'utilisation du pdt- Dégradat° rapide de l'esthétique- Image de marque ternie- Mécontement du client pas

forcément exprimé- Pas de retour

- Réglage crochets difficile- Jaunissement des pièces- Corrosion

2

Min

eur

Effet infime- Difficile à détecter par le client en

magasin- Pas de retour

- Petits rayures- Légère différence de teintes

1

51

Niveau de Fréquence (pour le client final)

AMDEC - Exemple : Calcul de la criticité (3)

Clas-ses

Critères pour le client Fréquence Note

Excessif- Très nbx incidents clientèle- Plainte des clients

F > 5% 5

Crit

ique

Très fréquent- Bcp d'apparitions en clientèle- Plainte des clients

1% < F < 5% 4

Maj

eur Fréquent

- Qq apparitions en clientèle- Début de l'alerte

0,5% < F < 1% 3

Rare- Très faible apparition- Pas de remontée clientèle

F < 1% par modèle sur 3 ansF ≤ 0,5% par ligne de pdt sur 3 ans

2

Min

eur

Peu probable- Pas d'apparition en clientèle F < 0,05% 1

52

AMDEC - Exemple : Tableau d'analyseComposant MdD Effets Criticité

F x GCauses

défaillanceActions

corr.Soft Transmission

défaillante duFlux depuissance

• dégradation- performance- confort

2*3=64*3=124*3=124*3=124*3=12

- déchirure mat.- couture- passants- lacets- clous

- chgtmatériau

Collier Transmissiondéfaillante duΦP

• pb potentiel desécurité du patineur

• dégradation- performance• pb potentiel de

sécurité du patineur

1*5=5

2*3=6

2*4=8

- casse

- casse

- crochets

- renforcer sangle

- rempl.crochet

Berceau Transmissiondéfaillante duΦP

• pb potentiel desécurité du patineur

1*5=5 - casse- strap PCT- rivets

- revoirsysfixation

LiaisonSoft/Collier

Transmissiondéfaillante duΦP

• dégradation- performance- confort

2*3=6 - coutures - couturesuppl.

LiaisonSoft/Berceau

Transmissiondéfaillante duΦP

• dégradation- performance- confort

2*3=62*3=6

- écrou deliaison châssis

- rivets53

SdF d'une gare SNCF

AMDEC - Exemple2 : Calcul de la criticité

Gravité G Fréquence F Maîtrise NoteMort d’homme / dégâtsmatériels considérables

(coût>2 M?)< une semaine Pas d’action possible 10

Blessé grave / dégâtsmatériels T importants(500 k?< coût <2 M?)

< un mois Pas de maîtrise connue 8

Blessé léger / dégâtsmatériels importants

(20 k?<coût <500 k?)< une année Maîtrise non garantie 6

Dégâts matériels nonnégligeables

(2 k?<coût<20 k?)< 10 ans Maîtrise moyenne 4

Dégâts matérielsmineurs

(500<coût<2 k?)>10 ans Bonne maîtrise 2

54

Adaptée aux ∑ thermo-hydrauliquesgrandeurs : débit, pression, courant, température,...

AMDEC - HAZOP

Guideword

Deviation Possiblecauses

Csq Actionrequired

NONE No flowMore flowMore pressure

MORE

More temperatureLess flowLESS

OF Less temperaturePARTOF

High water concentration orstream

MORETHAN

Organi acids presence

OTHER Maintenance

Absence

Excès de

Manque dePartie de

(flux incomplet)Impuretés,

autres phasesHors fct normal

/val nominale

6

Page 7: Surete Cours Selection 9dpp

55

Avantages étude qualitative et quasi-exhaustive

des évolutions cinétiquesdes causalités

Utilisation de mesures de variables de conduite(pression, température, débit, niveau, …)

Formalisation a posteriori des connaissances expertesInconvénients

difficultés d'affecter à chaque "mot-guide" une portion délimitée du ∑des causes de défaillance

AMDEC - HAZOP (2)

56

HistoriqueBell Telephone (1962), formalisation : Boeing (1965)Auj.: méthode d'analyse de SdF la plus utilisée

DéfinitionMéthode logique destinée à analyser les causes possibles d'un événement redouté afin d'en limiter la probabilitéPrincipe

déterminer les diverses combinaisons possibles d'évtsqui entraînent la réalisation d'un évt indésirablereprésenter graphiquement ces combinaisons au moyen d'une structure arborescente

MAC - Introduction

57

Objectifréduire la probabilité d'occurrence de l'évt indésirable

Méthode déductive? causes d'un événement indésirable potentiel? causes d’un accident qui s’est déjà produit

Etapes de mise en œuvredéfinition de l'évt indésirableexamen du ∑ en causeconstruction de l'arbreexploitation de l'arbre

MAC - Introduction (2)

58

Généralitésbut de l'analyse: en déterminer toutes les causessommet de l'arbre

Natureévt catastrophiqueindisponibilité de ∑ sécurité/dispo d'une installation

Définitionrésultant en général d'une APD précise et ciblée, pour obtenir un arbre exploitable(en fonction de la phase d'utilisation)

MAC - Concepts de base - Evt indésirable

59

L'arbre des causesniveaux successifs tels que

chq évt est généré à partir des évts du niveau inférieurpar l'intermédiaire de divers opérateurs (ou portes) logiques

évts=défauts associés à des défaillancesmatérielleshumainesdéfauts logiciels, …

niveau des évts élémentaires (= "de base")non décomposables en évts plus simplesindépendants entre euxleur proba d'occurrence peut être estimée/calculée

MAC - Concepts de base - Arbre des causes

60

MAC - Concepts de base - Portes logiques

E1

S

E2 E3

PorteET

E1

S

E2

E1 avant E2

Porte ETavec

condition

E1

S

E2 E3

PorteOU

E1

S

E2

E1 avant E2

Porte OUavec

condition

E1

S

E4E2 E3

2/4

PorteCOMBI-NAISON

m/n

E1

S

x

Porte SI

61

MAC - Concepts de base - Evénements

Cercle

Evt élémentaire nenécessitant pas de

développement futur Ovale

Evt conditionnel quipeut être utiliséavec certainesportes logiques

Losange

Evt qui ne peut êtreconsidéré comme

élémentaire, mais dont lescauses ne sont et ne seront

pas développéesDoublelosange

Evt dont les causesne sont ne sont pasdéveloppées mais le

serontultérieurement

Rectangle

Résulte de la combinaisond'autres évts par

l'intermédiaire d'une portelogique Maison

Evt qui correspondà un fct. normal du

∑ (P=1)

Triangle

La partie de l'arbre quisuit le 2ème symbole est

transférée àl'emplacement du 1er

Triangleinversé

Une partie semblable, maisnon identique à celle quisuit le 2ème symbole est

transférée à l'emplact du 1er62

Différents typesévt élémentaire ……………………………...

ex. défaillance première, erreur humaine élémentaire

évts correspondant à une limite de l'étude…..par choix (du ∑ étudié)par manque de renseignements

évt survenant normalement pdt le fct. du ∑…..Critères déterminant le niveau de détail de l'analyse

objectifs de l'étudeavancement de la conception du ∑connaissance des composants et de leurs MdD

MAC - Concepts de base - Evts de base

63

PrincipesRecherche des causes immédiates, nécessaires et suffisantes (INS)Classement des événements intermédiairesAnalyse des défauts de composantsRecherche des causes INS des évts intermédiaires jusqu'à n'obtenir que des évts de baseDémarche itérativeAutres règles

MAC - Construction de l'arbre des causes

7

Page 8: Surete Cours Selection 9dpp

64

Recherche des causes INSPartir de l'évt indésirableEn rechercher les causes immédiates, puis "remonter"A l'aide des params & lois physiques

MAC - Construire l'arbre - Causes INS

Pas de signal d'entrée pour E

Pas de signal de sortie de D

Pas de signal d'entrée pr D

AB

CD E

Pas de signal d'entrée pour E

Pas de signal d'entrée pr D

Pas de signal de sortie de B

Pas de signal de sortie de C

Défaillance1ère de D

65

Recherche causes INS évts intermédiaires Ei

Classement: 3 classesEi=évt de baseEi=défaut de composant

Ei="défaut du système"plusieurs composants responsablesou évt de base + défaut de composant

⇒ recherche causes INS évts interm. liés par portes logiques

MAC - Construire l'arbre - Classement des Ei

Défaillance d'un composant

Déf. de cdeDéf.1ère

Déf. 2nde

66

MAC - Construire l'arbre - Evts intermédiairesDéfinition évt

intermédiaire Ei1

Recherche de la défaillance 1ère

Recherche des défaillances 2ndes

Recherche des défaillances de cde

Obt

entio

n de

s évt

sde

base

Ei1 est un

défaut du ∑

Recherche des causes INS

Déf des évts intermédiaires Ei

2 liés par des portes logiques

Ei1=évt de base ?

Ei1=défaut de

composant ?

oui

nonnonoui

67

Garder en tête que:l'existence simultanée de 2 défaillances ne peut conduire à un fct. du ∑ !il faut bien compléter les évts d'entrée d'une porte avant d'examiner ceux-ciune porte logique ne doit pas être directement connectée à une autre porteles causes sont antérieures aux conséquences

élimination de certaines branchesfacilite la résolution des ∑ "bouclés"

MAC - Construire l'arbre - Autres règles

68

A chaque niveau de décomposition

Evite les oublisSimplifie l'analyse des causes

MAC - Construire l'arbre - Aide de l'AMDEC

Com-posant

F° Mode dedéfaillance

Cause Effet Détect° G F N Criticité

AMDEC

Cause1 Cause2

Défaillance

Effet

69

Coupe (ou chemin)ensemble d'évts entraînant l'évt indésirable

Coupe minimale (ou chemin critique)plus petite combinaison d'évts ⇒ évt indésirable (l'un ne se produit pas ⇒ l'évt indésirable non plus)correspond à un "maillon faible" du ∑

Recherchetransformer l'arbre en expression boolénnerechercher l'expression réduite (ex. Karnaugh)

MAC - Réduction de l'arbre

imiiiin BBBCmini sCoupeavecCCCF ... 21

21 ==+++=

70

MAC - Réduction de l'arbre (2)

F

E4C

A B

E2

E3A

B C

E1

F

A

E5C

B

réduction

F = (A+B+C).[C+(A.B)]= A.C+B.C+C+A.B+A.B+C.A.B= C+A.B

71

Analyse qualitativelogique des défaillances, pts faibles de la conceptionactions

sur conception, moyens de ctrl, de régulation, de sécuritépour introduire le plus possible de portes ET

Analyse semi-quantitativeobtention difficile des probas des évts de baseclassement par niveaux de probascalcul de la proba de l'évt indésirableAction sur les évts de base les plus influents

MAC - Exploitation de l'arbre (1)

72

Règles de combinaison (∑ irréparable)

P[F]=P[B1]+P[B2]-P[B1].P[B2] P[F]= P[B1].P[B2]

Analyse quantitativeproba indisponibilité composants a(t)simulation informatique

chemins critiques (conduisent le + fréqt à l'évt indésirable)évts les + influents (sensibilité à la variation de proba)

MAC - Exploitation de l'arbre (2)

F

B1 B2

F

B1 B2

8

Page 9: Surete Cours Selection 9dpp

73

MAC - Exemple - Définition du ∑

Production

Purification

Séchage

Condensation

WAH

TP

PAH

NAH

Pesée continue

membrane

dégazageutilisation

solutionneutralisante

soupape

Réservoir de stockage de gaz liquéfié toxique

74

Evt indésirablefuite de produit à partir du stockage (sauf soupape)

Examen du ∑APD + Etude sur Schéma de Circulation des Fluides

contaminants indésirableseau: corrosion acier en présence du produitun gaz: réaction violente avec le produit

systèmes de sécuritéeau: séchage et contrôle humiditégaz: garde hydraulique + dégazageouvrier contrôlant l'unité de condensation+stockage

MAC - Exemple - Evt indésirable, examen ∑

75

Exemple: déchirure de l'enveloppe du stockage

MAC - Exemple - Arbredéchirure enveloppe

Surpression > limite élastique

Défaill. PAH

Défaill. ∑de ctrl

Surcharge gaz dans stockage

T° trop élevée

Accu suffisante de contaminant réactif

Blocage soupape

pos. fermée

Impact corpsext.

Blocage vanne pos

fermée

Source chaleur

ext.

Soupape inopéran

te

Défaill. dégazage

perm.

Incident unité de cond.

Défaill. garde

hydrau.

Défaill. ∑de mesure

Défaill. opérateur

Panne PAH

NAHen panne

Peséeen panne

76

Exploitation semi-quantitative6 niveaux de probas (1..6)règles simplifiées pour P[F]

Résultat: événement final indésirable de niveau 1(extrêment rare)

MAC - Exemple - Exploitation de l'arbre

F

B1 B2

F

B1 B2

F

B1 B2 B3

sup(P[B1],P[B2]) min(P[B1],P[B2])-1 min(min(P[B1],P[B2])-1,P[B3])-1

F

B'1 B3

77

Domaine privilégié : nucléairecomplexité des ∑ élémentairesnombreuses interactions, redondances fonctionnelles

⇒ nécessité d'une approche systématique

MACQ - Introduction

78

Séquences d'évtsévt initiateursuccession de défaillances conduisant à des csqacceptables ou non ≡ "séquence (in)acceptable"Association ∑ élémentaires "évts génériques"

Ex.

MACQ - Séquence d'évts

évtinitiateur

succès

échec

R u p t u r e d 'u n et u y a u t e r i e

p r i m a i r e ( A )

M i s s i o n d u ∑d e s a l i m

é l e c t r i q u e s ( B )

M i s s i o n d u ∑d 'i n j e c t i o n d e

s é c u r i t é ( C )

S é q u e n c e s

n°1-accident maîtrisé

n°2-fusion du cœurn°3-fusion du cœur

séq. irréalisten°4-fusion du cœur

79

Etude quantitative : à chq séquence on associeune probabilitéune conséquence (quantité de pdt radioactif relâché)

Problèmes: commentdéfinir l'évt initiateurrecenser tous les évts initiateurs possiblesélaborer l'arbre des conséquencesdéfinir les évts génériqueséliminer les incohérences pour réduire l'arbre

MACQ - Problèmes posés

80

Définition des f° de sûreté

Définition des évts initiateursévaluation technologiqueet/ou arbre des causes

Regroupement par f° de sécurité

MACQ - Etapes 1 et 2

F° de sûreté ObjectifsCtrl de réactivité arrêt du réacteur pour réduire la p° de chaleurRefroidissement du cœur transférer la chaleur du cœur au fluide primaireCtrl du débit d'eau du CP maintenir un débit suffisant pour refroidir le cœurCtrl de la P en eau du CP maintenir une P suffisanteRefroidissement du fluide extraire la chaleur du fluide primaireIsolement de l'enceinte éviter les relâchements de produits radioactifsCtrl de la teneur en H éviter les explosions liées à la présence d'H2 ds l'enceinte

81

Arbre des conséquences "fonctions"pour chaque évt initiateurévts génériques : perte des ≠ fonctions de sûreté

Aidesconsidérer la chronologie d'intervention des ∑ de sûretéélimination des séquences incohérentes

Ex. séquences fonctionnelles : déf(F1) ⇒ déf(F2)Ex.

MACQ - Etape 3

évtinitiateur

succès

échec

Rupture tuyauterieprimaire

F° d 'injectionde sécurité

F° d 'aspersion del'enceinte

Séquences

n°1n°2n°3n°4 9

Page 10: Surete Cours Selection 9dpp

82

Arbre des conséquences "systèmes"Chaque fonction 1/plusieurs ∑ élémentaire(s)Dans l'arbre précédent, remplacer les fonctions par les ∑ de sûreté correspondants

Ordre des évts génériquesPourquoi revoir cet ordre ?

Nb interactions entre f° de sûreté, entre ∑∑ accomplissant plusieurs f° de sûreté

Facteurs à considérertempsinteractions fonctionnellesinteractions entre ∑ élémentaires

MACQ - Etape 4

83

∑ associés aux fonctions de sûreté considérées+ réservoir commun+ ∑ auxiliaire (alims électriques)

MACQ - Exemple

Rupturetuyauterieprimaire

Mission duréservoir

commun aux 2 ∑

Mission du∑ des alimsélectriques

Mission du∑ d'injectionde sécurité

Mission du ∑d'aspersion de

l'enceinteSéquences

évtinitiateur

succès

échec

n°2-rejets limitésn°3-fusion du cœur

n°4-fusion du cœur

n°1-accidents maîtrisés

n°6-fusion du cœur

n°5-fusion du cœur

84

Réduction de l'arbrebut: simplifier le calcul des probas des séquences

Pertinence des ∑ élémentaires? sens physique des combinaisons? cohérence avec les états considérés précédemment

Réduction du nombre d'évts génériquesn évts génériques à 2 états nombre de séquencesconsidérer

temps (ordonnancement des évts génériques)interactions (incompatibilité & dépendances) fonctionnellesinteractions entre ∑

MACQ - Etape 5 (1)

85

Obtention de séq. minimales par réduction booléennearbres des causes des évts indésirablesen rechercher les "coupes minimales"introduire les évts de causes communes en tant qu'évtsgénériques dans un nouvel arbre de conséquencesconstruire cet arbre en incluant les réductions booléennes

Ex.

MACQ - Etape 5 (2)

Evt initiateur Mission du ∑ 1 Mission du ∑ 2 Séquences

évtinitiateur

succèséchec

n°1- séquence αn°2- séquence βn°3- séquence γn°4- séquence δ

Seq. inacceptable86

MACQ - Etape 5 (3)

Evt initiateur Evt A Evt F Mission du ∑ 1 Mission du ∑ 2 Séquences

évtinitiateur

succèséchec

δ1β1δ2δ3αβ2γδ4δ = δ1 + δ2 + δ3 + δ4β = β1 + β2

Echec mission ∑ 1

A B C D E F

Echec mission∑ 2

A F G

87

Résumé de la démarche

MACQ - Résumé

Recueil infos

- retour exploit.- accidents de

dimensionnt

Déf. f° de sûreté

Sélection évts

initiateurs

Arbre réduit-séq. d'évts-quantification

Arbre "fonctions"

Arbre "∑"

Arbre des causes des évts

indésirables

Etude évtsindésirables au niveau des ∑élémentaires

88

HistoriqueRiso (Danemark), formalisée par Nielsen & Taylorchamp d'application : surtout centrales nucléaires

Principe : combinerla MAC (analyse déductive)et la MACQ (analyse inductive)

⇒2 parties"causes" = 1/plusieurs évts "sommets" (indésirables)

symboles : identiques à MAC

"conséquences" = csq. lorsque se réalisent ces évts

MDCC - Introduction

89

Symboles spécifiques (partie "conséquences")

MDCC - Symboles

Symbole Nom Signification

Entrée

SortieOui NonCondition

Porte"oui-non"

- L’évt de sortie est "oui" si lacondition est remplie, "non" sinon

- Un arbre des causes du non-respectde la condition peut être développéen parallèle

Entrée

D

Sortie

Entrée

D

Sortieou

Opérateur"retard"

L’évt de sortie se réalise un temps Daprès celui d’entrée

Entrée

Evénement"conséquence"

Décrit les csq d’une combinaisond’évts (fin de branche du diagramme)

Entrée

NON

Sortie Opérateur decomplémen-

tarité

L’évt de sortie est le complément decelui de l’entrée

90

Recherche des causes MAC (évt indésirable)Recherche des conséquences

en tenant comptedes actions de sécurité (auto/manuelles) qui peuvent être sollicitées et de leurs défaillances possiblesdes défaillances d'autres composants, sous-∑d'évts extérieurs

en s'inspirant de la construction des séquences MACQ

Sélection d'un évt initiateur (ou critique)lié à des défaillances de composants ou sous-∑évt "sommet" de l'analyse

MDCC - Elaboration du diagramme

10

Page 11: Surete Cours Selection 9dpp

91

DCC et coupes minimalesEtapes précédentes sur tous les évts "sommets"ensemble de DCC toutes combinaisons (=coupes, =séquences) d'évts pouvant ⇒ les évts indésirablesRéduction des AC coupes minimales

Résumé

MDCC - Elaboration du diagramme (2)

Aide de: -APD-AMDE-MCPR

MAC

Sélectiond'1/+ évtinitiateur

Recherche causes

d'un évtinitiateur

Obtention des csq

"sommets"

Recherche csq de l'évt

initiateur

Recherche causes des évts inter-médiaires

Recherche csq des

évts inter-médiaires

DCC

Règles d'élabo-ration de l'ACQ

MAC

Règles d'élabo-ration de l'ACQ

92

Formegénérale

MDCC - Elaboration du diagramme (3)

Oui NonCondition

Evtinitiateur

D

Non OuiCondition

Csqs Csqs Csqs

D

Evt. intermédiaire

93

MDCC - Exemple

Batterie déchargée Fusible

ouvertFil

débranchéLampe grillée

L'opérateur appuie sur

le BP

Oui NonLe circuit se ferme

Oui NonLe courant traverse le filament

La lampes'allume

La lampe nes'allume pas

Batterie

Fusible Fil

LampeBouton poussoir

BPbloqué

94

Liens avec les autres méthodesAMDEC aide à définir les évts initiateursMAC

causes de l'évt initiateurcauses du (non-)respect d'une condition liée à une porte O/N

MACQ: similitudesporte OUI-NON oucombinaisons d'évts séquencesdéfinition identique de l'évt initiateur

Intérêt et utilisationAnalyser des ∑ d'ampleur limitée ou à fct séquentielVisualiser l'ordre chronologique d'apparition des évts

MDCC - Conclusion

succès échec

95

Commande à distance d'un moteur à cc

Evt indésirable (APD) = surchauffe fil ABHypothèses

fct prolongé du M ⇒ court-circuit ⇒ destructioncourt-circuit ⇒ contact reste collé, même si désexcitésources d'énergies (+défaillances) non prises en compte

Exemple - Présentation

MA B

Batterie Fusible

Fil

Moteur

Bouton poussoir (BP)

Batterie Relais

96

Exemple - AMDE simplifiéComp

.MdD Causes possibles Effets sur le ∑

BP

- le BP est bloqué

- le contact du BPreste collé

- défaillance première (méca.)

- défaillance première (méca.)- l’opérateur ne relâche par le

BP (err. hum.)

- perte de la f° du ∑ : le moteurne tourne pas

- le moteur tourne pdt un tempstrop long, d’où court-circuit dumoteur, apparition d’un courantélevé et fusion du fusible

Relais

- le contact durelais reste ouvert

- le contact durelais reste collé

- défaillance première(mécanique)

- défaillance première(mécanique)

- un courant élevé traverse lecontact

- perte de la f° du ∑ : le moteurne tourne pas

- le moteur tourne pdt un tempstrop long, d’où court-circuit dumoteur, apparition d’un courantélevé et fusion du fusible

Fusi-ble

- le fusible ne fondpas

- défaillance première- l’opérateur a surdimensionné

le fusible (err. hum.)

- en cas de court-circuit, lefusible n’ouvre pas le circuit

Mo-teur

- le moteur netourne pas

- court-circuit

- défaillance première- le BP est bloqué- le contact du relais reste ouvert- défaillance première- le moteur tourne pdt un temps

trop long

- perte de la f° du ∑ : le moteurne tourne pas

- le court-circuit du moteur ⇒courant élevé+ fusion fusible; lecontact du relais reste collé

97

Exemple - MACSurchauffe

fil AB

Court-circuit du moteur

Le 2ème circuit est resté fermé

Le contact du relais reste collé Déf.

première

Le contact du BP reste collé Déf.

première

Déf. premièreL'opérateur

ne relâche pasle BP

Le contact du relais reste collé

Le fusible n'ouvre pas le circuit

Déf. premièreL'opérateur

a surdim. lefusible

Déf. première

Le contact du BP reste collé

Court-circuit du moteur

Déf. premièreL'opérateur

ne relâche pasle BP

Déf. première

Le contact du relais reste collé

98

Réduction de l'arbre

Exemple - MAC (2)Surchauffe

fil AB

Court-circuit du moteur

Le 2ème circuit est resté fermé

Le contact du relais reste collé Déf.

première

Le contact du BP reste collé Déf.

première

Déf. premièreL'opérateur

ne relâche pasle BP

Le contact du relais reste collé

Le fusible n'ouvre pas le circuit

Déf. premièreL'opérateur

a surdim. lefusible

Déf. première

Le contact du BP reste collé

Court-circuit du moteur

Déf. premièreL'opérateur

ne relâche pasle BP

Déf. première

A Bp Cp

D

99

Arbre réduit

Exemple - MAC (3)Surchauffe

fil AB

Court-circuit du moteur

Le contact du relais reste collé

Le contact du BP reste collé

Déf. premièreL'opérateur

ne relâche pasle BP

Le fusible n'ouvre pas le circuit

Déf. premièreL'opérateur

a surdim. lefusible

Court-circuit du moteur

Déf. première

Déf. première

11

Page 12: Surete Cours Selection 9dpp

100

Evt indésirable = "surchauffe du fil AB"F° de sécurité (contre court-circuit) considérées

F1=protection immédiate par le fusibleF2=protection à plus long terme par le contact du relais

∑ élémentaires∑1=∑ proprement dit∑2=opérateur

Recherche des évts initiateursAC de niveau 1

Exemple - MACQ

Surchauffe fil AB

Perte de la fonction F1

Court-circuit du moteur

Perte de la fonction F2

101

Arbre des conséquences "fonctions"

Arbre des conséquences "systèmes"

Exemple - MACQ (2)

Court-circuit dumoteur

F1 F2 Séquences

évtinitiateur

succès

échec

n°1-pas de surchauffen°2-pas de surchauffe

n°3-pas de surchauffe

n°4-surchauffe du fil AB

Court-circuit dumoteur

Mission dufusible (∑ 1)

Mission du contactdu relais (∑ 1)

Séquences

évtinitiateur

succès

échec

n°1-pas de surchauffen°2-pas de surchauffe

n°3-pas de surchauffe

n°4-surchauffe du fil AB

Le fusible ouvre le circuit

Le fusiblen'ouvre pas le circuit

Le contact du relaiss'ouvre

Le contact du relaisreste collé

102

Considérertempsinteractions fonctionnellesinteractions entre ∑ élémentairesdépendances entre évts arbres des causes

Exemple - MACQ (3)

Le fusible n'ouvre pas le circuit

Déf. premièreL'opérateur

a surdim. lefusible

103

Considérerarbres des causes (suite)

Exemple - MACQ (4)

Court-circuit du moteur

Le contact du relais reste collé

Le contact du BP reste collé

Déf. premièreL'opérateur

ne relâche pasle BP

Déf. première

Déf. première

Le contact du relais reste collé

Déf. première

Le contact du BP reste collé

Court-circuit du moteur

Déf. premièreL'opérateur

ne relâche pasle BP

Déf. première

interdépendance

Cause intrinsèqueau moteur

Causes d'origine externe

104

Arbres des conséquences finals

Exemple - MACQ (5)

Evtinitiateur

Mission dufusible (∑ 1)

Mission du contactdu relais (∑ 1)

Séquences

Court-circuit dumoteur (le contact

du relais reste collé)

succès

échec

n°3-pas de surchauffe

n°4-surchauffe du fil AB

Le fusible ouvre le circuit

Le fusiblen'ouvre pas le circuit

Le contact du relaisreste collé

Le contact du relaisreste collé

Court-circuit dumoteur (le contactdu BP reste collé)

succès

échec

n°5-pas de surchauffe

n°6-surchauffe du fil AB

Le fusible ouvre le circuit

Le fusiblen'ouvre pas le circuit

Le contact du relaisreste collé

Le contact du relaisreste collé

Court-circuit dumoteur (déf. 1ère)

succès

échec

Le fusible ouvre le circuit

Le fusiblen'ouvre pas le circuit

Le contact du relaisreste collé

Le contact du relaisreste collé

n°1-pas de surchauffe

n°2-surchauffe du fil AB

105

Evt initiateur"court-circuit moteur" = point de passage obligé vers l'évt indésirablerecherche des causes (MAC) ⇒ évts de base =

court-circuit moteur (défaillance première)le contact du relais reste collé (défaillance première)le contact du BP reste collé (défaillance première)l'opérateur ne relâche pas le BP

hypothèsele contact du relais reste collé si court-circuit ⇒ évts liésconséquence éventuelle: fusion du fusible porte O/N

Exemple - MDCC

106

Diagramme finalEquation de l'évtindésirableCoupe minimale

Remarque

Exemple - MDCC (2)Etat sûr du

circuit

Court-circuit du moteur

Le contact du relais reste collé Déf.

première

Le contact du BP reste collé Déf.

première

Déf. premièreL'opérateur

ne relâche pasle BP

Surchauffe fil AB

Le contact du relais reste collé

Le fusible n'ouvre pas le circuit

Déf. premièreL'opérateur

a surdim. lefusible

Oui NonFusion du

fusible

ABp

Cp

D

Court-circuit du moteur et le contact du relais reste collé

107

Introduction à l'analyse quantitative - Plan

Bases mathématiquesProbabilité d'évtsVariable aléatoireNotions fondamentales de SdF

Données de sûreté de fonctionnementRecherche, sourcesElaboration lois de proba des paramètres

108

Application P qui associe à chaque évt A un nombre 0 ≤ P[A] ≤ 1 appelé probabilité, avec

P[Ω] = 1 (Ω : Ensemble des observables)

P[A+B] = P[A] + P[B] si A.B = ∅Propriétés

P[A] = 1 - P[A]A ⊂ B ⇒ P[A] ≤ P[B]

Relation probabilité/fréquenceP[E] = lim (f) lorsque le nombre d'essais → ∞Théorème de Poincaré: P[A+B] = P[A] + P[B] - P[A.B]

Bases mathématiques - Probabilité d'évts.

12

Page 13: Surete Cours Selection 9dpp

109

Théorème de Poincaré: P[A+B] = P[A] + P[B] - P[A.B]

Proba conditionnelle que A se produise sachant que X s’est déjà produit :

Evts indépendants ⇔ P[A/B] = P[A] P[B]Théorème des proba totales

Evts incompatibles: A.B = ∅Système complet d'évts : ensemble fini d'évts 2 à 2 incompatibles P[∑Ai] = ∑ P[Ai] = 1Théorème:

P[B] = ∑ P[B/Ai] P[Ai]

Bases mathématiques - Probabilité d'évts. (2)

][].[]/[

XPXAPXAP =

110

Théorème de BayesB : événement de probabilité ≠ 0Ai : ensemble d'événements completsThéorème

Syn. Théorème sur la probabilité des causesSi B s'est produit, avec les causes possibles X et Y, la proba que B soit dû à X est

Bases mathématiques - Probabilité d'évts. (3)

∑=

iii

iii APABP

APABPBAP][]/[

][]/[]/[

][]/[][]/[][]/[]/[

YPYBPXPXBPXPXBPBXP

+=

111

DéfinitionVariable pouvant prendre n'importe quelle valeur d'un ensemble déterminé de valeurs numériques, et àlaquelle est associée une loi de probabilitéContinue ou discontinue

Fonction de répartitiond'1 var aléatoire X : F(x) = P [X≤x]

Densité de probabilité

Bases mathématiques - Variable aléatoire

dxxdFxf )()( = f

x

F

0

1

x

112

Moment d'ordre k de la variable aléatoire X

Espérance mathématique ou moyenne : E[X]Variance

Ecart-type

Bases mathématiques - Variable aléatoire (2)

∫+∞

∞−= dxxfxXE kk )(][

∫+∞

∞−−= dxxfXExXV )(])[(][ 2

][][ XVX =σ

113

Lois de proba discrètesLoi binomiale

p=P[A]La variable aléatoire discrète X (nombre de réalisations de A au cours de n expériences) est distribuée suivant la loi :

, 0 ≤ k ≤ n; 0 ≤ p ≤ 1Loi de Poisson

= proba d'apparition de k évts en un temps donné, àproba d'occurrence constante (⇒ m = λ .t )

Bases mathématiques - Variable aléatoire (3)

knkkn ppCkXP −−== )1(][

!][

kmekXP

km−==

114

Lois de proba continuesLoi exponentielle

Densité de probabilité

où λ=cste

Fonction de répartition

Utilisation: caractériser la période à taux de défaillance constant décrit l'intervalle de temps entre 2 défaillances

Bases mathématiques - Variable aléatoire (4)

tetf λλ −=)(

tetF λ−−=1)(

f

t

λ

0

F

t

1.0

0

115

Lois de proba continues (suite)Loi normale N(m,σ)

Densité de probabilité

Fonction de répartition

Si X suit N(m,σ), alors Y=(X-m)/σ suit loi réduite N(0,1)Application : nbx phénomènes (incertitudes sur mesures, …)

Bases mathématiques - Variable aléatoire (5)

⎟⎟⎠

⎞⎜⎜⎝

⎛⎟⎠⎞

⎜⎝⎛ −

−=2

21exp

21)(

σπσmttf

0.95

f

tm

0.65

m+σm-σ

0.24/σ

m+2σm-2σ

0.06/σ

1.0F

t

116

Lois de proba continues (suite)Loi log-normale

Densité de probabilité

Fonction de répartitionMoyenneMédiane

Représentation des durées de réparation des composants, incertitudes dans la connaissance d'une donnée de sûreté, ...

Bases mathématiques - Variable aléatoire (6)

⎟⎟⎠

⎞⎜⎜⎝

⎛⎟⎠⎞

⎜⎝⎛ −

−=2log

21exp

21)(

σμ

πσt

ttf

( )2/exp 2σμ +=mμeX =50.0

f

teμ

0.5

σ=0.3

1.0F

σ=1.0

0.05

0.95

eμ-1.645σ eμ+1.645σ

0.9

t

117

Lois de proba continues (suite)Loi du χ2 à ν degrés de liberté (ν entier)

Densité de probabilité( t ≥ 0 )

Moyenne = ν ; variance = 2νCalcul d'intervalles de confianceSouvent tabulée de manière à donner les valeurs detelles que

Bases mathématiques - Variable aléatoire (7)

( )2

2/

12/

2/2)(

t

ettf−−

Γ=

νν

ν

( )νχα2

( )( ) ( )ανχ

νχ

αα == ∫ dxxfF2

0

2 )(

13

Page 14: Surete Cours Selection 9dpp

118

Bases math. - Notions fondamentales (1)

Principales caractéristiquesFiabilité R(t)=P [ E non défaillante sur [0,t] ]fonction décroissante de t avec Défiabilité R(t)=1-R(t)

Disponibilité A(t)=P [E non défaillante à l'instant t]Entité irréparable : A(t) = R(t)Cas général : A(t) ≥ R(t)

Maintenabilité M(t) = P [E est réparée sur [0,t] ]fonction croissante de 0 à 1 sur [0,+∞[ etImmaintenabilité M(t)=1-M(t)

0)(lim =+∞→

tRt

1)(lim =+∞→

tMt

119

Bases math. - Notions fondamentales (2)

DéfinitionsMTTF : durée moyenne de fct avant la 1ère défaillanceMTTR : durée moyenne de réparationMUT : durée moyenne de fct après réparationMDT : durée moyenne d'indisponibilité

⊂ détection panne, réparation panne & remise en serviceMTBF : durée moyenne entre 2 défaillances consécutives d'une entité réparée

0 défaillanceremise en servicedéfaillance

MTTF MDT MUTMTBF

120

Densité de défaillanceT : variable aléatoire mesurant la durée de fct de EFonction de répartition de T

F(t) = P [T≤t] = 1-R(t) = R(t) car R(t) = P [T>t]

Densité de défaillanceU(t) = dF(t)/dt = -dR(t)/dt

Densité de réparation G=dM/dt∫ ∫

∞ ∞==⇒

0 0)()( dttRdtttUMTTF

IPP

[ ]∫ ∫∞ ∞

−==⇒0 0

)(1)( dttMdtttGMTTRIPP

Bases math. - Notions fondamentales (3)

121

Taux de défaillance (instantané)P[E défaille sur [t, t+Δt] sachant qu'elle

n'a pas eu de défaillance sur [0,t] ]

Taux de réparation (instantané)P[la réparation de E se termine sur [t, t+Δt]

sachant qu'elle a été en panne sur [0,t] ]

Bases math. - Notions fondamentales (4)

)()(

)(.)()(lim

1lim)(

0

0

tRtU

tRtttRtR

tt

t

t

=

ΔΔ+−

=

Δ=Λ

→Δ

→Δ

)(1)(

1lim)(0

tMtGt

tt

−=

Δ=

→Δμ

122

D'où les équations

Bases math. - Notions fondamentales (5)

⎟⎠⎞⎜

⎝⎛−=

⎟⎠⎞⎜

⎝⎛−−=

⎟⎠⎞⎜

⎝⎛ Λ−Λ=

⎟⎠⎞⎜

⎝⎛ Λ−=

∫∫

∫∫

t

t

t

t

duutMtG

duutM

duuttU

duutR

0

0

0

0

)(exp)()(

)(exp1)(

)(exp)()(

)(exp)(

μ

μ

123

Intensité de défaillanceP[E défaille sur [t, t+Δt]

sachant qu'elle est en fct au temps t=0]

Intensité de réparationP[la réparation de E se termine sur [t, t+Δt]

sachant qu'elle est en fct au temps t=0]

Relations particulières

Bases math. - Notions fondamentales (6)

ttW

t Δ=

→Δ

1lim)(0

ttV

t Δ=

→Δ

1lim)(0

∫ −+=t

dxxVxtUtUtW0

)()()()(

[ ]∫ −=−=t

RD dxxVxWtNtNtA0

)()(),0(),0()(

∫ −=t

dxxWxtGtV0

)()()(

124

Bases math. - Calcul des taux pour les ≠ lois

Loi Expon. N(m,σ) Log-NTaux de défaillance Λ

Modélise composants Ni jeunes ni âgés Agés

Fiabilité R(t)=e-λt

MTTF 1/λMaintenabilité M(t)=1-e-μt (hypothèse μ(t)= μ=cste)

MTTR 1/μ = τ (durée moyenne de réparation)

Λ(t)

t

λ

m t

πσ2

t

σ=0.3

σ=1.0

Λ(t)=U(t)/R(t)

125

Bases math. - Fiabilité et disponibilité

2 classes d'entitésirréparable A(t)=R(t)=e−Λt

réparable : entité remise en service "neuve"A(t+Δt) = P[ E non défaillante à t+Δt ]

disponiblité asymptotique

Proportion du temps pendant laquelleE est en état de fonctionner

μλμ

μλμ μλ

++⎟⎟

⎞⎜⎜⎝

⎛+

−=⇒ +− teAtA )(.)0()(

t

μλμ+

A(t)A(0)=1

A(0)=0TRMTMTTFMTTFA

+=

+=∞

μλμ)(

126

Bases math. - Modèle à λ et μ constants

Composant irréparable Composant réparable

λ

λ

λ

λ

λ

/1)()()(

==

=

MTTFetR

etUt

t

t

∞==

==

TTRMtM

tGt

0)(0)(0)(μ

λ

λ

λ

λ

λ

/1)()()(

==

=

MTTFetR

etUt

t

t

μ

μ

μμ

μ

μ

/11)(

)()(

=−=

=

=

MTTRetM

etGt

t

t

0),0(

1),0(

0)(

)(

)()(

=

−=

=

=

==

tN

etN

tV

etW

etRtA

R

tD

t

t

λ

λ

λ

λ

[ ]

( )[ ]

( )[ ]t

R

tD

t

t

t

ettN

ettN

etV

etW

etA

)(2

)(2

2

)(

)(2

)(

1),0(

1),0(

1)(

)(

)(

μλ

μλ

μλ

μλ

μλ

μλλμ

μλλμ

μλλ

μλλμ

μλλμ

μλλ

μλλμ

μλλ

μλμ

+−

+−

+−

+−

+−

−+

++

=

−+

++

=

−+

=

++

+=

++

+=

14

Page 15: Surete Cours Selection 9dpp

127

Pour obtenir des infos quantitatives, observerpendant un certain tempsdans des conditions données

Données de sûreté de fct. - Principe

Types decomposants

Taillepop stat

Répara-bles ?

Evaluation sûreté de fct

Electronique élevée non Essais de fiabilité

Electrique élevée oui Essais de fiabilité ouexpérience d’exploitation

Electro-mécaniques actifs

faible oui Expérience d’exploitationréelle dans une installation

Mécaniquespassifs

Trèsfaible

Difficile-ment

Difficile (expérience propreà une installation)

128

Essais de fiabilitéUtilisation : observation en exploitation difficile

InaccessibilitéNouveaux matériels

Type des tests: plusieurs critères d'arrêtau temps Tà la rième défaillance (r < nb composants)mixte (durée + nb défaillances)progressif (la décision dépend des résultats déjà obtenus)

Recueil en exploitationRelevé de données événementielles qui, traitées, fourniront les paramètres de fiabilité recherchés

Données de sûreté - Recherche de données

129

Paramètres de sûreté de fonctionnement:taux de défaillance en fonctionnement (λ)

taux de défaillance à l’arrêt (λa)P[E défaille sur [t, t+Δt] sachant qu'elle

était à l’arrêt, en état de fct. sur [0,t] ]

taux de défaillance à la sollicitation (γ)γ = P [ E refuse de changer d'état lorsque cela lui est

demandé sous forme d'une sollicitation ]

taux de réparation (μ)

MTTF, MTTR, MUT, MDT, MTBF

Données de sûreté - Elaboration de données

tta Δ=

→Δ

1lim0

λ

130

Estimateurs des paramètres à taux de défaillance et de réparation constants

taux de défaillance en fct

taux de défaillance à l’arrêt

taux de défaillance à la sollicitation

taux de réparation

MTTR

En général MDT, Dr<<Df

Données de sûreté - Elaboration de données

a

daa D

N=λ̂

f

df

DN

=λ̂

s

ds

NN

=γ̂

r

r

DN

=μ̂

μ̂1

=MTTR

λ̂1

=≅≅⇒ MTTFMUTMTBF

0défaillance

remise en servicedéfaillance

MTTF MDT MUTMTBF

131

Choix d'une loiHypothèse du taux de défaillance constant

Données insuffisantes pour vérifier d'autres loisCourbe λ=f(t) "en baignoire" durée de vie utile

bien adaptée aux composants électroniques+ composants électro-mécaniques si maintenance préventive

Loi log-normale: bien adaptée aux durées de réparationTests d'hypothèse

la variable aléatoire est-elle bien régie par cette loi ?Test du χ²

Données de sûreté - Lois de proba des params.

132

PrincipeEvaluation des bornes [λinf, λsup] d'un intervalle (dit de confiance) entourant l'estimateurSoit α = P[ λ ∉ [λinf, λsup] ]Alors 1- α est appelé niveau de confiance

Calcul de l'intervalleHypothèse λ=cste.

Données de sûreté - Intervalle de confiance

λ̂

( ) ( )

f

f

f

f

T

N

T

N

2

2,

2

22 2

2inf

2

21

sup

αα χλ

χλ =

+=

133

ExempleUne pop de pompes a subi 2 défaillances en 10 000 h.

Calculer l'estimateur du taux de défaillance Calculer l'intervalle de confiance de cet estimateur

On a poursuivi l'observation et on a recensé 14 défaillances sur 70 000 h de fonctionnement.

Recalculer l'estimateur et son intervalle de confianceMontrer que la précision des résultats est améliorée

Données de sûreté - Intervalle de confiance

134

Principeλ=λb*πE*πA*πQ*πn , avec:

λb : taux de base obtenu à partir d'essais de fiabilitésous contraintes normalisées (environnement,…)

πE : coef d'environnement. Ex (composant e- donné):– 0.2 : normal, utilisation au sol– 4 : soumis à vibrations et chocs, au sol– 10 : conditions sévères (embarquement sur missile)

πA : coef d'ajustement à l'utilisation (contraintes sec.)πQ : coef de qualité (de conception)πn : coef d'ajustement (autres facteurs: cycles répétes)

Données de sûreté - Modélisation de λ

135

Mise en place: 1974; étendu en 83 à 40 tranches1100 matériels (vannes, pompes...) / paire de tranchesEchantillon en 1982=150 000 h fct., 4000 défaillances

Collecte de l'infofiche signalétique ( classes de matériels id.)

Caract techniques et historiques (mise en service, entretien)Conditions de fct et environnement

1 fiche de fct./an: données de fct. (nb h, sollicitations)fiches de défaillance

rédigées sur incident et saisies en localen moyenne 350 par tranche et par an

Données de sûreté - Exemple: SRDF d'EDF

15

Page 16: Surete Cours Selection 9dpp

136

Traitement de l'informationtests de cohérence, présence de l'info indispensable, ...constitution de groupes de matériels identiquesrequêtes possibles pour consulter les fichiers

Restitution des donnéesobtention de paramètres statistiques

recherche de la loi stat la mieux adaptée pour représenter la durée de vie d'équipementslimites d'un intervalle de confiance

Données de sûreté - Exemple: SRDF d'EDF

ilitéindisponib,ˆ,ˆ,ˆ μγλ

137

Types de sourcesbanques de données (de fiabilité ou disponibilité)

CNET : abaques pour ts composants électroniquesNASA, NAVY MIL HDBKPlates-formes pétrolière OREDA (λ, MDT)Centrales nucléaires en GB (SYREL), USA (NPRDS), Euope (ERDS), Scandinavie (ATV-System)

docs avec listes de données (domaine, obj spécifiques)Nucléaire: Evaluation Probabiliste de Risques (EPR)IEEE: 150 000 comptes-rendus de maintenance analysés (In-Plant Reliability Data System)

Données de sûreté - Sources de données

138

Bibliographie

Ouvrages généraux"Sûreté de fonctionnement des Σ industriels", A. Villemeur, Eyrolles, 1988www.sudqualite.org/documents/encyclopedie/P/pieuvre.htm

www.innovsw.com/fmeafmeca.htm

Q/AMDEC/Analyse prév."L'AMDEC, un atout pour les PMI", Recueil de conférences CETIM, 1992"Techniques d'analyse de la fiabilité des systèmes. Procédure AMDE", AFNOR X60-150, CEI 812-1985chaqual.free.fr/outils/amdec/methodologie.htmlperso.wanadoo.fr/olivier.albenge/page_site/qualite/www.gsip.cran.uhp-nancy.fr/desspai/dess_frame/confs/Exposes/leger/

MAC"Les différentes méthodes d'analyse de sécurité dans la conception d'une installation chimique - Analyse par l'arbre des causes", Cahier de sécurité n°3, CP Chimie Promotion, 1981

16