Vous êtes sur la page 1sur 12

Novembre 2004 Le magazine Schneider Electric de l'enseignement technologique et professionnel

La Sret de Fonctionnement (SdF)


Les proccupations dites de scurit sont trs prsentes dans le monde des machines outils ou dans les procds continus comme la ptrochimie. Dans les applications de type manufacturier ou batch, les proccupations sont plutt lies la disponibilit. Ds lors que la scurit ou la disponibilit d'un systme est mise en dfaut, on incrimine sa fiabilit. Enfin, en cas de dysfonctionnement, il convient de remettre le systme en conditions de fonctionnement initial : c'est l qu'intervient la maintenabilit. Ces quatre caractristiques constituent la sret de fonctionnement d'un dispositif.

p.1
Historique

Historique
Jusqu la Renaissance et au-del, on a toujours pens que la fiabilit dune chane reposait sur celle de son maillon le plus faible. Ainsi, si R tait la fonction de fiabilit (ou de survie), alors en fonction du temps, on pensait pouvoir crire : Rchane (t) = Min1 i nRi(t), o les items indexent les n maillons de la chane. Or, il s'est avr que, dans une chane, ce ntait pas systmatiquement le maillon le plus faible qui se rompait en premier. La fiabilit de la chane est alors devenue une certaine fonction de la fiabilit de ses maillons, les plus faibles participant davantage que les plus solides lventualit dune rupture.

p.4
Les fondamentaux de la sret de fonctionnement Les tudes de sret de fonctionnement

p.7
Les donnes de fiabilit La normalisation

Lpoque moderne
Par la suite, des problmes de fiabilit se sont poss lors de la conqute de lOuest. Les composants mcaniques les plus critiques de lpoque taient les roulements billes des locomotives vapeur ! De mme, les freins de ces mmes locomotives, en service entre 1861 et 1883, seront abandonns pour des problmes de fiabilit, notamment sur les connexions lectriques entre les wagons, et les premiers freins

p.9
Lexique

Intersections - novembre 2004

pneumatiques les remplaceront. Ceux-ci sont toujours dactualit. La houille blanche, cette nouvelle nergie lectrique, va constituer une formidable source de puissance quil va rapidement falloir apprendre domestiquer et fiabiliser. Les premiers appareils construits dans cette optique (transformateurs, lignes de tension, interconnexions de lignes) vont permettre de diffuser lnergie grce la mise en redondance et lamlioration des matriels, mais engendreront des problmes de sret dramatiques. Cest labsence pralable dtude de sret approfondie qui cotera au mtro parisien ses 84 morts en 1903, puis au Titanic son naufrage en 1912. Durant la 1re Guerre Mondiale, les bateaux construits rapidement pour amener les soldats amricains sur le sol europen ne rsisteront que trs difficilement aux eaux geles de lAtlantique Nord, subissant beaucoup de fissures dans les coques et de multiples naufrages.

Les annes 1930


Ds 1930, les transports ariens commencent collecter des informations statistiques sur les moteurs et les accidents des appareils. Les premiers objectifs quantifis sont promus par le capitaine A.F. Pugsley de la 7me brigade dinfanterie canadienne, entre 1939 et 1942, avec un taux de dfaillance valu 10-5/h pour les avions, dont 10-7/h pour leur structure.

Les annes 1940


Les annes 1940 voient le formidable essor des techniques de fiabilit. En Allemagne, W. Von Braun met au point ses V1 et revient sur lide que la fiabilit dune chane est celle de son maillon le plus faible, en essayant de prouver que la fiabilit dune chane est la moyenne de la fiabilit de ses constituants. Les essais montreront que cette hypothse tait galement errone. Cest Eric Pieruschka qui va finalement donner la formule de calcul de la fiabilit dune chane : Rchane(t) = P1 i nRi(t). La probabilit de survie dune chane une date t arbitraire est le produit des probabilits de survie de chacun de ses composants cette date, dans lhypothse o lesdits composants sont indpendants les uns des autres. Aux Etats-Unis, pendant ce temps, les nouvelles techniques permettent de gagner un facteur 4 sur la dure de vie des moteurs de traction des locomotives, pour dpasser le million de miles. Puis nat, en 1949, la loi de Murphy, peut-tre mieux connue sous le nom de "loi de l'empoisonnement maximum" ou "loi de la tartine beurre" : ds qu'il existe une possibilit que les choses tournent mal, elles tournent mal !

E. Murphy, l'ingnieur amricain amateur de philosophie qui formula cette loi, ne voulait pas en donner une impression si pessimiste. Il cherchait simplement s'assurer que ce qui venait de lui arriver ne se reproduirait jamais. Le capitaine Murphy, alors affect au projet MX981 de l'arme amricaine, venait d'achever une srie de tests sur un avion raction. Il devait, par ailleurs, tudier les consquences de la dclration brutale sur les pilotes d'essai. Il avait donc mis au point une combinaison quipe de 16 capteurs de mesure rpartis sur le corps du pilote. Murphy savait pouvoir y accorder sa totale confiance, mais ce jour-l aucun des capteurs n'enregistra la moindre information. Les vrifications permirent de constater que l'appareil de mesure fonctionnait normalement, et que les cbles assurant la liaison avec la combinaison du pilote taient en parfait tat de marche. L'erreur ne pouvait donc rsider que dans les capteurs eux-mmes. Que quelques-uns aient pu connatre une dfaillance n'aurait rien eu d'exceptionnel. Mais il semblait trs peu probable que tous aient cess de fonctionner en mme temps. En fait, les capteurs ne pouvaient fonctionner qu' condition d'tre branchs dans le bon sens. Or, ce jour-l, le technicien qui avait ralis les branchements les avait tous effectus l'envers. Rsultat : aucune mesure n'avait t enregistre. La probabilit d'une telle erreur est presque nulle. Raison de plus pour prendre toutes les prcautions afin d'viter un tel dsastre. Pour ce faire, on se fonde sur l'hypothse de travail, raisonnable et la fois presque paranoaque, formule par Murphy lorsqu'il rendit compte de l'chec total de ces expriences : "S'il existe deux ou plusieurs moyens de raliser une opration, et si l'un d'eux peut mener la catastrophe, il est certain que quelqu'un l'emploiera". Aujourd'hui encore, cette loi rsonne dans l'esprit de tout ingnieur responsable d'un systme cens tre toute preuve. La formule connut un succs immdiat. Quelques mois plus tard, on la rptait dans les bases les plus isoles de l'arme de l'air amricaine. Le capitaine n'avait fait qu'exprimer une frustration connue de tous les ingnieurs. Neuf ans plus tard, elle passait la postrit en apparaissant pour la premire fois, sous le nom de "Murphy's Law" dans un dictionnaire anglais. Soixante ans plus tard, cette loi est toujours d'actualit : il faut reconnatre qu'elle n'a pas son gale pour expliquer les catastrophes. Mais une formule populaire n'a pas forcment de fondement. D'ailleurs, la plupart des scientifiques considrent que la loi de Murphy ne peut tre considre comme une loi au sens physique du terme.

Les annes 1950


On assiste lavnement du concept de maintenance : $1 en quipement gnre $2 en maintenance. Cest

Guide T echnique

Intersections - novembre 2004

cette poque que la marine militaire amricaine prend conscience que ses tubes lectroniques ne sont oprationnels qu hauteur de 30 % de leur temps dutilisation. Les premires directives en lectronique voient le jour, avec des spcifications dessais de vieillissement acclr, directives qui seront reprises et adaptes par la NASA. Les toutes nouvelles centrales nuclaires entranent les premires tudes sur la fiabilit humaine. En France, cest le Centre national dEtudes sur les Tlcommunications qui commence ses travaux sur un recueil de donnes de fiabilit lectronique.

mtorites. En 1979, cest la catastrophe nuclaire de TMI (Three Miles Island) ; une manire inattendue de promouvoir les outils de sret de fonctionnement, puisque le scnario qui a men la catastrophe tait quasiment dcrit dans le rapport Rasmussen ! Puis ce sont les industries ptrochimiques qui procdent leurs premires tudes de risque, avant que les techniques de sret de fonctionnement ne soient diffuses dans la chimie, le ferroviaire, lautomobile, le traitement et lpuration deau, et lensemble des grands secteurs industriels.

Les annes 1960


Les industries aronautiques et spatiales (Mac-Donnell Douglas) effectuent les premires analyses relatives aux dfaillances de composants, pour accompagner les dbuts du programme Apollo. Dans le nuclaire, on assiste aux premiers pas de la mthode du Diagramme de Succs. Larme amricaine (DoD : Department of Defence) promulgue les premires vraies exigences de sret de fonctionnement suite des accidents sur des missiles. Aux Bell Labs, en 1961, le nouveau concept darbre des causes est utilis avec succs sur le projet de missile Minuteman ; cette technique sera reprise par Boeing. En France, la SNIAS (Socit nationale des Industries aronautiques et spatiales) utilise la mthode des combinaisons de pannes sur le projet Concorde, puis sur Airbus. Toutes ces mthodes trouvent un cho favorable dans lindustrie civile, notamment au Japon ; apparaissent alors les premires bases de donnes et les premiers ouvrages de rfrence. Dans un souci dharmonisation et de standardisation, la Commission lectrotechnique internationale cre le Comit technique 56 "Dependability" en octobre 1965 ; les produits de ce groupe deviendront des normes internationales en 1976. LAcadmie des Sciences accueille le mot "fiabilit" dans sa terminologie en 1962. En 1965 est introduit le concept de maintenabilit sur lequel le CEA travaillera activement dans les annes 67-68.

Aujourdhui
La rglementation, et les certifications quelle impose, a eu un double effet : le dveloppement de lutilisation des outils de sret de fonctionnement, mais galement une certaine ide de la couverture des risques. Na-t-on pas oubli que, malgr les tudes, les prcautions, les systmes de sauvegarde, les protections, le risque existe toujours ? Dans les procs qui font suite aujourd'hui la plupart des accidents, il semble que la notion de risque ait t peu peu efface pour laisser place celle de tort ou responsabilit. Comme si tous les risques de notre vie courante pouvaient tre prvus et annihils. En parallle, la comptition continue que se livrent les grands groupes les force disposer dune productivit la meilleure possible, et donc rduire les arrts de production et maximiser la disponibilit de leurs quipements. Enfin, la scurit des biens et des personnes na jamais sembl aussi importante quaujourdhui aux yeux de nos concitoyens. En tmoignent les actions vigoureuses autour de la notion de malveillance (intrusion par effraction, attaque, vol, piratage). Dans les deux cas, la pression mdiatique et cologique autour des accidents notables (plate-forme Piper Alpha, accident chimique de Bophal et dAZF, ou catastrophe arienne de la TWA) est telle qu'elle entraine des consquences trs lourdes pour l'entreprise.

Les annes 1970-80


En 1971 sont publis les rsultats des premiers travaux sur la fiabilit du logiciel. En 1972, EDF et le CEA mnent les premires tudes exhaustives sur le nuclaire. En 1975, le rapport amricain Rasmussen prsente une valuation complte dun risque nuclaire sur les centrales de Surry 1 et Peach Bottom 2 : en synthse, le risque calcul pour les populations avoisinant lesdites centrales est infrieur celui que font courir les chutes de

Guide T echnique

Intersections - novembre 2004

Les fondamentaux de la sret de fonctionnement


Quatre composantes
Le terme "sret de fonctionnement", invent voici trente ans pour englober plusieurs concepts, na pas dquivalent exact en langue anglaise. En France, la sret de fonctionnement regroupe quatre notions. c La fiabilit : aptitude dun systme rester constamment oprationnel pendant une dure donne. c La maintenabilit : cest laptitude dun systme tre remis rapidement dans un tat oprationnel. Ainsi les systmes dont les composants sont trs facilement dmontables peuvent bnficier dune meilleure maintenabilit que les autres. c La disponibilit : aptitude dun systme tre oprationnel au moment o il est sollicit. Cest une notion importante pour un appareil de scurit tel qu'un disjoncteur par exemple. Une disponibilit importante est compatible avec une fiabilit faible, pour peu que lappareil puisse tre rpar trs rapidement. c La scurit : cest laptitude dun systme ne pas connatre de pannes considres comme catastrophiques pendant une dure donne. On trouvera aussi lacronyme FMDS pour dsigner la sret de fonctionnement (comme fiabilit, maintenabilit, disponibilit et scurit). Les Anglo-Saxons utilisent le terme dependability, qui recouvre la fiabilit (reliability), la disponibilit (availability) et la maintenabilit (maintainability). La scurit est traite part. Abusivement, on assimile le mot "dependability" "sret de fonctionnement". On prfrera le terme anglais de RAMS (pour reliability, availability, maintainability and safety).

Quelques indicateurs
Certains indicateurs vont caractriser le fonctionnement prvu du systme, tels que le MTTF, le MDT et le MUT. c Le MTTF (Mean Time To [first] Failure) est lestimation de la dure moyenne scoulant entre la mise en service du systme et la survenance de la premire panne. c Le MDT est le temps moyen sparant la survenance dune panne et la remise en tat oprationnel du systme. Il se dcompose en plusieurs phases : - dure de dtection de la panne (1) ; - dure de diagnostic de la panne (2) ; - dure dintervention jusquau dbut de la rparation (3) ; - dure de la rparation (4) ; - dure de remise en service du systme (5). c Le MUT est le temps moyen qui spare une remise en service oprationnelle du systme de la survenance de la panne suivante. Ces deux derniers indicateurs ne sont pertinents que dans le cas de systmes rparables. Leur somme MUT+MDT reprsente le temps moyen qui spare deux pannes conscutives du systme. On le note MTBF, comme Mean Time Between Failures.
1er dfaillance Remise en service 2eme dfaillance

MTTF

MDT

MUT MTBF MTTR


Remise en service

Temps

1
Dtection de la panne

3
Dbut de la rparation

5
Fin de la rparation

Diagnostic

Le but de la sret de fonctionnement


La sret de fonctionnement est une notion gnrique qui mesure la qualit de service dlivr par un systme, de manire ce que lutilisateur ait en lui une confiance justifie. Cette confiance justifie sobtient travers une analyse qualitative et quantitative des diffrentes proprits du service dlivr par le systme, mesure par les grandeurs probabilistes associes : fiabilit, maintenabilit, disponibilit, scurit.

Les tudes de sret de fonctionnement


Elles constituent un pralable indispensable la conception dun systme voulu sr, et permet daider la dcision en : c comprenant et identifiant les risques ; c optimisant larchitecture et comparant des solutions diffrentes ; c optimisant les moyens de soutien en comparant des solutions ; c justifiant les choix de faon rationnelle et dmontre ;

Guide T echnique

Intersections - novembre 2004

Comprendre et identifier les risques, envisager les consquences Definir les objectifs de scurit et de disponibilit Cahier des charges

Analyse des besoins Ajuster la politique de maintenance

Aider la rdaction du cahier des charges sur les parties critiques

Sret de fonctionnement

Evolution

Dfinir les oprations de maintenance prventive Quantifier, comparer et optimiser les solutions Conception Exploitation Dimensionner les stocks de pices de rechange

c vrifiant la bonne atteinte des objectifs de sret de fonctionnement. Elle peuvent aussi aider loptimisation en : c diminuant le nombre de pannes qui seront observes durant la vie du systme ; c optimisant conomiquement la conception par le dimensionnement des quipements et des architectures au "juste ncessaire" ; c rendant la maintenance plus cible et plus efficace ; c dimensionnant au plus juste les moyens de soutien ncessaires (stocks de pices de rechange).

niveau voulu, sans dgradation des quipements prjudiciable lune des quatre composantes ; c dimensionnant les stocks de pices de rechange au plus juste, sans dgrader la disponibilit du systme.

Etudes priphriques
Cette recherche de loptimisation des tailles de stocks de pices de rechange (suffisamment de pices en regard de laptitude du systme tomber en panne, mais pas trop de pices pour viter des immobilisations financires inutiles) a fait lobjet dtudes particulires o ce souci doptimisation est coupl avec une dmarche analogue sur : c la maintenance des quipements (pas trop frquemment pour ne pas grver la disponibilit du systme, mais suffisamment pour ne pas laisser se dvelopper une drive importante de la fiabilit) ; c lordonnancement des transports de pices (par route, mer ou avion). Il en rsulte une mthodologie dapproche globale, appele soutien logistique intgr, complmentaire aux tudes de sret de fonctionnement dans les milieux industriels. Ainsi il en est de mme de la compatibilit lectromagntique, science qui sintresse aux influences rciproques des quipements susceptibles dmettre des ondes et ainsi de perturber le fonctionnement dautres appareils physiquement proches ou relis.

Etape par tape


La premire tape consiste analyser rigoureusement le besoin pour comprendre et identifier lensemble des risques, et envisager leurs consquences. Ensuite, des niveaux dacceptabilit sont attribus pour ces risques (on parle dobjectifs de F, M, D et/ou S selon les systmes). Lidentification prcise de ces risques va aider la rdaction du cahier des charges du systme, prcisment sur ses parties critiques. Il faudra alors imaginer des solutions techniques, des architectures adaptes qui, toutes, seront quantifies dun point de vue sret de fonctionnement, compares entre elles et, si ncessaire, optimises. Une fois la solution retenue, il sera ncessaire de prciser les conditions dune exploitation la plus efficace possible en : c dfinissant les oprations de maintenance prventive ncessaires pour maintenir les caractristiques de sret de fonctionnement au

En pratique
Ltude de sret de fonctionnement comporte deux volets complmentaires : c une analyse fonctionnelle, qui va dtailler la manire dont le systme va oprer dans toutes ses phases de vie ainsi que les autres systmes avec lesquels il va pouvoir interagir ;

Guide T echnique

Intersections - novembre 2004

c une analyse dysfonctionnelle, qui vise imaginer lensemble des dfaillances pouvant survenir nimporte o dans le systme, seules ou combines entre elles, et analyser limpact de ces pannes.
Analyse Fonctionnelle Analyse Dysfonctionnelle

cest une mthode d'analyse par niveaux successifs d'approche descriptive d'un ensemble, quel qu'il soit. On peut lappliquer aussi bien la gestion d'une entreprise qu' un systme automatis. c BDF (blocs diagrammes fonctionnels) : mthode de dcoupage fonctionnel du systme. c Mthode MISME : cette mthode considre lensemble des composants du systme avec leurs interactions, ainsi que les milieux environnants. Pour lanalyse dysfonctionnelle, on peut recourir : c lanalyse prliminaire des risques (APR), qui fournit lensemble des vnements redouts prvisionnels dans toutes les phases de vie du systme (de la conception au rebut, en passant par la mise en service, lexploitation et la maintenance) ; c lAMDEC (analyse des modes de dfaillance, de leurs effets et de leur criticit) : cette mthode exhaustive examine les potentialits de dysfonctionnements de chacun des lments composant le systme, un niveau de dtail choisi lavance. Elle permet de quantifier la probabilit dapparition de ladite dfaillance et de classer ses effets par ordre de gravit ; la combinaison de ces deux estimations fournissant la criticit de llment retenu. A lissue de cette phase, et pour les lments les plus critiques, il sera procd une fiabilisation, ou bien l'adjonction d'un dispositif de rduction du risque ; c lAEEL (analyse des effets des erreurs logicielles) : cette mthode est ladaptation au logiciel de la mthode AMDEC dcrite ci-dessus, le programme tant lui-mme dcompos en parties lmentaires de taille prdfinie. Enfin, pour modliser le systme ainsi analys, on utilise : c Les arbres de dfaillance : en partant dun vnement redout bien identifi (dit "de tte"), on dtermine les sous-vnements qui peuvent conduire lvnement de tte - soit par survenance simultane (il est ncessaire que tous les sous-vnements se ralisent pour que lvnement de tte se ralise (on parle de porte ET), - soit par survenance d'un quelconque sousvnement (porte OU). Chacun des sous-vnements est lui-mme dcompos ensuite de la mme manire, jusqu obtenir des lments suffisamment simples pour estimer directement leur probabilit dapparition (on parle dvnements de base). En recombinant les probabilits dapparition de tous les vnements de base grce au schma logique de larbre de dcomposition (algbre boolenne/thorme de Poincar), on en dduit la probabilit dapparition de lvnement de tte. Pour les calculs correspondants, on peut utiliser les arbres

Modlisation Comprendre le fonctionnement Comprendre le dysfonctionnement

Rduire les cots d'exploitation

Rduire les risques

Tolrer les fautes

Les rsultats de ces deux tudes sont mis en commun dans une modlisation du systme qui va reprsenter virtuellement celui-ci avant sa ralisation, tant dans son fonctionnement attendu que dans les pannes susceptibles de lui arriver.
Etre en B = Etre indisponible Etat B fonctionnement incorrect non dangereux

Dfaillance sre Rester en A = Etre Fiable Etat A fonctionnement correct

Rparation

Etre en C = Dangereux Dfaillance "non sre" Etat C fonctionnement incorrect et dangeureux

En tudiant cette modlisation, il devient alors possible de valider ou invalider une solution technique, optimiser des choix architecturaux, remplacer des composants critiques, ceci dans le but de : c rduire au maximum les risques ; c rduire au maximum les cots dexploitation ; c tolrer, dans la mesure du possible, certaines fautes en autorisant un fonctionnement en mode dgrad sous certaines conditions.

Les outils utiliss


Pour lanalyse fonctionnelle, les principaux outils utiliss sont les suivants : c SADT (system analysis and design technique) :

Guide T echnique

Intersections - novembre 2004

de dcision binaires (binary decision diagrams). Ce formalisme utilise les proprits de la dcomposition de Shannon pour simplifier fortement la structure de larbre avant de raliser les calculs eux-mmes. Un formalisme qui peut savrer utile lorsque le modle en arbre de dfaillances dun systme devient trs important. c Les graphes de Markov : ici, ce sont les diffrents tats du systme qui sont reprsents. On suppose que le passage dun tat du systme lautre survient alatoirement, ou classiquement par la dfaillance dun lment, ou la fin de la rparation dun autre lment. Connaissant ltat initial du systme, on peut en dduire soit la probabilit d'tre dans un tat donn aprs une dure dtermine, soit la probabilit moyenne d'tre dans un tat donn tout au long de sa dure de vie utile. c Les rseaux de Petri stochastiques : cette technique sapparente celle des graphes de Markov dcrite ci-dessus, la diffrence que les transitions entre les diffrents tats peuvent suivre des lois de probabilit autres que la loi exponentielle classique. Dautres caractristiques permettent de synchroniser diffrentes transitions. Le prix payer tant la ncessit de simuler le fonctionnement du systme par des mthodes de Monte Carlo puisque le calcul analytique nest quasiment jamais possible. Par ailleurs, pour les systmes trs fiables, les temps de simulation peuvent devenir rdhibitoires lorsquon cherche quantifier leurs diffrentes probabilits de dfaillances. Il existe une abondante littrature sur les diverses techniques actuelles dacclration des simulations pour ce type de systmes. c En complment, les langages formels (LUSTRE, B) permettent de raliser des tudes de preuve formelle sur des logiciels embarqus temps rel.

Les recueils
Il existe de nombreux recueils de donnes collectes et traites par des organismes privs ou publics travers le monde, et mises jour rgulirement. Cest le cas du domaine lectronique notamment, qui bnficie des nombreux travaux des industriels concerns.

Le retour dexprience
Est dsign ainsi lensemble des dispositions permettant de recueillir des informations sur la fiabilit oprationnelle des produits et systmes auxquels on sintresse : pannes, dfaillances dtectes prventivement, maintenances diverses. Si le recueil de donnes est fidle la ralit, il est possible, grce des techniques statistiques adaptes, de calculer les indicateurs de sret de fonctionnement correspondant, spcifiques pour le systme considr. Ainsi ces indicateurs sont plus pertinents aux yeux des clients de ces systmes.

La normalisation
Au-del des normes spcifiques un domaine (comme les relais de protection), il existe des normes gnriques pour la sret de fonctionnement. Ces normes sont normalement mises par le comit technique 56 "Dependability" de la commission lectrotechnique internationale. On trouvera sur le site http://www.iec.ch/helpline/sitetree/tree_fr.htm la liste des normes mises par la commission. Le comit technique 65A a galement mis une norme gnrique en sret de fonctionnement, la norme 61508 : "Scurit Fonctionnelle". Une autre norme gnrique existe, numrote EN954 "Scurit des Machines", sous lgide de lUnion europenne.

Les donnes de fiabilit


Ce guide technique a t rdig par : Marcel Chevalier, responsable quipe 6-sigmas ; Robert Garnier, Master Block Belt 6-sigmas ; Philippe Chang, expert en sret de fonctionnement des systmes ; Bruno Lusson, responsable sret de fonctionnement des systmes ; Equipe Schneider Ingnierie Sret, dpt Projects & Engineering Centre.

Elles sont la base mme des tudes. Cest partir des donnes de fiabilit que vont tre labors les calculs permettant une vision objective des capacits du systme en termes de sret de fonctionnement.

Avertissement Schneider Electric dgage toute responsabilit conscutive lutilisation incorrecte des informations et schmas reproduits dans le prsent guide et ne saurait tre tenu responsable ni dventuelles erreurs ou omissions, ni de consquences lies la mise en uvre des informations et schmas contenus dans ce guide.

Guide T echnique

Intersections - novembre 2004

Bibliographie
c Alain Villemeur "Sret de Fonctionnement des systmes industriels". - Collection de la Direction des Etudes et Recherches dElectricit de France, (Eyrolles, 1988). c Robert Garnier "Une mthode efficace dacclration de la simulation des rseaux de Petri stochastique". - Thse de 3me cycle. Automatique/Productique, Universit Bordeaux I, (Juin 1998). c M.A. Boyd "What Markov Modeling can do for you : An Introduction". - Annual Reliability and Maintainability Symposium (Tutorial notes, 1994). c Michel Prevost & Charles Waroquier "Lanalyse du soutien logistique et son enregistrement". - Editions Lavoisier (TEC DOC, 1994). c Alain Leroy & Jean-Pierre Signoret "Le risque technologique". - Collection "Que sais-je ?" (PUF, 1992). c Alain Pags & Michel Gondran "Fiabilit des systmes". - Collection de la Direction des tudes et Recherches dlectricit de France, Editions Eyrolles (1980). c CEI / IEC 1025-Norme Internationale "Fault Tree Analysis (FTA)". - Bureau Central de la CEI, Genve, Suisse (1990). c Yves Dutuit, Eric Chatelet, J. Dos Santos & T. Bouhoufani "Les diagrammes-blocs fonctionnels : une aide la construction manuelle des arbres de dfaillance. Systmes sans boucles de rgulation" - Revue Europenne Diagnostic et Sret de Fonctionnement (Vol. 5, n 2, pp. 181-200, 1995). c Christine Bodennec, Robert Garnier, C. Jourdain, C. Mazuet & D. Perez "Application of Formal Methods on Safety Assessment and Fault Tolerant Design". - Colloque ESREL98, 15-19 juin 1998, Trondheim, Norvge. c Olivier Coudert & J-C Madre "Metaprime : An interactive fault-tree analyzer". - IEEE Transactions on Reliability (Vo. 43, n 1, pp. 121-127, 1994). c Tadao Murata "Petri Nets : Properties, analysis and applications" - Proceedings of the IEEE transactions on Reliability (Vol. 77, n 4, 1989). c Carl Adam PETRI "Kommunication mit Automaten" - Bonn: Institut fr Instrumentelle Mathematik, Schriften des IIM Nr. 2, 1962, Second Edition, New York : Griffiss Air Force Base (Technical Report RADC-TR-65--377, Vol. 1, 1966). c Antoine Rauzy & Yves Dutuit "Exact and Truncated Computations of Prime Implicants of Coherent and Non-Coherent Fault Trees within Aralia". - Reliability Engineering and System Safety (Vol. 58, n 2, pp. 127-144, 1997). c Vronique Tieri "Traitement des portes "SI" dans les arbres de dfaillances". - Rapport de stage de fin dtudes DESS "Ingnierie Mathmatique", Qualit & Fiabilit, Universit Joseph Fourier (Grenoble 1, 1997). c W.E. Vesely, F.F. Goldberg, N.H. Roberts, D.F. Haasl "Fault Tree Handbook". - U.S. Nuclear Regulatory Commission (Washington, 1981). c Sylvie Logacio "Etudes de sret des installations lectriques". - Cahier Technique Schneider Electric, n 184. c Emmanuel Cabau "Introduction la conception de la sret". - Cahier Technique Schneider Electric, n 144.

Guide T echnique

Intersections - novembre 2004

Lexique de la sret de fonctionnement


Voici quelques dfinitions de termes couramment utiliss en sret de fonctionnement [VILLE-88]. Ce lexique n'est pas exhaustif et ne regroupe que des termes ayant un rapport direct avec ce guide technique.
Acceptable : Qualifie un vnement jug acceptable au regard d'objectifs de sret de fonctionnement. Terme anglais : "Acceptable" Accident : Evnement ayant des consquences catastrophiques ou susceptible d'en avoir. Dans le nuclaire, l'accident est dfini comme l'vnement pouvant entraner l'endommagement d'une ou plusieurs barrires et donc conduire un relchement de produits radioactifs et demandant la mise en service de systmes de protection. Terme anglais : "Accident" Amlioration de la sret de fonctionnement : Procd intentionnellement destin produire une croissance d'une caractristique de la sret de fonctionnement (disponibilit, fiabilit, maintenabilit, scurit, etc. ) en vue d'atteindre des objectifs spcifis par limination de dfaillance ou rduction de leur probabilit d'occurrence. Terme anglais : "Dependability Improvement" Analyse d'un systme : Processus orient vers l'acquisition, l'investigation et le traitement ordonns d'informations spcifiques au systme et pertinentes vis--vis d'une dcision ou d'un objectif donn. Ce processus conduit l'obtention d'un modle et, ventuellement, son valuation quantitative. Terme anglais : "System Analysis" Analyse de criticit de dfaillance : Analyse ayant pour objet d'valuer le couple gravit/probabilit associ une dfaillance. Terme anglais : "Criticality Analysis" Analyse des modes de dfaillance et de leurs effets (AMDE) : Mthode d'analyse quantitative d'un systme ayant pour objet d'identifier les modes de dfaillance des composants du systme, leurs causes et leurs effets. Terme anglais : "Failure Modes and Effects Analysis" (FMEA) Analyse des modes de dfaillance, de leurs effets et de leur criticit (AMDEC) : Mthode d'analyse d'un systme qui comprend une analyse des modes de dfaillance et de leurs effets, complte par une analyse de criticit des modes de dfaillance. Terme anglais : "Failure Modes, Effects and Criticality Analysis" (FMECA) Analyse prliminaire des risques : Analyse ayant pour objet d'identifier et d'valuer des risques (conomiques, humains...) lis l'utilisation d'un systme, et ce de manire prliminaire l'utilisation de mthodes d'analyse plus prcises. Terme anglais : "Preliminary Hazard Analysis (PHA)" ; "Preliminary Risks Analysis" A sret intgre : Qualifie une entit qui est conue en vue d'viter que ses dfaillances n'entranent des consquences critiques ou catastrophiques. On parle aussi de "scurit intrinsque". Terme anglais : "Fail safe" Composant : C'est la plus petite partie d'un systme qu'il est ncessaire et suffisant de considrer pour l'analyse d'un systme. Terme anglais : "Component" Composant actif : Composant qui comporte des pices mobiles dont la position est modifie ou qui ncessite pour remplir sa fonction une variation de sa configuration ou de ses proprits l'aide d'une source d'nergie extrieure. Terme anglais : "Active component" Composant critique : Composant dont la dfaillance, dans un tat de fonctionnement donn d'un systme, entrane la dfaillance de ce systme. Terme anglais : "Critical component" Composant passif : Composant n'entrant pas dans la dfinition des composants actifs et qui n'est soumis, par exemple, qu' des variations de pression, de temprature, de dbit de fluide ou de courant lectrique lorsqu'il remplit sa fonction. Cette dfinition est utilise dans le nuclaire. Terme anglais : "Passive component" Danger : Situation pouvant nuire l'homme, la socit ou l'environnement. Terme anglais : "Hazard" ; "Danger" Dfaillance : Cessation de l'aptitude d'une entit accomplir une fonction requise (Norme CEI-271-1974). Terme anglais : "Failure" Dfaillance taux constant : Dfaillance qui apparat avec un taux sensiblement constant pendant la dure de vie utile de l'entit. Cette dfaillance est gnralement catalectique. Elle est encore appele "dfaillance alatoire". Terme anglais : "Random Failure" Dfaillance catalectique : Dfaillance qui est la fois soudaine et complte (Norme CEI-271-1974). Terme anglais : "Catastrophic Failure" Dfaillance complte : Dfaillance rsultant de dviation d'une ou des caractristiques au-del des limites spcifies, telle qu'elle entrane une disparition complte de la fonction requise (Norme CEI-271-1974). Terme anglais : "Complete Failure" Dfaillance de commande : Dfaillance d'une entit dont la cause directe ou indirecte est la dfaillance d'une autre entit et pour laquelle cette entit a t qualifie et dimensionne. Terme anglais : "Command Failure" Dfaillance d'usure : Dfaillance qui apparat avec un taux rapidement croissant par suite de processus inhrents l'entit. Terme anglais : "Wearout Failure" Dfaillance non pertinente : Dfaillance exclure pour l'interprtation ou l'valuation d'une mesure de la sret de fonctionnement. On parle aussi de "dfaillance ne pas prendre en compte" (Norme CEI-271A-1978). Terme anglais : "Non-relevant Failure" Dfaillance par dgradation : Dfaillance qui est la fois

Guide T echnique

Intersections - novembre 2004

progressive et partielle (Norme CEI-271-1974). A la longue, une telle dfaillance peut devenir une dfaillance complte (Norme CEI-271-1974). Terme anglais : "Degradation Failure" Dfaillance partielle : Dfaillance rsultant de dviation d'une ou des caractristiques au-del des limites spcifies, mais telle qu'elle n'entrane pas une disparition complte de la fonction requise (Norme CEI-271-1974). Les limites sont des limites spciales spcifies cette fin (CEI-271-1974). Terme anglais : "Partial Failure" Dfaillance pertinente : Dfaillance prendre en compte pour interprter ou valuer une mesure de la sret de fonctionnement. On parle aussi de "dfaillance prendre en compte" (CEI-271A-1978). Terme anglais : "Relevant Failure" Dfaillance progressive : Dfaillance due une volution dans le temps des caractristiques d'une entit. En gnral, une dfaillance progressive peut tre prvue par un examen ou une surveillance antrieur. Terme anglais : "Gradual Failure" ; "Drift Failure" Dfaillance de cause commune : Dfaillances dpendantes ayant pour origine la mme cause directe. Terme anglais : "Common cause Failures" Dfaillance de mode commun : Dfaillances de cause commune se manifestant par le mme mode de dfaillance des entits. Terme anglais : "Commun mode Failures" Dfaut : Ecart entre une caractristique d'une entit et la caractristique voulue, cet cart dpassant les limites d'acceptabilit. Terme anglais : "Defect" Dmarche dductive : Dmarche dans laquelle on raisonne du plus gnral au plus particulier. Terme anglais : "Deductive approach" Dmarche inductive : Dmarche dans laquelle on raisonne du plus particulier au plus gnral. Terme anglais : "Inductive approach" Densit de dfaillance : C'est la limite, si elle existe, du quotient de la probabilit conditionnelle pour que l'instant T de la premire dfaillance d'une entit soit compris dans un intervalle de temps donn [t;t+t], par la dure de l'intervalle de temps, lorsque t tend vers zro, sachant que l'entit est en fonctionnement au temps t=0. Elle est note U(t). Terme anglais : "Failure density" Densit de probabilit : C'est la drive, si elle existe, de la fonction de rpartition d'une variable alatoire. Elle est note f(x). Terme anglais : "Probability density function" Densit de rparation : C'est la limite, si elle existe, du quotient de la probabilit conditionnelle pour que l'instant T d'achvement de la rparation d'une entit soit compris dans un intervalle de temps donn [t;t+t], par la dure de l'intervalle de temps, lorsque t tend vers zro, sachant que l'entit est dfaillante au temps t=0. Elle est note G(t). Terme anglais : "Repair density"

Densit de transition : C'est la drive, si elle existe, de la probabilit de transition. Terme anglais : "Transition density" Disponibilit : Aptitude d'une entit tre en tat d'accomplir une fonction requise dans des conditions donnes et un instant donn. Le terme de "disponibilit" est aussi employ pour dsigner la mesure de la disponibilit. Terme anglais : "Availability" Disponibilit (mesure de la) : Probabilit pour qu'une entit soit en tat d'accomplir une fonction requise dans des conditions donnes et un instant donn. Elle est gnralement note A(t) et est aussi dnomme "disponibilit instantane". Terme anglais : "Availability" Disponibilit asymptotique : C'est la limite, si elle existe, de la disponibilit instantane reprsente par un modle mathmatique, quand on fait tendre le temps vers l'infini. Elle est note A(). Terme anglais : "Steady-state availability" ; "Asymptotic availbility" Disponibilit moyenne : C'est la moyenne de la disponibilit instantane sur un intervalle de temps donn [t1;t2]. Elle est note Am(t1,t2). Terme anglais : "Mean availability" Dure de disponibilit : Priode pendant laquelle une entit est en tat d'accomplir sa fonction requise (Norme CEI-271A-1978). Terme anglais : "Up time" Dure de fonctionnement : Priode pendant laquelle une entit accomplit sa fonction requise (Norme CEI-271A-1978). Terme anglais : "Operating time" Dure de vie utile : Priode commenant un instant donn, pendant laquelle, dans des conditions donnes, une entit a un taux de dfaillance acceptable, ou priode prcdant l'apparition d'une dfaillance non rparable (Norme CEI-271-1978). Terme anglais : "Useful life" Dure d'indisponibilit : Priode pendant laquelle une entit n'est pas en tat d'accomplir sa fonction requise (Norme CEI-271A-1978). Terme anglais : "Down time" Entit : Tout lment, composant, sous-systme, dispositif, quipement, unit fonctionnelle que l'on peut considrer individuellement. Terme anglais : "Entity" ; "Item" Etat d'attente : Etat d'une entit disponible et en tat de non-fonctionnement pendant une priode requise. Terme anglais : "Standby state" Etat de disponibilit : Etat d'une entit caractrise par son aptitude accomplir une fonction requise. Terme anglais : "Availability state" Etat de fonctionnement : Etat d'une entit dans lequel cette entit accomplit correctement une fonction requise. Terme anglais : "Operating state"

10

Guide T echnique

Intersections - novembre 2004

Etat de panne : Etat d'une entit caractrise par une inaptitude accomplir une fonction requise. Terme anglais : "Fault state" Evnement catastrophique : Evnement qui occasionne la perte d'une (ou des) fonction(s) essentielle(s) d'un systme en causant des dommages importants au dit systme ou son environnement et/ou entrane pour l'homme la mort ou des dommages corporels. Terme anglais : "Catastrophic event" Evnement critique : Evnement qui occasionne la perte d'une (ou des) fonction(s) essentielle(s) d'un systme en causant des dommages importants au dit systme ou son environnement en ne prsentant toutefois qu'un risque ngligeable de mort ou de blessure. Terme anglais : "Critical event" Evnement indsirable : Evnement (de la vie d'une entit) ne devant pas se produire ou devant se produire avec une probabilit moins leve au regard d'objectifs de sret de fonctionnement. Terme anglais : "Undesirable event" Evnement majeur : Evnement critique ou significatif. Terme anglais : "Major event" Fiabilit : Aptitude d'une entit accomplir une fonction requise, dans des conditions donnes, pendant une dure donne (Norme CEI-271-1974). Terme anglais : "Reliability" Fiabilit (mesure de la) : Probabilit qu'une entit accomplisse une fonction requise dans des conditions donnes, pendant une dure donne (Norme CEI-2711974). Elle est note R(t). On suppose en gnral que l'entit est en tat d'accomplir la fonction requise au dbut de l'intervalle de temps donn. Terme anglais : "Reliability" Graphe d'tats : Diagramme logique montrant les tats de fonctionnement et de pannes d'un systme, ainsi que leurs transitions. Terme anglais : "States graph" Immaintenabilit : Inaptitude d'une entit tre maintenue ou rtablie dans un tat dans lequel elle peut accomplir une fonction requise lorsque la maintenance est accomplie dans des conditions donnes avec des procdures et des moyens prescrits. Terme anglais : "Unmaintainability" Inacceptable : Qualifie un vnement jug inacceptable au regard d'objectifs de sret de fonctionnement. Terme anglais : "Unacceptable" Incident : Evnement ayant des effets ou des consquences critiques ou susceptible d'en avoir. Terme anglais : "Incident" Indisponibilit : Inaptitude d'une entit accomplir une fonction requise, dans des conditions donnes et un instant donn. Terme anglais : "Unavailability" Indisponibilit (mesure de l') : Probabilit qu'une entit ne soit pas en tat d'accomplir une fonction requise, dans

des conditions donnes et un instant donn. Elle est note A (t). Elle est aussi dnomme "indisponibilit instantane". Terme anglais : "Unavailability" ; "Instantaneous unavailability" Indisponibilit asymptotique : C'est la limite, si elle existe, de l'indisponibilit instantane reprsente par un modle mathmatique, quand on fait tendre le temps vers l'infini. Elle est note A (). Terme anglais : "Steady-state unavailability" ; "Asymptotic unavailability" Indisponibilit moyenne : C'est la moyenne de l'indisponibilit instantane sur un intervalle de temps donn [t1;t2]. Elle est note Am (t1, t2). Terme anglais : "Mean unavailability" Inscurit : Aptitude d'une entit faire apparatre, dans des conditions donnes, des vnements critiques ou catastrophiques. Terme anglais : "Unsafety" Maintenabilit : Aptitude d'une entit tre maintenue ou rtablie dans un tat dans lequel elle peut accomplir une fonction requise lorsque la maintenance est effectue dans des conditions donnes avec des procdures et des moyens prescrits. Terme anglais : "Maintainability" Maintenabilit (mesure de la) : Pour une entit donne, probabilit qu'une maintenance accomplie dans des conditions donnes, avec des procdures et des moyens prescrits, soit acheve au temps t sachant que l'entit est dfaillante au temps t = 0. Elle est note M(t). Terme anglais : "Maintainability" Maintenance : Combinaison de toutes les actions techniques et des actions administratives correspondantes, y compris les oprations de surveillance et de contrle, destines maintenir ou remettre une entit dans un tat lui permettant d'accomplir une fonction requise. Terme anglais : "Maintenance" Maintenance corrective : Maintenance effectue aprs la dtection de panne et destine remettre une entit dans un tat lui permettant d'accomplir une fonction requise. Terme anglais : "Corrective maintenance" Maintenance prventive : Maintenance effectue intervalles prdtermins ou selon des critres prescrits et destine rduire la probabilit de dfaillance ou la dgradation du fonctionnement d'une entit. Terme anglais : "Preventive maintenance" MDT : Dure moyenne d'indisponibilit. Terme anglais : "Mean down time" Mode de dfaillance : Effet par lequel une dfaillance est observe (Norme CEI-271-1974). Terme anglais : "Failure mode" Mode de fonctionnement : Effet par lequel un fonctionnement est observ. Terme anglais : "Functional mode" MTBF : Dure moyenne entre deux dfaillances conscutives d'une entit rpare.

Guide T echnique

11

Intersections - novembre 2004

Terme anglais : "Mean time between failure" MTTF : Dure moyenne de fonctionnement d'une entit avant la premire dfaillance. Terme anglais : "Mean time to failure" ; "Mean Time To First Failure" (MTTFF) MTTR : Dure moyenne de rparation. Ce terme est parfois utilis pour dsigner la dure moyenne de maintenance corrective. Terme anglais : "Mean time to repair" MUT : Dure moyenne de fonctionnement aprs rparation. Terme anglais : "Mean up time" Panne : Inaptitude d'une entit accomplir une fonction requise. Terme anglais : "Fault" Panne intermittente : Panne d'une entit subsistant pendant une dure limite aprs laquelle l'entit redevient apte accomplir une fonction requise sans avoir t soumise une opration de maintenance corrective. Terme anglais : "Intermittent fault" Panne latente : Panne qui existe, mais qui n'a pas encore t dtecte. Terme anglais : "Latent fault" Panne permanente : Panne d'une entit qui persiste tant que n'ont pas eu lieu les oprations de maintenance corrective. Terme anglais : "Permanent fault" Probabilit de transition : Probabilit de quitter un tat du systme dans l'intervalle de temps [0;t] et de passer dans un autre tat en une seule transition, sachant que l'on est entr dans le premier tat l'instant t=0. Terme anglais : "Transition probability" ; "Transition distribution" Processus stochastique : Ensemble de variables alatoires dpendant du temps, dont les valeurs sont rgies par un ensemble donn de lois de probabilit multidimensionnelles qui correspondent toutes les combinaisons des variables alatoires. Le terme de "processus alatoire" est aussi utilis. Terme anglais : "Random process" Qualit : Aptitude d'un produit ou d'un service satisfaire les besoins des utilisateurs. Terme anglais : "Quality" Redondance : Existence, dans une entit, de plus d'un moyen pour accomplir une fonction requise (Norme CEI-271-1974). Terme anglais : "Redundancy" Redondance active : Redondance selon laquelle tous les moyens d'accomplir une fonction requise sont mis en uvre simultanment (Norme CEI-271-1974). Terme anglais : "Active redundancy" Redondance passive : Redondance o les diffrents moyens d'accomplir une fonction donne ne sont pas mis en oeuvre avant que ce ne soit ncessaire (Norme CEI-271-194). Terme anglais : "Standby redundancy"

Rparation : Partie de la maintenance corrective pendant laquelle des oprations sont effectues sur l'entit. Terme anglais : "Repair" Risque : Mesure du danger associant une mesure de l'occurrence d'un vnement indsirable et une mesure de ses effets ou consquences. Terme anglais : "Risk" Scurit : Aptitude d'une entit viter de faire apparatre, dans des conditions donnes, des vnements critiques ou catastrophiques. Terme anglais : "Safety" Sret de fonctionnement : Aptitude d'une entit satisfaire une ou plusieurs fonctions requises dans des conditions donnes. Ce concept peut englober la fiabilit, la disponibilit, la maintenabilit, la scurit... ou des combinaisons de ces aptitudes. Au sens large, on considre la sret de fonctionnement comme la Science des Dfaillances et des Pannes. Terme anglais : "Dependability" Taux de dfaillance : C'est la limite, si elle existe, du quotient de la probabilit conditionnelle pour que l'instant T d'une dfaillance soit compris dans un intervalle de temps donn [t;t+t], par la dure de l'intervalle de temps, lorsque t tend vers zro, en sachant que l'entit n'a pas eu de dfaillance sur [0;t]. Ce taux est not (t). Terme anglais : "(Instantaneous) Failure rate" Taux de dfaillance asymptotique : C'est la limite, si elle existe, du taux de dfaillance reprsent par un modle mathmatique lorsqu'on fait tendre le temps vers l'infini. Il est not (). Terme anglais : "Steady-state failure rate" Taux de rparation : C'est la limite, si elle existe, du quotient de la probabilit conditionnelle pour que l'instant T d'achvement de la rparation (ou d'une opration de maintenance) d'une entit soit compris dans un intervalle de temps donn [t;+ t], par la dure de l'intervalle de temps, lorsque t tend vers zro, sachant que l'entit a t en panne sur tout l'intervalle de temps [0;t]. Ce taux est not M(t). Terme anglais : "Repair rate (instantaneous)" Taux de rparation asymptotique : C'est la limite, si elle existe, du taux de rparation reprsent par un modle mathmatique lorsqu'on fait tendre le temps vers l'infini. Il est not M(). Terme anglais : "Steady-state repair rate" Taux de transition : C'est la limite, si elle existe, du quotient de la probabilit de quitter un tat du systme pour un autre tat du systme dans l'intervalle de temps [t;t+t], par la dure de l'intervalle de temps, lorsque t tend vers zro. Terme anglais : "Transition rate" Tolrance aux fautes : Proprit d'un systme qui le rend capable d'accomplir une fonction requise en prsence de certaines dfaillances ou pannes de ses composants. Terme anglais : "Fault tolerance"

12

Guide T echnique