Vous êtes sur la page 1sur 55

IGA Marrakech

5 I.S.A

MODULE : Sret de fonctionnement et gestion des risques

SUPPORT DE COURS
SURETE DE FONCTIONNEMENT
(RESUME)

EL Hassan IRHIRANE

EL Hassan IRHIRANE

2009 - 2010

Avant-propos
Ce cours prsente les principales composantes de la sret de fonctionnement et un
grand nombre doutils et de mthodes. Il nest nullement exhaustif. Le lecteur pourra se
reporter aux rfrences bibliographiques (les premires rfrences en particulier) pour obtenir
une apprciation globale de la sret de fonctionnement, et quelques prcisions concernant les
mthodes illustres par des exemples. Lobjectif est plutt de montrer que la sret de
fonctionnement est devenue un domaine trs tendu faisant appel de nombreuses spcialits,
do son approche difficile tant elle revt de nombreuses facettes en gardant un esprit de
globalit. Cette tendance est encore en pleine volution et stend encore, de nombreux
groupes de travail (ISdF, Institut de Sret de Fonctionnement, etc...) se penchant sur ses
diffrents aspects.

EL Hassan IRHIRANE

2009 - 2010

Page 1

Sommaire
1. Introduction
1.1. Bref historique
2. Dfinitions et concepts
2.1. Notions et concepts de base
2.2. Systmes, composants et dfaillances
2.3. Notions et concepts complmentaires
3. Analyse prvisionnelle des dysfonctionnements des systmes
3.1. Principe
3.2. Etapes dune analyse en sret de fonctionnement
3.3. Mthodes danalyse en sret de fonctionnement
4. Approche oprationnelle : donnes de sret de fonctionnement
4.1. Les donnes de fiabilit
4.2. Les banques de donnes
5. Dmonstrations/Exemples
5.1. Dfinition du taux de dfaillance en fonction de la fiabilit
5.2. Dfinition du taux de remise en service en fonction de la maintenabilit
5.3. Formulation intgrale des dures moyennes MTTF et MTTR
5.4. Les grandeurs de sret de fonctionnement pour une entit rparable
5.5. Etude d'un systme 2 composants identiques redondance active
5.6. Etude d'un systme l'aide d'un arbre de dfaillance
Rfrences bibliographiques
Annexe 1 : Abrviations

EL Hassan IRHIRANE

2009 - 2010

Page 2

1. Introduction
La sret de fonctionnement est apparue rcemment dans lhistoire, et sest dveloppe
au cours du XXme sicle pour tre un domaine incontournable actuellement pour les
industries risques (en premier chef, lindustrie nuclaire et les industries chimiques) mais
aussi de plus en plus pour toute lindustrie en raison de sa corrlation avec la notion de
qualit, les problmes ergonomiques (relation homme-machine) et limpact sur
lenvironnement.
1.1. Bref historique
1.1.1. Prmices et balbutiements (jusquaux annes 30)
re industrielle (XIXme sicle dbut XXme sicle)
approche intuitive : mises en parallle, redondance (chemin de fer, systmes
mcaniques puis lectriques)
me
sicle, fin 1re guerre
dveloppement avec les transports ariens (dbut XX
mondiale)
approche statistique, notion de taux de dfaillance : quipements des avions (moteurs)
apparition de la thorie de la fiabilit (annes 30) : aspect prvisionnel
Quelques accidents marquants...
Delft (Pays-Bas, 1654) : fabrique de poudre, nombreuses victimes
Paris (1794) : fabrique de poudre, plus de 1000 victimes
Meudon (8/5/1842) : chemins de fer, 150 victimes
Titanic (14/4/1912) : naufrage, 1490 victimes
Oppau (Allemagne, 21/9/1921), usine de salptre et gaz : 561 victimes
1.1.2. Dbuts (annes 40 et 50)
deuxime guerre mondiale : tude de fiabilit des fuses V1 de Von Braun (loi de
Lusser, formulation de Pieruschka)
amlioration de la qualit (contrle qualit), loi de Murphy : if anything can go
wrong, it will (1949)
dveloppement de la fiabilit surtout aux Etats-Unis en lectronique (applications
militaires) : commission AGREE (Advisory Group on Reliability of Electronic
Equipment)

EL Hassan IRHIRANE

2009 - 2010

Page 3

Quelques accidents marquants...

Tessenderlo (Belgique, 1942) : dpt de nitrate dammonium, 200 victimes


Le Mans (13/6/1955) : piste automobile, automobile partant dans la foule, 82
victimes
Tcheliabinsk 40 (Kychtym, Oural, URSS, 29/9/1957) : explosion, dchets
radioactifs

1.1.3. Elargissement des applications (annes 60)


apparition de nouveaux outils et mthodes : Arbres des Causes (aronautique,
A. Watson puis Haasl, NASA : Gemini, Apollo), Analyse des Modes de Dfaillance et
de leurs Effets (aronautique), Mthode des Combinaisons de Pannes (SNIAS :
Concorde, puis Airbus), et mthode THERP (Technique for Human Error Rate
Prediction, A.D. Swain)
apparition de normes (Department of Defense, USA, et CEI)
publications de tables de taux de dfaillance des quipements
cration de la premire revue spcialise : IEEE Transaction on Reliability
Un accident marquant...
Torrey Canyon (Seven stones, Angleterre, 18/3/1967) : 119000 t de brut, mare
noire
1.1.4. Dveloppements tant prvisionnels quoprationnels (annes 70)
analyses de risques pour les centrales nuclaires (USA, France), tendues lindustrie
chimique (ptrochimie, Convay Island, Angleterre)
nombreuses collectes de donnes de fiabilit (banques de donnes)
essais de dispersion de gaz et dexplosions (essais AMEDE, EDF et CEA)
normes internationales de la CEI
nouvelles mthodes : Mthode de lArbre des Consquences,...
Quelques accidents marquants...
Seveso (Italie, 10/7/1976) : usine ICMESA (Hoffman-Laroche), vapeurs de
dioxine, population expose (36000 personnes)

Three Mile Island (Pennsylvanie, USA, 28/3/1979) : fuites


Mississauga (Canada, 10/11/1979) : chemins de fer, manations toxiques,
vacuation de 250000 personnes.

EL Hassan IRHIRANE

2009 - 2010

Page 4

1.1.5. Nouvelles mthodes et extension toute lindustrie (annes 8090)


dveloppement de la notion de qualit (cration de lAFCERQ)
nouvelles mthodes et nouveaux moyens : rseaux de Petri, simulation...; pour les
facteurs humains : HCR, HEART; utilisation de logiciels de calcul de fiabilit;
modlisation et simulation des accidents (dispersion de gaz...)
extension toutes les industries (automobile, industries chimiques...)
essais grande chelle (Thorney Island, 1982-1984), collecte de fiabilit
Directive Seveso (CEE 82/501, 24/6/1981) : tudes de risque des installations
largissement ltude gnrale de la vie dun systme, la prvention et la
minimisation des facteurs humains
Quelques accidents marquants...

Bhopal (Inde, 3/12/1984) : usine de pesticides, 2000 victimes officiellement

Mtogura (Japon, 12/8/1985) : Boeing 747 cras, 524 victimes


Tchernobyl (URSS, 26/4/1986) : explosions puis fonte dun racteur et fuites...
Piper Alpha (mer du Nord, G.B., 1988) : plate-forme ptrolire, incendie, 167

victimes
Exxon Valdez (Alaska, 24/3/1989) : 40000 t de brut, mare noire

2. Dfinitions et concepts [1,5,6]


2.1. Notions et concepts de base
Les notions et concepts introduits dans ce paragraphe sont prsents dans loptique
dtudier des systmes techniques . Les facteurs humains sont sommairement introduits au
3.3.4. et ncessiteraient des dfinitions appropries concernant la fiabilit, disponibilit
etc...(cf. [1]).
2.1.1. Notion de Risques
Les circonstances et les consquences des catastrophes et accidents sont variables. Elles
montrent que le risque prsente deux aspects : probabilit et consquences. Au niveau des
consquences, elles se caractrisent par la scurit : protection des personnes, de
lenvironnement mais aussi protection de loutil de production (aspect conomique, et par
extension social).
Deux voies peuvent tre pratiques pour rduire les risques :
diminution de la probabilit doccurrence de lvnement indsirable
attnuation des consquences de lvnement indsirable

EL Hassan IRHIRANE

2009 - 2010

Page 5

2.1.2. Sret de fonctionnement


La sret de fonctionnement est galement appele Science des dfaillances .
Dautres dsignations existent suivant le ou les domaines dapplication : analyse de risque
(milieu ptrolier), alatique, cyndinique (Science du Danger), FMDS (Fiabilit,
Maintenabilit, Disponibilit, Scurit, RAMS en anglais)... Elle se caractrise la fois par
ltude structurelle (statique) et dynamique des systmes du point de vue prvisionnel, mais
aussi oprationnel et exprimental (essais, accidents), en tenant compte des aspects
probabilits et consquences des dfaillances. Cette discipline intervient non seulement au
niveau du produit fini (systme existant) mais aussi au niveau conceptuel pour la ralisation
dun systme ou la connexion de plusieurs sous-systmes (surtout sils sont de natures
diffrentes).
La sret de fonctionnement consiste connatre, valuer, prvoir, mesurer, et matriser
les dfaillances des systmes. Les grandeurs fondamentales utilises dans cette discipline sont
dfinies dans les paragraphes suivants. Les termes spcifiques utiliss dans les dfinitions qui
suivent sont galement normaliss (norme NF X 60-500, cf. [5,6]).
2.1.3. Fiabilit (Reliability)
Norme NF X 60-500
Aptitude dune entit accomplir une fonction requise,
dans des conditions donnes, pendant un intervalle de temps donn.
Lentit (E) dsigne un composant, sous-systme ou systme et la fonction requise est
la ou les fonctions que doit accomplir le dispositif pour pleinement remplir la tche qui lui est
assigne.
Par extension, on appelle galement fiabilit la probabilit associe R(t) cette notion
alors qu'elle n'en est qu'une mesure. Elle est dfinie par :
R(t) = P(E non dfaillante sur la dure [0,t])
Laptitude contraire est appele dfiabilit, et est dfinie par : R ( t ) = 1 R ( t )
On distingue plusieurs types de fiabilits (termes spcifiques) :
la fiabilit oprationnelle (observe ou estime) dduite de lanalyse dentits
identiques dans les mmes conditions oprationnelles
la fiabilit prvisionnelle (prdite) correspondant la fiabilit future dun systme et
tablie par son analyse connaissant les fiabilits de ces composants
la fiabilit extrapole dduite de la fiabilit oprationnelle par extrapolation ou
interpolation pour des conditions ou des dures diffrentes.
EL Hassan IRHIRANE

2009 - 2010

Page 6

Une grandeur moyenne associe la fiabilit souvent utilise est le temps moyen de
fonctionnement dune entit avant la premire dfaillance, Mean operating Time To Failure
(MTTF). On peut crire (sous certaines conditions mathmatiques, cf [1] et 5.3.) :

MTTF =

0 R(t). dt

Dfinition du taux de dfaillance en fonction de la fiabilit


La dfinition du taux de dfaillance (norme NF X 60-500) donne au 2.2.2. peut
s'exprimer ainsi :

(t) = lim P(E df.sur[t,t + t]sachant que E non df.sur[0,t]) / t


t 0

En utilisant la formule de Bayes sur les probabilits conditionnelles, on peut rexprimer


l'galit ci-dessus :
P(E df.sur[t,t + t]et E nondf.sur [0,t])
t 0
t.P(E nondf.sur [0,t])

(t) = lim

Au dnominateur le terme P(E non df. sur [0,t]) = R(t) par dfinition.
Lanalyse de P(E df.sur[t,t + t]et E nondf.sur[0,t]) conduit conclure quelle est
quivalente P(E df.sur[t,t + t]) . En effet si lon sintresse au comportement de lentit E
entre [t, t+t], cest quelle fonctionnait linstant t.
La probabilit au numrateur pouvant galement s'crire soit par :
F [t + t] F [t] ou
(1- F[t + t]) (1 - F [t] )
:
F(t + t ) F(t)
(t) = lim
t 0 t.(1 F(t))

(t) = lim

(1 R(t + t)) (1 R(t))


t.R(t)

t 0

R(t) R(t + t)
t 0
t.R(t )

= lim

(t) est donc mathmatiquement une densit de probabilit conditionnelle et scrit (cf.
dmonstration 5.1.) :

R(t) R(t + t)
R (t)
=
t 0
t.R(t)
R(t)

(t) = lim

ou bien
EL Hassan IRHIRANE

2009 - 2010

Page 7

F(t + t ) F(t)
f (t)
=
t 0 t.(1 F(t))
1 F(t)

(t) = lim

(En effet en calcul diffrentiel si dt est petit : y(t+dt)-y(t)=y(t) dt)


La fonction dR(t)/dt est appel densit de dfaillance et le terme (t)dt taux de hazard
Relations entre R(t), F(t), f(t) et (x)

du

du
du
d (Ln(u))' =

= Ln(u) u = e u
u
u
R (t)
d
(t) =
= Log(R(t))
R(t)
dt

(u)du = [Log(R(u))]

t
0

= [Log(R(t)) Log(R(0))]

0
t

(u)du = Log(R(t)) R(t) = e

(u) du
0

Comme on mesure la fiabilit partir de t = 0, il est vident que R(o) = 1, do


F(t)
F(t)

R(t)

R(t)

1-R(t)

1-F(t)

(t)

f(t)
t

f (u)du

1e

(u )du
0

f (u)du

(u )du

dF(t)
dt
dF(t)
dt
1 F(t)

f(t)
(t)

dR(t)

dt
R (t)

R(t)

f (t)
+

(t)e

(u) du
0

f (u)du
t

2.1.4. Disponibilit (Availability)


Norme NF X 60-500

Aptitude dune entit tre en tat daccomplir une fonction requise dans des
conditions donnes, un instant donn ou pendant un intervalle de temps donn, en
supposant que la fourniture des moyens extrieurs ncessaires soit assure
La probabilit associe A(t) linstant t est aussi appele disponibilit et sexprime par :
A(t) = P(E non dfaillante linstant t)

EL Hassan IRHIRANE

2009 - 2010

Page 8

Laptitude contraire est appele indisponibilit, et est dfinie par : A (t ) = 1 A (t )


ATTENTION : la disponibilit A(t) est une grandeur instantane. Le systme peut
donc avoir subi une panne puis une rparation avant linstant t, contrairement la fiabilit
R(t) qui est une grandeur mesure sur une dure (intervalle [0,t]). La confusion entre
disponibilit et fiabilit est due au fait que ces deux concepts sont quivalents quand le
systme est non rparable.
Comme la fiabilit, plusieurs types de disponibilits peuvent tre utilises :
la disponibilit instantane prvisionnelle (dfinie ci-dessus)
la disponibilit moyenne : moyenne sur un intervalle de temps donn [t1,t2] de la
disponibilit instantane prvisionnelle, ou mesure en phase oprationnelle par la
dure de fonctionnement effectif divise par la dure donne.
Les grandeurs moyennes associes la disponibilit le plus souvent utilises sont :
le Temps Moyen de Disponibilit (TMD), Mean Up Time (MUT) : dure moyenne de
fonctionnement aprs rparation
le Temps Moyen dIndisponibilit (TMI), Mean Down Time (MDT)
2.1.5. Maintenabilit (Maintainability) et Maintenance (Maintenance)
Norme NF X 60-500
Dans les conditions donnes dutilisation, aptitude dune entit tre
maintenue ou rtablie, sur un intervalle de temps donn,
dans un tat dans lequel elle peut accomplir une fonction requise, lorsque la
maintenance est accomplie dans des conditions donnes, avec des procdures
et des moyens prescrits.
La maintenance tant dfinie par :
Norme NF X 60-500
Ensemble des actions destines maintenir ou rtablir une entit dans un
tat dans lequel elle peut accomplir une fonction requise
La maintenabilit est caractrise par une probabilit M(t) (galement appele
maintenabilit) que la maintenance dune entit E accomplie dans des conditions donnes,
avec des procdures et des moyens prescrits, soit acheve au temps t, sachant que E est
dfaillante au temps t = 0 :
M(t) = P(la maintenance de E est acheve au temps t)
EL Hassan IRHIRANE

2009 - 2010

Page 9

= 1 P(E non rpare sur la dure [0,t])


Il sagit donc dun quivalent la fiabilit mais appliqu la rparation au lieu de la
dfaillance.
Limmaintenabilit correspond la probabilit contraire, soit : M ( t ) = 1 M ( t )
Les grandeurs moyennes associes la maintenabilit le plus souvent utilises sont :
le temps Moyen de Fonctionnement Entre Dfaillances (FMED), Mean operating
Time Between Failures (MTBF), on a MTBF = MUT + MDT.
le Temps Moyen avant Remise en Service ou temps dindisponibilit aprs
dfaillance (TMRS), Mean Time To Restoration (Mean Time To Repair, MTTR). On
peut lexprimer par (sous certaines conditions mathmatiques, cf [1] et 5.3.) :
+

MTTR = 0 [1 M(t)].dt

2.1.6. Scurit
La scurit restant un terme trs gnral, il nexiste pas actuellement de consensus pour
une normalisation. La dfinition de la probabilit associe reste donc dpendante des
approches. Une dfinition est donne par la rfrence [1] :
Aptitude dune entit viter de faire apparatre, dans des conditions donnes, des
vnements critiques ou catastrophiques.
Lvaluation de la scurit est actuellement encore limite et est effectue pour les
installations chimiques, les centrales nuclaires, les plates-formes ptrolires et
laronautique. Elle est base sur des tudes statistiques des impacts des accidents (rels,
expriments ou simuls) sur lhomme et lenvironnement (notion de gravit).
2.1.7. Schmas explicatifs pour quelques grandeurs moyennes
Pour prciser les dfinitions des grandeurs moyennes utilises en sret de
fonctionnement, deux schmas sont prsents figure 1. Attention, ces schmas ne sont pas
normaliss, ils ne prsentent que lusage courant. A noter que la notion de MTTR peut tre
tendue aux dures entre dfaillance et remise en service, la diffrence avec la MDT ntant
alors plus que les dures dindisponibilit dues aux contrles de maintenance.

EL Hassan IRHIRANE

2009 - 2010

Page 10

2.2. Systmes, composants et dfaillances


2.2.1. Systmes et composants
Du point de vue classique (dterministe, donc non systmique), un systme est un
ensemble dtermin dlments discrets (composants) interconnects ou en interaction. Il faut
remarquer que cette dfinition ne fait pas paratre laspect dynamique dun systme
susceptible dvoluer dans le temps. Ainsi, une dfaillance spcifique dun composant donn
peut avoir un effet diffrent suivant linstant auquel elle se produit. Les composants sont
considrs comme non dcomposables et correspondent aux limites de rsolution de lanalyse
du systme. De mme, le choix des limites dextension du systmes sont choisies en fonction
de ltendue de lanalyse et de linfluence de lvolution de lenvironnement du systme sur
celui-ci.
Hormis ces notions de systmes et composants, on peut dfinir des structures
intermdiaires telles que les systmes lmentaires, sous-systmes etc...
Les systmes sont de formes varies suivant les technologies mises en jeu (lectriques,
lectroniques, thermo-hydrauliques, mcaniques, informatiques, etc...) et parfois hybrides. On
caractrise un systme par :

EL Hassan IRHIRANE

2009 - 2010

Page 11

Remise
en
service
1re Dfaillance

Dfaillance
temps
MUT

MDT

MTTF

MTBF

dbut de la
rparation

Dfaillance

fin de la
rparation
Remise
en
service

dtection
de la
dfaillance

temps
MTTR
MDT
Fig. 1

EL Hassan IRHIRANE

2009 - 2010

Page 12

ses fonctions ou missions (hirarchises)


sa structure : les composants, leurs caractristiques, leurs interactions et leurs
localisations
son fonctionnement (tats du systme et des composants, volutions possibles)
son exploitation (maintenance et conditions spcifiques dexploitation)
2.2.2. Dfaillances, panne et rparation
La dfaillance dune entit est dfinie suivant la norme :
Norme NF X 60-500
Cessation de laptitude dune entit accomplir une fonction requise.
De mme, la panne dun composant ou systme (entit) est dfinie de la manire
suivante :
Norme NF X 60-500
Etat dune entit inapte accomplir une fonction requise,
dans des conditions donnes dutilisation.
La panne est donc ltat induit par la dfaillance de lentit considre, elle-mme
pouvant tre la consquence dune ou plusieurs dfaillances de ses composants. On distingue
la panne : intermittente (retour au fonctionnement sans maintenance corrective), fugitive
(intermittente mais non dtectable), permanente (maintenance corrective ncessaire), et
latente ou cache (non dtecte).
La remise en service rend apte lentit accomplir une fonction requise. Remarquons
que le temps dindisponibilit comprend le temps de rparation plus le temps coul depuis la
dfaillance jusqu sa dtection et puis la mise en uvre de la rparation. Il faut galement
souligner lexistence des notions dentits rparables ou non rparables aux sens technique
et/ou conomique.
Une grandeur fondamentale souvent utilise caractrise la dfaillance dun composant :
le taux de dfaillance (t) (instantan).

EL Hassan IRHIRANE

2009 - 2010

Page 13

Il est dfini par :


Norme NF X 60-500
Limite, si elle existe, du quotient de la probabilit conditionnelle pour que
linstant dune dfaillance dune entit soit comprise dans un intervalle de
temps donn, [t,t+t], par la dure t de lintervalle de temps, lorsque t tend
vers zro sachant que lentit na pas t dfaillante entre 0 et t
(t) est donc mathmatiquement une densit de probabilit conditionnelle et scrit (cf.
dmonstration 5.1.) :
R ( t ) R ( t + t )
1 dR ( t )
(t ) = lim
=

t 0
R ( t ). t
R ( t )
dt
On appelle la fonction f(t) = dR(t)/dt, densit de dfaillance.
De mme, on dfinit un taux de remise en service (t) :
Norme NF X 60-500

Limite, si elle existe, du quotient de la probabilit conditionnelle pour quune


entit soit remise en service dans un intervalle [t,t+t], sachant quelle a une
dfaillance linstant 0 et que la remise en service na pas encore t effectue
linstant t, par la dure t de lintervalle de temps, lorsque t tend vers 0.

(t) est donc mathmatiquement une densit de probabilit conditionnelle et scrit (cf.
dmonstration 5.2.) :

(t ) = lim

t 0

M ( t + t ) M ( t )
1
dM ( t )
=
(1 M ( t )). t
1 M ( t ) dt

On dfinit galement un taux de rparation not (t) et qui parfois se confond avec (t).
On peut mettre en vidence plusieurs types de dfaillances suivant la manire, linstant, les
causes et les consquences (effets) qui caractrisent leurs manifestations :
1. la manire
rapidit : dfaillance progressive ou soudaine (prvisible ou non par contrles et
surveillances)
amplitude : dfaillance partielle ou complte (disparition partielle ou complte de la
fonction requise)
rapidit et amplitude : dfaillance catalectique ou par graduation (soudaine et
complte, ou progressive et partielle)

EL Hassan IRHIRANE

2009 - 2010

Page 14

2. linstant
Ceci fait rfrence lvolution du taux de dfaillance des composants pendant leur vie.
Cette volution se divise en trois priodes (fig. 1 : courbe baignoire valable
essentiellement en lectronique) : la priode de jeunesse (1 : dcroissance plus ou moins
rapide du taux de dfaillance jusqu un minimum), la priode de taux constant de dfaillance
(2 : taux de dfaillance pratiquement constant : palier), et la priode de fin de vie
(3 : croissance plus ou rapide du taux de dfaillance depuis le palier). Elle conduit la
distinction de trois types de dfaillances :
dfaillance prcoce (priode de jeunesse)
dfaillance taux constant (priode de taux constant)
dfaillance par vieillissement ou dusure (priode de fin de vie)
3. les causes
Les origines dune dfaillance peuvent tre de natures diffrentes :
dfaillance premire (la dfaillance est due uniquement lentit elle-mme qui est
utilise conformment aux spcificits prvues)
dfaillance secondaire (la dfaillance est semblable la prcdente, mais hors
spcificits)
dfaillance de commande (mme processus mais lautre entit est mettrice de
commandes et peut tre corrige pour rtablir le fonctionnement)

(t )

Temps
Fig. 1.

EL Hassan IRHIRANE

2009 - 2010

Page 15

4. les consquences (effets)


On peut diffrencier quatre classes deffets des dfaillances :
dfaillance mineure (nuisance au bon fonctionnement du systme, dommages
ngligeables tous les niveaux)
dfaillance significative (nuisance au bon fonctionnement du systme, dommages non
notables et sans risque important pour lhomme)
dfaillance critique (perte de fonctions essentielles du systme, dommages importants
au systme et environnement, risque ngligeable de blessure ou de mort)
dfaillance catastrophique (perte de fonctions essentielles du systme, dommages
importants au systme et environnement, risque de mort ou dommages corporels)
Les modes de dfaillance ou de panne
Un mode de dfaillance caractrise leffet ou les effets observs au cours de la
dfaillance dun composant. Il est plutt recommand dutiliser le terme de mode de panne
dfini par :
Norme NF X 60-500
Un des tats possibles dune entit en panne pour une fonction requise donne.
2.3. Notions et concepts complmentaires
Dautres concepts peuvent tre dfinis : durabilit (durability), continuabilit (service
retainability performance), servibilit (serveability performance), accessibilit (service
accessibility performance)...
On utilisera souvent le terme de redondance. Une redondance consiste donner plus
dun moyen une entit (systme) pour accomplir une fonction requise. On distingue trois
types de redondances :
la redondance active : les moyens accomplissent simultanment la fonction requise.
la redondance passive : une partie seulement des moyens accomplit la fonction
requise, le reste tant sollicit en cas de dfaillance de la partie en fonctionnement.
la redondance majoritaire m/n : une fonction requise nest assure que si au moins m
des n moyens existants sont en tat de fonctionner ou en fonctionnement.

EL Hassan IRHIRANE

2009 - 2010

Page 16

3. Analyse prvisionnelle des dysfonctionnements des systmes


3.1. Principe

Principe d'analyse prvisionnelle


en sret de fonctionnement
Dfinition des Objectifs
Dfinition du systme
(recueil d'informations)
Analyse fonctionnelle
Analyse technique
Identification des risques
Modlisation du systme
Analyse qualitative
Analyse quantitative
(choix des mthodes)
Synthse/Dcisions
Organigramme 1.

EL Hassan IRHIRANE

2009 - 2010

Page 17

Lanalyse des systmes est ralise partir dinformations diverses dont le tri et
lanalyse permet de concevoir un modle du systme. Ce modle permet laide de
diffrentes mthodes de prvoir son futur comportement.
Les informations ncessaires lanalyse sont :
la description du systme rel : structure physique
les caractristiques des composants du systme et des interactions entre eux (les
modes de dfaillance et leurs consquences...)
les relations entre le systme et son environnement
la prise en compte des erreurs humaines en phase dexploitation
3.2. Les tapes dune analyse en sret de fonctionnement
On peut diviser une analyse de sret de fonctionnement de systme en quatre tapes
principales, savoir :
lanalyse structurelle et fonctionnelle du systme
lanalyse qualitative du systme
lanalyse quantitative du systme
la synthse des analyses prcdentes et une conclusion
Les dtails et lenchanement de ces tapes sont donns dans lorganigramme 1. Il faut
remarquer que ces tapes ne sont pas totalement disjointes et prsentent des aspects
communs. De plus, une tude relle est itrative, les quatre tapes principales sont rptes
plusieurs fois jusqu lobtention dune conclusion acceptable (objectifs raliss).
3.3. Les mthodes danalyse en sret de fonctionnement
3.3.1. Prsentation gnrale
Les mthodes danalyse en sret de fonctionnement sont varies. Elles sont adaptes
une ou plusieurs formes danalyse (structurelle et fonctionnelle, qualitative, quantitative) ou
un ou plusieurs domaines de lindustrie (ptrolire, chimique, lectrotechnique...). Elles font
appel la logique inductive (vnements lmentaires comportement gnral du systme,
cause/effets) ou dductive (comportement gnral du systme vnements lmentaires,
effets/cause).
Les paragraphes suivants prsentent brivement les mthodes suivantes :
Analyse Prliminaire des Dangers (APD), Analyse Prliminaire des Risques (APR)
(annes 60, aronautique)
Analyse des Modes de Dfaillances et de leurs Effets (AMDE, annes 60,
aronautique), Analyse des Modes de Dfaillances, de leurs Effets et de leur Criticit
EL Hassan IRHIRANE

2009 - 2010

Page 18

(AMDEC, annes 60, NASA), Failure Mode , Effects and Criticality Analysis
(FMECA)
HAZard and OPerability study (HAZOP, annes 70, industries chimiques)
Mthode du Diagramme de Succs ou de Fiabilit (MDS ou MDF, annes 60),
Reliability Block Diagram Method (RBDM)
Mthode de la Table de Vrit (MTV), Mthode de la Table de Dcision (MTD)
Mthode de lArbre des Causes (MAC, annes 60), Fault Tree Method (FTM)
Mthode des Combinaisons de Pannes Rsumes (MCPR, annes 70, aronautique)
Mthode de lArbre des Consquences ou des Arbres dEvnements (MACQ ou
MAE, annes 70, nuclaire), Event Tree Method (ETM)
Mthode du Diagramme Causes-Consquences (MDCC, annes 70, nuclaire),
Cause-Consequence Diagram Method (CCDM)
Mthode de lEspace des Etats (MEE, annes 50, processus de Markov)
3.3.2. Mthodes qualitatives
Toutes ces mthodes qualitatives sont bases sur la nomenclature des dangers et
risques, de leurs origines et causes. Elles utilisent des tableaux standards permettant de classer
les donnes et vnements.
3.3.2.1. Analyse Prliminaire des Dangers, des Risques (APD, APR)
Preliminary Hazard Analysis [1,2]
Cette mthode a t utilise au dbut des annes 60 aux Etats-Unis pour lanalyse de
scurit de missiles. La mthode a pour but didentifier les dangers dune installation et ses
causes (lments dangereux) et dvaluer la gravit des consquences lies aux situations
dangereuses et accidents potentiels. Lidentification des dangers est effectue grce
lexprience et la connaissance des spcialistes et de listes-guides (check-lists) dlments et
situations dangereuses qui dpendent du domaine dapplication. Par extension, on appelle
Analyse Prliminaire des Risques, la mme analyse complte par une estimation de la
probabilit doccurrence des situations dangereuses et accidents potentiels ainsi que leurs
effets et consquences.
Ces mthodes sont souvent utilises pour la phase didentification des risques et son
orientes vers la scurit.
3.3.2.2. Analyse des Modes de Dfaillance et de leurs Effets (AMDE)
Failure Mode and Effect Analysis (FMEA) [1,4,6]
Cette mthode utilise depuis les annes 60 en aronautique a t depuis gnralise
de nombreux domaines de lindustrie. Elle est inductive et permet ltude systmatique des
causes et des effets des dfaillances (modes de dfaillance et effets) qui affectent les
EL Hassan IRHIRANE

2009 - 2010

Page 19

composants dun systme. La mthode se divise en quatre tapes et se caractrise par une
prsentation sous forme de tableaux (cf. exemple en annexe 2).
1. Dfinition du systme, de ses fonctions et de ses composants : dfinition des
principales fonctions du systme, de ses limites fonctionnelles (globales et composants), et
des spcifications relatives au fonctionnement du systme, de ses composants ou
lenvironnement du systme.
Modes de dfaillance gnriques
1.

Dfaillance structurelle

18. Mise en marche errone

2.

Blocage physique au coincement

19. Ne sarrte pas

3.

Vibrations

20. Ne dmarre pas

4.

Ne reste pas en position

21. Ne commute pas

5.

Ne souvre pas

22. Fonctionnement prmatur

6.

Ne se ferme pas

23. Fonctionnement aprs le dlai prvu


(retard)

7.

Dfaillance en position ouverte

24. Entre errone (augmentation)

Dfaillance en position ferme

25. Entre errone (diminution)

9.

Fuite interne

26. Sortie errone (augmentation)

10. Fuite externe

27. Sortie errone (diminution)

11. Dpasse la limite suprieure tolre

28. Perte de lentre

12. Est en dessous de la limite infrieure


tolre

29. Perte de la sortie

13. Fonctionnement intempestif

30. Court-circuit (lectrique)

14. Fonctionnement intermittent

31. Circuit ouvert (lectrique)

15. Fonctionnement irrgulier

32. Fuite (lectrique)

16. Indication errone

33. Autres conditions de dfaillance


excep-

17. Ecoulement rduit

tionnelles suivant les caractristiques du


systme, les conditions de fonctionnement
et les contraintes oprationnelles
Tableau 1.

2. Etablissement des modes de dfaillance des composant et leurs causes : cette phase
doit tre la plus complte que possible, et demeure le point faible de la mthode. On classifie
les modes de dfaillances en gnral en quatre catgories (normalises) :
fonctionnement prmatur (ou intempestif)
EL Hassan IRHIRANE

2009 - 2010

Page 20

ne fonctionne pas au moment prvu


ne sarrte pas au moment prvu
dfaillance en fonctionnement
Les modes de dfaillances sont dfinis par rapport un fonctionnement prcis du
systme, et sont donc dpendants de celui-ci. Pour aider lanalyse, on utilise des tableaux
comme le tableau 1 donnant une liste-guide de modes de dfaillance gnrique (norme
NF X 60-510, dc. 1986, [6]).
3. Etude des effets des modes de dfaillances : tude complte des effets sur les
fonctions des systmes et sur chacun des composants, en supposant un seul mode de
dfaillance (les autres composants tant tous en tat de fonctionner). Il faut tenir compte des
variations des paramtres importants et tudier leurs effets (modles de phnomnes
physiques parfois ncessaire) en sachant distinguer ceux qui concerne le systme lui-mme et
ceux qui concernent son environnement (suivant les objectifs, les uns ou les autres peuvent
tre prioritaires). Cette phase permet galement didentifier les dfaillances secondaires.
4. Conclusions, recommandations : partir des tapes prcdentes, on peut conclure et
tablir des recommandations compte tenu des objectifs de ltude. Les recommandations
permettent dmettre des propositions : ajout de redondances, de procdures de dtection et
de maintenance pour chaque mode de dfaillance.
3.3.2.3. Analyse des Modes de Dfaillance, de leurs Effets et de leur criticit (AMDEC)
Failure Mode, Effects and Criticality Analysis (FMECA) [1,2,7,8]
Cette mthode est une extension naturelle de la mthode AMDE. Elle considre la
probabilit doccurrence de chaque mode de dfaillance et la gravit des effets associs pour
effectuer une classification suivant une chelle en criticit. Ce type danalyse a t dvelopp
dans laronautique pendant les annes 60, lune des premires utilisations importantes tant
pour la conception du module lunaire LEM (NASA). Une grille spcifique permet lanalyse
de la criticit qui fait la spcificit de cette mthode [1,2,6] et annexe 2.
3.3.2.4. Mthode danalyse HAZOP (HAZard and Operability Study) [1,2,9,10]
Cette mthode a t dveloppe par la socit Imperial Chemical Industries au dbut
des annes 70 et sapplique lindustrie chimique. Elle est de mme type que lAMDE mais
est mieux adapte pour lanalyse des circuits thermo-hydrauliques. Elle consiste remplir un
tableau standard contenant pralablement un certain nombre de mots-clefs. Ceux-ci
permettent de passer en revue les dviations des paramtres importants en mettant en
vidence les causes et les consquences de leurs dviations ventuelles, ainsi que les moyens
de dtection et les actions correctrices possibles. Une hirarchisation daprs la frquence et
EL Hassan IRHIRANE

2009 - 2010

Page 21

la gravit des dviations possibles est alors effectue. Un mthode drive a t dveloppe
par lUnion des Industries Chimiques [10].
3.3.2.5. Mthode des Combinaisons de Pannes Rsumes (MCPR)
Failure Combination Method [1,11]
Cette mthode complte la mthode AMDE en incluant une tude des combinaisons de
dfaillances conduisant des vnements indsirables. Elle a t cre par la SNIAS et les
Autorits de certification du Ministre de lAir franais pour lanalyse de la scurit des
avions Concorde puis Airbus [11]. Cette mthode se divise en quatre tapes :
dcomposition du systme lmentaire : AMDE applique chaque systme
lmentaire
laboration des pannes rsumes internes : regroupement des modes de
dfaillances qui seuls ou groups produisent les mmes effets sur le systme
lmentaire considr ou les autres systmes lmentaires
laboration des pannes rsumes externes : les pannes rsumes internes ou leurs
combinaisons relatives aux autres systmes pouvant affecter le fonctionnement du
systme lmentaire tudi constituent les pannes rsumes externes.
laboration des pannes rsumes globales : elles sont composes des pannes
rsumes internes, externes et de leurs combinaisons ayant les mmes effets sur le
systme lmentaire tudi et sur les autres systmes lmentaires.
Cette mthode permet de regrouper les pannes ayant les mmes effets et de tenir compte
des interactions entre systmes lmentaires. De plus, partir des modes de dfaillances
conduisant aux vnements indsirables, il est possible de construire facilement un Arbre des
Causes, et donc daborder laspect quantitatif directement.
3.3.3. Mthodes mixtes et quantitatives
Ces mthodes sont nombreuses, soit inductive, ou dductive comme celle de lArbre
des Causes ou de Dfaillance, ou encore un mlange des deux. On distingue trois types
dapproches suivant laspect du support diagrammatique utilis :
approche arborescente (MAC/MAD, MACQ/MAE, MDCC)
approche structurelle (MDS/MDF, MTV, MTD)
approche par graphe des tats (MEE)
De plus, on peut diviser ces mthodes en deux classes :
mthodes dites statiques : le systme est tudi partir de sa structure et de sa
logique de fonctionnement sans tenir compte de son volution possible dans le
temps.
EL Hassan IRHIRANE

2009 - 2010

Page 22

mthodes dites dynamiques : le systme est tudi partir de sa structure en tenant


compte de son volution au cours du temps.
3.3.3.1. Mthode du Diagramme de Succs ou de Fiabilit (MDS/MDF)
Reliability Block Diagram Method [1,2,3]
Cette mthode est la plus ancienne, et reste encore appele souvent Mthode du
Diagramme de Fiabilit (MDF). En effet, elle est naturelle car proche de la structure physique
du systme. Elle consiste construire un diagramme compos de blocs, chacun deux
reprsentant une entit (composant, sous-systme, voire une fonction) relis par des lignes
orientes indiquant les dpendances des entits entre elles. Le comportement des entits est
binaire (fonctionnement/dfaillance).
Les diagrammes sont constitus dune entre E, dun corps diagrammatique et dune
sortie S. On suppose quun signal est mis en E, et est transmis par les lignes jusqu la sortie
S, la dfaillance dune entit entranant larrt du signal au niveau du bloc qui lui est associ.
Sil nexiste aucun chemin daccs permettant le passage du signal de E vers S, le systme est
dfaillant, sinon il fonctionne. Un tel diagramme est une reprsentation statique du systme.
Ltude consiste chercher les combinaisons de dfaillances dentits lmentaires
conduisant la dfaillance du systme, appeles coupes . Les coupes ne contenant
aucune autre coupe sont dites minimales (la notion de chemins minimaux est aussi utilise
pour ce type dtude). Ces dernires sont essentielles pour les calculs probabilistes dcoulant
de cette premire analyse. Les rgles de transmission du signal sont numres ci-dessous :
en srie : toutes les entits doivent fonctionner pour que le signal passe.
en parallle : il suffit que toutes les entits dune branche fonctionnent pour que le
signal passe.
cas de redondance : la reprsentation fait apparatre un nud commun spcifiant sil
sagit dun cas m/n ou non et des interrupteurs si la redondance est passive.
Un descriptif de ces configurations est donn dans l'annexe 3, et un exemple figure au
5.5.1.
3.3.3.2. Mthode de lArbre des Causes ou de Dfaillance (MAC/MAD)
Fault Tree method Analysis (FTA) [1,2,3,12]
Cette mthode a t dveloppe en 1961-1962 par la Socit Bell Telephone par
A. Watson. Elle fut amliore peu aprs par Haasl (Boeing), avant de se gnraliser de
nombreux domaines de lindustrie. Loutil de cette mthode dductive est couramment appel
Arbre de Dfaillance (AdD) et est une reprsentation statique du systme. Elle consiste donc
considrer une dfaillance donne du systme et construire dune manire arborescente
(descendante) lensemble des combinaisons de dfaillances des composants mises en jeu
EL Hassan IRHIRANE

2009 - 2010

Page 23

(comportement binaire des vnements lmentaires). Lvnement indsirable ou non


souhait est au sommet de larbre do la dnomination dvnement-sommet , les
vnements indsirables intermdiaires ou de base tant relis en cascade laide de
symboles correspondant des oprations logiques. Une branche se termine toujours par un
vnement de base. Ces oprateurs appels portes sont ( cf. annexe 3) :
portes ET, ET prioritaire ou squentiel, ET avec condition
portes OU, OU exclusif, OU avec condition
porte SI condition
porte k/n combinaison
porte DELAI
porte NON
porte matricielle (sortie gnre pour certaines combinaisons dentre)
Les vnements sont spcifis dans des blocs de formes normalises ( entre parenthse,
sont spcifis si lvnement est dveloppable et la dfaillance de composant correspondante,
cf. annexe 3) :
rectangle : vnement-sommet ou intermdiaire ( dfaillance de commande)
cercle : vnement de base lmentaire (non dvelopp, dfaillance premire)
losange : vnement de base non lmentaire (non dvelopp, dfaillance seconde)
double losange : vnement non de base (dveloppement effectuer)
maison : vnement de base considr comme normal (vnement
fonctionnement)
ovale : vnement conditionnel (portes logiques)

de

Des triangles sont galement utiliss pour effectuer des transferts dun arbre dautres
sous-arbres, et donc de simplifier la prsentation dun arbre complexe.
Pour construire lAdD, on procde comme suit :
recherche des causes immdiates, ncessaires et suffisantes de lvnement
indsirable (obtention dvnements intermdiaires)
classement et analyse des vnements intermdiaires (lis un ou plusieurs
composants et quels types de dfaillances)
recherche des causes immdiates, ncessaires et suffisantes des vnements
intermdiaires jusqu obtention dvnements de base
Il faut remarquer que ces phases doivent souvent tre rptes pour permettre
lanalyste de mieux connatre le systme et damliorer sa dcomposition en vnements de
base. Enfin, lAdD permet de gnrer lensemble des coupes (comme un diagramme de
fiabilit dont il est le dual ) et den dduire celui des coupes minimales . Avant
EL Hassan IRHIRANE

2009 - 2010

Page 24

deffectuer cette valuation, des techniques de rduction de larbre (simplification)


peuvent tre appliques.
On distingue plusieurs types dAdD suivant leur complexit :
AdD-c : Arbres de Dfaillance cohrents composs de portes ET, OU, et de variables
monoformes (vnements lmentaires de mme catgorie : dfaillance)
AdD-nc : Arbres de Dfaillance non cohrents composs de portes ET, OU, et de
variables biformes (vnements lmentaires de catgories diffrentes)
AdD dlai : Arbres de Dfaillance composs de portes ET, OU et DELAI
AdD-r : Arbres de Dfaillance avec restriction, gnralisant les AdD-nc pour des
vnements lmentaires exclusifs non complmentaires
AdD-mp : Arbres de Dfaillance multiperformants, gnralisation des oprateurs
n entres...
Un exemple d'application sur un cas simple est prsent au 5.6.
3.3.3.3. Mthodes de la Table de Vrit et de la Table de Dcision (MTV, MTD) [1]
Base sur lalgbre boolenne, la mthode de la Table de Vrit permet didentifier tous
les tats (fonctionnement ou panne) du systme partir de comportements binaires. Elle reste
limite aux cas simples pour lanalyse manuelle, mais peut tre automatise. La construction
de la table est ralise aprs identification des modes de dfaillances des composants et de
leurs tats de panne, ainsi que leurs effets (AMDE). A chaque tat de composant est associe
une variable qui peut prendre la valeur 0 (fonctionnement) ou 1 (panne). Le nombre de
combinaisons devenant important quand le nombre de composants crot, cette mthode reste
limite aux systmes comportant peu de composants. La table de dcision est une extension
de la table de vrit permettant de traiter un nombre quelconque d'tats pour chaque entre de
la table. Elle peut servir l'laboration d'un arbre de dfaillance.
3.3.3.4. Mthode de lArbre des Consquences ou des Arbres dEvnements
(MACQ/MAE) Event Tree Method [1,13]
Lutilisation de cette mthode remonte aux annes 70 aux Etats-Unis pour lvaluation
des risques dans les centrales nuclaires. Cette mthode est drive de la mthode des arbres
de dcisions (analyse de dcision) et est principalement utilise dans lindustrie nuclaire.
Une squence dvnements est constitue dun vnement initiateur et dune
combinaison de dfaillances et fonctionnements de systmes de sret. Elle est qualife
dinacceptable ou dacceptable suivant les consquences quelle engendre.

EL Hassan IRHIRANE

2009 - 2010

Page 25

La mthode MACQ permet didentifier ces squences et ensuite de les tudier


quantativement et qualitativement. Il faut dabord dfinir les fonctions de sret du systme et
les vnements initiateurs (utilisation dun arbre des causes standard ). Deux approches
sont possibles, soit inductive, soit dductive.
Lapproche dductive commence par construction dun arbre des consquences
fonctions partir dun vnement initiateur. Il se dveloppe en envisageant chaque tape
le succs ou lchec de la fonction de sret considre. Ensuite, larbre est rduit : certaines
squences sont supprimes en raison de leur incohrence. Larbre des consquences
systmes est dduit en remplaant dans larbre prcdent les fonctions par les systmes de
sret correspondants. Souvent, il faut revoir lordre des vnements gnriques en raison des
interactions entre fonctions de sret, ceci permettant galement de simplifier larbre. La mise
en ordre est guide par les aspects temporel, les interactions fonctionnelles et les interactions
entre systmes lmentaires. Une simplification laide de lalgbre boolenne est galement
possible.
Lapproche inductive est base sur la mthode MCPR qui permet llaboration des
pannes rsumes globales. Celles-ci permettent la slection des vnements initiateurs et
ensuite llaboration des arbres des consquences. La simplification des arbres des
consquences est ralise sur les mmes critres et laide des mmes mthodes que dans
lapproche dductive.
3.3.3.5. Mthode du Diagramme Causes-Consquences (MDCC)
Cause-Consequence Diagram Method [1,2,14]
Mthode dveloppe dans les annes 70 par le laboratoire Ris (Danemark), la Mthode
du Diagramme Causes-Consquences est une combinaison des mthodes MAC et MACQ
(Arbre des Causes et Arbre des Consquences). Elle met en uvre la fois les logiques
inductive de larbre des consquences (AC) et dductive de larbre des causes (AdD). Donc,
un diagramme causes-consquences (DCC) est constitu dun ou plusieurs sommets
comme un AdD conduisant des consquences indsirables, redoutes ou inacceptables, et
dune partie consquences qui correspond aux consquences des vnements sommets.
Comme pour les AdD, des symboles spcifiques sont utiliss pour la construction des DCC,
la partie cause conservant les conventions des AdD. Les symboles spcifiques aux DCC sont
donns en annexe 3.
La construction dun DCC suit les rgles cumules des AdD et AC, et seffectue en
slectionnant un vnement initiateur, puis en cherchant les causes (AdD) et les consquences
(AC) de cet vnement.
Ensuite, ltablissement des coupes, puis des coupes minimales permet dobtenir des
rsultats quantitatifs.

EL Hassan IRHIRANE

2009 - 2010

Page 26

3.3.3.6. Mthode de lEspace des Etats (MEE) et extensions [1,2,3]


Cette approche est assez ancienne (annes 50) et sest dabord dveloppe pour ltude
des processus stochastiques du type markovien . On considre le systme comme un
ensemble de composants pouvant se trouver dans un nombre fini dtats de
fonctionnement ou de panne (il est possible dadmettre des tats dits dgrads ). On
dispose donc dun ensemble dtats de composants qui combins permettent de dfinir
lensemble des tats du systme. Cet ensemble est divis en deux sous-ensembles des tats de
fonctionnement et de panne, devant tre dfinis pralablement. Dans le cas de n composants
binaires , on obtient un nombre maximum de 2n tats. Ensuite, il faut recenser toutes les
transitions possibles entre les diffrents tats du systme en identifiant leurs causes. Un
support graphique appel graphe des tats permet de visualiser les tats, les transitions et
leurs caractristiques (taux de dfaillance, de remise en service ou de rparation...). Il consiste
reli des cercles (tats) par des arcs orients (transitions dtats de dpart vers des tats
darrive) avec des paramtres spcifis avec ceux-ci (caractristiques des transitions). Les
mthodes de rsolutions bases sur ces graphes permettent une tude dynamique du systme
(volution dans le temps).
Processus markoviens, systmes markoviens homognes
On considre souvent les processus markoviens pour tudier lvolution des
systmes dans le temps. Un systme est dit markovien si la probabilit conditionnelle de
transition dun tat prsent vers un tat suivant est indpendante du pass du systme. On
parlera aussi de chane de Markov si le processus est discret (temps valeurs entires).
Remarquons que sous certaines conditions, un processus markovien peut tendre vers un
rgime stationnaire (notion de disponibilit asymptotique). Si les transitions entre les tats se
caractrisent par des taux constants (indpendants du temps : densit de probabilit de type
exponentielle), le processus est dit markovien homogne .
Ltude dun tel systme ncessite la rsolution dun systme dquations diffrentielles
linaires couples du premier ordre et coefficients constants. De nombreuses mthodes
analytiques et numriques permettent de rsoudre ce type dquations (transformation de
Laplace, exponentiation de matrices, intgrations numriques, calculs de valeurs propres...) et
dobtenir fiabilit, disponibilit et maintenabilit en fonction du temps. De surcrot, des
grandeurs moyennes (MTTF, MTTR, MUT, MDT, MTBF) et la disponibilit asymptotique
(A(), si le processus est rgime permanent) peuvent tre facilement obtenues par inversion
dun systme dquations linaires.

EL Hassan IRHIRANE

2009 - 2010

Page 27

Processus semi-markoviens
Un processus semi-markovien est tel que la probabilit de transition dun tat vers un
autre ne dpende que du temps coul depuis larrive dans cet tat. Ce type de processus
conduit un systme dquations couples qui peut tre rsolu analytiquement.
Processus non markoviens homognes, extensions
Certaines mthodes permettent de transformer un processus non markovien homogne
(transitions paramtres non constants) en processus markovien homogne ou semimarkovien :
mthode des variables complmentaires (limite car le nombre de variables crot trs
vite en fonction du nombre de taux non constants)
mthode des tats fictifs (substitution des transition taux non constants par un
ensemble dtats et transitions taux constants)
mthode de la chane immerge (utilisation des points de rgnrations pour
construire une chane de Markov)
Ces mthodes restant limites, dautres approches ont t dveloppes permettant
dtudier les systmes partir des graphes dtats supports de reprsentation du systme en
utilisant la simulation Monte-Carlo. Les rseaux de Petri, utiles pour lidentification des tats
en vue de ltude dun processus markovien (aspect statique), sont des supports efficaces
pour ce type de simulation (aspect dynamique) [2,15]. Ils permettent une reprsentation de
lvolution temporelle du systme dans des cas complexes et de ses interactions avec dautres
systmes ou son environnement. Dautres supports peuvent tre galement utiliss...
3.3.4. Les facteurs humains
En raison de limportance de lintervention humaine dans les installations industrielles,
une tude de sret de fonctionnement doit tenir compte des facteurs humains. LEvaluation
Prvisionnelle de Fiabilit Humaine (EPFH) a t dveloppe partir des annes 60 suite de
nombreux travaux montrant son importance ds les annes 50. Les apports de lergonomie
permettent de mieux comprendre et matriser ces facteurs.
3.3.4.1. Loprateur humain
Laccomplissement dune tche par un oprateur humain peut se diviser en plusieurs
tapes :
lacquisition des informations (activit sensorielle)

EL Hassan IRHIRANE

2009 - 2010

Page 28

le traitement de linformation (activit mentale) : traitement logique des informations


(diagnostic par mthode algorithmique ou heuristique), valuation de lvolution
possible de la situation (calcul de paramtre laide de mthodes mathmatiques)
la prise de dcision : consquence directe du traitement dinformation (activit
mentale)
la rponse physique (activit physique)
Lanalyse des erreurs humaines a mis en vidence limportance de lactivit mentale
rflexe ou consciente. Rasmussen [16] a propos trois grandes classes de comportement
humain :
le comportement machinal (skill-based behaviour) : comportement automatique de
loprateur agissant comme une machine , lactivit mentale consciente nest presque
pas active.
le comportement procdural (rule-based behaviour) : comportement faisant appel
une activit mentale consciente et consistant excuter des tches de manire
coordonne en suivant des rgles (ou procdures) apprises ou crites.
le comportement cognitif (knowledge-based behaviour) : cas des situations
inhabituelles o lactivit mentale consciente est complexe afin de rsoudre des
problmes et des planifications de tches.
Il faut remarquer que lexcution des tches humaines prsente certaines spcificits :
la variabilit (diffrence dexcution dune mme action dans des conditions
quivalentes)
le besoin dinformation et la capacit de prvision (le manque dinformation nest pas
tolr par le cerveau, il cherche obtenir un maximum dinformations en vue dune
prvision) : aspect positif pour laccumulation dinformation, ngatif pour
lextrapolation pouvant tre errone
la capacit compenser les variations de difficult de la tche par une augmentation
de charge de travail sans variation des performances : peut devenir dangereux pour
loprateur et altrer le processus de production, cet effet admettant un niveau
maximum qui sil est dpass conduit une chute brutale des capacits
daccomplissement de la tche.
le stress : ensemble des ractions physiologiques une situation stressante (perception
par le sujet dun cart entre les exigences de la situation et ses possibilits), se
rpercutant galement au niveau psychologique.

EL Hassan IRHIRANE

2009 - 2010

Page 29

On distingue plusieurs types de tches qui permettent une premire approche des
erreurs humaines : tches simples, complexes, de vigilance, de contrle, et post-incidentelles
ou post-accidentelles.
3.3.4.2. Les mthodes
Une EPFH se dcompose de la manire suivante :
recherche des erreurs humaines potentielles
slection des erreurs pertinentes
analyse dtaille des erreurs pertinentes
intgration dans le modlisation du systme
quantification
La procdure SHARP (Systematic Human Action Reliability Procedure) [17] de lEPRI
permet en suivant ces diffrentes tapes de choisir les mthodes adquates pour effectuer une
EPFH. Citons quelques mthodes :
TESEO (Tecnica Empirica Stima Errori Operatori) [18], due lENI (compagnie
ptrolire italienne), probabilit derreur exprime par le produit de cinq facteurs
tabuls exprimant la complexit de laction, le temps disponible, lexprience et la
formation de loprateur, son motion et linterface homme-machine.
THERP (Technique for Human Error Rate Prediction) [19] due Swain, probabilit
derreur lmentaire gale au produit de trois termes exprimant une probabilit de base
(suivant opration et interface homme-machine), un coefficient correctif (stress) et une
probabilit de non-rcupration de lerreur.
HCR (Human Cognitive Reliability) [20], probabilit dabsence de rponse un
incident sous forme de trois fonctions possibles (comportement machinal, procdural ou
cognitif) et laide de 5 paramtres exprimant le temps disponible, le temps ncessaire,
la comptence de loprateur, le stress et linterface homme-machine.
HEART (Human Error Assessment and Reduction Technique)
Un exemple est prsent en annexe 5 accompagn d'extraits des tables de Swain.

4. Etude oprationnelle : donnes de sret de fonctionnement


Les donnes de sret de fonctionnement sont essentielles pour toute tude
prvisionnelle et principalement quantitative. Les donnes de sret de fonctionnement sont
de deux types : vnementielles et fiabilistes.

EL Hassan IRHIRANE

2009 - 2010

Page 30

Les donnes vnementielles sont obtenues laide dtudes statistiques des accidents
et des exprimentations en grandeur nature. Elles concernent donc laspect
macroscopique , et donnent des estimations du comportement dun systme entier dans
certaines circonstances (grand nombre dvnements indiscernables ou non quantifiables).
Elles sont surtout utiles pour lvaluation des risques (probabilit/gravit des consquences)
et donc de la scurit.
Par contre, les donnes fiabilistes sont obtenues par des essais sur des composants de
base des systmes dans des conditions donnes (vnements discernables et quantifiables).
Elles sont donc microscopiques et sont essentielles pour les mthodes prdictives dcrites
dans le chapitre prcdent, largement utilises. Pour cette raison, nous nous attarderons sur ce
type de donnes.
4.1. Les donnes de fiabilit
On distingue les donnes de fiabilit qualitatives et quantitatives. Lapproche
qualitative est rcente et concerne la description de larchitecture du systme du point de vue
matriel et fonctionnel (utilisation de systmes experts). Laspect matriel se caractrise par
le recensement des composants et la description de leurs connexions, alors que pour laspect
fonctionnel, il sagit de modlisation de la logique du systme, de ses conditions dutilisation
et du comportement de ses composants laide de variables dtat.
Lapproche quantitative est base sur des donnes techniques, humaines et
conomiques. Les donnes conomiques sont importantes pour lvaluation des cots de
remise en fonctionnement des composants (maintenance curative) et des cots de prvention
des dfaillances de ceux-ci (maintenance prventive). Ceci met en jeu les cots en personnels,
matriels et de production.
Les donnes sur les facteurs humains sont obtenues de plusieures manires : retour
dexprience, simulateurs, jugements dexperts, expriences en laboratoire (utilises pour
HCR [20]) et banques de donnes (par exemple, CONFUCIUS de EDF).
Les donnes techniques sont obtenues soit par ralisation dessais, par lutilisation des
rsultats en exploitation (retour dexprience), ou sur avis dexperts. Nous allons prciser
maintenant les mthodes dvaluation des donnes techniques.
4.1.1. Les paramtres
On caractrise la sret de fonctionnement dun composant (ou dune entit) par les
paramtres suivants :

EL Hassan IRHIRANE

2009 - 2010

Page 31

taux de dfaillance en fonctionnement ()


taux de dfaillance larrt (a)
taux de dfaillance la sollicitation ()
taux de rparation ()
grandeurs moyennes (MTTF, MTTR, MUT, MDT, MTBF)
A chacun de ces paramtres, on associe un estimateur permettant son valuation
partir dexpriences ou dessais dans des conditions donnes.
4.1.2. Les estimateurs
Les estimateurs sont calculs directement daprs les dfinitions des paramtres
donnes au 2.1. On a donc :
(t) : = (Nbre de df. obs. en fonct.)/(Dure cumule de fonct.)
a(t) : $ a = (Nbre de df. obs. larrt)/(Dure cumule darrt)
(t) : = (Nbre de df. obs. la sollicitation)/(Nbre de sollicitations)
(t) : $ = (Nbre de rparations)/(Dure cumule de rparation)
Les grandeurs moyennes sont galement dtermines partir des dfinitions
correspondantes, sachant que certaines peuvent tre calcules daprs les estimateurs ci1
1
dessus. Ainsi, MTTR =
et MTTF = .
$
$
Ces estimateurs sont accompagns de calculs dintervalles de confiance qui permettent
de se donner une ide de la prcision statistique sur ceux-ci. Ils suivent des lois de probabilit
que lon peut approcher par des lois simples (dtermination par le maximum de
vraisemblance...) prsentes ci-dessous.
4.1.3. Les lois de probabilit
La courbe en baignoire du 2.2.2. montre lexistence dune partie de la vie dun
composant appele vie utile dans laquelle le taux de dfaillance est constant. La validit
de cette variation du taux de dfaillance est rduite essentiellement aux composants
lectroniques. Dans cette hypothse, la densit de dfaillance f(t) suit une loi exponentielle.
En effet, si est constant, la relation = [-dR(t)/dt]/R(t) conduit R (t ) = e t avec R( t = 0)
= 1, et donc f (t ) = e t qui est bien une densit de probabilit car

f ( t )dt = 1 . Il faut
IR+

galement remarquer quun taux de dfaillance constant simplifie la tche de lanalyse quand
le systme est markovien, celui-ci tant alors homogne et de rsolution plus aise (cf.
3.3.3.6).

EL Hassan IRHIRANE

2009 - 2010

Page 32

Nanmoins, de nombreuses tudes ont montr que cette loi est loin dtre gnrale.
Aussi, dautres lois de probabilit permettent de dcrire les taux de dfaillance et les taux de
rparation. On peut citer :
+
la loi normale, deux paramtres, utilisable sur IR pour modliser la dure de vie des
1 t m 2
1
exp
, avec >0.
systmes, soit f (t) =
2
2
la loi log-normale, deux paramtres, qui permet de modliser les dures de
1 ln t 2
1
rparation, f (t) =
exp
, avec >0.
2
t. 2
la loi de Weibull, ajustable grce ces trois paramtres, elle est utilise dans plusieurs
domaines, mais surtout pour la fiabilit des composants mcaniques, o
1
t
(t )
f (t) =
exp
, avec , > 0, >0 et t > .

la loi Gamma, deux paramtres, o f (t) =

t 1 t
e . Quand le paramtre est
( )

entier, la loi est appele loi dErlang et est le produit de convolution de lois
exponentielles. Alors, il sagit dune loi de la variable alatoire somme de variables
alatoires distribues sur une mme loi exponentielle (utilisation dans la mthode des
tats fictifs, cf. 3.3.3.6).
4.1.4. Les mthodes de calcul des estimateurs et intervalles de confiance
Les intervalles de confiance sont imposs par le niveau de confiance
1 ( reprsente la probabilit que la valeur relle se trouve en dehors de lintervalle) et la
loi de probabilit correspondant au processus alatoire. Par exemple, une dfaillance se
droulant dans lintervalle [0,t] suit une loi de Poisson, alors quun refus de dmarrage suite
une sollicitation obit une loi binmiale.
Les principales mthodes de calcul des estimateurs sont :
lapproche baysienne (probabilits conditionnelles) [21] qui partir de la
connaissance dautres paramtres permet de calculer le nouveau paramtre. Dans le cas
o plusieurs sources de donnes sont utilises, la mthode de Kaplan [22] est souvent
utilise (double application du thorme de Bayes).
la modlisation qui dcompose le taux de dfaillance en produit de paramtres
permettant de tenir compte des conditions relles dutilisation du composant (MILHDBK-217B [23])
les jugements dexperts, utiliss si aucune donne nest connue et souvent bass sur la
mthode Delphi (IEEE-Standard-500 [24])

EL Hassan IRHIRANE

2009 - 2010

Page 33

4.2. Les banques de donnes


Les banques de donnes sont soit volutives (mise jour priodique, surtout dans le
domaine du nuclaire), soit spcialises (lectronique, mcanique...). On peut citer :
Electronique : CNET (tome 1), MIL-HDBK-217B/F (quipement militaire)
Mcanique : CNET (tome 2)
Electromcanique : NPRDS-91 (nuclaire), OREDA 92 (plates-formes ptrolires)
Mixte : IEEE-Stantard-500-1984
Nuclaire : SYREL, ERDS, ...
Des extraits de banques de donnes (CNET) sont prsents dans lannexe 4.

5. Dmonstrations/Exemples
5.1. Dfinition du taux de dfaillance en fonction de la fiabilit
La dfinition du taux de dfaillance (norme NF X 60-500) donne au 2.2.2. peut
s'exprimer ainsi :

(t) = lim P(E df.sur[t,t + t]sachant que E non df.sur[0,t]) / t


t 0

En utilisant la formule de Bayes sur les probabilits conditionnelles, on peut rexprimer


l'galit ci-dessus :
P(E df.sur [t,t + t]et E nondf.sur [0,t])
t 0
t.P(E nondf .sur [0,t])

(t) = lim

Or, P(E non df. sur [0,t]) = R(t), et la probabilit au numrateur pouvant galement
s'crire P(E df. sur [0, t+t])P(E df. sur [0, t]), on obtient l'expression :

(t) = lim

t 0

(1 R(t + t)) (1 R(t))


t.R(t)

R(t) R(t + t)
t 0
t.R(t )

= lim

5.2. Dfinition du taux de remise en service en fonction de la maintenabilit


Le taux de remise en service est dfini par la norme NF X 60-500 ( 2.2.2.) et peut
s'crire :

(t) = lim P(E rp.sur[t,t + t]sachant que E en pannesur[0,t]) / t


t0

EL Hassan IRHIRANE

2009 - 2010

Page 34

Comme au 5.1., l'utilisation de la formule de Bayes donne :


P(E rp.sur [t,t + t]et E en pannesur [0,t])
t0
t. P(E en panne sur [0,t])

(t) = lim

On fait apparatre ainsi 1 M(t) au dnominateur, et on peut exprimer le numrateur par


la diffrence P(E rp. sur [0, t+t])P(E rp. sur [0, t]). D'o l'expression :
M(t + t) M(t)
t 0
t.(1 M(t))

(t) = lim

5.3. Formulation intgrale des dures moyennes MTTF et MTTR


La MTTF est la dure moyenne avant premire dfaillance du systme. La dfaillance
est caractrise par la dfiabilit R (t) (probabilit de dfaillance sur l'intervalle [0,t]). Pour
calculer une valeur moyenne, il faut utiliser la densit de probabilit correspondante, soit la
dR (t)
. On a donc par dfinition :
densit de dfiabilit
dt
+ dR (t)
MTTF = t.
.dt
0
dt
Comme R (t) = 1R(t), on peut reformuler facilement l'intgrale en fonction de

MTTF =

t.

dR(t)
:
dt

dR(t)
.dt
dt

En intgrant par partie, on peut faire apparatre R(t), et obtenir une expression simple.
Ceci peut s'effectuer si R(t) admet un comportement spcifique quand t tend vers l'infini. En
effet :

MTTF = 0 R(t).dt [ t. R(t)]0


+

ce qui donne MTTF = R(t).dt si l'on a lim t.R(t ) = 0 . Cette condition indique que
0
t +

R(t) doit tendre vers zro quand t tend vers l'infini plus vite que la fonction 1/t.
La formulation intgrale de la MTTR est semblable. On a :
MTTR =

EL Hassan IRHIRANE

t.

2009 - 2010

dM(t)
.dt
dt

Page 35

On peut faire apparatre l'expression 1M(t) dans l'intgrale, et ainsi par intgration par
partie on obtient :
MTTR =

donc

t.

+
d
1- M(t) .dt = [t(1 M(t)]0+ + (1 - M(t))dt
0
dt

MTTR = 0 (1 M(t)).dt .

Cette

expression

est

valable

uniquement

si

lim t.(1 M(t)) = 0 , soit que 1-M(t) tend vers 0 plus vite que 1/t quand t tend vers l'infini.

t +

5.4. Les grandeurs de sret de fonctionnement pour une entit rparable


Dans ce calcul lmentaire on considre une entit rparable de taux de dfaillance
constant et de taux de remise en service constant. Nous commenons par nous intresser
la disponibilit de l'entit A(t). On a :

A(t + dt) = P(fonctionneen t et pas df.sur[t,t + dt]) + P(en panneen t et rp.sur[t,t + dt])
Ceci peut galement s'crire :
A(t + dt) = A(t)(1 dt ) + (1 A(t))dt

A partir de cette relation, on peut faire apparatre la drive

dA(t) A(t + dt) A(t)


:
=
dt
dt

dA(t)
= ( + )A(t)
dt

Cette quation diffrentielle du premier ordre en A(t) tant coefficients constants, se


rsoud facilement :
A(t ) = ke ( + )t +

la constante k tant dtermine sachant que A(0)=1 : k = 1

+ +
On remarque que la disponibilit asymptotique A() = lim A(t) existe. Elle est gale

au rapport

t+

La fiabilit R(t) est dfinie directement partir de la dfinition du taux de dfaillance


( 2.2.2.) par l'quation diffrentielle du premier ordre :

EL Hassan IRHIRANE

2009 - 2010

Page 36

1 dR(t)
R(t) dt

Ainsi, la solution est videmment : R(t) = e

avec R(0)=1.

De mme la maintenabilit est caractrise par l'quation diffrentielle (d'aprs la


dfinition du taux de remise en service) :

1
dM(t)
1 M(t) dt

ce qui donne M(t) = 1 e t avec M(0)=0.


A partir de ces valeurs et des dfinitions intgrales des MTTF et MTTR ( 2.1.3. et
2.1.5., puis 5.3.), on obtient :
+

+ t

MTTF = R(t)dt =

dt =

et

MTTR =

(1- M(t))dt = 0 e t dt =

5.5. Etude d'un systme 2 composants identiques en redondance active


On rappelle qu'un redondance active est caractrise par le fonctionnement simultan
d'un ensemble de composants remplissant les mmes fonctions ou missions, un seul de ceuxci suffisant pour les raliser.

5.5.1. Cas de deux rparateurs disponibles


Ce cas peut tre tudi partir du diagramme de fiabilit, le systme ne prsentant pas
de dlais d'attente ni d'indisponinilit pour maintenance. En effet, dans ces situations, la
reprsentation statique des composants dans le systme n'est plus adquate pour une
description dynamique correcte et ne peut servir qu'en tant que support pour l'tablissement
des scnarios de panne.
Le diagramme de fiabilit est du type parallle et le seul tat de panne est donn par
X Y comme le montre le schma ci-dessous. En effet, pour que le flux partant de l'entre E ne
puisse plus atteindre la sortie S, il faut que les deux composants X et Y soient dfaillants.

X
S

Y
EL Hassan IRHIRANE

2009 - 2010

Page 37

La disponibilit du systme est alors simple calculer. La probabilit que le systme


soit en panne P est gale la probabilit que chaque composante soit en panne. La probabilit
qu'un composante soit en panne est 1a(t), o a(t) est la disponibilit du composant. Donc :

P = (1 a x (t)) 1 ay (t)

Or, la disponibilit du systme est A(t)=1P. Utilisons maintenant les rsultats du 5.4.
Ainsi, en remplaant ax(t) et ay(t) qui sont identiques par l'expression de la disponibilit d'un
composant rparable, on obtient :
2


A(t ) = 1
1 e ( + )t
+

De la mme manire, on en dduit la fiabilit du systme, mais avec des composants


irrparables, et sa maintenabilit (calcul valide uniquement s'il n'existe qu'un tat de panne du
systme) :

R(t) = 1 1 e

t 2

et

M(t) = 1 e

2 t

Les MTTF et MTTR se calculent facilement, on obtient :


MTTF =

5
2

et MTTR =

1
2

On peut remarquer que la MTTR peut se calculer directement pour n composants en


redondance active (n rparateurs) par l'inverse de la somme des taux de remise en service des
composants. De mme, la MTTF pour n composants en srie (n rparateurs) est l'inverse de la
somme des taux de dfaillance des composants.

5.5.2. Cas d'un seul rparateur disponible


Espace des tats- rduction du nombre d'tats
Comme prcis prcdemment, l'approche par un diagramme de fiabilit n'est plus
suffisante si le nombre de rparateurs disponibles est infrieur au nombre de composants. On
dispose d'autres mthodes pour rsoudre ce problme, en particulier bases sur l'espace des
tats. Une des plus efficaces et couramment utilise, est la mthode markovienne. Nous allons
donc prsenter cette mthode applique ce cas lmentaire.
D'abord, il faut tablir l'ensemble des tats du systme. On distingue pour chaque
composant trois types d'tats : les tats de marche (fonctionnement), de rparation (un "r" sera
indiqu en indice) et de panne.
EL Hassan IRHIRANE

2009 - 2010

Page 38

Ainsi, compte tenu qu'une seule rparation peut tre effectue la fois, on distingue les
tats suivants :
tats de fonctionnement du systme : XY, XY ,XYr , XY , Xr Y
tats de panne du systme : Xr Y ,X Yr , X Y
En fait, pour faciliter l'tude (rduction du nombre d'tats), on peut considrer que les
tats de rparation et de panne relve d'un mme comportement vis vis du systme (le taux
de remise en service peut inclure la dure ncessaire la dtection de la dfaillance du
composant). Ainsi, on rduit le nombre d'tats possibles de 8 5 (on distingue les
composants, en particulier le premier dfaillant). Comme les deux composants sont
identiques, ils sont donc indiscernables par rapport au systme ce qui veut dire que les tats
"symtriques" peuvent tre confondus en un seul. Les tats XY et XY sont dans ce cas
indiffrencis, ainsi que la distinction du premier composant dfaillant quand les deux
deviennent dfaillants. Le nombre d'tats est finalement de 3 au lieu de 8. Cette technique de
rduction du nombre d'tats peut tre tendue quand le nombre d'tats est important (mthode
des aggrgats).
On nommera les trois tats ainsi :
tous les composants fonctionnent (tat 1)
un composant est dfaillant ou en rparation (tat 2)
tous les composants sont dfaillants ou en rparation (tat 3)
On reprsente l'espace des tats l'aide du graphe des tats. Chaque place (cercle)
reprsente un tat du systme, et un ensemble d'arcs orients permet d'indiquer les transitions
possibles d'tat tat. En principe, le graphe que l'on devrait construire serait constitu de 8
ou 5 places en indiquant sur chaque arc "le taux de transition" (taux de dfaillance, de
rparation ou de remise en service...). Cependant, nous nous contenterons de prsenter le
"graphe de Markov" constitu des trois tats prsents ci-dessus (graphe des tats associ un
systme markovien).

EL Hassan IRHIRANE

2009 - 2010

Page 39

Approche markovienne (cf. 3.3.3.6.)


Un systme est dit "markovien" si la probabilit conditionnelle de transition d'un tat
prsent vers un tat suivant est indpendante du pass du systme. Si les taux de transition
entre les tats sont constants, le systme est "markovien homogne" et est quivalent un
systme d'quations diffrentielles couples du premier ordre coefficients constants, les
inconnues tant les probabilits d'tre dans un tat donn. Dans ce cas, la rsolution
analytique du systme d'quations est possible. La transformation de Laplace est bien
adapte, l'approche par calcul des valeurs propres et exponentiation pouvant galement tre
pratique.
Formulation markovienne du problme
La premire tape est la construction du graphe de Markov. Le graphe donn ci-dessus
indique les taux de transition d'tat tat. Il faut remarquer que le taux de transition de l'tat 1
vers l'tat 2 est 2 car l'un ou l'autre des deux composants peut tre dfaillant. Pour les autres
transitions, il n'y a qu'une possibilit chaque fois (dfaillance ou rparation). A partir de ce
graphe, on peut crire le systme d'quations diffrentielles suivant :
dP1(t)
dt
dP (t)
2
dt
dP3 (t )

dt

2 P1 (t) + P2 (t )

= 2 P1(t)

( + )P2 (t) + P3(t)

P2 (t)

P3(t)

Ce systme est obtenu en considrant pour chaque tat, que la variation de la probabilit
correspondante Pi en fonction du temps est la somme des probabilits d'tre dans chacun des
tats voisins et de transiter vers cet tat (produit Pj par le taux correspondant), moins la
probabilit d'tre dans cet tat et de transiter vers l'tat suivant (produit Pi par le taux
correspondant). Alors, on peut construire la matrice associe T dite de "transition" qui a la
proprit d'tre "singulire" (la somme de chaque colonne est nulle, donc son dterminant est
nul) :

2
T = 2
0

( + )

La matrice transpose de T est galement appele matrice de transition par certains


auteurs (le vecteur probabilit P(t) est alors un vecteur ligne au lieu de colonne)
Calcul des probabilits d'occupation des tats puis de la disponibilit

EL Hassan IRHIRANE

2009 - 2010

Page 40

On peut rsoudre ce systme l'aide de la transformation de Laplace. On commence par


calculer la transforme de Laplace des trois galits :
s. L1 (s) P1(0) = 2 L1(s) + L2 (s)

s. L2 (s) P2 (0) = 2 L1(s) ( + )L2 (s) + L3 (s)


s. L (s) P (0) =
L2 (s)
L3 (s)
3
3
On utilise pour cela la proprit bien connue de la transforme de Laplace d'une drive
:
dP (t)
L i (s) = sL(s) Pi (0)
dt
En inversant le systme, on en dduit L1(s), L2(s) et L3(s) en supposant que P1(0)=1 et
que P2(0)=P3(0)=0 (systme avec ses deux composants en fonctionnement l'origine des
temps) :

L1 (s) =

L2 (s) =

L3 (s) =

s 2 + (2 + )s + 2
s. f (s)
(s + )
2
s. f (s)
2

s. f (s)

avec f (s) = s 2 + s(2 + 3 ) + (2 2 + 2 + 2 ) .


Il reste calculer les transformes inverses de Laplace de L1(s), L2(s) et L3(s) pour
obtenir les probabilits P1(t), P2(t) et P3(t). Ceci se calcule facilement en dcomposant les
fractions rationnelles en s en lments simples, la fonction f(s) admettant deux racines relles.
En effet, rappelons que sur IR+, la transforme de Laplace inverse de 1/(s+) est e-t. On
obtient donc les solutions :

P (t) =
1

P2 (t ) =

P3 (t) =

EL Hassan IRHIRANE


2 s1t

2 s2t 2
s
+

+
2

+
e
+
s
+

+
2

+
e + 2
1
2
2 2
s1
2 2
s2
2
s1t s2 t
1+
e +
1+
e +
s1
s2

s1t s 2t
e + e +
s1

s2

2009 - 2010

Page 41

o les paramtres , et s'expriment en fonction de et et de s1 et s2, racines de


2 2
2 2
l'quation f(s) = 0 : =
.
= et = 2
s1 s 2
+ 2 2 + 2
La disponibilit A(t) est donc la somme P1(t)+P2(t).
Calcul de la fiabilit
La fiabilit par dfinition ( 2.1.3.), est la probabilit que le systme ne soit pas tomb
en panne pendant l'intervalle de temps [0,t]. Ceci implique qu'il ne faut pas tenir compte des
contributions dues des remises en service du systme. Donc, pour calculer la fiabilit, il faut
reprendre le calcul prcdent en supprimant toutes les transitions des tats de panne vers des
tats de marche (ici, la transition de 3 vers 2). Ceci revient rsoudre le systme rduit aux
tats de fonctionnement sans tenir compte des tats de panne. Ici, il faut donc rsoudre le
systme :

dP1(t)

dPdt(t)
2

dt

2 P1 (t) + P2 (t )

= 2 P1(t)

( + )P2 (t)

On peut utiliser la transformation de Laplace comme prcdemment ou, en dcouplant


les quations, se ramener la rsolution de deux quations diffrentielles linaires du second
ordre, l'une en P1(t) et l'autre en P2(t). On obtient :

P (t) =
1

P2 (t ) =

1
(s1 + + )e s1t (s2 + + )e s2 t
s1 s 2
2
(e s1t e s2t )
s1 s 2

o s1 et s2 sont racines de l'quation s 2 + s(3 + ) + 2 2 = 0 . La fiabilit R(t) est donc


la somme P1(t)+P2(t).
Calcul de la maintenabilit
La maintenabilit tant la probabilit de rparation du systme sur un intervalle de
temps [0,t] alors qu'il tait en panne en t=0, il faut considrer que P1(0)=P2(0)=0 et P3(0)=1,
et supprimer toutes les transitions des tats de marche vers les tats de panne. En effet, il ne
faut pas que le systme soit rpar plus d'une fois sur l'intervalle [0,t], c'est--dire qu'une fois
rpar il ne puisse plus retomber en panne avant l'instant t. Alors, la quantit complmentaire
1 de la somme des probabilits des tats de panne est la maintenabilit. Dans notre cas, seul
P3(t) est un tat de panne, ce qui donne l'quation :

EL Hassan IRHIRANE

2009 - 2010

Page 42

dP3 (t)
= P3 (t)
dt

La solution est videmment P3 (t) = e

donc M(t) = 1 e t . Ce rsultat est identique

celui d'un composant rparable. Cela s'explique par le fait que le seul tat de panne du
systme correspond l'indisponibilit de ses deux composants sachant que la rparation d'un
seul d'entre eux est ralisable par un unique rparateur et qu'alors le systme se retrouve dans
un tat de marche. Ceci est quivalent la rparation d'un seul composant.
Calcul des grandeurs moyennes
On peut dduire MTTF et MTTR partir des rsultats prcdents sur la fiabilit et la
maintenabilit. Nanmoins, il existe une mthode directe utilisant la matrice stochastique
introduite prcdemment qui permet de calculer indpendamment MTTF, MTTR, MUT et
MDT (MTBF=MUT+MDT).
5.6. Etude d'un systme l'aide d'un Arbre de Dfaillance
On considre un systme compos d'un rservoir et d'un dispositif associ destin
prvenir tout dbordement de celui-ci (cf. schma ci-aprs). Le scurit du systme est
envisage de la manire suivante :
ds que le niveau du fluide contenu dans le rservoir atteint un premier seuil, le
dtecteur NH (Niveau Haut) commande la fermeture de la vanne V2.
En cas d'chec de l'action prcdente un second capteur de niveau NTH (Niveau Trs
Haut) commande la fermeture de la vanne V3 et alerte un oprateur OP par
l'intermdiaire d'un signal d'alarme mis par un klaxon K.
L'oprateur OP vrifie alors que l'alimentation en fluide est coupe, sinon il ferme la
vanne manuelle V1 ou, en dernier recours, ouvre la vanne manuelle d'vacuation V4
qui autorise un dbit suprieur celui des autres vannes.
L'vnement indsirable est donc le dbordement du rservoir ( R ). Il constitue
l'vnement sommet. Pour construire l'Arbre de Dfaillance (AdD), il faut identifier les
vnements intermdiaires de proche en proche jusqu' atteindre un vnement lmentaire
pour chaque branche de l'arbre. Dans notre cas, les vnement lmentaires sont les
dfaillances des composants suivants : les vannes V1, V2, V3 et V4, les dtecteurs NH et
NTH, le klaxon K et l'oprateur OP. Ces vnements seront nots :
V1, V2,V3,V 4, NH,NTH,K ,et OP . On ne tiendra pas compte des fuites ventuelles des
conduits ou du rservoir.

EL Hassan IRHIRANE

2009 - 2010

Page 43

Les vnements causant directement le dbordement du rservoir, sont l'impossibilit


d'un arrt de l'alimentation en eau et l'impossibilit d'vacuation de l'eau. Ensuite, on
dcompose ses deux vnements intermdiaires.
K
OP

Source
V1

V2

NH

V3

NTH

Consommateur

V4

Evacuation

Schma du principe de fonctionnement du systme


S'il n'y pas d'arrt d'alimentation en eau, cela veut dire que la vanne V1 n'a pas effectu
cet arrt ainsi que la vanne V2 et la vanne V3. Pour chacune de ces vannes, cela signifie que
soit elles sont dfaillantes, soit non actionnes. Ce dernier vnement a une origine diffrente
suivant la vanne. Ainsi, la vanne V1 devant tre actionne par l'oprateur OP, ne l'est pas soit
parce que l'oprateur est "dfaillant", soit qu'il n'a pas t averti, cette dernire possibilit
impliquant que le klaxon K est dfaillant ou que le dtecteur NTH est dfaillant. Pour les
autres vannes, elles peuvent ne pas tre actionnes parce que le dtecteur correspondant est
dfaillant (NH pour V2 et NTH pour V3).
L'impossibilit d'vacuation est due soit la dfaillance de V4, soit au fait qu'elle ne
soit pas actionne. Alors, on se retrouve dans le mme cas de figure qu'avec la vanne V1 dans
le paragraphe prcdent.
Tous ces enchanements d'vnements peuvent tre rsums par un AdD prsent ciaprs.
La structure logique de l'arbre permet de reconstituer facilement le boolen R associ
l'vnement sommet en fonction des autres boolens associs aux vnements lmentaires. Il
suffit de remonter chaque branche en utilisant les proprits des boolens par rapport aux
oprateurs logiques. On obtient finalement l'expression :

R = (V1+ OP + K + NTH)(V2 + NTH)(V3 + NH) (V4 + OP + K + NTH)

EL Hassan IRHIRANE

2009 - 2010

Page 44

Le but tant de dterminer la probabilit de l'vnement indsirable, il faut que


l'expression finale soit prsente sous forme d'un somme contenant un minimum de terme et
de prfrence disjoints pour rduire les calculs l'aide de la formule de Sylvester-Poincar.
On rappelle cette formule :
n
lr
n
n
P U Ei = P(Ei ) P(E j I Ek )+K+(1) r +1. P I Ei +K+(1)n +1. P I Ei
i=1 i=1
i=1
j k
l j lk i=l1

Cette expression est compose de 2n1 termes, ce qui crot trs rapidement. Elle est
donc d'usage limit et ncessite des approximations ou une modification des coupes
minimales l'aide d'algorithmes pour les rendre disjointes. Nous nous limiterons ici au calcul
des coupes minimales.
On commence par s'intresser aux trois premiers facteurs de l'expression de R . Le
dveloppement du produit des deux premiers termes donne V1.V2 + OP.V2 + K.V2 + NTH .
On rappelle qu'en algbre boolenne X2 = X et que XY+Y = Y. Le produit de cette
expression par le troisime facteur donne les huit termes :
V1.V2.V3 + OP.V2.V3 + K .V2.V3 + NTH.V3 +
V1.V2.NH + OP.V2.NH + K .V2.NH + NTH.NH

Reste effectuer le produit par le quatrime facteur. Il faut commencer par les termes
les plus courts qui sont susceptibles de faire disparatre des termes plus long l'aide de la
relation XY+Y=Y. On gnre donc en premier les termes NTH.V3 + NTH.NH en
multipliant par NTH , les autres termes tant simplifis. Ces deux termes tant minimaux et
dj prsents dans les huit termes prcdents, les produits suivants seront uniquement
effectus par les six autres termes. Les produits suivants sont prfrentiellement effectus par
des coupes composes d'vnements lmentaires communs avec celles dj obtenues. Ici, on
peut prendre soit OP , soit K . Pour K , on remarque que les produits V2.V3 et V 2.NH
apparaissent plusieurs fois ce qui permet d'crire le rsultat simplifi de ce produit :

V2.V3. K + V2.NH.K . Mme remarque pour OP , d'o le rsultat : V2.V3.OP + V2. NH.OP
. Enfin, le produit par V 4 est simplifi en utilisant les coupes minimales dj trouves. On
obtient finalement huit coupes minimales :
V1.V2.V3.V 4 + V1.V2.NH.V4 + V2.V3.OP + V2.NH.OP +
V2.V3. K + V2.NH.K + NTH.V3 + NTH.NH

Donc, pour ce petit exemple, le calcul l'aide de la formule de Sylvester-Poincar


ncessite dj l'valuation de 255 termes !

EL Hassan IRHIRANE

2009 - 2010

Page 45

Pour indication, il existe des algorithmes pouvant produire 8 termes "disjoints"


quivalents aux prcdents, ce qui rduit donc le nombre d'valuations de 255 8.

EL Hassan IRHIRANE

2009 - 2010

Page 46

Rfrences bibliographiques
1. 2. Le risque technologique, Alain Leroy et Jean-pierre Signoret, Que sais-je ?,
Presses Universitaires de France, 1992.
2. Fiabilit des Systmes, A. Pags, M. Gondran, Collection de la Direction des Etudes
et Recherches dEDF, Ed. Eyrolles, 1980.
3. Techniques danalyse de la fiabilit des systmes. Procdures danalyse des modes de
dfaillance et de leurs effets (AMDE). Publication 812 de la CEI, 1985. [AMDE]
4. Fiabilit-maintenabilit-disponibilit. Recueil de normes franaises AFNOR, afnorute, 1988.
5. Maintenance industrielle. Recueil de normes franaises AFNOR, afnor-ute, 1988.
6. Design Analysis Procedure for Failure Mode, Effects and Criticality Analysis
(FMECA). Recommanded Practice ARP 926. SAE Aerospace, sept. 1967. [AMDEC]
7. Failure Modes, Effects and Criticality Analysis, W.E. Jordan, G.C. Marshall. Annual
Reliability and Maintainability Symposium. San Fransisco, California, Jan. 25-27,
1972. [AMDEC]
8. Operating Study and hazards analysis, H.G. Lawley. Chemical Engineering Progress,
70 (1974, n4) 45-56. [HAZOP]
9. Les diffrentes mthodes danalyse de scurit dans la conception dune circulation
dune installation chimique. 2me mthode : ltude de scurit sur schmas de
circulation des fluides. Les cahiers de la scurit. Union des Industries Chimiques,
nov. 1980. [HAZOP]
10. Scurit des systmes, C. Lievens, Cepadues Editions, Toulouse, 1976. [MCPR]
11. Arbres de dfaillance, N. Limnios,Trait des Nouvelles Technologies, Ed. Herms,
1990. [MAC/MAD]
12. Une mthode danalyse de la fiabilit et de la scurit des systmes complexes en
interaction : la mthode des arbres dvnements. EDF-DER, HT/13/18/84, mai 1984.
[MACQ]
13. The Cause-Consequence Diagram method as abasic for quantitative accident
analysis, D.S. Nielsen, Danish Atomic Energy Commission, Report Riso, M. 1374,
Denmark, May 1971. [MDCC]
14. Du grafcet aux rseaux de Petri, H. Alla et P. Davis, Trait des Nouvelles
Technologies, Ed. Herms, 1989. [MEE, rseaux de Petri]
15. Human Reliability in Risk Analysis in High Risk Safety Technology, J. Rasmussen, Ed.
A.E. Green, Wiley, 1982.
16. Systematic Human Action Reliability Procedure (SHARP), Hannaman, Spurgin,
Electric Power Research Institute, EPRI NP-3583, June 1984. [SHARP]

EL Hassan IRHIRANE

2009 - 2010

Page 47

17. The human operator failures in petrochemical facilities : an historical investigation


th

and a tentative simulation model TESEO, Bello, Colombari. 6 Advances in


Reliability Technology Symposium, UKAEA-NCSR-R23, 1980. [TESEO]
18. Handbook of Human Reliability Analysis with Emphasis on Nuclear Power Plant
Application, A.D. Swain, H.E. Guttmann. US-NRC-NUREG/CR-1278, August 1983
[THERP]
19. A model for assessing human cognitive reliability in PRA studies, Hannaman,
Spurgin, Lukic. Third IEEE conference on Human Reliability, monterey, USA, 1985.
[HCR]
20. Data Analysis in Risk Assessments, G. Apostolakis, Nuclear Engineering and Design
71 (1982), 375-381.
21. On a Two Stage Bayesian Procedure for Determining failure rates from
experimental data, S. Kaplan, IEEE Transactions on Power Apparatus ans Ssystems,
PAS-102 (1983), 195-202
22. Mil Handbook 217B, Rome Air Development Center, RBRS, Griffis Air Force Base,
N.Y., 13441, USA
23. IEEE Guide to the collection and presentation of Electrical, Electronic, Sensing
Component and Mechanical Equipment Reliability Data for Nuclear Power
Generating Stations. IEEE Std 500, 1984.

EL Hassan IRHIRANE

2009 - 2010

Page 48

Annexe 1 : Abrviations
Socits / Associations
AFCERQ : Association Franaise des CERcles de Qualit
AFCIQ : Association Franaise pour la Qualit
AGREE : Advisory Group on Reliability of Electronic Equipment
CEA : Commissariat lEnergie Atomique
CEI : Commission Electrotechnique Internationale
CNET : Centre National dEtudes des Tlcommunications
EPRI : Electric Power research Institute (USA)
IEEE : Institute of Electrical and Electronic Engineers
ISdF : Institut de Sret de Fonctionnement
MFQ : Mouvement Franais pour la Qualit
NASA : National Air Space Agency
SNIAS : Socit Nationale des Industrie Aronautique et Spatiale
UIC : Union des Industries Chimiques
UTE : Union Technique de lElectricit
Outils/Mthodes
AC : Arbre des Consquences
AD/AdD : Arbre de Dfaillances
AMDE : Analyse des Modes de Dfaillances et de leurs Effets
AMDEC : Analyse des Modes de Dfaillances, de leurs Effets et de leur Criticit
APD/APR : Analyse Prliminaire des Dangers/Risques
CCDM : Cause-Consequence Diagram Method MDCC
DCC : Diagramme Causes-Consquences
DF : Diagramme de Fiabilit
EPFH : Evaluation Prvisionnelle de la Fiabilit Humaine
ETM : Event Tree Method MACQ/MAE
FDMS : Fiabilit, Disponibilit, Maintenabilit, Scurit (sret de fonctionnement)
RAMS
FMEA : Failure Mode and Effect Analysis AMDE
FMECA : Failure Mode, Effects and Criticality Analysis AMDEC
FTA/FTM : Fault Tree Analysis/Method MAC/MAD
HAZOP : HAZard and OPerability Study
HCR : Human Cognitive Response technique
HEART : Human Error Assessment and Reduction Technique
EL Hassan IRHIRANE

2009 - 2010

Page 49

MAC/MAD : Mthode de lArbre des Causes ou de Dfaillance FTA/FTM


MACQ/MAE : Mthode de lArbre des Consquence/des Arbres dEvnements ETM
MCPR : Mthode des Combinaisons de Pannes Rsumes
MDCC : Mthode du Diagramme Cause-Consquence CCDM
MDS/MDF : Mthode du Diagramme de Succs/Fiabilit RBDM
MEE : Mthode de lespace des Etats
MIL-HDBK-217B/F : MILitary HanDBooK 217B or 217F
MTD : Mthode de la Table de Dcision
MTV : Mthode de la Table de Vrit
NPRDS-91 : Nuclear Plant Reliability Data System - 1991
OREDA 84 : Offshore REliability DAta book - 1984
RAMS : Reliability, Availability, Maintainability, Safety FDMS
RBDM : Reliability Block Diagram Method MDS/MDF
SHARP : Systematic Human Action reliability Procedure
TESEO : Tecnica Empirica Stima Errori Operatori
THERP : Technique for Human Error Rate Prediction
Grandeurs de sret de fonctionnement
FMAP : temps moyen de fonctionnement avant la premire dfaillance MTTF
FMED : temps Moyen de Fonctionnement Entre Dfaillances MTBF
MDT : Mean Down Time TMI
MTBF : Mean operating Time Between Failures FMED
MTTF : Mean Time To Failure FMAP
MTTR : Mean Time To Repair/Restoration TMRS
MUT : Mean Up Time TMD
TMD : Temps Moyen de Disponibilit MUT
TMI : Temps Moyen dIndisponibilit MDT
TMRS : Temps Moyen de Remise en Service MTTR

EL Hassan IRHIRANE

2009 - 2010

Page 50

EL Hassan IRHIRANE

2009 - 2010

Page 51

EL Hassan IRHIRANE

2009 - 2010

Page 52

EL Hassan IRHIRANE

2009 - 2010

Page 53

EL Hassan IRHIRANE

2009 - 2010

Page 54