Cours de Surete de Fonctionnemet

Cours de S urete de Fonctionnement
Parcours Systèmes Embarques et Mobiles

Cours n8 : Analyses de s urete
(daprès le cours de T. Hardin)
David Delahaye
David.Delahaye@cnam.fr
CNAM
2009-2010
Introduction La methode AMDE(C)
Plan
1
Introduction
2
La methode AMDE(C)
Cours de S urete de Fonctionnement 2009-2010
David Delahaye, David.Delahaye@cnam.fr, CNAM 2/36
AMDE (1)
AMDE : Analyse des Modes de Defaillance et de leurs Eets.
FMEA : Failure Mode Eect Analysis.
Developpee par larmee americaine vers la n des annees 40 en tant que
procedure militaire (MIL-P-1629).
But : Analyse preventive dune conception du système en etudiant toutes
les sources possibles de defaillances des composants de ce système et en
determinant les eets de ces defaillances sur le comportement et la
securite du système. Doit mettre en evidence tous les risques potentiels.
Description : Les composants dun système sont analyses les uns après les
autres pour etablir lensemble des modes de defaillance du système, leurs
causes et leurs eets.
AMDE (2)
On en deduit des procedures et recommandations pour la detection et la
prevention des fautes.
Sapplique à un produit, un procede, un service, un projet.
Permet den optimiser la abilite, en detectant les erreurs à un stade
precoce et en les prevenant.
AMDEC / AEEL / HAZOP
AMDEC : Analyse des Modes de Defaillance et de leurs Eets et de leur
Criticite.
FMECA : Design Analysis Procedure for Failure Modes, Eects and
Criticality Analysis.
Ajoute la quantication des risques et permet de les hierarchiser.
AEEL : Analyse des Erreurs et de leurs Eets sur le Logiciel.
Methode danalyse preventive appliquee au logiciel.
HAZOP : HAZard and OPerability Study.
Autre methode developpee par lICI (Imperial Chemical Industries).
Explosion catastrophique, en 1974, dun nuage de 40 tonnes de
cyclohexane à Flixborough en Grande-Bretagne (28 morts et 89 blesses).
Utilisations
Introduite dans les annees 60 pour lanalyse de la s urete des avions.
Methode reglementaire en avionique en France et aux USA (Airbus,
Concorde).
Utilisee dans le nucleaire, spatial, chimie, automobile, E/E/EP.
Adaptee au logiciel sous le meme nom ou sous le nom dAEEL.
Objectifs, domaines dapplication (1)
Outil de prevention à utiliser pour faire un examen critique de la
conception.
Incite à poser les bonnes questions au bon moment, favorise la
communication entre les dierents partenaires.
AMDE(C) Produit : vise à loptimisation de la abilite, sappuie sur des
donnees historiques, des donnees previsionnelles, permet de denir les
actions preventives, la maintenance...
`
A mettre à jour au fur et à mesure de lavancement du projet.
AMDE(C) Procede (Process) : permet lamelioration de la productivite
(meilleure disponibilite, maintenabilite, securite).
Objectifs, domaines dapplication (2)
AMDE(C) Fonctionnelle : permet, à partir de lanalyse fonctionnelle, de
determiner les modes de defaillances / causes amenant à un evenement
redoute.
AMDE(C) Moyen de production : permet danticiper les risques lies au non
fonctionnement ou au fonctionnement anormal dun equipement, dune
machine.
Dabord AMDE/AEEL pendant la conception, puis AMDEC en phase de
developpement.
Phases dune AMDE(C)
Cinq phases :
1
Initialisation ;
2
Analyse fonctionnelle ;
3
Analyse des defaillances ;
4
Cotation de la criticite ;
5
Actions à mener.
Phase 1 : initialisation
Il faut dabord valider le besoin : pourquoi fait-on cette etude ?
Il faut denir lobjectif.
Une AMDE(C) doit aboutir à :
Prevoir des methodes delimination/minimisation des fautes ;
Prevoir des methodes delimination/minimisation des erreurs ;
Identier les redondances necessaires ;
Identier les possibilites de modes degrades ;
Prevoir la surveillance, les points darret, la maintenance ;
Ameliorer lergonomie.
Par qui ?
Groupe de travail dont lanimateur est le vericateur du système. Doit etre
dierent du concepteur.
Comprend : concepteur produit (procede), responsables des methodes, de
la production, de la qualite, de lorganisation du service après-vente...
eventuellement le valideur du système (garant de la demonstration de la
securite du système).
Après chaque phase de lAMDE, le vericateur emet des ches davis
soumises aux concepteurs. Chaque point souleve doit etre clos avant de
passer à la phase suivante.
Champ et delai de letude
Necessite de determiner très precisement le champ de letude en fonction
des objectifs, du temps disponible, des connaissances

historiques
sur la
criticite du système, les exigences de s urete (SIL, MTBF, MTTR).
Une etude peut etre decoupee en plusieurs etudes.
Collecte de donnees
`
A eectuer avant lanalyse. Regrouper :
Dossier descriptif de lentite : cahier des charges, plans,
nomenclatures, ... ;
Etats possibles de lentite : en attente, en initialisation, en

fonctionnement, en test... ;
Recherche de donnees historiques dans des banques de donnees ;
Releves statistiques de pannes ;
Resultats de tests...
Fiche de synthèse
Phase 2 : decomposition fonctionnelle
Eectuer un decoupage fonctionnel du produit ou du procede, jusquà un
niveau permettant de formuler sans ambigute les modes de defaillance et
dobtenir des donnees quantitatives sur le sous-système etudie.
Depend du type dAMDE(C) choisie.
Exemple : AMDE(C) Moyen de production
Phase 3 : analyse qualitative des defaillances
Recensement des defaillances : recenser tous les modes de defaillance
plausibles sans faire dhypothèse sur leur survenue.
Recherche des causes de defaillance, en examinant chacun des modes de
defaillance.
Etude des eets des defaillances : propagation des defaillances au niveau

superieur, à letape suivante, ...
Recensement des moyens de detection des fautes/erreurs/defaillances :
verications, controles, alarmes, ...
Comment ? (1)
En general, à la main, en sappuyant sur la specication, les documents de
conception, les caracteristiques techniques des composants materiels.
Pour le logiciel, lecture du source, du code de bas niveau.
Possibilite dinstrumenter en partie cette phase. Pour cela, on modelise le
ux (donnees-controle) entre composants, puis on etudie la propagation
dune information dans le modèle.
Comment ? (2)
On xe alors les hypothèses danalyse : on

pose
des defaillances sur les

entrees, on decide quels sont les composants qui seront consideres comme
sources potentielles de defaillance. Cela conduit à

poser
des
defaillances sur le sorties.
Typiquement, un composant logiciel peut recevoir une entree non
defaillante et fournir une sortie defaillante parce quil contient un bug. On
propage alors cette sortie defaillante.
Recensement des modes de defaillances
Denition du système et de ses composants, en recensant les dierents
etats de fonctionnement, les fonctions du système, les limites
fonctionnelles du système.
Pour un système logiciel, identication des donnees et des composants
logiciels quil sera pertinent detudier et qui constituent la cible danalyse.
Chercher tous les modes de defaillance possibles (mode = symptome dune
defaillance).
Un mode de defaillance peut correspondre à des defaillances de dierentes
natures.
Exemple : une arrivee tardive en cours peut correspondre à plusieurs
defaillances, ayant pour origine des fautes diverses.
Recherche des causes de defaillance
Modes de defaillance des composants et de leurs causes.
On dispose de la specication des exigences du système et de ses exigences
de securite.
Suivant la phase danalyse, on dispose de larchitecture
materielle/logicielle, de la conception materielle/logicielle, de la conception
des modules logiciels, ...
Etude des eets des modes de defaillance

sur les composants
Grille AMDE(C) (1)
Detailler dans un tableau (presentation normalisee), pour chaque mode de
defaillance de chacun des composants :
Les causes possibles ;
Leet du mode de defaillance (local ou global) ;
Les moyens de detection ;
Les actions correctrices à mettre en oeuvre ;
La criticite du mode de defaillance.
Grille AMDE(C) (2)
Phase 4 : analyse quantitative des defaillances
Denir les critères de quantication.
Frequence dapparition : F = P
1
P
2
.
P
1
: probabilite de survenue de la cause.
P
2
: probabilite de survenue de la defaillance si la cause est presente.
Gravite (ou severite) de leet (pas de la cause) : G.
Risque de non-detection de la defaillance : probabilite quelle soit propagee
jusquà lutilisateur, ND.
Determination de la criticite
Determinee par le produit F G ND.
Cet indice est parfois nomme IPR (indice prioritaire de risque) ou RPN
(Risk Priority Number).
Ces estimations sont placees dans les colonnes du tableau synthetisant
lanalyse.
Cotation de la frequence
Exemple de cotation de la frequence :
Indice de frequence F Frequence
1 Moins dune fois par an
2 Moins dune fois par mois
3 Moins dune fois par semaine
4 Plus dune fois par semaine
Cotation de la gravite
Exemple de cotation de la gravite :
Indice de gravite G Gravite
1 Temps darret inferieur à 12 heures
2 Temps darret inferieur à 24 heures
3 Temps darret inferieur à 1 semaine
4 Temps darret superieur à 1 semaine
Cotation de la non-detection
Exemple de cotation de la non-detection :
Indice de non-detection ND Non-detection
1 Detection ecace qui permet une action
preventive an de prevenir la defaillance
2 Il y a un risque que la detection
ne soit pas ecace
3 Le moyen de detection nest pas able
4 Il ny a aucun moyen de detection
Matrice de securite
La criticite peut aussi etre evaluee en utilisant une matrice de securite
(très usitee aux USA) :
Phase 5 : conclusions, recommandations
Identication des defaillances simples, recensement et classication des
modes de defaillance.
Etablissement pour chaque mode de defaillance de procedures de detection

et de procedures de maintenance.
Plan et suivi daction
Un tableau :
Action, Date, Responsable, Resultats, Planning previsionnel : recherche,
mise en oeuvre, conrmation de la solution.
Obligatoirement rempli et integre dans la documentation.
Limites de lAMDEC
Etude dun mode de defaillance à la fois. Il faut la prolonger en combinant

les pannes... mais risque dexplosion combinatoire... importance de la
connaissance du metier.
Suppose que lon a su determiner tous les modes de defaillance du système.
Demande de manipuler un volume important dinformations...
informatisation du processus.
Interet de lAMDEC
Bon guide pour la conception.
Bon guide pour la strategie de detection derreurs, dans les AEEL.
Bon guide pour la mise en place de la tolerance aux fautes.
Bon support pour la validation du système.
Bon support pour la maintenance et la detection de fautes à lexploitation.
Setend aux etudes de securite en considerant des fautes intentionnelles.
AEEL
Consiste à propager les erreurs potentielles (materielles/logicielles) dans les
modules logiciels des fonctions de securite an de determiner les
protections mises en oeuvre.
Elle permet de :
Identier les modes de defaillance qui necessitent une protection ;
Valider les protections implantees ;
Denir la criticite des modules logiciels de la cible danalyse ;
Determiner les modules critiques necessitant une LCC, la verication
de certaines proprietes (par des preuves, des analyses statiques, de la
verication par modèles, ...).
Erreurs communes
Ne pas utiliser une methode structuree et avec des formats denis.
Ne pas avoir un membre du groupe de design et ainsi ne pas avoir tous les
points de vue.
Ne pas analyser complètement les eets dun mode de defaillance.

Cours de Surete de Fonctionnemet

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours de Surete de Fonctionnemet

Transféré par

Droits d'auteur :

Formats disponibles

Cours de S urete de Fonctionnement

Parcours Syst`emes Embarques et Mobiles

Etats possibles de lentite : en attente, en initialisation, en

Etude des eets des defaillances : propagation des defaillances au niveau

des defaillances sur les

Etude des eets des modes de defaillance

Etablissement pour chaque mode de defaillance de procedures de detection

Etude dun mode de defaillance `a la fois. Il faut la prolonger en combinant

Vous aimerez peut-être aussi