sûreté de fonctionnement -...
TRANSCRIPT
Sûreté de fonctionnementdes systèmes industriels
Master Sciences et Technologies - Mention ASE - SpécialitéINFORMATIQUE INDUSTRIELLE DOUBLE COMPETENCE
Olivier LOSSON2
Sommaire
Introduction aux méthodesHistoriquePrincipaux concepts
Analyse qualitativePrincipales étapes de l'analyse prévisionnelleAnalyse fonctionnelleMéthodes APD, AMDEC, MAC, MACQ, MDCC
Introduction à l'analyse quantitativeBases mathématiques de la SdFDonnées de SdF
3
Historique (1)
Ere industrielle→ 1930s sys mécaniques, électricité, transport aérienanalyse intuitive de grandes catastrophesdurée de vie=celle du maillon le plus faible
Années 40-50outils de l'ingénieur : fiabilité prévisionnelleFiabilité (∑) << Fiabilité (élément moyen)amélioration de la Qapplication : aéronautique & électronique militaires
4
Historique (2)
Années 60étude des défaillances des composants & effetsconcepts : fiabilité, maintenabilitéméthodes : diag. de succès, arbre des causes, AMDEharmonisation et normalisation internationale (CEI)
Années 70-80industrie nucléairepétrochimie, transports, traitement des eaux, logicielcercles de QMais ... peu de grandes études de risques début 80
5
Principaux concepts - Fiabilité
DéfinitionAptitude d'une entité à accomplir une fonction requise, dans des conditions données, pendant une durée donnéeFiabilités
opérationnelle (observée)prévisionnelle (prédite)extrapolée
Fiabilité et QQ = conformité à une spécificationFiabilité = aptitude à conserver cette conformité
6
Principaux concepts - Sûreté de fct.
Définition (sens strict)Aptitude d'une entité à satisfaire une ou plusieursfonctions requises dans des conditions données
Caractérisée parFiabilité R(t)=P [ E non défaillante sur [0,t] ]Disponibilité A(t)=P [E non défaillante à l'instant t]MaintenabilitéM(t) = P [la maintenance de E est achevée au temps t]
= P [E est réparée sur [0,t] ]
7
Principaux concepts - Sûreté de fct. (2)
Sécurité = P [E évite de faire apparaître, dans des conditions données, des évts critiques/ catastrophiques]
Durabilité : Demeurer en état d'accomplir une fonction dans des conditions d'utilisation et de maintenance jusqu'à un état limiteContinuabilité : Aptitude d'un service, une fois obtenu, à continuer d'être fourni pendant une durée voulueServibilité : Aptitude d'un service à être obtenu à la demande d'un usager et à continuer d'être fourni pdt la durée voulue
8
Principaux concepts - Composants et ∑
Système = Ensemble déterminé d'élts discrets (composants) interconnectés ou en interaction
Pièce ⊂ Composant ⊂ Sous-∑ ⊂ ∑ élémentaire ⊂ ∑
Environnement∑élém. S2
Système élémentaire S1
A
B C
F
D
EInterface
Sous-Système
∑élém. S3
Composants
Limites extérieures
9
Fonctions (missions)Principales, secondaires, d° d'importance
StructureComposants (rôle, caractéristiques, performances)relations (ex. connexions)localisation
Conditions de fonctionnementétatsconditions de fonctionnement des composantschangements de configuration
Principaux concepts - Caractéristiques des ∑
1
10
Conditions d'exploitation surveillance (alarmes, inspection, tests, vérifs)intervention (maintenance préventive, corrective)spécifs techniques d'exploitation
Environnementautres ∑ élémentairesopérateurs humainsenvironnement proprement dit (conditions ambiantes)
Données précisées au fur et à mesure de la conception ⇒ actualisation des analyses de sûreté
Principaux concepts - Caract. des ∑ (2)
11
Défaillance = Cessation de l'aptitude d'une entité à accomplir une fonction requiseClassification
Rapidité de manifestationAmplitude : déviation des caract. au-delà de limitesRapidité + amplitudeDate d'apparition
Effets
Principaux concepts - Défaillances
Début de vie
Période de vie utile
Fin de vie
Précoce A taux constant D'usureTaux de défaillance
t
12
Causes = circonstances liées à la conception, la fabrication ou l'emploi, ayant entraîné la défaillance (par un mécanisme physique, chimique, …)
défaillance première : résulte d'une cause interne à l'entitédéfaillance seconde : résulte de la défaillance d'une autre entité ayant entraîné des conditions excessivesdéfaillance de commande : résulte de signaux incorrects de contrôle /commande
Panne = Inaptitude d'une entité à accomplir une fonction requise (résulte d'une défaillance)
Classif : identique à celles des défaillances ou en fonction de l'aptitude des pannes à être constatées
Principaux concepts - Défaillances (2), Panne
13
Mode de défaillance = Effet par lequel une défaillance est observée
Difficulté de distinguer cause (en gal, défaillances des pièces) et mode (traduction des effets sur les f°)
Défaut et défaillanceDéfaut = Non-conformité à des objectifs ou clauses de spécificationRelation défaut/défaillance
défaut n'entraîne pas forcément défaillancetoute défaillance conduit à un défaut
Principaux concepts - Modes de défaillance
14
Principe
Démarche inductive (particulier général)Etude des conséquences d'une défaillance sur le ∑ lui-même ou son environnement
MdD Causes possibles EffetsDémarche déductive (général particulier)
Partant d'un ∑ défaillant on en recherche les causes
Analyse prévisionnelle - Analyse d'un ∑
∑réel
Modèledu ∑
Acquisitioninvestigationtraitement
d'informations
Modèlefinal
Acquisitioninvestigationtraitement
complémentaires
15
MéthodesAnalyse Préliminaire des DangersAnalyse des Modes de Défaillance et de leurs effetsMéthode du Diagramme de SuccèsMéthode de la Table de véritéMéthode de l'Arbre des CausesMéthode des Combinaisons de Pannes RésuméesMéthode de l'Arbre des ConséquencesMéthode du Diagramme Causes-ConséquencesMéthode de l'Espace des Etats
Analyse prévisionnelle - Analyse d'un ∑ (2)
I
IDII
16
Analyse prévisionnelle - Principales étapes
Analyse technique et fonctionnelle
Analyse qualitative
Analyse quantitative
Synthèses, conclusionsObjectifs remplis ?
Révision du projet
Oui
Non
Fin de l'étude
Modification du ∑
17
Les 5 impératifs de la Q Conformité
Préventionprospective (AMDEC)corrective (Maîtrise Statistique de Procédé)
Excellence : recherche continuelle de l'amélioration
Mesure : pas de progrès sans mesure
Responsabilité ⇒ implication
Analyse prévisionnelle - Démarche Q
DEFAUT : non réalisé
DOUBLE ILLUSION : non demandée et non réalisée
INSATISFACTION :non spécifié et non
réalisé
QUALITE PLUS :réalisé mais non
spécifié
SUR-QUALITE :spécifié mais non
demandé.
GASPILLAGE : réalisé mais non demandé
18
Définition des objectifs (animateur + demandeur)poser le problème, délimiter le ∑ et l'étudedescriptif du groupe de travail, planning des réunions
Inventaire de la documentation (animateur)Cahier des charges, plans, dossier maintenance
Groupe de travail (6-7 pers)animateur (garant de la méthode)pilote (garant de l'aboutissement des actions)représentants des services en relation avec le moyenautres spécialistes
Etude qualitative - Initialisation
2
19
Point d'entrée de toute analyse de Sûreté de fct.Nombreuses méthodesTrame commune:
Analyse fonctionnelle externephase 1.1 : définir le systèmephase 1.2 : définir les fonctionsphase 1.3 : définir les phases
Analyse fonctionnelle internephase 2.1 : Décomposerphase 2.2 : Identifier les flux
Conclusion : diagramme fonctionnel et/ou Tableau AF
Analyse fonctionnelle - Introduction
20
"boîte noire" & identification des caractéristiquesDéfinir le ∑ (délimitation, interfaces)Définir les fonctions réaliséesDéfinir les phases (=configurations d'emploi)Appréhender le fct. interne du ∑
Décomposition arborescenteIdentification des flux
TAF (diagramme fonctionnel)
Analyse fonctionnelle - Analyse externe
21
Analyse concrète du besoin qui justifie le projetExprimer et satisfaire le besoin et rien que luiOutil : la "bête à cornes"
Validation du besoinPourquoi existe-t-il ?Quel évt. externe pourrait le faire évoluer/disparaître ?Conclusions quant à sa validité
Analyse fct. externe - Analyse du besoin
Sur quoi agit-il ?
A qui rend-il service ?
Dans quel but ?
∑
22
Fonctions de servicesFP = but des relations créées par le ∑ entre éléments de son milieu d'utilisation FC = contraintes imposées au ∑ par son milieu
Fonctions techniquesAssocient aux f° de service des solutions techniques pressenties
Outil : la "pieuvre"
Analyse fct. externe - Déf. des fonctions
Sur quoi agit-il ?
A qui rend-il service ?
∑
FP
FCEléments extérieurs contraignants 23
Qualification et quantification = critères permettant de choisir une solution technique
pour chaque fonction de service, évaluerles critères d'appréciation ou de valeur (Cv)leurs niveaux = performance attendue du servicela flexibilité de chaque niveau de la part du demandeurle taux d'échange associé (rapport acceptable prix/variation)en vue de négocier une variation de perf. / besoin initial
HiérarchisationImportance relative de chq service futurs prestataires
Cahier des Charges Fonctionnel (CdCF)
Analyse fct. externe - Déf. des fonctions (2)
24
Etablissement du bloc-diagramme visualiser les interactions des composants du ∑
entre euxavec le milieu extérieur
En pratique: schématisation des "contacts"numéroter chaque composant du ∑matérialiser chaque liaison fonctionnelle par un trait
Etablissement du schéma de flux traversant le ∑types : effort, matière, énergie, information, ...contribuant aux FP, FC et fonctions techniques
Analyse fct. externe - Définition des flux
25
Etablissemt du Tableau d'Analyse Fonctionnelle
Une matérialise la participation de chaque fonction élémentaire aux FP, FC et Fonctions techniques
Analyse fct. externe - TAF
Fonctions de base Fonctionstechniques
Fonctions élémentaires FP1 FP2 FP3 FC1 S1 S2 S3 S4Fonctions de contact
Fonctions de flux
26
Analyse fct. externe - Exemple
Poignée de porte
FP1=Permettre à la main de tirer/pousser la porteFP2=Permettre à la main d'ouvrir la serrure
Main
Porte Serrure
FP2
Clip1
Vis1
Axe Porte
Poignée1
Poignée2Clip2
Plaque1
Plaque2
Vis2
Ecrou2Ecrou1
FP1
27
Analyse fct. externe - Exemple (3)
Flux 1Cde serrure
Flux 2Poussée porte
Flux 3Tirage porte
Flux K1, K2Serrage clipssur poignées
Clip1Vis1
Axe
Poignée2
Clip2
Plaque1
Plaque2
Vis2
Ecrou2Ecrou1
Main
PorteSerrure
Poignée1
Flux ouverts
Flux bouclés(de conception)
3
28
APD = Analyse Préliminaire des DangersPHA = Preliminary Hazard Analysis
AMDEC=Analyse des Modes de Défaillance, de leurs Effets et de leur CriticitéFMECA = Failure Mode Effect and Criticality Analysis
MAC = Méthode de l'Arbre des Causes = Arbre des défaillances / des défauts / des fautesFAM/FTA = Fault/Failure Tree Method/Analysis
MACQ = Méthode de l'Arbre des ConséquencesETM = Event Tree Method
MDCC = Méthode du Diagramme Causes/ConséquencesCCD = Cause-Consequence Diagrams
Diverses méthodes
29
PrincipeObjectifs:
Identifier les dangers et leurs causesEvaluer la gravité des accidents potentiels
Actions correctrices pour éliminer/maîtriser les dangersMoyens: expériences des ingénieurs, listes-guides
EtapesSystème ou fonction ensemble étudiéPhase mode d'utilisation pdt laquelle il peut y avoir dangerEntités dangereusesSituations dangereusesAccidents potentiels
Analyse Préliminaire des Dangers
30
Historique & utilisationUSA, début années 60 (aérospatial)aéronautique, nucléaire, puis chimie, automobile, …
Méthodes dérivéesAMDECHAZOP (Hazard & Operability Study): adaptation aux circuits thermo-hydrauliques
DéfinitionTechnique d’analyse prévisionnelle, formalisée et rigoureuse, visant à étudier et maîtriser les risques de défaillance d'un produit, d'un processus ou d'un service, afin d'améliorer sa fiabilité
AMDE - Intro
31
ButsConception : atteindre un bon niveau de fiabilitéExpertise : améliorer fiabilité et/ou disponibilitéExploiter infos pour préparer la doc. et la maintenance
Démarche généraleétude de la probabilité de survenir des défaillancesévaluation des conséquences sur les fonctionsidentification des modes de défaillance majeurs
Aspect préventif : 2 démarchesTop-downBottom-up
AMDE - Intro (2)
32
PrincipeMéthode inductiveSynoptique
AMDE - Principe
Définition du ∑, de ses fonctions et composants
Une AMDE est réalisée dans un état de fct
donné du ∑ (phase)
Etude des effets des modes de
défaillance des composants
Etablissement des modes de
défaillances des composants, et de leurs causes
ConclusionsRecommandat°
Causes Effets
Niveau composant
Niveau système
Inductif
Déductif
33
En amont : analyse fonctionnelledécomposition du ∑définition des limites fonctionnellesspécifs relatives au fct., composants, environnement
Recenser et caractériser les états de fct. du ∑Une AMDE par état de fct (ou phase)
Etablir les MdD "Effets par lesquels une défail. est observée"
Pour chaque composant du ∑Dans l'état de fct. étudiéEtablir les causes possibles pour chaque MdD
AMDE - Détail des étapes 1 et 2
34
ConsidérerL'utilisation du composantLa classification des principaux MdDLa liste-guide des MdD génériques (cf. diapo suivante)Dépend de l'état de fonctionnement considéré !!
AMDE - Modes de défaillances (MdD)
Recensement des MdDpotentiels
Prise en compte de l'état de fct du ∑
Causes (int/ext) de défaillance
1ère liste de MdD retenue pour l'analyse
MdD et leurs causes retenues pour l'analyse
Expérience d'exploitation
Essais de fiabilité, tests, ...
Analyse prévisionnelle
de sûreté
35
AMDE - Liste-guide des MdD génériques1. Défaillance structurelle (rupture) 18. Mise en marche erronée2. Blocage physique (coincement) 19. Ne s'arrête pas3. Vibrations 20. Ne démarre pas4. Ne reste pas en position 21. Ne commute pas5. Ne s'ouvre pas 22. Fonctionnement prématuré6. Ne se ferme pas 23. Fonctionnement après délai7. Défaillance en position ouverte prévu (retard)8. Défaillance en position fermée 24. Entrée erronée (augmentation)9. Fuite interne 25. Entrée erronée (diminution)10. Fuite externe 26. Sortie erronée (augmentation)11. Dépasse la limite > tolérée 27. Sortie erronée (diminution)12. En-dessous de la limite < tolérée 28. Perte de l'entrée13. Fonctionnement intempestif 29. Perte de la sortie14. Fonctionnement intermittent 30. Court-circuit (électrique)15. Fonctionnement irrégulier 31. Circuit ouvert (électrique)16. Indication erronée 32. Fuite (électrique)17. Ecoulement réduit 33. Autres conditions de défaillance
36
AMDE - Causes de défaillances
Causes externes(PR externes)
MdD Composant1(PR globales)
Causes internes(PR internes)
MdD de chaquepartie du composant1
Effets: fct
anormaux composant1
Causes externes
MdDComp2
Causes internes
MdD de chaquepartie du C2
Effets: fct
anormaux C2
Décompen partiesCompos1
Partie composant1 Etude composant14
37
Etude des effets de chaque MdDsystématique, complète, en considérant le MdD seul
Conclusions, recommandationsrecensement des MdD suivant l'ampleur de leurs effetsprocédures de détection (alarmes, ...) et maintenance
AMDE - Effets des MdD et conclusions
Projet : Documents de référence :Système :
Identifcomposant
F°,états
MdD Causespossibles
d'unedéfaillance
Effetssur ∑
Effetssur ∑
externes
Moyensde
détection
Fréquenceinspectionsou essais
Obser-vations
38
GénéralitésExtension de l'AMDEUtilisation
NASA (LEM)Nbx autres domaines : Toyota, Renault
PrincipeRechercher les éléments ou opérations critiquesHiérarchiser les défaillances
DémarcheProba d'occurrence de chaque MdDClasse de gravité des effets de ces défaillances
AMDEC - Principe
39
Niveau général de risque= Indice de Priorité de Risque (IPR) (=seuil de criticité DOS)
IPR = F × G ou IPR = F × G × D
AMDEC - Calcul de la criticité
Fréquence Gravité Non-DétectabilitéDéfinition Proba d'occurrence
de la défaillanceNiveau deconséquence
Proba que la causeet/ou le MdD atteignel'utilisateur
Evaluation Probas/Indices Indices Probas/Indices
Critère de sélection des risquesSolutions correctives
40
Grille d'analyse de la criticité (Criticality Analysis)
AMDEC - Calcul de la criticité (2)
P r o b a ( F r é q )G r a v i t é
Trèsfaible Faible Moyenne Forte
Classe I(Effets mineurs)Classe II(Effets significatifs)Classe III(Effets critiques)Classe IV(Effets catastrophiques)
Zone non acceptable Zone acceptable
41
Partition des composants
Liste des Articles Critiques (LAC) partition : criticité inacceptablenouvelle étude pour réduire F ou G
AMDEC - Conclusions
C = F x G x D ou D x O x SC < R Aucun problème, R.A.S.
⇒ Maintenance correctiveR < C < S Acceptable mais
⇒ surveillance particulière+ maintenance préventive/conditionnelle
C > S Remise en cause complète de l'étude⇒ Nouvelle étude (amélioratif)
42
Liste par Effets de Défaillance (LED)pour un effet donné, rechercher
toutes les causesles composants associés
intérêt : définirles opérations de maintenance correctivela doc système
Tableaux AMDECDispositif de remplacementMaintenance préventiveMoyens de détection
AMDEC - Conclusions (2)
43
Réalisation ∑ en cours de développement ou déjà opérationnel
Exploitationjustification d'un niveau de fiabilité/d'une architectureassistance à la maintenance, rédaction des docs
Familles d'AMDECproduit/projet : phase de conception du pdtproduit/procédé : défaillance du pdt dues au processusmoyen : machines, installations "0 défaut, 0 panne"
Complément par d'autres méthodes (MCPR)
AMDEC - Utilisation
44
AMDEC - ProgicielsNom Type Concepteur
AMDAO AMDEC Renault SA (F)AMIDEC AF + AMDEC Calladan (F)FIABEX AF + AMDEC CEP Systèmes (F)FMECA AMDEC Produit ALD Ltd (Israël)FMECA Processus AMDEC Procédé Europe Qualité Services (F)GAMDEC AMDEC Gamma Systèmes (F)LARA AMDEC Serete Productique (F)Q-PAK AF + AMDEC Oscar Software Ltd (UK)RELEX AMDEC AMDEC Produit ISD (USA)RELIASEP AF + AMDEC SEP (F)SAFAD AF + AMDEC
Produit, procédéRaisonnance SA (F)
SOFIA AF Sofreten (F)AMDEC - Sofia AMDEC Sofreten (F)
45
Analyse qualitative - Résumé
Bloc-diagrammeTAF
AF
Solution optimisée en coût
AV AMDEC
Solution fiabilisée
Solution fiableet optimale
Déf du ∑
Déf des f°CdCf (Fp,Fc, Cv)
Initialisation
Conception
Id. des causes perturbant les f°
Calcul des IPR
Déterm. d'actions correctives
Q é
cono
miq
ue
Q te
chni
que
5
46
Sous-systèmes étudiés
AMDEC - Exemple
Roller in line
Tige Châssis(2 flasques)
Roue/Roulements/Freins
Soft Collier Berceau
Liaison tige/châssis Liaison châssis/roues47
Analyse du besoinOutil : la "bête à cornes"
AMDEC - Exemple : analyse fonctionnelle
Infrastructure
A qui rend-il service ?
Dans quel but ?
ROLLER in LINE
Se déplacer sur l'infrastructure pour le patineur
Patineur
Se déplacer
Sur quoi agit-il ?
48
Définition des fonctionsOutil : la "Pieuvre"
AMDEC - Exemple : analyse fct. (2)
Infrastructure
Pied du patineur
ROLLER in LINE
FP1. Permettre au pied du patineur de rouler sur l'infrastructureFC1. Fonctionner malgré l'action d'éléments agressifs
FP1FC3
Oeil
FC2Environnement
sensible
FC1
Eléments agressifs
Ambiance thermique
FP2
Environnement agressifFP3
49
Niveau de Gravité (pour le client final)
AMDEC - Exemple : Calcul de la criticité
Clas-ses
Critères pour le client Exemples Note
Pb de sécurité sans avertissement- Manque sécu/risque d'accident- Retour ponctuels produit- Risque de recall / de procès
- Axe d'articulation pas riveté- Casse berceau- Perte du patin de frein- Perte ou casse roue
5
Crit
ique
Pb de sécurité avec avertissement- Manque sécu/risque d'accident- Utilisation impossible du pdt- Retour ponctuels produit- Risque de recall / de procès
- Casse broche BdJ- Dévissage liaison
tige/chassis
4
Maj
eur
Effet grave- Réduct° importante utilisation pdt
(confort, commodité, perf.)- Remet en cause l'image de marque
& désir d'achat- Retour ponctuel pdt/risque recall
- Casse crochetAvP- Casse crochet PcT- Plis important chausson- Usure prématurée pdt
(dégradation rapide)
3
50
Niveau de Gravité (suite)
AMDEC - Exemple : Calcul de la criticité (2)
Clas-ses
Critères pour le client Exemples Note
Effet mineur- Affecte pas/peu l'utilisation du pdt- Dégradat° rapide de l'esthétique- Image de marque ternie- Mécontement du client pas
forcément exprimé- Pas de retour
- Réglage crochets difficile- Jaunissement des pièces- Corrosion
2
Min
eur
Effet infime- Difficile à détecter par le client en
magasin- Pas de retour
- Petits rayures- Légère différence de teintes
1
51
Niveau de Fréquence (pour le client final)
AMDEC - Exemple : Calcul de la criticité (3)
Clas-ses
Critères pour le client Fréquence Note
Excessif- Très nbx incidents clientèle- Plainte des clients
F > 5% 5
Crit
ique
Très fréquent- Bcp d'apparitions en clientèle- Plainte des clients
1% < F < 5% 4
Maj
eur Fréquent
- Qq apparitions en clientèle- Début de l'alerte
0,5% < F < 1% 3
Rare- Très faible apparition- Pas de remontée clientèle
F < 1% par modèle sur 3 ansF ≤ 0,5% par ligne de pdt sur 3 ans
2
Min
eur
Peu probable- Pas d'apparition en clientèle F < 0,05% 1
52
AMDEC - Exemple : Tableau d'analyseComposant MdD Effets Criticité
F x GCauses
défaillanceActions
corr.Soft Transmission
défaillante duFlux depuissance
• dégradation- performance- confort
2*3=64*3=124*3=124*3=124*3=12
- déchirure mat.- couture- passants- lacets- clous
- chgtmatériau
Collier Transmissiondéfaillante duΦP
• pb potentiel desécurité du patineur
• dégradation- performance• pb potentiel de
sécurité du patineur
1*5=5
2*3=6
2*4=8
- casse
- casse
- crochets
- renforcer sangle
- rempl.crochet
Berceau Transmissiondéfaillante duΦP
• pb potentiel desécurité du patineur
1*5=5 - casse- strap PCT- rivets
- revoirsysfixation
LiaisonSoft/Collier
Transmissiondéfaillante duΦP
• dégradation- performance- confort
2*3=6 - coutures - couturesuppl.
LiaisonSoft/Berceau
Transmissiondéfaillante duΦP
• dégradation- performance- confort
2*3=62*3=6
- écrou deliaison châssis
- rivets53
SdF d'une gare SNCF
AMDEC - Exemple2 : Calcul de la criticité
Gravité G Fréquence F Maîtrise NoteMort d’homme / dégâtsmatériels considérables
(coût>2 M?)< une semaine Pas d’action possible 10
Blessé grave / dégâtsmatériels T importants(500 k?< coût <2 M?)
< un mois Pas de maîtrise connue 8
Blessé léger / dégâtsmatériels importants
(20 k?<coût <500 k?)< une année Maîtrise non garantie 6
Dégâts matériels nonnégligeables
(2 k?<coût<20 k?)< 10 ans Maîtrise moyenne 4
Dégâts matérielsmineurs
(500<coût<2 k?)>10 ans Bonne maîtrise 2
54
Adaptée aux ∑ thermo-hydrauliquesgrandeurs : débit, pression, courant, température,...
AMDEC - HAZOP
Guideword
Deviation Possiblecauses
Csq Actionrequired
NONE No flowMore flowMore pressure
MORE
More temperatureLess flowLESS
OF Less temperaturePARTOF
High water concentration orstream
MORETHAN
Organi acids presence
OTHER Maintenance
Absence
Excès de
Manque dePartie de
(flux incomplet)Impuretés,
autres phasesHors fct normal
/val nominale
6
55
Avantages étude qualitative et quasi-exhaustive
des évolutions cinétiquesdes causalités
Utilisation de mesures de variables de conduite(pression, température, débit, niveau, …)
Formalisation a posteriori des connaissances expertesInconvénients
difficultés d'affecter à chaque "mot-guide" une portion délimitée du ∑des causes de défaillance
AMDEC - HAZOP (2)
56
HistoriqueBell Telephone (1962), formalisation : Boeing (1965)Auj.: méthode d'analyse de SdF la plus utilisée
DéfinitionMéthode logique destinée à analyser les causes possibles d'un événement redouté afin d'en limiter la probabilitéPrincipe
déterminer les diverses combinaisons possibles d'évtsqui entraînent la réalisation d'un évt indésirablereprésenter graphiquement ces combinaisons au moyen d'une structure arborescente
MAC - Introduction
57
Objectifréduire la probabilité d'occurrence de l'évt indésirable
Méthode déductive? causes d'un événement indésirable potentiel? causes d’un accident qui s’est déjà produit
Etapes de mise en œuvredéfinition de l'évt indésirableexamen du ∑ en causeconstruction de l'arbreexploitation de l'arbre
MAC - Introduction (2)
58
Généralitésbut de l'analyse: en déterminer toutes les causessommet de l'arbre
Natureévt catastrophiqueindisponibilité de ∑ sécurité/dispo d'une installation
Définitionrésultant en général d'une APD précise et ciblée, pour obtenir un arbre exploitable(en fonction de la phase d'utilisation)
MAC - Concepts de base - Evt indésirable
59
L'arbre des causesniveaux successifs tels que
chq évt est généré à partir des évts du niveau inférieurpar l'intermédiaire de divers opérateurs (ou portes) logiques
évts=défauts associés à des défaillancesmatérielleshumainesdéfauts logiciels, …
niveau des évts élémentaires (= "de base")non décomposables en évts plus simplesindépendants entre euxleur proba d'occurrence peut être estimée/calculée
MAC - Concepts de base - Arbre des causes
60
MAC - Concepts de base - Portes logiques
E1
S
E2 E3
PorteET
E1
S
E2
E1 avant E2
Porte ETavec
condition
E1
S
E2 E3
PorteOU
E1
S
E2
E1 avant E2
Porte OUavec
condition
E1
S
E4E2 E3
2/4
PorteCOMBI-NAISON
m/n
E1
S
x
Porte SI
61
MAC - Concepts de base - Evénements
Cercle
Evt élémentaire nenécessitant pas de
développement futur Ovale
Evt conditionnel quipeut être utiliséavec certainesportes logiques
Losange
Evt qui ne peut êtreconsidéré comme
élémentaire, mais dont lescauses ne sont et ne seront
pas développéesDoublelosange
Evt dont les causesne sont ne sont pasdéveloppées mais le
serontultérieurement
Rectangle
Résulte de la combinaisond'autres évts par
l'intermédiaire d'une portelogique Maison
Evt qui correspondà un fct. normal du
∑ (P=1)
Triangle
La partie de l'arbre quisuit le 2ème symbole est
transférée àl'emplacement du 1er
Triangleinversé
Une partie semblable, maisnon identique à celle quisuit le 2ème symbole est
transférée à l'emplact du 1er62
Différents typesévt élémentaire ……………………………...
ex. défaillance première, erreur humaine élémentaire
évts correspondant à une limite de l'étude…..par choix (du ∑ étudié)par manque de renseignements
évt survenant normalement pdt le fct. du ∑…..Critères déterminant le niveau de détail de l'analyse
objectifs de l'étudeavancement de la conception du ∑connaissance des composants et de leurs MdD
MAC - Concepts de base - Evts de base
63
PrincipesRecherche des causes immédiates, nécessaires et suffisantes (INS)Classement des événements intermédiairesAnalyse des défauts de composantsRecherche des causes INS des évts intermédiaires jusqu'à n'obtenir que des évts de baseDémarche itérativeAutres règles
MAC - Construction de l'arbre des causes
7
64
Recherche des causes INSPartir de l'évt indésirableEn rechercher les causes immédiates, puis "remonter"A l'aide des params & lois physiques
MAC - Construire l'arbre - Causes INS
Pas de signal d'entrée pour E
Pas de signal de sortie de D
Pas de signal d'entrée pr D
AB
CD E
Pas de signal d'entrée pour E
Pas de signal d'entrée pr D
Pas de signal de sortie de B
Pas de signal de sortie de C
Défaillance1ère de D
65
Recherche causes INS évts intermédiaires Ei
Classement: 3 classesEi=évt de baseEi=défaut de composant
Ei="défaut du système"plusieurs composants responsablesou évt de base + défaut de composant
⇒ recherche causes INS évts interm. liés par portes logiques
MAC - Construire l'arbre - Classement des Ei
Défaillance d'un composant
Déf. de cdeDéf.1ère
Déf. 2nde
66
MAC - Construire l'arbre - Evts intermédiairesDéfinition évt
intermédiaire Ei1
Recherche de la défaillance 1ère
Recherche des défaillances 2ndes
Recherche des défaillances de cde
Obt
entio
n de
s évt
sde
base
Ei1 est un
défaut du ∑
Recherche des causes INS
Déf des évts intermédiaires Ei
2 liés par des portes logiques
Ei1=évt de base ?
Ei1=défaut de
composant ?
oui
nonnonoui
67
Garder en tête que:l'existence simultanée de 2 défaillances ne peut conduire à un fct. du ∑ !il faut bien compléter les évts d'entrée d'une porte avant d'examiner ceux-ciune porte logique ne doit pas être directement connectée à une autre porteles causes sont antérieures aux conséquences
élimination de certaines branchesfacilite la résolution des ∑ "bouclés"
MAC - Construire l'arbre - Autres règles
68
A chaque niveau de décomposition
Evite les oublisSimplifie l'analyse des causes
MAC - Construire l'arbre - Aide de l'AMDEC
Com-posant
F° Mode dedéfaillance
Cause Effet Détect° G F N Criticité
AMDEC
Cause1 Cause2
Défaillance
Effet
69
Coupe (ou chemin)ensemble d'évts entraînant l'évt indésirable
Coupe minimale (ou chemin critique)plus petite combinaison d'évts ⇒ évt indésirable (l'un ne se produit pas ⇒ l'évt indésirable non plus)correspond à un "maillon faible" du ∑
Recherchetransformer l'arbre en expression boolénnerechercher l'expression réduite (ex. Karnaugh)
MAC - Réduction de l'arbre
imiiiin BBBCmini sCoupeavecCCCF ... 21
21 ==+++=
70
MAC - Réduction de l'arbre (2)
F
E4C
A B
E2
E3A
B C
E1
F
A
E5C
B
réduction
F = (A+B+C).[C+(A.B)]= A.C+B.C+C+A.B+A.B+C.A.B= C+A.B
71
Analyse qualitativelogique des défaillances, pts faibles de la conceptionactions
sur conception, moyens de ctrl, de régulation, de sécuritépour introduire le plus possible de portes ET
Analyse semi-quantitativeobtention difficile des probas des évts de baseclassement par niveaux de probascalcul de la proba de l'évt indésirableAction sur les évts de base les plus influents
MAC - Exploitation de l'arbre (1)
72
Règles de combinaison (∑ irréparable)
P[F]=P[B1]+P[B2]-P[B1].P[B2] P[F]= P[B1].P[B2]
Analyse quantitativeproba indisponibilité composants a(t)simulation informatique
chemins critiques (conduisent le + fréqt à l'évt indésirable)évts les + influents (sensibilité à la variation de proba)
MAC - Exploitation de l'arbre (2)
F
B1 B2
F
B1 B2
8
73
MAC - Exemple - Définition du ∑
Production
Purification
Séchage
Condensation
WAH
TP
PAH
NAH
Pesée continue
membrane
dégazageutilisation
solutionneutralisante
soupape
Réservoir de stockage de gaz liquéfié toxique
74
Evt indésirablefuite de produit à partir du stockage (sauf soupape)
Examen du ∑APD + Etude sur Schéma de Circulation des Fluides
contaminants indésirableseau: corrosion acier en présence du produitun gaz: réaction violente avec le produit
systèmes de sécuritéeau: séchage et contrôle humiditégaz: garde hydraulique + dégazageouvrier contrôlant l'unité de condensation+stockage
MAC - Exemple - Evt indésirable, examen ∑
75
Exemple: déchirure de l'enveloppe du stockage
MAC - Exemple - Arbredéchirure enveloppe
Surpression > limite élastique
Défaill. PAH
Défaill. ∑de ctrl
Surcharge gaz dans stockage
T° trop élevée
Accu suffisante de contaminant réactif
Blocage soupape
pos. fermée
Impact corpsext.
Blocage vanne pos
fermée
Source chaleur
ext.
Soupape inopéran
te
Défaill. dégazage
perm.
Incident unité de cond.
Défaill. garde
hydrau.
Défaill. ∑de mesure
Défaill. opérateur
Panne PAH
NAHen panne
Peséeen panne
76
Exploitation semi-quantitative6 niveaux de probas (1..6)règles simplifiées pour P[F]
Résultat: événement final indésirable de niveau 1(extrêment rare)
MAC - Exemple - Exploitation de l'arbre
F
B1 B2
F
B1 B2
F
B1 B2 B3
sup(P[B1],P[B2]) min(P[B1],P[B2])-1 min(min(P[B1],P[B2])-1,P[B3])-1
F
B'1 B3
77
Domaine privilégié : nucléairecomplexité des ∑ élémentairesnombreuses interactions, redondances fonctionnelles
⇒ nécessité d'une approche systématique
MACQ - Introduction
78
Séquences d'évtsévt initiateursuccession de défaillances conduisant à des csqacceptables ou non ≡ "séquence (in)acceptable"Association ∑ élémentaires "évts génériques"
Ex.
MACQ - Séquence d'évts
évtinitiateur
succès
échec
R u p t u r e d 'u n et u y a u t e r i e
p r i m a i r e ( A )
M i s s i o n d u ∑d e s a l i m
é l e c t r i q u e s ( B )
M i s s i o n d u ∑d 'i n j e c t i o n d e
s é c u r i t é ( C )
S é q u e n c e s
n°1-accident maîtrisé
n°2-fusion du cœurn°3-fusion du cœur
séq. irréalisten°4-fusion du cœur
79
Etude quantitative : à chq séquence on associeune probabilitéune conséquence (quantité de pdt radioactif relâché)
Problèmes: commentdéfinir l'évt initiateurrecenser tous les évts initiateurs possiblesélaborer l'arbre des conséquencesdéfinir les évts génériqueséliminer les incohérences pour réduire l'arbre
MACQ - Problèmes posés
80
Définition des f° de sûreté
Définition des évts initiateursévaluation technologiqueet/ou arbre des causes
Regroupement par f° de sécurité
MACQ - Etapes 1 et 2
F° de sûreté ObjectifsCtrl de réactivité arrêt du réacteur pour réduire la p° de chaleurRefroidissement du cœur transférer la chaleur du cœur au fluide primaireCtrl du débit d'eau du CP maintenir un débit suffisant pour refroidir le cœurCtrl de la P en eau du CP maintenir une P suffisanteRefroidissement du fluide extraire la chaleur du fluide primaireIsolement de l'enceinte éviter les relâchements de produits radioactifsCtrl de la teneur en H éviter les explosions liées à la présence d'H2 ds l'enceinte
81
Arbre des conséquences "fonctions"pour chaque évt initiateurévts génériques : perte des ≠ fonctions de sûreté
Aidesconsidérer la chronologie d'intervention des ∑ de sûretéélimination des séquences incohérentes
Ex. séquences fonctionnelles : déf(F1) ⇒ déf(F2)Ex.
MACQ - Etape 3
évtinitiateur
succès
échec
Rupture tuyauterieprimaire
F° d 'injectionde sécurité
F° d 'aspersion del'enceinte
Séquences
n°1n°2n°3n°4 9
82
Arbre des conséquences "systèmes"Chaque fonction 1/plusieurs ∑ élémentaire(s)Dans l'arbre précédent, remplacer les fonctions par les ∑ de sûreté correspondants
Ordre des évts génériquesPourquoi revoir cet ordre ?
Nb interactions entre f° de sûreté, entre ∑∑ accomplissant plusieurs f° de sûreté
Facteurs à considérertempsinteractions fonctionnellesinteractions entre ∑ élémentaires
MACQ - Etape 4
83
∑ associés aux fonctions de sûreté considérées+ réservoir commun+ ∑ auxiliaire (alims électriques)
MACQ - Exemple
Rupturetuyauterieprimaire
Mission duréservoir
commun aux 2 ∑
Mission du∑ des alimsélectriques
Mission du∑ d'injectionde sécurité
Mission du ∑d'aspersion de
l'enceinteSéquences
évtinitiateur
succès
échec
n°2-rejets limitésn°3-fusion du cœur
n°4-fusion du cœur
n°1-accidents maîtrisés
n°6-fusion du cœur
n°5-fusion du cœur
84
Réduction de l'arbrebut: simplifier le calcul des probas des séquences
Pertinence des ∑ élémentaires? sens physique des combinaisons? cohérence avec les états considérés précédemment
Réduction du nombre d'évts génériquesn évts génériques à 2 états nombre de séquencesconsidérer
temps (ordonnancement des évts génériques)interactions (incompatibilité & dépendances) fonctionnellesinteractions entre ∑
MACQ - Etape 5 (1)
85
Obtention de séq. minimales par réduction booléennearbres des causes des évts indésirablesen rechercher les "coupes minimales"introduire les évts de causes communes en tant qu'évtsgénériques dans un nouvel arbre de conséquencesconstruire cet arbre en incluant les réductions booléennes
Ex.
MACQ - Etape 5 (2)
Evt initiateur Mission du ∑ 1 Mission du ∑ 2 Séquences
évtinitiateur
succèséchec
n°1- séquence αn°2- séquence βn°3- séquence γn°4- séquence δ
Seq. inacceptable86
MACQ - Etape 5 (3)
Evt initiateur Evt A Evt F Mission du ∑ 1 Mission du ∑ 2 Séquences
évtinitiateur
succèséchec
δ1β1δ2δ3αβ2γδ4δ = δ1 + δ2 + δ3 + δ4β = β1 + β2
Echec mission ∑ 1
A B C D E F
Echec mission∑ 2
A F G
87
Résumé de la démarche
MACQ - Résumé
Recueil infos
- retour exploit.- accidents de
dimensionnt
Déf. f° de sûreté
Sélection évts
initiateurs
Arbre réduit-séq. d'évts-quantification
Arbre "fonctions"
Arbre "∑"
Arbre des causes des évts
indésirables
Etude évtsindésirables au niveau des ∑élémentaires
88
HistoriqueRiso (Danemark), formalisée par Nielsen & Taylorchamp d'application : surtout centrales nucléaires
Principe : combinerla MAC (analyse déductive)et la MACQ (analyse inductive)
⇒2 parties"causes" = 1/plusieurs évts "sommets" (indésirables)
symboles : identiques à MAC
"conséquences" = csq. lorsque se réalisent ces évts
MDCC - Introduction
89
Symboles spécifiques (partie "conséquences")
MDCC - Symboles
Symbole Nom Signification
Entrée
SortieOui NonCondition
Porte"oui-non"
- L’évt de sortie est "oui" si lacondition est remplie, "non" sinon
- Un arbre des causes du non-respectde la condition peut être développéen parallèle
Entrée
D
Sortie
Entrée
D
Sortieou
Opérateur"retard"
L’évt de sortie se réalise un temps Daprès celui d’entrée
Entrée
Evénement"conséquence"
Décrit les csq d’une combinaisond’évts (fin de branche du diagramme)
Entrée
NON
Sortie Opérateur decomplémen-
tarité
L’évt de sortie est le complément decelui de l’entrée
90
Recherche des causes MAC (évt indésirable)Recherche des conséquences
en tenant comptedes actions de sécurité (auto/manuelles) qui peuvent être sollicitées et de leurs défaillances possiblesdes défaillances d'autres composants, sous-∑d'évts extérieurs
en s'inspirant de la construction des séquences MACQ
Sélection d'un évt initiateur (ou critique)lié à des défaillances de composants ou sous-∑évt "sommet" de l'analyse
MDCC - Elaboration du diagramme
10
91
DCC et coupes minimalesEtapes précédentes sur tous les évts "sommets"ensemble de DCC toutes combinaisons (=coupes, =séquences) d'évts pouvant ⇒ les évts indésirablesRéduction des AC coupes minimales
Résumé
MDCC - Elaboration du diagramme (2)
Aide de: -APD-AMDE-MCPR
MAC
Sélectiond'1/+ évtinitiateur
Recherche causes
d'un évtinitiateur
Obtention des csq
"sommets"
Recherche csq de l'évt
initiateur
Recherche causes des évts inter-médiaires
Recherche csq des
évts inter-médiaires
DCC
Règles d'élabo-ration de l'ACQ
MAC
Règles d'élabo-ration de l'ACQ
92
Formegénérale
MDCC - Elaboration du diagramme (3)
Oui NonCondition
Evtinitiateur
D
Non OuiCondition
Csqs Csqs Csqs
D
Evt. intermédiaire
93
MDCC - Exemple
Batterie déchargée Fusible
ouvertFil
débranchéLampe grillée
L'opérateur appuie sur
le BP
Oui NonLe circuit se ferme
Oui NonLe courant traverse le filament
La lampes'allume
La lampe nes'allume pas
Batterie
Fusible Fil
LampeBouton poussoir
BPbloqué
94
Liens avec les autres méthodesAMDEC aide à définir les évts initiateursMAC
causes de l'évt initiateurcauses du (non-)respect d'une condition liée à une porte O/N
MACQ: similitudesporte OUI-NON oucombinaisons d'évts séquencesdéfinition identique de l'évt initiateur
Intérêt et utilisationAnalyser des ∑ d'ampleur limitée ou à fct séquentielVisualiser l'ordre chronologique d'apparition des évts
MDCC - Conclusion
succès échec
95
Commande à distance d'un moteur à cc
Evt indésirable (APD) = surchauffe fil ABHypothèses
fct prolongé du M ⇒ court-circuit ⇒ destructioncourt-circuit ⇒ contact reste collé, même si désexcitésources d'énergies (+défaillances) non prises en compte
Exemple - Présentation
MA B
Batterie Fusible
Fil
Moteur
Bouton poussoir (BP)
Batterie Relais
96
Exemple - AMDE simplifiéComp
.MdD Causes possibles Effets sur le ∑
BP
- le BP est bloqué
- le contact du BPreste collé
- défaillance première (méca.)
- défaillance première (méca.)- l’opérateur ne relâche par le
BP (err. hum.)
- perte de la f° du ∑ : le moteurne tourne pas
- le moteur tourne pdt un tempstrop long, d’où court-circuit dumoteur, apparition d’un courantélevé et fusion du fusible
Relais
- le contact durelais reste ouvert
- le contact durelais reste collé
- défaillance première(mécanique)
- défaillance première(mécanique)
- un courant élevé traverse lecontact
- perte de la f° du ∑ : le moteurne tourne pas
- le moteur tourne pdt un tempstrop long, d’où court-circuit dumoteur, apparition d’un courantélevé et fusion du fusible
Fusi-ble
- le fusible ne fondpas
- défaillance première- l’opérateur a surdimensionné
le fusible (err. hum.)
- en cas de court-circuit, lefusible n’ouvre pas le circuit
Mo-teur
- le moteur netourne pas
- court-circuit
- défaillance première- le BP est bloqué- le contact du relais reste ouvert- défaillance première- le moteur tourne pdt un temps
trop long
- perte de la f° du ∑ : le moteurne tourne pas
- le court-circuit du moteur ⇒courant élevé+ fusion fusible; lecontact du relais reste collé
97
Exemple - MACSurchauffe
fil AB
Court-circuit du moteur
Le 2ème circuit est resté fermé
Le contact du relais reste collé Déf.
première
Le contact du BP reste collé Déf.
première
Déf. premièreL'opérateur
ne relâche pasle BP
Le contact du relais reste collé
Le fusible n'ouvre pas le circuit
Déf. premièreL'opérateur
a surdim. lefusible
Déf. première
Le contact du BP reste collé
Court-circuit du moteur
Déf. premièreL'opérateur
ne relâche pasle BP
Déf. première
Le contact du relais reste collé
98
Réduction de l'arbre
Exemple - MAC (2)Surchauffe
fil AB
Court-circuit du moteur
Le 2ème circuit est resté fermé
Le contact du relais reste collé Déf.
première
Le contact du BP reste collé Déf.
première
Déf. premièreL'opérateur
ne relâche pasle BP
Le contact du relais reste collé
Le fusible n'ouvre pas le circuit
Déf. premièreL'opérateur
a surdim. lefusible
Déf. première
Le contact du BP reste collé
Court-circuit du moteur
Déf. premièreL'opérateur
ne relâche pasle BP
Déf. première
A Bp Cp
D
99
Arbre réduit
Exemple - MAC (3)Surchauffe
fil AB
Court-circuit du moteur
Le contact du relais reste collé
Le contact du BP reste collé
Déf. premièreL'opérateur
ne relâche pasle BP
Le fusible n'ouvre pas le circuit
Déf. premièreL'opérateur
a surdim. lefusible
Court-circuit du moteur
Déf. première
Déf. première
11
100
Evt indésirable = "surchauffe du fil AB"F° de sécurité (contre court-circuit) considérées
F1=protection immédiate par le fusibleF2=protection à plus long terme par le contact du relais
∑ élémentaires∑1=∑ proprement dit∑2=opérateur
Recherche des évts initiateursAC de niveau 1
Exemple - MACQ
Surchauffe fil AB
Perte de la fonction F1
Court-circuit du moteur
Perte de la fonction F2
101
Arbre des conséquences "fonctions"
Arbre des conséquences "systèmes"
Exemple - MACQ (2)
Court-circuit dumoteur
F1 F2 Séquences
évtinitiateur
succès
échec
n°1-pas de surchauffen°2-pas de surchauffe
n°3-pas de surchauffe
n°4-surchauffe du fil AB
Court-circuit dumoteur
Mission dufusible (∑ 1)
Mission du contactdu relais (∑ 1)
Séquences
évtinitiateur
succès
échec
n°1-pas de surchauffen°2-pas de surchauffe
n°3-pas de surchauffe
n°4-surchauffe du fil AB
Le fusible ouvre le circuit
Le fusiblen'ouvre pas le circuit
Le contact du relaiss'ouvre
Le contact du relaisreste collé
102
Considérertempsinteractions fonctionnellesinteractions entre ∑ élémentairesdépendances entre évts arbres des causes
Exemple - MACQ (3)
Le fusible n'ouvre pas le circuit
Déf. premièreL'opérateur
a surdim. lefusible
103
Considérerarbres des causes (suite)
Exemple - MACQ (4)
Court-circuit du moteur
Le contact du relais reste collé
Le contact du BP reste collé
Déf. premièreL'opérateur
ne relâche pasle BP
Déf. première
Déf. première
Le contact du relais reste collé
Déf. première
Le contact du BP reste collé
Court-circuit du moteur
Déf. premièreL'opérateur
ne relâche pasle BP
Déf. première
interdépendance
Cause intrinsèqueau moteur
Causes d'origine externe
104
Arbres des conséquences finals
Exemple - MACQ (5)
Evtinitiateur
Mission dufusible (∑ 1)
Mission du contactdu relais (∑ 1)
Séquences
Court-circuit dumoteur (le contact
du relais reste collé)
succès
échec
n°3-pas de surchauffe
n°4-surchauffe du fil AB
Le fusible ouvre le circuit
Le fusiblen'ouvre pas le circuit
Le contact du relaisreste collé
Le contact du relaisreste collé
Court-circuit dumoteur (le contactdu BP reste collé)
succès
échec
n°5-pas de surchauffe
n°6-surchauffe du fil AB
Le fusible ouvre le circuit
Le fusiblen'ouvre pas le circuit
Le contact du relaisreste collé
Le contact du relaisreste collé
Court-circuit dumoteur (déf. 1ère)
succès
échec
Le fusible ouvre le circuit
Le fusiblen'ouvre pas le circuit
Le contact du relaisreste collé
Le contact du relaisreste collé
n°1-pas de surchauffe
n°2-surchauffe du fil AB
105
Evt initiateur"court-circuit moteur" = point de passage obligé vers l'évt indésirablerecherche des causes (MAC) ⇒ évts de base =
court-circuit moteur (défaillance première)le contact du relais reste collé (défaillance première)le contact du BP reste collé (défaillance première)l'opérateur ne relâche pas le BP
hypothèsele contact du relais reste collé si court-circuit ⇒ évts liésconséquence éventuelle: fusion du fusible porte O/N
Exemple - MDCC
106
Diagramme finalEquation de l'évtindésirableCoupe minimale
Remarque
Exemple - MDCC (2)Etat sûr du
circuit
Court-circuit du moteur
Le contact du relais reste collé Déf.
première
Le contact du BP reste collé Déf.
première
Déf. premièreL'opérateur
ne relâche pasle BP
Surchauffe fil AB
Le contact du relais reste collé
Le fusible n'ouvre pas le circuit
Déf. premièreL'opérateur
a surdim. lefusible
Oui NonFusion du
fusible
ABp
Cp
D
Court-circuit du moteur et le contact du relais reste collé
107
Introduction à l'analyse quantitative - Plan
Bases mathématiquesProbabilité d'évtsVariable aléatoireNotions fondamentales de SdF
Données de sûreté de fonctionnementRecherche, sourcesElaboration lois de proba des paramètres
108
Application P qui associe à chaque évt A un nombre 0 ≤ P[A] ≤ 1 appelé probabilité, avec
P[Ω] = 1 (Ω : Ensemble des observables)
P[A+B] = P[A] + P[B] si A.B = ∅Propriétés
P[A] = 1 - P[A]A ⊂ B ⇒ P[A] ≤ P[B]
Relation probabilité/fréquenceP[E] = lim (f) lorsque le nombre d'essais → ∞Théorème de Poincaré: P[A+B] = P[A] + P[B] - P[A.B]
Bases mathématiques - Probabilité d'évts.
12
109
Théorème de Poincaré: P[A+B] = P[A] + P[B] - P[A.B]
Proba conditionnelle que A se produise sachant que X s’est déjà produit :
Evts indépendants ⇔ P[A/B] = P[A] P[B]Théorème des proba totales
Evts incompatibles: A.B = ∅Système complet d'évts : ensemble fini d'évts 2 à 2 incompatibles P[∑Ai] = ∑ P[Ai] = 1Théorème:
P[B] = ∑ P[B/Ai] P[Ai]
Bases mathématiques - Probabilité d'évts. (2)
][].[]/[
XPXAPXAP =
110
Théorème de BayesB : événement de probabilité ≠ 0Ai : ensemble d'événements completsThéorème
Syn. Théorème sur la probabilité des causesSi B s'est produit, avec les causes possibles X et Y, la proba que B soit dû à X est
Bases mathématiques - Probabilité d'évts. (3)
∑=
iii
iii APABP
APABPBAP][]/[
][]/[]/[
][]/[][]/[][]/[]/[
YPYBPXPXBPXPXBPBXP
+=
111
DéfinitionVariable pouvant prendre n'importe quelle valeur d'un ensemble déterminé de valeurs numériques, et àlaquelle est associée une loi de probabilitéContinue ou discontinue
Fonction de répartitiond'1 var aléatoire X : F(x) = P [X≤x]
Densité de probabilité
Bases mathématiques - Variable aléatoire
dxxdFxf )()( = f
x
F
0
1
x
112
Moment d'ordre k de la variable aléatoire X
Espérance mathématique ou moyenne : E[X]Variance
Ecart-type
Bases mathématiques - Variable aléatoire (2)
∫+∞
∞−= dxxfxXE kk )(][
∫+∞
∞−−= dxxfXExXV )(])[(][ 2
][][ XVX =σ
113
Lois de proba discrètesLoi binomiale
p=P[A]La variable aléatoire discrète X (nombre de réalisations de A au cours de n expériences) est distribuée suivant la loi :
, 0 ≤ k ≤ n; 0 ≤ p ≤ 1Loi de Poisson
= proba d'apparition de k évts en un temps donné, àproba d'occurrence constante (⇒ m = λ .t )
Bases mathématiques - Variable aléatoire (3)
knkkn ppCkXP −−== )1(][
!][
kmekXP
km−==
114
Lois de proba continuesLoi exponentielle
Densité de probabilité
où λ=cste
Fonction de répartition
Utilisation: caractériser la période à taux de défaillance constant décrit l'intervalle de temps entre 2 défaillances
Bases mathématiques - Variable aléatoire (4)
tetf λλ −=)(
tetF λ−−=1)(
f
t
λ
0
F
t
1.0
0
115
Lois de proba continues (suite)Loi normale N(m,σ)
Densité de probabilité
Fonction de répartition
Si X suit N(m,σ), alors Y=(X-m)/σ suit loi réduite N(0,1)Application : nbx phénomènes (incertitudes sur mesures, …)
Bases mathématiques - Variable aléatoire (5)
⎟⎟⎠
⎞⎜⎜⎝
⎛⎟⎠⎞
⎜⎝⎛ −
−=2
21exp
21)(
σπσmttf
0.95
f
tm
0.65
m+σm-σ
0.24/σ
m+2σm-2σ
0.06/σ
1.0F
t
116
Lois de proba continues (suite)Loi log-normale
Densité de probabilité
Fonction de répartitionMoyenneMédiane
Représentation des durées de réparation des composants, incertitudes dans la connaissance d'une donnée de sûreté, ...
Bases mathématiques - Variable aléatoire (6)
⎟⎟⎠
⎞⎜⎜⎝
⎛⎟⎠⎞
⎜⎝⎛ −
−=2log
21exp
21)(
σμ
πσt
ttf
( )2/exp 2σμ +=mμeX =50.0
f
teμ
0.5
σ=0.3
1.0F
σ=1.0
0.05
0.95
eμ-1.645σ eμ+1.645σ
0.9
t
117
Lois de proba continues (suite)Loi du χ2 à ν degrés de liberté (ν entier)
Densité de probabilité( t ≥ 0 )
Moyenne = ν ; variance = 2νCalcul d'intervalles de confianceSouvent tabulée de manière à donner les valeurs detelles que
Bases mathématiques - Variable aléatoire (7)
( )2
2/
12/
2/2)(
t
ettf−−
Γ=
νν
ν
( )νχα2
( )( ) ( )ανχ
νχ
αα == ∫ dxxfF2
0
2 )(
13
118
Bases math. - Notions fondamentales (1)
Principales caractéristiquesFiabilité R(t)=P [ E non défaillante sur [0,t] ]fonction décroissante de t avec Défiabilité R(t)=1-R(t)
Disponibilité A(t)=P [E non défaillante à l'instant t]Entité irréparable : A(t) = R(t)Cas général : A(t) ≥ R(t)
Maintenabilité M(t) = P [E est réparée sur [0,t] ]fonction croissante de 0 à 1 sur [0,+∞[ etImmaintenabilité M(t)=1-M(t)
0)(lim =+∞→
tRt
1)(lim =+∞→
tMt
119
Bases math. - Notions fondamentales (2)
DéfinitionsMTTF : durée moyenne de fct avant la 1ère défaillanceMTTR : durée moyenne de réparationMUT : durée moyenne de fct après réparationMDT : durée moyenne d'indisponibilité
⊂ détection panne, réparation panne & remise en serviceMTBF : durée moyenne entre 2 défaillances consécutives d'une entité réparée
0 défaillanceremise en servicedéfaillance
MTTF MDT MUTMTBF
120
Densité de défaillanceT : variable aléatoire mesurant la durée de fct de EFonction de répartition de T
F(t) = P [T≤t] = 1-R(t) = R(t) car R(t) = P [T>t]
Densité de défaillanceU(t) = dF(t)/dt = -dR(t)/dt
Densité de réparation G=dM/dt∫ ∫
∞ ∞==⇒
0 0)()( dttRdtttUMTTF
IPP
[ ]∫ ∫∞ ∞
−==⇒0 0
)(1)( dttMdtttGMTTRIPP
Bases math. - Notions fondamentales (3)
121
Taux de défaillance (instantané)P[E défaille sur [t, t+Δt] sachant qu'elle
n'a pas eu de défaillance sur [0,t] ]
Taux de réparation (instantané)P[la réparation de E se termine sur [t, t+Δt]
sachant qu'elle a été en panne sur [0,t] ]
Bases math. - Notions fondamentales (4)
)()(
)(.)()(lim
1lim)(
0
0
tRtU
tRtttRtR
tt
t
t
=
ΔΔ+−
=
Δ=Λ
→Δ
→Δ
)(1)(
1lim)(0
tMtGt
tt
−=
Δ=
→Δμ
122
D'où les équations
Bases math. - Notions fondamentales (5)
⎟⎠⎞⎜
⎝⎛−=
⎟⎠⎞⎜
⎝⎛−−=
⎟⎠⎞⎜
⎝⎛ Λ−Λ=
⎟⎠⎞⎜
⎝⎛ Λ−=
∫∫
∫∫
t
t
t
t
duutMtG
duutM
duuttU
duutR
0
0
0
0
)(exp)()(
)(exp1)(
)(exp)()(
)(exp)(
μ
μ
123
Intensité de défaillanceP[E défaille sur [t, t+Δt]
sachant qu'elle est en fct au temps t=0]
Intensité de réparationP[la réparation de E se termine sur [t, t+Δt]
sachant qu'elle est en fct au temps t=0]
Relations particulières
Bases math. - Notions fondamentales (6)
ttW
t Δ=
→Δ
1lim)(0
ttV
t Δ=
→Δ
1lim)(0
∫ −+=t
dxxVxtUtUtW0
)()()()(
[ ]∫ −=−=t
RD dxxVxWtNtNtA0
)()(),0(),0()(
∫ −=t
dxxWxtGtV0
)()()(
124
Bases math. - Calcul des taux pour les ≠ lois
Loi Expon. N(m,σ) Log-NTaux de défaillance Λ
Modélise composants Ni jeunes ni âgés Agés
Fiabilité R(t)=e-λt
MTTF 1/λMaintenabilité M(t)=1-e-μt (hypothèse μ(t)= μ=cste)
MTTR 1/μ = τ (durée moyenne de réparation)
Λ(t)
t
λ
m t
πσ2
t
σ=0.3
σ=1.0
Λ(t)=U(t)/R(t)
125
Bases math. - Fiabilité et disponibilité
2 classes d'entitésirréparable A(t)=R(t)=e−Λt
réparable : entité remise en service "neuve"A(t+Δt) = P[ E non défaillante à t+Δt ]
disponiblité asymptotique
Proportion du temps pendant laquelleE est en état de fonctionner
μλμ
μλμ μλ
++⎟⎟
⎠
⎞⎜⎜⎝
⎛+
−=⇒ +− teAtA )(.)0()(
t
μλμ+
A(t)A(0)=1
A(0)=0TRMTMTTFMTTFA
+=
+=∞
μλμ)(
126
Bases math. - Modèle à λ et μ constants
Composant irréparable Composant réparable
λ
λ
λ
λ
λ
/1)()()(
==
=
=Λ
−
−
MTTFetR
etUt
t
t
∞==
==
TTRMtM
tGt
0)(0)(0)(μ
λ
λ
λ
λ
λ
/1)()()(
==
=
=Λ
−
−
MTTFetR
etUt
t
t
μ
μ
μμ
μ
μ
/11)(
)()(
=−=
=
=
−
−
MTTRetM
etGt
t
t
0),0(
1),0(
0)(
)(
)()(
=
−=
=
=
==
−
−
−
tN
etN
tV
etW
etRtA
R
tD
t
t
λ
λ
λ
λ
[ ]
( )[ ]
( )[ ]t
R
tD
t
t
t
ettN
ettN
etV
etW
etA
)(2
)(2
2
)(
)(2
)(
1),0(
1),0(
1)(
)(
)(
μλ
μλ
μλ
μλ
μλ
μλλμ
μλλμ
μλλ
μλλμ
μλλμ
μλλ
μλλμ
μλλ
μλμ
+−
+−
+−
+−
+−
−+
++
=
−+
++
=
−+
=
++
+=
++
+=
14
127
Pour obtenir des infos quantitatives, observerpendant un certain tempsdans des conditions données
Données de sûreté de fct. - Principe
Types decomposants
Taillepop stat
Répara-bles ?
Evaluation sûreté de fct
Electronique élevée non Essais de fiabilité
Electrique élevée oui Essais de fiabilité ouexpérience d’exploitation
Electro-mécaniques actifs
faible oui Expérience d’exploitationréelle dans une installation
Mécaniquespassifs
Trèsfaible
Difficile-ment
Difficile (expérience propreà une installation)
128
Essais de fiabilitéUtilisation : observation en exploitation difficile
InaccessibilitéNouveaux matériels
Type des tests: plusieurs critères d'arrêtau temps Tà la rième défaillance (r < nb composants)mixte (durée + nb défaillances)progressif (la décision dépend des résultats déjà obtenus)
Recueil en exploitationRelevé de données événementielles qui, traitées, fourniront les paramètres de fiabilité recherchés
Données de sûreté - Recherche de données
129
Paramètres de sûreté de fonctionnement:taux de défaillance en fonctionnement (λ)
taux de défaillance à l’arrêt (λa)P[E défaille sur [t, t+Δt] sachant qu'elle
était à l’arrêt, en état de fct. sur [0,t] ]
taux de défaillance à la sollicitation (γ)γ = P [ E refuse de changer d'état lorsque cela lui est
demandé sous forme d'une sollicitation ]
taux de réparation (μ)
MTTF, MTTR, MUT, MDT, MTBF
Données de sûreté - Elaboration de données
tta Δ=
→Δ
1lim0
λ
130
Estimateurs des paramètres à taux de défaillance et de réparation constants
taux de défaillance en fct
taux de défaillance à l’arrêt
taux de défaillance à la sollicitation
taux de réparation
MTTR
En général MDT, Dr<<Df
Données de sûreté - Elaboration de données
a
daa D
N=λ̂
f
df
DN
=λ̂
s
ds
NN
=γ̂
r
r
DN
=μ̂
μ̂1
=MTTR
λ̂1
=≅≅⇒ MTTFMUTMTBF
0défaillance
remise en servicedéfaillance
MTTF MDT MUTMTBF
131
Choix d'une loiHypothèse du taux de défaillance constant
Données insuffisantes pour vérifier d'autres loisCourbe λ=f(t) "en baignoire" durée de vie utile
bien adaptée aux composants électroniques+ composants électro-mécaniques si maintenance préventive
Loi log-normale: bien adaptée aux durées de réparationTests d'hypothèse
la variable aléatoire est-elle bien régie par cette loi ?Test du χ²
Données de sûreté - Lois de proba des params.
132
PrincipeEvaluation des bornes [λinf, λsup] d'un intervalle (dit de confiance) entourant l'estimateurSoit α = P[ λ ∉ [λinf, λsup] ]Alors 1- α est appelé niveau de confiance
Calcul de l'intervalleHypothèse λ=cste.
Données de sûreté - Intervalle de confiance
λ̂
( ) ( )
f
f
f
f
T
N
T
N
2
2,
2
22 2
2inf
2
21
sup
αα χλ
χλ =
+=
−
133
ExempleUne pop de pompes a subi 2 défaillances en 10 000 h.
Calculer l'estimateur du taux de défaillance Calculer l'intervalle de confiance de cet estimateur
On a poursuivi l'observation et on a recensé 14 défaillances sur 70 000 h de fonctionnement.
Recalculer l'estimateur et son intervalle de confianceMontrer que la précision des résultats est améliorée
Données de sûreté - Intervalle de confiance
134
Principeλ=λb*πE*πA*πQ*πn , avec:
λb : taux de base obtenu à partir d'essais de fiabilitésous contraintes normalisées (environnement,…)
πE : coef d'environnement. Ex (composant e- donné):– 0.2 : normal, utilisation au sol– 4 : soumis à vibrations et chocs, au sol– 10 : conditions sévères (embarquement sur missile)
πA : coef d'ajustement à l'utilisation (contraintes sec.)πQ : coef de qualité (de conception)πn : coef d'ajustement (autres facteurs: cycles répétes)
Données de sûreté - Modélisation de λ
135
Mise en place: 1974; étendu en 83 à 40 tranches1100 matériels (vannes, pompes...) / paire de tranchesEchantillon en 1982=150 000 h fct., 4000 défaillances
Collecte de l'infofiche signalétique ( classes de matériels id.)
Caract techniques et historiques (mise en service, entretien)Conditions de fct et environnement
1 fiche de fct./an: données de fct. (nb h, sollicitations)fiches de défaillance
rédigées sur incident et saisies en localen moyenne 350 par tranche et par an
Données de sûreté - Exemple: SRDF d'EDF
15
136
Traitement de l'informationtests de cohérence, présence de l'info indispensable, ...constitution de groupes de matériels identiquesrequêtes possibles pour consulter les fichiers
Restitution des donnéesobtention de paramètres statistiques
recherche de la loi stat la mieux adaptée pour représenter la durée de vie d'équipementslimites d'un intervalle de confiance
Données de sûreté - Exemple: SRDF d'EDF
ilitéindisponib,ˆ,ˆ,ˆ μγλ
137
Types de sourcesbanques de données (de fiabilité ou disponibilité)
CNET : abaques pour ts composants électroniquesNASA, NAVY MIL HDBKPlates-formes pétrolière OREDA (λ, MDT)Centrales nucléaires en GB (SYREL), USA (NPRDS), Euope (ERDS), Scandinavie (ATV-System)
docs avec listes de données (domaine, obj spécifiques)Nucléaire: Evaluation Probabiliste de Risques (EPR)IEEE: 150 000 comptes-rendus de maintenance analysés (In-Plant Reliability Data System)
Données de sûreté - Sources de données
138
Bibliographie
Ouvrages généraux"Sûreté de fonctionnement des Σ industriels", A. Villemeur, Eyrolles, 1988www.sudqualite.org/documents/encyclopedie/P/pieuvre.htm
www.innovsw.com/fmeafmeca.htm
Q/AMDEC/Analyse prév."L'AMDEC, un atout pour les PMI", Recueil de conférences CETIM, 1992"Techniques d'analyse de la fiabilité des systèmes. Procédure AMDE", AFNOR X60-150, CEI 812-1985chaqual.free.fr/outils/amdec/methodologie.htmlperso.wanadoo.fr/olivier.albenge/page_site/qualite/www.gsip.cran.uhp-nancy.fr/desspai/dess_frame/confs/Exposes/leger/
MAC"Les différentes méthodes d'analyse de sécurité dans la conception d'une installation chimique - Analyse par l'arbre des causes", Cahier de sécurité n°3, CP Chimie Promotion, 1981
16