Vous êtes sur la page 1sur 39

La gestion des RISQUES TECHNIQUES (Sret de Fonctionnement) et des RISQUES DE MANAGEMENT

A. Heurtel CNRS IN2P3/LAL Version 2.4 11/12/03

Sdf_risques _111203_SaP-AH

Page 1/ 39

Table des matires


TABLE DES MATIERES ..................................................................................................................................................... 2 1 1.1 1.2 1.3 1ERE PARTIE : LA SURETE DE FONCTIONNEMENT (SDF)............................................................................ 4 Enjeux Introduction Dfinitions 4 4 5

2 LE PHASAGE DES ANALYSES DE RISQUES TECHNIQUES AVEC LE CYCLE DE VIE DUN PRODUIT ............................................................................................................................................................................... 6 2.1 2.2 2.3 2.4 2.5 3 3.1 L'identification du risque par la dfinition et l'analyse prliminaire des risques La classification hirarchique des risques suivant leur importance L'acceptation ou le traitement des risques aprs analyse de fiabilit LAnalyse des consquences pour linstrument En pratique 6 6 7 7 7

LA MAITRISE DE LA CONCEPTION................................................................................................................... 8 Par lAnalyse de la Valeur (Value Analysis) 3.1.1 Les caractristiques du besoin : 3.1.2 Les diffrentes phases de lAnalyse de la Valeur (AV) : Par des analyses complmentaires en phase de design 3.2.1 Marges en conception: analyse des contraintes subies par les composants (derating) : 3.2.2 Lanalyse Pire Cas (Worst Case Analysis): Documentation : 8 8 9 11 11 11 12

3.2

3.3 4 4.1 4.2 4.3 5 5.1 5.2 5.3 6 6.1 6.2 6.3

LANALYSE PRELIMINAIRE DE RISQUES (APR) (PRELIMINARY RISKS ANALYSIS). ......................... 14 La mesure du risque La mthodologie de lanalyse Documentation : 14 15 15

LA LISTE DES ELEMENTS CRITIQUES (CRITICAL ITEM LIST) ................................................................ 17 Dfinition La mthodologie de lanalyse Documentation 17 17 21

LA FIABILITE (RELIABILITY)............................................................................................................................. 22 Objectifs, mthodes et conditions. Modlisation et valuation des systmes 6.2.1 Principaux concepts: Les mthodes de modlisation et de traitements 6.3.1 Les Blocs Diagrammes de Fiabilit (BDF) : 6.3.2 Le graphe de Markov : 22 22 22 23 23 26

Sdf_risques _111203_SaP-AH

Page 2/ 39

6.3.3 La dtermination de : 6.3.4 La simulation de Monte-Carlo : 6.3.5 Les rseaux de Petri : 6.3.6 Les analyses de scurit par arbres dvnements (ou arbre de causes, arbre de dfaillances ou arbre de fautes) : 6.4 6.5 Les rgles de conception : Bibliographie

26 27 27 28 29 29

7 LANALYSE DES MODES DE DEFAILLANCE, DE LEURS EFFETS ET CRITICITES (AMDEC OU FMECA) ......................................................................................................................................................................... 30 7.1 7.2 7.3 Mthodologie Les rubriques de la feuille danalyse : Documents complmentaires pour le domaine spatial : 7.3.1 La mthode de Dtection, dIsolement et de Recouvrement des fonctions aprs Panne (FDIR) 7.3.2 LAnalyse des Interactions Software Hardware (HSIA). Documentation. 30 30 31 31 31 31

7.4 8 1 1.1 1.2

LES OUTILS............................................................................................................................................................. 33 2EME PARTIE : LES RISQUES DE MANAGEMENT.......................................................................................... 35 Les critres de la check-list : La check-list 1.2.1 Risques socio-conomiques : Dgradation du climat social 1.2.2 Risques conomiques : Tout contrat (convention) doit tre pes avant signature 1.2.3 Risques politiques et priodes d'instabilit d'un pays 1.2.4 Risques gographiques : 1.2.5 Risques rglementaires : 1.2.6 Risques contractuels : 1.2.7 Risques organisationnels : 1.2.8 Risques techniques Remarques gnrales : La Mthode des 5M (diagramme dIshikawa) 1.4.1 Le Milieu ou lenvironnement 1.4.2 La Matire (en temps que support) 1.4.3 La Main duvre (le personnel) 1.4.4 Le Matriel et les Moyens : 1.4.5 Les Mthodes (dorganisation) 35 35 35 35 36 36 36 36 36 37 38 38 38 38 39 39 39

1.3 1.4

Sdf_risques _111203_SaP-AH

Page 3/ 39

1 1.1

1ERE PARTIE : LA SURETE DE FONCTIONNEMENT (SDF) Enjeux La dcouverte tardive dune erreur de conception peut induire un risque technique lourd de consquences, et entraner des surcots et des retards parfois importants pour le projet. Lapparition du risque peut aussi conduire la mise en cause de la scurit des personnes et des biens, la dgradation de lenvironnement, la perte de fonctions ou tout simplement la dgradation de limage de marque. Il faut donc identifier les risques au plus tt, ds les revues d'opportunit, dans le cycle de fabrication dun produit. Le prsent document propose de dcrire la dmarche qui est mise en uvre pour matriser les risques d'un projet. Il montre aussi, l'aide d'exemples (extraits des documents produits pour linstrument HFI du satellite Planck, traduits de l'anglais), comment initier puis conduire cette mthodologie en laboratoire.

1.2

Introduction La Sret de Fonctionnement est une activit dIngnierie qualitative et quantitative. La part qualitative correspond l'optimisation des tudes au Bureau d'Etudes; elle reprsente 70% environ de l'activit totale. Les 30% restants reprsentent la partie dite quantitative qui est consacre la matrise des risques avant fabrication partir des architectures dj labores. C'est donc la phase d'optimisation des architectures des systmes et de leur mise en uvre de faon maximiser, moindre cot, leur robustesse aux alas. La Sret de Fonctionnement est donc une action de rduction de risques et, par voie de consquences, du cot l'achvement. Elle sexerce donc essentiellement pendant les premires phases des projets, jusqu la mise en production. Cette dmarche est une partie de la dmarche gnrale qui, depuis quelques annes, est mise en uvre pour contrler la fabrication dun produit ou dun instrument donn, que l'on dsigne sous le nom d'Assurance Produit.

Sdf_risques _111203_SaP-AH

Page 4/ 39

1.3

Dfinitions Le risque est caractris par une grandeur deux dimensions nomme criticit (fig. 1.3) : - en abscisse : la svrit des effets et des consquences (parfois appele aussi gravit , ce dernier terme ne devant tre considr que comme un terme gnral). en ordonne : la probabilit doccurrence , qui peut tre quantifie.

Probabilit Risque identifi Protection Prvention 0 Fig. 1.3 Ainsi, la SdF s'exerce la fois sur la prvention et la protection. Svrit Domaine inexploitable

Sdf_risques _111203_SaP-AH

Page 5/ 39

LE PHASAGE DES ANALYSES DE RISQUES TECHNIQUES AVEC LE CYCLE DE VIE DUN PRODUIT Cest ds la conception dun produit que dbute la politique de gestion et de matrise des risques techniques lis son utilisation. Le design est vrifi plusieurs fois lors de runions ou de revues, avant la mise en fabrication. Quatre tapes majeures pour la matrise des risques : - L'identification des risques aprs analyses, Le classement en fonction de leur importance pour le projet, L'acceptation ou traitement, L'analyse des consquences sur le projet.

A noter que la matrise des risques, si elle accrot les cots de conception, aura un impact compensateur par la rduction drastique des cots de production, de mise au point et dexploitation.

RAPPEL IMPORTANT : L'EXPRESSION DE BESOIN Le besoin est tabli en commun entre les diffrents partenaires au cours de groupes de travail. Il peut tre mis en forme l'aide de techniques. Trois techniques couramment utilises pour identifier et formaliser le besoin : 2.1 L'tablissement du Cahier des Charges Fonctionnel (CdCF), lAnalyse de la Valeur (AV), lAnalyse Fonctionnelle Interne (AFI).

L'identification du risque par la dfinition et l'analyse prliminaire des risques Aprs ltape dexpression et de formalisation du besoin, lAnalyse Prliminaire de Risques (APR), est la premire tape de la politique de matrise des risques mise en uvre dans un projet. Elle sappuie sur lAnalyse Fonctionnelle Interne (AFI) (cf. tableau 3.1.4.) des diffrents sous-systmes. En pratique, c'est l'tablissement de la liste des pannes fonctionnelles possibles et des recommandations formules pour le design. Cette liste prliminaire est tablie en fin de phase A.

2.2

La classification hirarchique des risques suivant leur importance Les risques issus de lanalyse prliminaire sont classs suivant leur importance. Les plus importants pour le projet constituent la Liste des Elments Critiques. Cette liste, tablie en dbut de phase B, sera rduite au fur et mesure de la clture des actions mises en uvre pour rduire ces risques. La Liste des Elments Critiques accompagne le projet jusqu la mise en service de l'appareillage (voir 5).

Sdf_risques _111203_SaP-AH

Page 6/ 39

2.3

L'acceptation ou le traitement des risques aprs analyse de fiabilit Des analyses comparatives de fiabilit sont faites partir de diffrentes modlisations du design pour diminuer la probabilit de dfaillance. Elle vont conduire explorer la possibilit de redondances, qui est le doublement des moyens matriels et/ou en logiciels de bord. Ces analyses permettent de dcider de les traiter ou de les accepter.

2.4

LAnalyse des consquences pour linstrument En fin de phase B, la caractrisation dtaille des effets de toutes les pannes possibles sur linstrument et les actions menes pour y remdier ou en diminuer la svrit est faite. La mthode utilise est normalise : cest lAnalyse des Modes de Dfaillances, de leurs Effets et Criticits (AMDEC). Elle est limite dans un premier temps aux pannes fonctionnelles. Elle constitue un auto-test de linstrument avant sa mise en fabrication.

2.5

En pratique Le niveau dintervention sur les risques relve d'une dcision du Projet en fonction des demandes des commanditaires mais aussi des ressources et des moyens dont il dispose. Nanmoins le Chef de Projet doit avoir obtenu l'aval du Comit de pilotage sur sa politique de gestion des risques tout au long du projet. Le RAP est alors le garant de la mise en application de ces directives au sein du projet.

Sdf_risques _111203_SaP-AH

Page 7/ 39

3 3.1

LA MAITRISE DE LA CONCEPTION Par lAnalyse de la Valeur (Value Analysis) lAnalyse de la Valeur (AV) est une mthode qui permet de tendre vers loptimisation de la conception. Elle est pratique au niveau des sous-systmes. Lui sont parfois associes des analyses complmentaires, telles que lAnalyse des Contraintes et ltude du Pire Cas (cf. 3.2.2.). Cest une mthode de travail normalise par lAFNOR, qui la dfinit comme une mthode de comptitivit organise et crative visant les satisfactions des utilisateurs par une dmarche de conception la fois fonctionnelle, conomique et pluridisciplinaire . Cette dmarche est : fonctionnelle, car elle impose dexprimer le besoin en terme de finalit et non de solutions, conomique, car elle permet dintgrer trs tt les aspects cots, pluridisciplinaire, car elle fait intervenir un groupe de travail destin tablir un consensus autour des fonctions dvelopper, de leurs performances, des solutions, des cots. Elle favorise la crativit et permet un enrichissement mutuel des diffrentes personnes du groupe de travail. dun point de vue fonctionnel, en termes de services rendus : cest ce qui est aussi appel fonctions dusage. dun point de vue technologique, en termes dinnovation et dintgration: ce sont les fonctions de construction. en terme de cot (fonction cots) la fonction "pertinence du besoin", qui est la "valeur ajoute" la fonction.

Lobjectif est de rendre comptitif un produit ou une ralisation : 3.1.1

Les caractristiques du besoin : le besoin doit tre connu et justifi (juste ncessaire) et obtenu la suite dadquations et ditrations, seule, sa finalit est expose avant lanalyse, aucune solution ntant formule ce stade, le niveau dexigences doit pouvoir tre modul, dans une certaine mesure, en favorisant le dialogue avec les sous-traitants.

Sdf_risques _111203_SaP-AH

Page 8/ 39

3.1.2

Les diffrentes phases de lAnalyse de la Valeur (AV) : LAV se droule suivant 7 phases conscutives, distinctes. Le Tableau 3.1.4 montre l'ordonnancement de la dmarche.

Phases Phase 1 Orientation de l'action

Phase 2 Recherche de l'information

Phase 3 a)- Traduction des besoins connus en fonctions (avec prise en compte des cots) : Expression Fonctionnelle de Besoin. ---------------------------------------------------------------b)- Recensement des fonctions.

Activits de la phase - Validation de l'action prvue, - Dfinition des objectifs et des limites de l'action, - Dfinition des contraintes et des moyens. Inventaire, mise en commun (et en forme) des besoins et informations dans les domaines: Economique, technique et rglementaire. Besoin connu et justifi

Rsultats consigns dans le Cahier des Charges Fonctionnel ---------------------------------------------------------------c)- Travail sur les fonctions

Phase 4 Recherche d'ides et de voies de solution (phase cratrice) par :

Analyse Fonctionnelle Interne

--------------------------------------------------------------------------------Analyse des diffrentes fonctions * techniques (innovation et intgration (construction), * service rendu (usage) converti en fonctions techniques,, * cot, * pertinence du besoin (valeur de la fonction) - Recherche intuitive de fonctions, analyses des insatisfactions des produits etc.. -------------------------------------------------------------------------------- Mise en forme des fonctions : formuler avec des verbes l'infinitif, - Flexibilit, - Classement des fonctions (Hirarchisation). - Exploration des solutions possibles (arborescence fonctionnelle), - Hirarchisation des ides de solutions, - Slection d'ides par sous-systmes et consquences, - Nouveaux besoins, - Identification des risques, - Reconstruction des risques au niveau suprieur. Etude technique des solutions retenues (faisabilit, cot, risques). - Elaboration du bilan Prsentation et justification des solutions, Ralisation, suivi de la ralisation.

Phase 5 Etude et valuation des solutions Phase 6 Bilan prvisionnel, Prsentation des solutions, Dcisions. Phase 7 Ralisation, suivi, bilan

Tableau 3.1.4 Phase 1 : Lorientation de laction : Cest la phase de validation de laction avec la dfinition des objectifs, des moyens et de leurs limites. Phase 2 : La recherche dinformations : Pendant cette phase, on effectue linventaire, la mise en forme et la mise en commun des informations de nature conomique, technique et rglementaire.

Sdf_risques _111203_SaP-AH

Page 9/ 39

Phase 3 : Lanalyse des fonctions et des cots : Cette phase est celle de lexpression du besoin, comme indiqu dj au 3.1.3 et sa traduction en terme de fonctions. Le passage besoin/fonction se fait par la description des liens attendus entre le produit concevoir ou modifier, et son environnement. Actions pratiques : - recenser les fonctions de service sous forme de verbe linfinitif, - caractriser leur possibilit de flexibilit et de modularit, - ordonner les fonctions en les classant suivant la logique pourquoi/comment, - les valoriser et les hirarchiser selon leur importance, - valider la liste aprs justification. A ce stade du projet, les documents suivants dcoulent normalement de lanalyse : LExpression Fonctionnelle de Besoin (EFB) suivant la norme NF X50-151, Dcembre 1991 : Analyse de la valeur, analyse fonctionnelle - Expression fonctionnelle du besoin et cahier des charges fonctionnel Le Cahier des Charges Fonctionnel (CdCF) pour le sous-systme considr, sil na pas dj t crit. Cest la phase cratrice qui permet dexplorer toutes les solutions potentielles, de les classer et den faire une pr-slection. Le document rsultant de ces sances de travail en groupe, quand il est demand par le projet, est lAnalyse Fonctionnelle Interne (AFI). Phase 5: Etude et valuation des solutions : Cette phase comprend : - L'valuation, (effectue toujours en groupe de travail), et, en retour, de - La vrification des solutions par lidentification des risques. - La reconstruction des fonctions au niveau suprieur celui considr - La validation des solutions retenues. Les 3 dernires phases, qui sont lies entre elles par leur dmarche, peuvent tre conduites lors de la mme sance de travail. Phase 6: Bilan prvisionnel : Cest la prsentation et la justification des solutions retenues. Phase 7 : Mise en uvre des solutions techniques retenues et suivi de ralisation : Cette phase stend jusqu la mesure des carts par rapport la spcification et comprend la traabilit des rsultats.

Phase 4 : Recherche dides et de voies de solutions :

Sdf_risques _111203_SaP-AH

Page 10/ 39

3.2

Par des analyses complmentaires en phase de design Deux analyses complmentaires ayant trait surtout au design lectronique peuvent tre demandes par les responsables des projets, notamment dans le cas de projets spatiaux pour lesquels des normes spcifiques sont dites. Ces normes sont les ECSS European Cooperation for Space Standardisation applicables aux projets ESA et CNES (cf. 3.3.).

3.2.1

Marges en conception: analyse des contraintes subies par les composants (derating) : Le taux de charge maximum en fonctionnement permanent de chaque type de composant lectronique est impos par des normes. Les marges demandes sur les caractristiques intrinsques des composants doivent tre strictement respectes pour tous les composants. Ainsi les grandeurs (la puissance dissipe par ex.), sont-elles mesures et listes. La fig. 3.2.1 montre un tableau danalyse de contraintes appliques une rsistance. Une contrainte de 0,32W au lieu de 0,25W permis, nest pas admissible sans demande de drogation au prs de lautorit de tutelle.
Rf Type Description Paramtre Contrainte max. de la norme Puissance 0,5W 0,5W Taux de contrainte max. 50% 50% Contrainte Contrainte Comment. maxi applique applicable 0,25W 0,18W OK 0,25W 0,32W Non conforme. Demande de drogation

R1 R1

RNC90 10k RNC90 10k

Resist. film mtall. 0,02% Resist. film Puissance mtall. 0,02%

Fig. 3.2.1. 3.2.2 Lanalyse Pire Cas (Worst Case Analysis): Cette analyse est lvaluation des performances du produit par rapport au besoin. Elle prend en compte les drives des paramtres des constituants dues au vieillissement pendant la dure de vie. Les causes sont les jeux mcaniques, les radiations, leffet de la temprature, les variations extrmes des signaux dentre et des charges de sortie sur les composants etc. Beaucoup de ces drives sont maintenant donnes par les constructeurs des composants. A charge aux concepteurs de calculer, partir des donnes prcdentes, les contraintes maximales attendues en fin de vie et de les comparer avec celles donnes dans les normes. Ceci permet de valider les marges du produit par rapport au besoin. Trois mthodes peuvent tre utilises :

Sdf_risques _111203_SaP-AH

Page 11/ 39

ltude analytique de la fonction de transfert du produit (ex: Calcul des drives partielles au point de fonctionnement nominal ou dtermination du domaine de variation), la simulation de la fonction de transfert du produit quand elle est plus complexe traiter dun point de vue analytique, les essais, parfois destructifs, et lanalyse de leurs rsultats.

A noter que ces analyses sont trs lourdes et trs coteuses. Elles ncessitent dtre donc cibles au plus juste. La fig. 3.2.2 ci-dessous donne un exemple dAnalyse Pire Cas pour des rsistances. La table donne les conditions maximales acceptables et le R prendre en compte pour dune condition dutilisation donne.

Caractristiques imposes par la norme Type de rsistances Contrainte maxi . sur la tension Contrainte maxi . sur la puissance Temprature max. pour la puissance nominale +70C Temprature max. admissible puissance nulle +100C

Rsultats de l'Analyse Pire Cas :


Drive calcule de la rsistance (R) tenir compte dans le design. Drive de 15%

Carbone Film mtallique (RNC) Films de haute prcision (RNC90)

80%

50%

80%

50%

+125C

+150C

Drive de 2%

80%

50%

+70C

+125C

Drive de 0.1%

Fig.3.2.2. Rsultats du calcul de l'Analyse Pire Cas pour 3 rsistances de mme valeur initiale (10k), en fonction de leur nature et de leur prcision. Le rsultat, combin en terme de drive, est indiqu dans la dernire colonne. Il reflte les effets des coefficients de variation thermique diffrents et le fait que les taux de vieillissement sont diffrents selon les rsistances. 3.3 Documentation : AFAV (Association Franaise pour lAnalyse de la Valeur) http://www.afav.asso.fr/ Ouvrage gnral : de lAnalyse de la valeur au management par la valeur Editions AFNOR 1998. Nombreuses normes AFNOR dont NF EN 12973 : Management par la valeur. Juin 2000

Sdf_risques _111203_SaP-AH

Page 12/ 39

Sur le site de lESA : http://www.ecss.nl/ aprs demande dautorisation de tlchargement en ligne. Les normes ECSS-E-1005A : pour lAnalyse Fonctionnelle, ECSS-Q-60-11 et PSS-01-301 pour le "derating", et ECSS-Q-30-01 pour lAnalyse Pire Cas.

Sdf_risques _111203_SaP-AH

Page 13/ 39

LANALYSE PRELIMINAIRE DE RISQUES (APR) (PRELIMINARY RISKS ANALYSIS). LAnalyse Prliminaire de Risques est la premire tape de la politique de gestion de risques, lAnalyse de la Valeur tant considre comme une phase dtude et non danalyse de risques. Cest une analyse dductive dont les objectifs sont : 1. de forcer le projet pratiquer une dcomposition fonctionnelle de base, de tout le concept de linstrument, y compris les softs, pendant la phase de design, 2. lidentification des erreurs et des non-conformits de design en comparaison aux spcifications dorigine, 3. lidentification trs tt dans le droulement du projet, des modes de pannes possibles et en particulier des pannes effet catastrophique sur le systme, ces dernires sont traites en priorit, 4. lapport de modifications pour rduire le nombre dlments critiques et, plus gnralement, pour rduire les risques de pannes. Les rsultats attendus de lAPR : 1. une visibilit sur ladquation des spcifications dj tablies permettant la tolrance aux pannes, 2. une premire ide sur la ncessit ou pas de redonder des sous-systmes, 3. une premire ide du fonctionnement en mode dgrad aprs une panne ou aprs une mise en scurit pour danger. 4. une visibilit sur les dangers entrans par les pannes, 5. une premire justification des analyses de dtail qui sont lourdes et coteuses, 6. la mmorisation de la raison des choix techniques.

4.1

La mesure du risque Le risque est valu par lanalyste (la fonction analyste peut tre partage entre le chef de projet, l'ingnieur systme et le RAP) qui estime sa svrit en fonction des consquences de la dfaillance de la fonction considre, tant pour le systme que pour lexprience. Elle sexprime par un nombre allant de 1 et 5 : 1. catastrophique quand il y a perte de l'instrument, 2. grave quand la consquence est la perte du dispositif, 3. majeur lorsqu'il y a perte d'un sous-systme, 4. significatif , pour la d'une fonction, 5. ngligeable lorsque la dfaillance n'entrane pas de consquences.
Sdf_risques _111203_SaP-AH Page 14/ 39

Nota : - dans certaines normes de lESA, on constate que les risques 2 et 3 sont confondus et appels critiques . - dans lAPR, lorsque l'on dtecte qu'une panne peut se produire, on ne prend en compte que sa svrit et non sa probabilit doccurrence. Cette dernire sera ventuellement value par l'AMDEC. L'AMDEC peut entreprendre une analyse technique du composant, en tenant compte des conditions de sa fabrication et les probabilits de pannes qui y sont associes. 4.2 La mthodologie de lanalyse La dcomposition fonctionnelle, dj ralise (lors de l'Analyse de la Valeur ou bien est-ce distinct ?), de l'Arbre Produit, en considrant les phases oprationnelles. Elle est formalise par un tableau dont les colonnes sont : (cf. tableau 4.2.) 1. N issu de lArbre Produit, 2. les vnements redouts, 3. la svrit des pannes prvisibles, 4. lunit concerne, 5. les symptmes observables, 6. les actions de rduction de risques prvues en consquences. Cette tude est faite par le responsable Qualit (ou Assurance Produit) du projet en liaison avec le Chef de projet, lIngnieur Systme et les responsables techniques des sous-systmes et les responsables qualits (ou Assurance Produit) des sous-systmes le cas chant. Le document rsultant est diffus lensemble du Projet. LAPR nest pas formalise par des normes. Il en rsulte que les rsultats obtenus sont trs dpendants de lanalyste, d'o l'importance de l'action collective voque ci-dessus. Cette liste nest pas ractualise pendant le droulement du Projet. Elle sert de base pour constituer la liste des lments critiques. La fig. 4.2, montre la premire page de dAPR de linstrument HFI du satellite Planck. On peut remarquer que lune des pannes : rupture des tubes en fibre de carbone charge de fibre de verre qui supportent linstrument sur sa plate-forme, est effectivement catastrophique car elle entrane la perte de linstrument. Elle a la svrit 1. Elle est dite Point de Panne Unique . 4.3 Documentation : Sret de Fonctionnement des systmes industriels A. Villemeur Edition Eyrolles Paris 1987, Sur le site de lESA : lECSS-Q-30B Dependability

Sdf_risques _111203_SaP-AH

Page 15/ 39

Arborescence fonctionnelle
1. SIGNAL
SCIENFIFIQUE FROID

Evnements redouts

Moyens Svr Unit dobser it concerne vation

Actions de rduction de risques

1.1. Rptitivit du signal 1- Echantillonnage du ciel imparfaitement ralis 2 2- Dpointage - Forme du foyer du tlescope non correctement 3 optimise 3 - Erreur de positionnement par rapport LFI - Mauvais alignement des cornets avec le tlescope - Distorsions dues au dessin du tlescope - Mauvais alignement des le long de la direction de scanning du ciel - Incertitudes sur les mesures de polarisation (fuites, polarisation croise) - Non-similarit des faisceaux des voies dobservation - Centre focal des cornets en dehors de laxe focal de Planck 3- Drglements du Plan Focal dus au lancement 4- Rupture des tubes de liaison entre HFI et LFI qui le supporte 1.2- Signal scientifique/ disposition des 1- Recouvrement et/ou mauvaise rponse spectrale 2- Voies de dtection non-similaires en sensibilit cornets 3- Perte de fiabilit intrinsque /temps 4- Mauvaise frquence de modulation 3 3 3 3 3 3 3 1

HFI-S/C

- Modlisation du tlescope. Conditions de contrle du pointage. - Contrle du design, simulations. Tests de qualification spcifiques prvoir. - Plan de montage et de mise en place. Plan dtalonnage. Assurance du positionnement correct avec LFI - Plan dalignement particulier et Plan dtalonnage. - Modlisation du tlescope. Plan de test du tlescope. - Design, fabrication, simulations au sol pendant la phase d talonnage. Tests de qualification. - Design et fabrication des cornets. Plan de Dveloppement crire. Tests de qualification. - Analyse de la chane lectronique. Phase dtalonnage et de contrle en vol prvoir. Tests spcifiques de qualification. - Modlisation, talonnage, Plan dalignement. - Assurance de la rigidit du positionnement de la liaison HFI/LFI - POINT DE PANNE UNIQUE : PERTE DE LINSTRUMENT

HFI HFI HFI HFI-S/C HFI HFI HFI LFI/HFI HFI TM

(Plan dAssurance du collage des tubes)

2 3 3 3

HFI TM HFI TM HFI TM HFI-S/C

- Contrle du design, Application du Plan de Tests au sol - Tests de qualit, compensation en vol - Tests de qualit, compensation en vol - Application et vrification du Plan de Frquences

Nota: S/C = spacecraft TM = envoi de tlmesures

FPU =Unit de Plan Focal LFI = Autre instrument du satellite Planck Fig. 4.2.

Sdf_risques _111203_SaP-AH

Page 16/ 39

LA LISTE DES ELEMENTS CRITIQUES (CRITICAL ITEM LIST) Cette liste nest pas effectue suivant une norme dfinie. Elle peut tre exige par les commanditaires du Projet. Cest la deuxime tape de la politique de gestion des risques entreprise tout le long dun projet.

5.1

Dfinition Au 4.1, la classification des risques a t donne suivant les dfaillances possibles lors du fonctionnement de lappareillage : Une autre manire daborder le traitement de risques est de spcifier les risques lis aux lments en tant quels tels. Cest le but de cette liste. Un lment est dit critique quand le risque quil entrane est compris entre catastrophique et significatif . De surcrot, un lment est critique quand il sapplique aux pices : 1. non encore dveloppes, 2. dont les proprits ne peuvent tre contrles directement sans dgradation, 3. localises aux interfaces, 4. produites par des instituts non encore expriments dans les domaines concerns. Il est aussi dfini par deux critres : 1. la catgorie critique qui concerne : o A : la scurit ou la probabilit de panne dans le temps, o B : la possibilit pour l'lment de se fracturer, o C : un lment dont la dure de vie est limite. 2. sa criticalit , rpartie selon 2 groupes : Majeure (M) ou mineure (m), suivant la svrit de la panne rsultant du non fonctionnement de llment.

5.2

La mthodologie de lanalyse La liste est faite sous forme de colonnes dont le format est le suivant : 1. numro de ligne, 2. code produit (arbre produit), 3. catgorie critique, 4. criticalit, 5. identification prcis de la pice en question, 6. risques encourus, 7. activits prvues pour rendre la pice, si possible, non critique (plans de contrle etc.), 8. tat : Ouvert ou Ferm
Sdf_risques _111203_SaP-AH Page 17/ 39

9. rfrence du document attestant la clture du risque et sa date de parution. Chaque groupe est responsable de ses propres actions de rduction de risques. La liste finale est le recueil de toutes les listes des sous-systmes, remises au mme format par le responsable de l'Assurance Qualit (ou de l'Assurance Produit) du projet. Il sollicite priodiquement les responsables des sous-systmes pour sa mise jour. La diffusion de cette liste est tendue tout le projet. La fig. 5.1, page suivante, montre, titre dexemple, la premire page de la liste des lments critiques de linstrument HFI. Ce document a t valid par lAgence Spatiale Europenne, aprs correction. Les documents indiqus en dernire colonne sont des documents existants, qui appartiennent la base de donne du satellite.

Sdf_risques _111203_SaP-AH

Page 18/ 39

Arbre produit

Catgorie Critical critique it

Elment

Risque

Activit de rduction prvue

Etat Rfrence du document

REFROIDISSEUR A DILUTION (temprature de 0,1K)


1 2 PHAA PHAA A A m M Alliage HoY

Actions prendre en compte par lInstitut dAstronomie Spatiale (IAS)


Ferm

A qualifier pour une utilisation Programme dvaluation et de qualification crire spatiale

ESA. TOS-QMC rapport 00/8 Dessin prliminaire ralis

Pice en forme de T Pice redonde. Mauvais Programme dvaluation et de qualification crire pour Ouvert recevant le refroidisseur contact thermique entre le lassurance de contact thermique et mcanique correct. 18K rservoir LR1 et le (Cyclage thermique dans N2 liquide, validation du refroidisseur 18K fonctionnement, vibration basse et temprature ambiante, re-test 18K). A qualifier. Rapport crire. Dispositif de maintien des Non ouverture en vol des 3 Un programme dvaluation et de qualification a t crit Ouvert tages 0,1 et 4K pendant le doigts de blocage par le sous-traitant. Tests dbut 2003 lancement

PHAABM

A SPF

Documents sous-traitant: /PRET/PN/SG/02.45 (0) DTA/PRET///SG/01.114(1) DTA/PRET/GA/SG/02.136

PHAABM

Vis sur les platines refroidies Risque de desserrage trs Un programme doit tre propos pour calculer les couples Ferm basse temprature suivant les et faire des essais. matriaux, la nature des vis et les couples de serrages appliqus. Entretoises en fibre de - Mauvaise attach dans les Programme dvaluation et de qualification crire. Tests Ouvert carbone charge de rsine capuchons en cours polyester reliant HFI/LFI - Sensibilit aux vibrations la diffusion thermique et incertitudes sur le comportement mcanique. Platine supportant bolomtres les Mauvais centrage par rapport Design. Programme dvaluation et de qualification Ferm au Plan Focal crire pour le centrage par une mthode optique.

1- Action IAS: HFI_INST 000037

2- Procdure : Sap-GERES FM-0283-97 3-Procdure STD-91-01-IAS - Design: Note relatant le procd de collage: ANPHAAB-1000046IAS et PRPHAAB-100005-IAS - Plan Test crire

PHAAAm

- Plan de Qualification crire 1- Document dinterface fournir par lquipe en charge

PHABC

2- Directive sous-traitant A DTA/SYSO/PN/TN/02.105 3- Matrice de vrification DTA/SYSO//CA/TN/02.104 7 PHAC A m PID sur la plaque des Assemblage non correct dans Programme dvaluation et de qualification crire pour Ouvert

Sdf_risques _111203_SaP-AH

Page 19/ 39

Arbre produit
PHAD

Catgorie Critical critique it

Elment
bolomtres (ou sous plaque de dilution)

Risque
la le temps (Dcollage dvissage intempestifs)

Activit de rduction prvue


ou vrifier lassemblage des PID. Plan de validation dans le cadre du programme de tests de linstrument

Etat Rfrence du document

Isolation lectrique du plan Mauvaise optimisation de la Design. Programme dvaluation et de qualification Ouvert focal cage de Faraday crire pour lassemblage de la cage. .Analyse ralise. Vrification du design. Plan de dveloppement crire Refroidisseur par dilution Fluctuations de temprature. Assurance du fonctionnement correct de la dilution: Ouvert Programme dvaluation crire. Tests prvus sur une maquette (02-2002)

AN-PH215-200173-IAS PL-PH251-200168-IAS SP-PHACO-100044-IAS SP-PHAC212-200017-IAS PL-PHAC410-200013-IAS

PHEF

Fig. 5.1

Sdf_risques _111203_SaP-AH

Page 20/ 39

5.3

Documentation Documents de lAgence Spatiale Europenne (ESA) : ECSS-Q-20A Quality Assurance , ECSS-Q-60A Electrical, Electronic and Electrochemical Components , ECSS-Q-70A Materials, Mechanical Parts and Processes .

Sdf_risques _111203_SaP-AH

Page 21/ 39

LA FIABILITE (RELIABILITY) Les tudes de fiabilit constituent le moyen de quantifier les risques dfinis par lAPR et par la liste des lments critiques. La dtermination de la probabilit d'occurrence des risques concerns va permettre de statuer sur lopportunit de les traiter ou de les accepter. Cest la 3me tape de la gestion de risques dun projet.

6.1

Objectifs, mthodes et conditions. Lobjectif est dvaluer diffrentes architectures possibles en comparant leurs performances au moyen de donnes statistiques. Pour ce faire, la mthode employe doit tre suffisamment riche pour dcrire le fonctionnement du produit, mais, cependant, la plus simple possible pour que le projet puisse contrler lvaluation qui est faite. La mthode gnrique universelle pour faire ces tudes nexiste pas. Les limites sont dune part lutilisation abusive danalyses quantitatives complexes pour justifier les risques qui sont difficiles mesurer, et dautre part, la tendance rejeter toute quantification qui peut conduire des architectures incohrentes. Cela reste un outil trs utile d'valuation relative des diffrentes solutions techniques.

6.2 6.2.1

Modlisation et valuation des systmes Principaux concepts: La fiabilit R : (Reliability).

Cest laptitude dun produit accomplir une fonction requise pendant un intervalle de temps donn. Cest la probabilit que le produit ne soit pas dfaillant sur lintervalle (0,t). Elle est dfinie partir du taux de dfaillance qui varie avec le temps comme indiqu sur la courbe suivante de la fig. 6.2.1 (Courbe dite en baignoire .
Courbe "en baignoire"

( t)

Jeunesse Dbut des operations Vie utile Usure

temps Pannes alatoires : environnement et utilisation. Remde : marges, derating. Fig. 6.2.1

Sdf_risques _111203_SaP-AH

Page 22/ 39

On montre que pour un systme, dont ce taux de dfaillance est constant dans le temps, c'est-- dire pendant la priode de vie utile : R=e-t La maintenabilit : (Maintainability). Cest laptitude dun produit tre maintenu ou rpar. Cest la probabilit que la maintenance soit acheve linstant t, sachant que le produit est dfaillant linstant initial. La disponibilit : (Availability). Cest laptitude accomplir une fonction requise un instant donn, caractrise par la probabilit que le produit ne soit pas dfaillant linstant t. La scurit (Safety) Cest laptitude dun produit ne pas entraner de dommages graves aux personnes, lenvironnement ou aux biens. Caractris par sa probabilit. Remarque : Les 4 concepts que sont la Fiabilit, la Maintenabilit, la Disponibilit, et la Scurit) sont des analyses qui sont souvent groupes, notamment dans les logiciels, sous le terme de FDMS ou RAMS. Le fonctionnement se caractrise par les paramtres suivants : o le MTTF (Mean Time To Failure) : dure de bon fonctionnement avant la premire dfaillance , o le MUT (Mean Up Time) : dure moyenne de bon fonctionnement , o le MDT (Mean Down Time) : dure moyenne dindisponibilit, o le MTTR (Mean Time To Repare) : dure moyenne de rparation, o le MTBF (Mean Time Between Failure) : dure moyenne entre 2 dfaillance conscutives. 6.3 Les mthodes de modlisation et de traitements Lvaluation repose sur lemploi dune mthode de modlisation couple une mthode de traitement. 6.3.1 Les Blocs Diagrammes de Fiabilit (BDF) : Le BDF est une reprsentation des lments qui participent la ralisation des diverses fonctions dun produit, sous la forme de blocs rectangulaires, en srie ou parallle, lis entre eux. Le fonctionnement est assur tant que la chane nest pas rompue par la dfaillance de certains blocs. La fiabilit de la chane est calcule et diffrentes redondances sont simules pour augmenter sa fiabilit. Les types de redondances sont : o la redondance active M parmi N : les N lments en redondance fonctionnent simultanment, sachant que seulement M lments sont ncessaires pour assurer le service attendu. la redondance passive M parmi N : M-N lments sont des lments de rechange.

Sdf_risques _111203_SaP-AH

Page 23/ 39

o o

les redondances chaude/froide : Elles caractrisent ltat nergtique dun systme. le cross-strapping : qui partage les circuits en lments redonds individuellement. Simple en apparence, en fait, il introduit le ralentissement des informations et des risques de non-fonctionnement qui sont lis l'activation du commutateur.

Limite de la mthode : La BDF est une mthode simple, dont la symbolique sest rcemment enrichie pour tenir compte des taux de rparation aprs panne, des taux dutilisation pour les lments actifs, de ressources supplmentaires quand la redondance est active. La modlisation doit se faire avec soin pour tenir compte la fois des pannes dites Avant qui sont des fonctionnements intempestifs et des pannes Retard ou absence de fonctionnement. La Fig. 6.2.3 ci-aprs montre un exemple de calcul de la fiabilit du circuit numrique du Data Processing Unit (DPU) ou Unit de traitement de donnes avant lenvoi des informations terre du satellite Planck. La reprsentation du DPU avec ses 4 interfaces (I/F) et le convertisseur DC/DC par la mthode des blocs diagrammes de fiabilit est montre sur cette figure. Chaque bloc diagramme rectangulaire correspond un ensemble de fonctions du soussystme et est trait en tant que tel. Les valeurs de sont donnes dans la littrature. La fiabilit du DPU ainsi calcule est 0,9538 pour 2 annes de fonctionnement. Dans la Fig. 6.2.4., on a considr toute la chane lectronique du satellite hormis la partie analogique de dtection. Chaque ensemble de fonctions, auquel correspond physiquement un botier lectronique, est reprsent par un bloc diagramme, le DPU prcdent, constituant un des sous-systmes. La chane ainsi constitue est prsente sur la Fig.6.2.4. Deux versions sont prsentes: L'une sans aucun lment en redondance. La fiabilit de la chane est 0,8676, L'autre avec 2 sous-systmes en redondance (lecture des signaux de dtecteurs dune part et, d'autre part, traitement et acquisition numrique de la carte des signaux dans les conditions o il n'y a pas de cross-strapping). La fiabilit atteint maintenant 0,94043.

Sdf_risques _111203_SaP-AH

Page 24/ 39

DPU
I/F REU Processeur DPU Convertisseur DC-DC Distributeur 300 fits 1000 fits 500 fits 300 I/F S/C Vers S/C

I/F REU

DPU
Processeur

DC/DC
Convertisseur

I/F S/C

I/F 0,1k

I/F 4KCDE

fits

300 fits

300 fits

I/F 0,1 K I/F 4K CDE

Fig. 6.2.3 Exemple de reprsentation dun sous-systme lectronique par la mthode des blocs diagrammes. Le cadre carr de gauche appel DPU (Unit de traitement de donnes) est reprsent droite par lensemble des petits rectangles relis entre eux. Comme tous les lments fonctionnent simultanment, ils sont donc reprsents en srie sur le schma. Nota : Les valeurs de sont exprimes en fits (1 fit gal 10-9 pannes/h). (Pour information, les autres acronymes des diffrents modules utiliss ici sont I/F : interface, REU : Unit de lecture lectronique, 4KCDE : Commande dlectronique de refroidisseur 4K, 0.1K : refroidisseur dilution 0,1K, DC/DC : Convertisseur courant continu).

Sdf_risques _111203_SaP-AH

Page 25/ 39

REU

DPU

DCE

4KCE

SCE
Vers le S/C

Vers la chane analogique

Redondance srie

Redondance srie

REU

DPU

DCE

4KCE

SCE

Vers la chane analogique

Evnemen l

Redondance passive 1/2

Redondance Redondance srie srie

Redondance passive 1/2

Fig. 6.2.4 Exemple de simulation de fiabilit: (a) sans et (b) avec redondance sans cross-strapping de la partie lectronique dun instrument. Chacun des modules est trait de la mme faon que pour la figure 6.2.3. La fiabilit 2ans passe de 0,8676 0,94043 en redondant le couple de soussystmes REU/DPU. Cette configuration est celle qui a t ralise.

6.3.2

Le graphe de Markov : Le traitement du graphe consiste calculer le vecteur probabilit de trouver les diffrents tats du systme t. Il est utilis pour dcrire le comportement dynamique dun produit par la reprsentation matricielle des tats du systme. Cette mthode est maintenant combine avec la prcdente dans des logiciels de simulation. Cependant dans ce cas, il faut que les taux de transition entre tats soient constants, ce qui exclut le fonctionnement quand le taux de pannes varie avec le temps (jeunesse des dispositifs ou fin de vie avec usure).

6.3.3

La dtermination de : Les rsultats des calculs de fiabilit dpendent des valeurs des taux de fiabilit qui sont prises pour les calculs. Ces valeurs sont souvent tabules. Cependant, elles nexistent pas toujours, notamment, dans le domaine de la mcanique. Ces tables indiquent parfois des valeurs diffrentes pour les mmes composants lectroniques, bien que les modles prvisionnels soient maintenant recals les uns par rapport aux autres. Un vaste champ de recherche sest cre sous limpulsion des industriels et est relay par le monde universitaire et les coles dingnieurs, sous forme de rseaux,

Sdf_risques _111203_SaP-AH

Page 26/ 39

afin doptimiser les mthodes de dtermination de . Les facteurs pris en compte sont : le retour dexprience et le traitement statistique qui lui est associ, les essais de fiabilit (tests de vie, cyclage thermiques, essais de fatigue) sous contrainte acclre, suivant des modles et des lois pr-tablies, la physique des dfaillances dans laquelle le mcanisme de dfaillance est modlis par une loi physique analytique, les avis dexperts, la prise en compte de paramtres empiriques ou prvisionnels etc.

Dune faon gnrale, les mthodes baysiennes font intervenir des combinaisons de donnes statistiques bases sur la probabilit totale des diffrentes causes de nature diverses. Elles sont de plus en plus employes en simulation et diagnostic. Deux autres mthodes sont en dveloppement : Les algorithmes gntiques, Les rseaux de neurones.

6.3.4

La simulation de Monte-Carlo : Elle est utilise en SdF quand un systme savre trop complexe pour pouvoir tre trait par les 2 mthodes prcdentes combines. Son principe consiste simuler un grand nombre de fois le comportement dynamique des composants dun systme afin dvaluer ses caractristiques de fonctionnement, en reconstituant ltat total. Les inconvnients : la prcision est lie au nombre de simulations effectues, le traitement est long et peut difficilement sappliquer aux vnements rares

la mthode peut faire lobjet de dveloppements logiciels spcifiques contrairement aux mthodes prcdentes qui utilisent des logiciels du commerce.

6.3.5

Les rseaux de Petri : Un rseau de Petri est constitu de places, transitions et arcs, qui vont reprsenter successivement les proprits du systme modliser lors de ses changement dtat, travers les relations place/transition. Coupls la simulation de Monte Carlo, ils permettent dvaluer la fiabilit/disponibilit de systmes divers et notamment dans le domaine de lautomatique et de la productique en considrant des transitions dterministes ou alatoires. Le pouvoir de modlisation de cette mthode est trs riche, mais demande en contrepartie une grande matrise du processus de modlisation de la part de lanalyste qui doit en tre expert.

Sdf_risques _111203_SaP-AH

Page 27/ 39

6.3.6

Les analyses de scurit par arbres dvnements (ou arbre de causes, arbre de dfaillances ou arbre de fautes) : Le but est de reprsenter graphiquement les combinaisons dvnements de base qui entranent la ralisation dun vnement (risque) indsirable. Ces vnements de base peuvent tre des pannes, des erreurs humaines, des conditions extrieures pour lesquelles des donnes probabilistes sont ou ne sont pas disponibles. Elles ont pour ordre le nombre dvnements qui les constitue. La reprsentation des vnements et des portes logiques seffectue par lintermdiaire dune symbolique synthtique. Le traitement mathmatique permet de calculer la probabilit de larbre sommet lorsque des donnes probabilistes sont disponibles. Nanmoins, en pratique, cette mthode est dlicate appliquer pour des systmes complexes. La fig. 6.2.5 ci-dessous montre un exemple darbre dvnements conduisant la perte dun systme. Les lments sont reprsents par des symboles (cercles, losanges, triangles, maison) auxquels sont associes des portes logiques : "et", "ou", "non-ou". On recherche la plus petite combinaison possible d'vnements de base conduisant l'vnement au sommet. Dans le cas de cette figure, les vnements de niveau immdiatement suprieur apparaissent si "d et non(g) et non(h)" se produisent ou de la mme faon "e et non(g) et non(h)" et galement "f et non(g) et non (h)" se produisent. 3 lments sont chaque fois mis en cause, la coupe est alors dite d'ordre 3. Nota: Pour un Point de Panne Unique, l'ordre est 1. Dans le cas gnral, toutes les coupes minimales sont dtermines lors de l'analyse. Elles peuvent tre ensuite classes par ordre d'importance et par probabilit.

Perte Systme Porte ET

b
Redondance Redondance passive 1/2 1/2 passive

c
Perte E2 Porte OU Porte NON OU

Perte E1

d
Perte tension 1

e
Ffaillance B

f
Dfaillance B

g
Redondance E2

h
Survie E2

Dfaillance de base (perte)

Dfaillance suppose de base

Survie

Fig. 6.2.5 Exemple de symboliques


Sdf_risques _111203_SaP-AH Page 28/ 39

6.4

Les rgles de conception : Les fonctions nominales et redondantes si elles doivent tre implantes sur une mme carte, doivent tre spares physiquement (loignement sur la carte, sparation mcanique, drain thermique etc.), moins que labsence de risque de propagation de panne entre partie nominale et partie redondante ne soit dmontr. Les mcanismes de dtection des pannes ou de protection doivent tre indpendants des fonctions surveilles ou protges.

6.5

Bibliographie 1- Ouvrages gnraux : Fiabilit des systmes : A. Pags et M. Gougran Edition Eyrolles Paris 1980, Sret de Fonctionnement des systmes industriels : A. Villemeur Edition Eyrolles Paris 1987 Cours de Technologie Spatiale Vol1 Editions Cpadues Toulouse 1998 Handbook of Reliability Engineering Editions Springer Les rseaux baysiens : P. Naim et A. Becker Editions Eyrolles

2- Recueils de donnes pour la dtermination de et modles de fiabilit : MIL HDBK 217F du Department of Defense pour les composants militaires, RDF 99 du CNET (UTE 80810) pour les composants lectroniques commerciaux, Lambdathque du STPA-SOPEMEA GIFAS, Donnes du Reliability Analysis Centre (RAC), CABTREE: Saisie d'arbres de fautes http://perso.wanadoo.fr/andre.cabarbaye/fr/cabtree2.htm

Sdf_risques _111203_SaP-AH

Page 29/ 39

LANALYSE DES MODES DE DEFAILLANCE, DE LEURS EFFETS ET CRITICITES (AMDEC OU FMECA) Cette analyse constitue la 4me tape de laction en rduction de risques. Cest l'analyse inductive de recherche des effets des pannes des composants sur les soussystmes et le systme. La "criticit" qui est la probabilit doccurrence des pannes, nest pas calcule lorsque lanalyse seffectue au niveau fonctionnel, ce qui est gnralement le cas, sauf demande expresse du Projet (pannes intrinsques des composants). Comme pour les autres tapes de la politique de gestion des risques techniques, les pannes sont donc caractrises par leur composante svrit . On parle alors dAMDE. En fait, le sigle AMDEC est gnralement usit, mme lorsque la probabilit doccurrence nest pas calcule. L'AMDEC dite composant, qui est l'tude de la probabilit de dfaillance d'un composant suivant sa technologie n'est pas expose ici.

7.1

Mthodologie LAMDEC se pratique, comme lAnalyse de la Valeur, en groupe de travail dirig par un animateur. La mthode comprend 4 tapes que lon va retrouver dans le formalisme : 1- une revue aussi dtaille que possible, partir de lAPR, des possibilits de pannes (dgradation dans le temps ou rupture brutale) pour chaque fonction de lquipement et des interfaces, 2- pour chaque panne identifie, dtermination des causes et des effets (dommages et interfrences) sur les autres sous-systmes en terme de svrit (voir 4.1), 3- la dtermination des moyens de dtection et de recouvrement de la fonction en question, 4- des propositions daction pour supprimer la panne. Particularits : pour les interfaces : lanalyse est dtaille jusquau niveau composant, lAMDEC sapplique galement aux logiciels et aux interfaces logiciels/matriel ds le dbut de lcriture des logiciels et constitue une analyse spcifique complmentaire, les recommandations sont dites sous forme de liste d'actions, les recommandations proposes peuvent tre rejetes aprs tude et d'autres propositions faites en retour.

7.2

Les rubriques de la feuille danalyse : 1- Le numro dordre pour le sous-systme considr suivant larbre produit, 2- La fonction considre, 3- Le mode de panne suppos (souvent plusieurs possibles par fonction), 4- La cause la plus probable de chaque panne,

Sdf_risques _111203_SaP-AH

Page 30/ 39

5- Les symptmes observables : effet local, 6- Les symptmes observables : effet amont, 7- Les symptmes observables : effet final, 8- Les mthode de dtection de la panne au niveau considr, 9- La svrit suivant 4.1 10- La mthode employe pour isoler la panne, 11- La mthode utilise pour recouvrer la fonction en fonctionnement normal, 12- Les remarques et recommandations aux concepteurs. A lanalyse est joint un tableau rassemblant les principaux modes de pannes et leurs consquences. Il est souvent crois avec la Liste des Elments Critiques, qui est ractualise en consquences. La fig. 7.2, montre une page de l'analyse AMDEC ralise pour lUnit de Traitement des Donnes (DPU) du satellite Planck. Cet exemple complte ltude faite pour la redondance (Fig. 6.2.3 et 6.2.4). On voit, en particulier, que pour une mme fonction de la RAM programme, qui concerne le stockage du programme dapplication, 3 pannes systmes ont t analyses (n5, 6, 7). On constate que la svrit de ces pannes varie fortement (de 1 4), avec pour 1, la ncessit de passer en redondance. 7.3 7.3.1 Documents complmentaires pour le domaine spatial : La mthode de Dtection, dIsolement et de Recouvrement des fonctions aprs Panne (FDIR) Les agences spatiales demandent que les mthodes de dtection, disolement et de recouvrement des fonctions aprs pannes soient formalises dans un document de synthse. Cette analyse est dduite de lAMDEC. Elle fait apparatre la logique de gestion des pannes. 7.3.2 LAnalyse des Interactions Software Hardware (HSIA). Elle caractrise les risques dus l'utilisation de logiciels avec le matriel, chaque tage et pour chaque systme. Cest aussi une analyse complmentaire, en grande partie dduite de lAMDEC, dont il reprend le formalisme. 7.4 Documentation. Normes NFX60-510, CEI 812, ESA ECSS-030-02A FMECA, Jurans Quality Handbook, Ed Mac GrawHill (ISBN-0-07-0340023-X) Mthodes et outils de gestion qualit WEKA (ISBN-2-7337-0139-8) MIL-STD-1629A Military Standard Procedures for performing a failure mode, effects and critically analysis,
Page 31/ 39

Sdf_risques _111203_SaP-AH

Nu m.
1

Elment
PROM de boot

Fonction
Stockage du programme de boot

Mode de panne suppos


Dfaillance permanente mot/bit Dfaillance permanente dun bloc/composant Dfaillance permanente mot/bit

Cause la plus probable

Effets locaux
Lecture errone dune instruction

Effet au niveau suivant


Crash du programme de boot ou mauvaise excution Crash du programme de boot ou mauvaise excution

Effets finaux
Unit de traitement de donnes hors dusage Unit de traitement de donnes hors dusage

Mthode de dtection des pannes


Absence de communication watchdog Absence de communicationWatchdog. Checksum derreur

Mthode de Svrit/ Remarques/ Mthode Redonda recouvremen disolation Recommendations nce t en vol
1 Non Redondance Faible probabilit doccurrence

PROM de boot

Stockage du code du programme de boot

Lecture errone dune instruction

Non

Redondance

Faible probabilit doccurrence

EEPROM

EEPROM

RAM programme

Stockage de la version par dfaut et de la nouvelle version du programme dapplication (code et constantes) Stockage de la version par dfaut et de la nouvelle version du programme dapplication (code et constantes) Stockage du programme dapplication Stockage du programme dapplication Stockage du programme dapplication

Perte de lintgrit du soft de bord

Non

Correction derreur

Dfaillance permanente dun bloc/composant

Non stockage de version(s) du soft de bord

Cas 1 : pas dexcution du programme dapplication aprs reset Mauvaise excution ou crash du programme dapplication Mauvaise excution ou crash du programme dapplication Mauvaise excution ou crash du programme dapplication

Fonctionnem ent de linstrument en mode dgrad

Checksum derreur

Non

Envoi dun patch du programme dapplication en RAM aprs chaque reset Reset du watchdog RAM et processeur Rechargement du programme dapplication Redondance

Pas despace pour le programme dapplication

Basculement temporaire dun bit Dfaillance permanente dun bloc troit Dfaillance permanente dun bloc tendu Basculement temporaire dun bit Dfaillance permanente dun bloc troit

Upset dun vnement simple (SEU) (ion lourd)

Lecture errone dune instruction

Watchdog Test du programme de boot

Non

RAM programme

Lecture errone dune instruction

Watchdog Test du programme de boot

Non

RAM programme

Lecture errone dune instruction

Unit de traitement de donnes hors dusage

Watchdog Test du programme de boot

Non

Le programme de boot ne peut envoyer que des paquets de diagnostic

RAM de donnes RAM de donnes

Stockage de variables et de constantes Stockage de variables et de constantes

Upset dun vnement simple (SEU)

Mauvaise lecture de donnes Mauvaise lecture de donnes

Contrle de parit

Contrle de parit

Marquage des donnes corrompues Non

Reset du processeur et de la RAM si besoin Rechargement Interdiction daccs des donnes au bloc concern

Fig. 7.2

Sdf_risques _111203_SaP-AH

Page 32/ 39

LES OUTILS Un certain nombre de logiciels du domaine de la SdF et de la qualit en gnral, y compris pour le contrle et lamlioration des processus de fabrication, sont nots cidessous titre indicatif. Leur ergonomie est trs variable et tous ne possdent pas des bibliothques de donnes, ce qui rend leur utilisation difficile sans la prsence du concepteur. Des informations peuvent tre obtenues sur les sites suivants (06-2003) : http://www.gfi.fr - ARALIA WorkShop(Sim-Tree, Hva) dvnements. - MOCA-RP, SCARABEE - CECILIA WorkShop OCAS (ARBOR) (par Arbres de Dfaillances) http://www.sofreten.fr SOFIA dysfonctionnements, AMDEC, arbre de fautes http://www.minitab.com MINITAB : statistiques en qualit : matrise statistique des procds, analyse de fiabilit. http://www.sigmaplus.fr Logiciels de statistiques (MODDE, STATGRAPHICS, SIMCA, MULTISIMPLEX, SYNERGY 2000) http://www.gpc-system.com Dtection des anomalies http://www.cabinnovation.fr SUPERCAB, CABTREE, SIMCAB http://www.itemuk.com ITEM TOOL KIT dont MIL STRESS http://www.relexsoftware.com RELEX http://www.ligeron.com http://rac.alionscience.com SELECT http://www.calce.umd.edu CADMP II http://www.norsys.com Netica Rseaux baysiens RAMS lectronique RAMS RAMS RAMS RAMS RAMS Analyse fonctionnelle et Arbres de dfaillances et Boites de Ptri Conception et Analyse Systme

Sdf_risques _111203_SaP-AH

Page 33/ 39

http://rdsoft.edf.fr/ fig.Seq KB3 MTTF, Fiabilit, indisponibilit Dpendabilit

Sdf_risques _111203_SaP-AH

Page 34/ 39

2EME PARTIE : LES RISQUES DE MANAGEMENT Les risques de management doivent tre pris en compte au mme titre que les risques techniques avant la mise en route du systme. Ces risques sont ceux lis au fait que les performances, les cots et les dlais ne sont pas tenus pour des raisons autres que les raisons purement techniques. Par opposition ces derniers risques techniques, ils sont aussi appels risques gnraux du projet. Ds le dbut dun projet, les risques gnraux sont valus au moyen dune checklist. Le rsultat attendu est la prise de dcision laide de procdures.

1.1

Les critres de la check-list : Les critres sont les suivants : la taille (en termes de cots, ressources humaines, nombre de laboratoires, nombre d'interfaces) du projet par rapport ceux dj mens, la difficult technique (linnovation, les comptences trouver) et le domaine technique abord (un projet terrestre est moins formel quun projet spatial, etc.) lis la complexit du projet, le degr dintgration du projet, la configuration organisationnelle, la stabilit et la comptence des membres du projet.

1.2

La check-list Cette mthode intuitive permet dexaminer, catgorie par catgorie, le type de risque de management et les procdures appropries :

1.2.1

Risques socio-conomiques : Dgradation du climat social Parade : Etude de march pralable, associer les utilisateurs au dveloppement.

1.2.2

Risques conomiques : Tout contrat (convention) doit tre pes avant signature - Evolution des barrires douanires - Inflation : - Taux de change : La prvoir au budget. Choisir une approprie. unit montaire

- Contraintes conomiques lies au protocole daccord ou par la convention ou le contrat : Ngocier pour limiter les risques. - Protocole daccord ou MOU mal tabli : Etablir un comit de lecture avant approbation. - Hausse des prix : Tenter une prvision de leur volution.

Sdf_risques _111203_SaP-AH

Page 35/ 39

1.2.3 1.2.4

Risques politiques et priodes d'instabilit d'un pays Risques gographiques : - Lgislation sur lenvironnement : - Climat : En prendre connaissance. Evaluer au pralable ses consquences partir des donnes antrieures. Sinformer au pralable de cette possibilit.

- Catastrophe naturelle : 1.2.5 Risques rglementaires :

- Non connaissance des codes et rglements appliquer et de leur consquence (dure et cot) : Sinformer auprs dexperts. - Evolution de la rglementation en vigueur :Se tenir inform de la rglementation. 1.2.6 Risques contractuels : - Protocole daccord ou convention ambigus : limite des prestations non dfinies : Formaliser le Plan de Management et le Plan des Tches (WBS). - Interventions intempestives : Plan de Management. Les faire signature. - Nature et dure des engagements pris : - Dfection des sous-traitants : expliciter avant - Manque de clart des clauses de rsiliation et darbitrage :

Peser ltendue des prestations. Vrifier leur certification et les auditer avant contrat (cf. sant financire de la socit).

1.2.7

Risques organisationnels : - Incohrence des procdures de gestion de projet : Plan de Management. - Manque de coordination dans le projet : Revoir lorganisation du projet et le Plan de Management.

- Dilution importante des responsabilits : Plan de Management concis (un seul responsable par tche ou lot de travaux).

Sdf_risques _111203_SaP-AH

Page 36/ 39

- Faiblesse des structures en place et de la prise de dcision : Revoir le Plan de Management. - Communication interne insuffisante : Crer au besoin un Plan de Communication et de Gestion de Documentation (sil na pas t rdig). Revoir le Plan de Management. - Runions projet inadquates : Diffrencier dAvancement techniques. les des Runions Runions

- Importance excessive des procdures de concertation :

- Prdominance excessive dun acteur du Projet : Marquer la dfinition des fonctions (Revoir au besoin le Plan de Management). - Mobilisation difficile des ressources : Le faire ressortir ds que possible dans le planning.

1.2.8

Risques techniques - Evolution ou fluctuation du besoin : Le besoin doit tre fig en phase B. Affirmation par responsables en phase B. - Absence de coordination aux interfaces : Dossiers dinterfaces responsables dsigns. - Manque dexprience antrieure dans une technologie : Trouver les spcialistes ou les former. - Technologies trop innovantes : - Technologie en obsolescence : Maquetter ou prototyper et valider les processus. Analyser les inconvnients. Etudier compltement les consquences des transferts au besoin au moyen dun modle. - Combinaison de procds non matriss : Revue de Procds. - Evolutions du projet non matrises : Grer la configuration selon le Plan avec

- Manque de dcisions entre choix techniques possibles :

- Transferts de technologies non tudies srieusement :

Sdf_risques _111203_SaP-AH

Page 37/ 39

- Non-conformits non matrises : - Conception trop complexe : - Fabrication impossible :

Mettre en place les procdures prvues pour leur traitement. Revue de conception. Revue ddie avant la (Critical Design Review). CDR

- Reproductibilit en fabrication difficile : Idem. - Procdures de suivi de fabrication non adaptes au produit : Plan de suivi de fabrication. 1.3 Remarques gnrales : 1 Le dcoupage du projet en tches et lidentification des interfaces autorise des revues ponctuelles. Celles-ci rduisent les risques techniques de conception et de fabrication. La division du projet en phases qui se closent par des revues gnre un dveloppement progressif du produit : en effet, les dcisions sont prises en considrant les risques que les revues font ressortir. La gestion de configuration et de documentation assurent la cohrence entre conception et ralisation et interdisent des volutions non matrises. Le suivi au jour le jour du budget et du planning au niveau de la direction du projet dtectent trs rapidement toute dviation et value les consquences.

3 4

1.4

La Mthode des 5M (diagramme dIshikawa) Cest une autre mthode plus analytique qui permet de rechercher parmi le Milieu, la Matire , la Main duvre, les Moyens, les Mthodes, les causes possibles dun risque potentiel.

1.4.1

Le Milieu ou lenvironnement Les paramtres qui vont influer sur lenvironnement sont : lespace, limplantation, les distances, la proximit, la temprature et le bruit, la propret et le nettoyage, lencombrement et lespace.

1.4.2

La Matire (en temps que support) lnergie, les consommables, les composants, les pices avec leur traabilit (documents, formulaires, imprims), les conditions dapprovisionnement,

Sdf_risques _111203_SaP-AH

Page 38/ 39

1.4.3

les conditions de fabrication et de transport (normes, puret, tolrances, conditionnement, conditions de transport).

La Main duvre (le personnel) les oprateurs : leur aptitude, leur formation, leur motivation, leurs attitudes au travail, les comportements individuels et en groupe, les relations entre travailleurs et la communication interne, le soutien de lencadrement.

1.4.4

Le Matriel et les Moyens : ltat des machines outils et des outillages, la technologie des outils, les quipements, leur accessibilit, leur taux dutilisation et leurs modes opratoires, le magasinage, lemballage et la distribution des divers quipements fabriqus.

1.4.5

Les Mthodes (dorganisation) les procdures internes et les circuits de diffusion de linformation, les consignes et les instructions, les procds de fabrication, la documentation disponible, les exigences, les standards appliquer et la concision des directives appliquer.

http://qualite.in2p3.fr/telechargement/telechargement/pdf/recommandation/Sdf_risqu es%20_111203_SaP-AH.doc

Sdf_risques _111203_SaP-AH

Page 39/ 39

Vous aimerez peut-être aussi