Vous êtes sur la page 1sur 36

Cours de S urete de Fonctionnement

Parcours Syst`emes Embarques et Mobiles


Cours n8 : Analyses de s urete
(dapr`es le cours de T. Hardin)
David Delahaye
David.Delahaye@cnam.fr
CNAM
2009-2010
Introduction La methode AMDE(C)
Plan
1
Introduction
2
La methode AMDE(C)
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 2/36
Introduction La methode AMDE(C)
AMDE (1)
AMDE : Analyse des Modes de Defaillance et de leurs Eets.
FMEA : Failure Mode Eect Analysis.
Developpee par larmee americaine vers la n des annees 40 en tant que
procedure militaire (MIL-P-1629).
But : Analyse preventive dune conception du syst`eme en etudiant toutes
les sources possibles de defaillances des composants de ce syst`eme et en
determinant les eets de ces defaillances sur le comportement et la
securite du syst`eme. Doit mettre en evidence tous les risques potentiels.
Description : Les composants dun syst`eme sont analyses les uns apr`es les
autres pour etablir lensemble des modes de defaillance du syst`eme, leurs
causes et leurs eets.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 3/36
Introduction La methode AMDE(C)
AMDE (2)
On en deduit des procedures et recommandations pour la detection et la
prevention des fautes.
Sapplique `a un produit, un procede, un service, un projet.
Permet den optimiser la abilite, en detectant les erreurs `a un stade
precoce et en les prevenant.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 4/36
Introduction La methode AMDE(C)
AMDEC / AEEL / HAZOP
AMDEC : Analyse des Modes de Defaillance et de leurs Eets et de leur
Criticite.
FMECA : Design Analysis Procedure for Failure Modes, Eects and
Criticality Analysis.
Ajoute la quantication des risques et permet de les hierarchiser.
AEEL : Analyse des Erreurs et de leurs Eets sur le Logiciel.
Methode danalyse preventive appliquee au logiciel.
HAZOP : HAZard and OPerability Study.
Autre methode developpee par lICI (Imperial Chemical Industries).
Explosion catastrophique, en 1974, dun nuage de 40 tonnes de
cyclohexane `a Flixborough en Grande-Bretagne (28 morts et 89 blesses).
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 5/36
Introduction La methode AMDE(C)
Utilisations
Introduite dans les annees 60 pour lanalyse de la s urete des avions.
Methode reglementaire en avionique en France et aux USA (Airbus,
Concorde).
Utilisee dans le nucleaire, spatial, chimie, automobile, E/E/EP.
Adaptee au logiciel sous le meme nom ou sous le nom dAEEL.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 6/36
Introduction La methode AMDE(C)
Objectifs, domaines dapplication (1)
Outil de prevention `a utiliser pour faire un examen critique de la
conception.
Incite `a poser les bonnes questions au bon moment, favorise la
communication entre les dierents partenaires.
AMDE(C) Produit : vise `a loptimisation de la abilite, sappuie sur des
donnees historiques, des donnees previsionnelles, permet de denir les
actions preventives, la maintenance...
`
A mettre `a jour au fur et `a mesure de lavancement du projet.
AMDE(C) Procede (Process) : permet lamelioration de la productivite
(meilleure disponibilite, maintenabilite, securite).
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 7/36
Introduction La methode AMDE(C)
Objectifs, domaines dapplication (2)
AMDE(C) Fonctionnelle : permet, `a partir de lanalyse fonctionnelle, de
determiner les modes de defaillances / causes amenant `a un evenement
redoute.
AMDE(C) Moyen de production : permet danticiper les risques lies au non
fonctionnement ou au fonctionnement anormal dun equipement, dune
machine.
Dabord AMDE/AEEL pendant la conception, puis AMDEC en phase de
developpement.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 8/36
Introduction La methode AMDE(C)
Phases dune AMDE(C)
Cinq phases :
1
Initialisation ;
2
Analyse fonctionnelle ;
3
Analyse des defaillances ;
4
Cotation de la criticite ;
5
Actions `a mener.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 9/36
Introduction La methode AMDE(C)
Phase 1 : initialisation
Il faut dabord valider le besoin : pourquoi fait-on cette etude ?
Il faut denir lobjectif.
Une AMDE(C) doit aboutir `a :
Prevoir des methodes delimination/minimisation des fautes ;
Prevoir des methodes delimination/minimisation des erreurs ;
Identier les redondances necessaires ;
Identier les possibilites de modes degrades ;
Prevoir la surveillance, les points darret, la maintenance ;
Ameliorer lergonomie.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 10/36
Introduction La methode AMDE(C)
Par qui ?
Groupe de travail dont lanimateur est le vericateur du syst`eme. Doit etre
dierent du concepteur.
Comprend : concepteur produit (procede), responsables des methodes, de
la production, de la qualite, de lorganisation du service apr`es-vente...
eventuellement le valideur du syst`eme (garant de la demonstration de la
securite du syst`eme).
Apr`es chaque phase de lAMDE, le vericateur emet des ches davis
soumises aux concepteurs. Chaque point souleve doit etre clos avant de
passer `a la phase suivante.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 11/36
Introduction La methode AMDE(C)
Champ et delai de letude
Necessite de determiner tr`es precisement le champ de letude en fonction
des objectifs, du temps disponible, des connaissances

historiques

sur la
criticite du syst`eme, les exigences de s urete (SIL, MTBF, MTTR).
Une etude peut etre decoupee en plusieurs etudes.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 12/36
Introduction La methode AMDE(C)
Collecte de donnees
`
A eectuer avant lanalyse. Regrouper :
Dossier descriptif de lentite : cahier des charges, plans,
nomenclatures, ... ;

Etats possibles de lentite : en attente, en initialisation, en


fonctionnement, en test... ;
Recherche de donnees historiques dans des banques de donnees ;
Releves statistiques de pannes ;
Resultats de tests...
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 13/36
Introduction La methode AMDE(C)
Fiche de synth`ese
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 14/36
Introduction La methode AMDE(C)
Phase 2 : decomposition fonctionnelle
Eectuer un decoupage fonctionnel du produit ou du procede, jusqu`a un
niveau permettant de formuler sans ambigute les modes de defaillance et
dobtenir des donnees quantitatives sur le sous-syst`eme etudie.
Depend du type dAMDE(C) choisie.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 15/36
Introduction La methode AMDE(C)
Exemple : AMDE(C) Moyen de production
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 16/36
Introduction La methode AMDE(C)
Phase 3 : analyse qualitative des defaillances
Recensement des defaillances : recenser tous les modes de defaillance
plausibles sans faire dhypoth`ese sur leur survenue.
Recherche des causes de defaillance, en examinant chacun des modes de
defaillance.

Etude des eets des defaillances : propagation des defaillances au niveau


superieur, `a letape suivante, ...
Recensement des moyens de detection des fautes/erreurs/defaillances :
verications, controles, alarmes, ...
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 17/36
Introduction La methode AMDE(C)
Comment ? (1)
En general, `a la main, en sappuyant sur la specication, les documents de
conception, les caracteristiques techniques des composants materiels.
Pour le logiciel, lecture du source, du code de bas niveau.
Possibilite dinstrumenter en partie cette phase. Pour cela, on modelise le
ux (donnees-controle) entre composants, puis on etudie la propagation
dune information dans le mod`ele.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 18/36
Introduction La methode AMDE(C)
Comment ? (2)
On xe alors les hypoth`eses danalyse : on

pose

des defaillances sur les


entrees, on decide quels sont les composants qui seront consideres comme
sources potentielles de defaillance. Cela conduit `a

poser

des
defaillances sur le sorties.
Typiquement, un composant logiciel peut recevoir une entree non
defaillante et fournir une sortie defaillante parce quil contient un bug. On
propage alors cette sortie defaillante.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 19/36
Introduction La methode AMDE(C)
Recensement des modes de defaillances
Denition du syst`eme et de ses composants, en recensant les dierents
etats de fonctionnement, les fonctions du syst`eme, les limites
fonctionnelles du syst`eme.
Pour un syst`eme logiciel, identication des donnees et des composants
logiciels quil sera pertinent detudier et qui constituent la cible danalyse.
Chercher tous les modes de defaillance possibles (mode = symptome dune
defaillance).
Un mode de defaillance peut correspondre `a des defaillances de dierentes
natures.
Exemple : une arrivee tardive en cours peut correspondre `a plusieurs
defaillances, ayant pour origine des fautes diverses.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 20/36
Introduction La methode AMDE(C)
Recherche des causes de defaillance
Modes de defaillance des composants et de leurs causes.
On dispose de la specication des exigences du syst`eme et de ses exigences
de securite.
Suivant la phase danalyse, on dispose de larchitecture
materielle/logicielle, de la conception materielle/logicielle, de la conception
des modules logiciels, ...
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 21/36
Introduction La methode AMDE(C)

Etude des eets des modes de defaillance


sur les composants
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 22/36
Introduction La methode AMDE(C)
Grille AMDE(C) (1)
Detailler dans un tableau (presentation normalisee), pour chaque mode de
defaillance de chacun des composants :
Les causes possibles ;
Leet du mode de defaillance (local ou global) ;
Les moyens de detection ;
Les actions correctrices `a mettre en oeuvre ;
La criticite du mode de defaillance.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 23/36
Introduction La methode AMDE(C)
Grille AMDE(C) (2)
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 24/36
Introduction La methode AMDE(C)
Phase 4 : analyse quantitative des defaillances
Denir les crit`eres de quantication.
Frequence dapparition : F = P
1
P
2
.
P
1
: probabilite de survenue de la cause.
P
2
: probabilite de survenue de la defaillance si la cause est presente.
Gravite (ou severite) de leet (pas de la cause) : G.
Risque de non-detection de la defaillance : probabilite quelle soit propagee
jusqu`a lutilisateur, ND.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 25/36
Introduction La methode AMDE(C)
Determination de la criticite
Determinee par le produit F G ND.
Cet indice est parfois nomme IPR (indice prioritaire de risque) ou RPN
(Risk Priority Number).
Ces estimations sont placees dans les colonnes du tableau synthetisant
lanalyse.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 26/36
Introduction La methode AMDE(C)
Cotation de la frequence
Exemple de cotation de la frequence :
Indice de frequence F Frequence
1 Moins dune fois par an
2 Moins dune fois par mois
3 Moins dune fois par semaine
4 Plus dune fois par semaine
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 27/36
Introduction La methode AMDE(C)
Cotation de la gravite
Exemple de cotation de la gravite :
Indice de gravite G Gravite
1 Temps darret inferieur `a 12 heures
2 Temps darret inferieur `a 24 heures
3 Temps darret inferieur `a 1 semaine
4 Temps darret superieur `a 1 semaine
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 28/36
Introduction La methode AMDE(C)
Cotation de la non-detection
Exemple de cotation de la non-detection :
Indice de non-detection ND Non-detection
1 Detection ecace qui permet une action
preventive an de prevenir la defaillance
2 Il y a un risque que la detection
ne soit pas ecace
3 Le moyen de detection nest pas able
4 Il ny a aucun moyen de detection
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 29/36
Introduction La methode AMDE(C)
Matrice de securite
La criticite peut aussi etre evaluee en utilisant une matrice de securite
(tr`es usitee aux USA) :
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 30/36
Introduction La methode AMDE(C)
Phase 5 : conclusions, recommandations
Identication des defaillances simples, recensement et classication des
modes de defaillance.

Etablissement pour chaque mode de defaillance de procedures de detection


et de procedures de maintenance.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 31/36
Introduction La methode AMDE(C)
Plan et suivi daction
Un tableau :
Action, Date, Responsable, Resultats, Planning previsionnel : recherche,
mise en oeuvre, conrmation de la solution.
Obligatoirement rempli et integre dans la documentation.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 32/36
Introduction La methode AMDE(C)
Limites de lAMDEC

Etude dun mode de defaillance `a la fois. Il faut la prolonger en combinant


les pannes... mais risque dexplosion combinatoire... importance de la
connaissance du metier.
Suppose que lon a su determiner tous les modes de defaillance du syst`eme.
Demande de manipuler un volume important dinformations...
informatisation du processus.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 33/36
Introduction La methode AMDE(C)
Interet de lAMDEC
Bon guide pour la conception.
Bon guide pour la strategie de detection derreurs, dans les AEEL.
Bon guide pour la mise en place de la tolerance aux fautes.
Bon support pour la validation du syst`eme.
Bon support pour la maintenance et la detection de fautes `a lexploitation.
Setend aux etudes de securite en considerant des fautes intentionnelles.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 34/36
Introduction La methode AMDE(C)
AEEL
Consiste `a propager les erreurs potentielles (materielles/logicielles) dans les
modules logiciels des fonctions de securite an de determiner les
protections mises en oeuvre.
Elle permet de :
Identier les modes de defaillance qui necessitent une protection ;
Valider les protections implantees ;
Denir la criticite des modules logiciels de la cible danalyse ;
Determiner les modules critiques necessitant une LCC, la verication
de certaines proprietes (par des preuves, des analyses statiques, de la
verication par mod`eles, ...).
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 35/36
Introduction La methode AMDE(C)
Erreurs communes
Ne pas utiliser une methode structuree et avec des formats denis.
Ne pas avoir un membre du groupe de design et ainsi ne pas avoir tous les
points de vue.
Ne pas analyser compl`etement les eets dun mode de defaillance.
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 36/36

Vous aimerez peut-être aussi