Vous êtes sur la page 1sur 31

Collection technique

Cahier
technique
n 144
Introduction la conception
de la sret
E. Cabau
Les Cahiers Techniques constituent une collection dune centaine de titres
dits lintention des ingnieurs et techniciens qui recherchent une
information plus approfondie, complmentaire celle des guides, catalogues
et notices techniques.
Les Cahiers Techniques apportent des connaissances sur les nouvelles
techniques et technologies lectrotechniques et lectroniques. Ils permettent
galement de mieux comprendre les phnomnes rencontrs dans les
installations, les systmes et les quipements.
Chaque Cahier Technique traite en profondeur un thme prcis dans les
domaines des rseaux lectriques, protections, contrle-commande et des
automatismes industriels.
Les derniers ouvrages parus peuvent tre tlchargs sur Internet partir
du site Schneider Electric.
Code : http://www.schneider-electric.com
Rubrique : Le rendez-vous des experts
Pour obtenir un Cahier Technique ou la liste des titres disponibles contactez
votre agent Schneider Electric.

La collection des Cahiers Techniques sinsre dans la Collection Technique


de Schneider Electric.

Avertissement
L'auteur dgage toute responsabilit conscutive l'utilisation incorrecte
des informations et schmas reproduits dans le prsent ouvrage, et ne
saurait tre tenu responsable ni d'ventuelles erreurs ou omissions, ni de
consquences lies la mise en uvre des informations et schmas
contenus dans cet ouvrage.

La reproduction de tout ou partie dun Cahier Technique est autorise aprs


accord de la Direction Scientifique et Technique, avec la mention obligatoire :
Extrait du Cahier Technique Schneider Electric n ( prciser) .
n 144
Introduction la conception
de la sret

Emmanuel CABAU

Ingnieur ENSIMAG 1989 (INPG, Grenoble), est chez Schneider


Electric depuis 1990.
Il se spcialise d'abord dans le domaine de plans d'exprience et
techniques statistiques diverses auprs de la Direction Scientifique et
Technique, puis, utilisant sa formation initiale d'informaticien,
participe au dveloppement d'un outil logiciel d'audit d'installation
lectrique pour Schneider Services.
En 1998, il rejoint le ple de comptence des tudes de sret de
fonctionnement, une quipe spcialise dans l'tude de fiabilit de
certains produits et process de Schneider Electric, notamment dans
les domaines : contrle-commande de centrales nuclaires,
installations lectriques, appareillage de coupure, systme
d'automatismes rpartis, etc.

CT 144 dition juin 1999


Cahier Technique Schneider Electric n 144 / p.2
Introduction la conception de la sret

La panne d'un quipement, l'indisponibilit d'une source d'nergie, l'arrt


d'un systme automatique, l'accident sont de moins en moins tolrables et
accepts par le citoyen comme par l'industriel.
La sret qui se dcline en terme de fiabilit, de maintenabilit, de
disponibilit et de scurit est maintenant une science qu'aucun
concepteur de produit ou d'installation, ne peut ignorer.
Ce cahier technique vous propose une prsentation des notions de base,
et une explication des mthodes de calcul.
Quelques exemples et valeurs numriques permettent de faire contrepoids
quelques formules et l'utilisation sous-jacente de nombreux outils
informatiques.

Sommaire
1 L'importance de la sret 1.1 Dans le logement p. 4
1.2 Dans le tertiaire p. 4
1.3 Dans lindustrie p. 4
2 Les grandeurs de la sret 2.1 Fiabilit p. 5
2.2 Taux de dfaillance p. 5
2.3 Disponibilit p. 6
2.4 Maintenabilit p. 7
2.5 Scurit p. 7
3 Relations entre les grandeurs 3.1 Des grandeurs interactives p. 8
de la sret 3.2 Des grandeurs qui peuvent sopposer p. 8
3.3 Des grandeurs fonction des temps moyens p. 9
4 Les types de dfaut 4.1 Les dfauts physiques p. 11
4.2 Les dfauts de conception p. 11
4.3 Les dfauts dexploitation p. 11
5 De llment au systme : 5.1 Les bases de donnes sur les composants des systmes p. 13
la modlisation 5.2 La mthode APR p. 15
5.3 La mthode AMDEC p. 16
5.4 Les diagrammes de fiabilit p. 16
5.5 Les arbres de dfaillance p. 19
5.6 Les graphes dtats p. 22
5.7 Les rseaux de Ptri p. 24
5.8 Choix dune technique de modlisation p. 25
6 Maintenance et logistique : 6.1 Optimisation de la maintenance par la fiabilit (O.M.F) p. 26
de plus en plus complexe 6.2 Soutien logistique intgr (S.L.I) p. 26
7 Conclusion p. 27
Bibliographie et normes p. 28

Cahier Technique Schneider Electric n 144 / p.3


1 Limportance de la sret

L'homme des cavernes devait tre sr de son doit tre sr, ceci s'il veut qu'ils concourent
bras. L'homme moderne est entour d'outils, de rellement sa scurit, son efficacit et son
systmes de plus en plus sophistiqus dont il confort.

1.1 Dans le logement


Le citoyen, dans sa vie de tous les jours, est c la rparabilit de son conglateur ou de sa
fortement intress par : voiture,
c la fiabilit de son tlviseur, c la scurit du coupe-gaz de sa chaudire.
c la disponibilit de llectricit,

1.2 Dans le tertiaire


Le banquier et tout le secteur tertiaire c la rparabilit des ascenseurs,
accorde beaucoup dimportance : c la scurit incendie.
c la fiabilit de linformatique,
c la disponibilit du chauffage,

1.3 Dans lindustrie


Lindustriel qui doit tre comptitif ne peut se ralisent en terme darchitecture et de choix
admettre de pertes de production, dautant de composants, se vrifient par les tests ou
plus importantes que son process de lexprience.
fabrication est complexe ; il recherche la
Schneider Electric intgre ce concept de sret
meilleure :
de longue date. Il en est ainsi, entre autres,
c fiabilit de ses systmes contrle commande, depuis 30 ans pour les produits Merlin Gerin
c disponibilit de ses machines, dont on connat la contribution : hier, par
c maintenabilit de loutil de production, exemple, la conception des centrales
nuclaires, ou lexceptionnelle disponibilit de
c scurit des personnes et du capital industriel.
lnergie lectrique de la base de lancement des
Ces valeurs que lon regroupe sous le concept fuses ARIANE, aujourdhui dans la conception
de SURETE (tre sr) font appel la notion de des produits et systmes destins tous les
confiance. Elles se quantifient en terme secteurs dactivit.
dobjectif, se calculent en terme de probabilit,

Cahier Technique Schneider Electric n 144 / p.4


2 Les grandeurs de la sret

2.1 Fiabilit
Lampoule lectrique est utile au particulier, au Plusieurs notions sont fondamentales dans cette
banquier et lindustriel. Quand ils lallument ils dfinition :
veulent tous quelle claire jusqu ce quils c Fonction : la fiabilit est caractristique de la
lteignent ! fonction attribue au systme. La connaissance
La fiabilit est la probabilit que lampoule soit de son architecture matrielle est souvent
en tat de fonctionner linstant t, elle mesure insuffisante et il faut utiliser des mthodes
laptitude rester dans un tat de danalyse fonctionnelle.
fonctionnement correct. c Conditions : le rle de lenvironnement est
Dfinition : la fiabilit est la probabilit pour primordial en fiabilit, il faut aussi connatre les
quune entit puisse accomplir une fonction conditions dutilisation. La connaissance du
requise, dans des conditions donnes, pendant matriel nest pas suffisante.
un intervalle de temps donn [t1,t2] ; que lon c Intervalle : on sintresse une dure et pas
crit : R(t1,t2). un instant. Par hypothse le systme fonctionne
Cette dfinition, celle de la CEI (Commission linstant initial, le problme est de savoir pour
Electrotechnique Internationale), est donne combien de temps. En gnral t1 = 0 et on note
dans la norme 191 de juin 1988. R(t) la fiabilit.

2.2 Taux de dfaillance


Conservons lexemple de lampoule. Son taux de
dfaillance linstant t, not (t), mesure la
probabilit quelle steigne intempestivement
dans lintervalle [t,t+ t] sachant quelle est reste (t)
allume jusqu linstant t. Le taux de dfaillance
est un taux horaire qui est homogne linverse Priode
Priode
de
dun temps. d'usure
jeunesse
Lcriture mathmatique est la suivante :
1 R(t)-R(t + t)
(t) = lim
t 0 t R(t)
-1 dR(t)
= (1) Vie utile
R(t) dt
0
Ainsi, le taux de dfaillance qui mesure la t
probabilit pour une personne ge de 20 ans
de mourir dans lheure qui suit se note :
(20 ans) = 10-6 par heure. Fig. 1 : courbe en baignoire.
Si on reprsente en fonction de lge on obtient
alors une courbe qui est celle de la figure 1 .
Aprs de fortes valeurs qui correspondent la du fait du vieillissement augmente. Lexprience
mortalit infantile, atteint la valeur de lge a montr que pour les composants lectroniques
adulte durant laquelle il est constant car les la courbe obtenue a la mme allure, do la
causes de dcs sont surtout accidentelles et terminologie : priode de jeunesse, vie utile et
donc indpendantes de lge. A partir de 60 ans, priode dusure.

Cahier Technique Schneider Electric n 144 / p.5


Pendant la priode de vie utile le taux est de leur emploi, lusure peuvent suivre une autre
constant et lquation (1) donne : loi, par exemple la loi de Weibull, dans laquelle le
R(t) = exp(-t). La loi est dite exponentielle, la taux de dfaillance est fonction du temps. Si on
courbe de fiabilit en fonction du temps, dans ce trace la courbe donnant en fonction du temps
cas, est celle de la figure 2 . on obtient alors une courbe qui n'a pas le plateau
La loi exponentielle est une des lois possibles. de la figure 1 (cf. figure 3 ).
Les dispositifs mcaniques soumis, ds le dbut

(t)

R(t) = e-t

Priode
de
jeunesse
0
t t
Fig. 2 : fiabilit exponentielle. Fig. 3 : courbe de fiabilit avec usure.

2.3 Disponibilit
La notion de disponibilit sillustre trs bien avec
celle dun vhicule. Une voiture doit fonctionner D(t)
linstant du besoin, lhistorique importe peu. La
disponibilit mesure cette aptitude fonctionner
1
un instant donn.
Dfinition : la disponibilit est la probabilit pour
quune entit soit en tat daccomplir une
fonction requise dans des conditions donnes D
un instant donn t, en supposant que la
fourniture des moyens extrieurs ncessaires
est assure. On la note : D(t).
Cette dfinition de la CEI est calque sur celle 0
de la fiabilit mais laspect temporel est t
fondamentalement diffrent puisquon
Fig. 4 : disponibilit en fontion du temps.
sintresse un tat un instant donn et pas
une dure.
Le fonctionnement linstant t ne ncessite pas rparation. La fiabilit a toujours une limite nulle
forcment le fonctionnement sur [0,t] pour un puisquaucun systme nest ternel. (Ce dernier
systme rparable. Cest l que se situe la point peut tre contest dans le cas des
diffrence fondamentale avec la fiabilit. logiciels).
On peut tracer la courbe donnant la disponibilit Revenons sur lexemple de la voiture. Deux
en fonction du temps dun lment rparable types de vhicules posent des problmes de
dans le cas de lois exponentielles pour les disponibilit : ceux qui tombent souvent en panne
dfaillances et les rparations (cf. figure 4 ). et ceux qui, bien que rarement en panne, restent
On constate que la disponibilit tend vers une longtemps au garage avant dtre rpars. La
valeur limite qui est, par dfinition, la disponibilit fiabilit participe donc la disponibilit mais
asymptotique. Cette valeur limite est atteinte au laptitude tre rpare rapidement est aussi
bout dun temps qui est de lordre du temps de importante, cest la maintenabilit.

Cahier Technique Schneider Electric n 144 / p.6


2.4 Maintenabilit
Les concepteurs recherchent toujours la Dfinition : la maintenabilit est la probabilit
performance maximum du produit et ngligent pour quune opration donne de maintenance
parfois lhypothse de la panne. Il est difficile active puisse tre effectue pendant un intervalle
quand on fait tout pour que le systme de temps donn [t1,t2] ; que lon crit : M(t1,t2).
fonctionne de se demander ce quil adviendra en Cette dfinition est galement extraite du
cas de panne. Pourtant cette interrogation est vocabulaire international normalis par la CEI.
indispensable. Pour quun systme soit Elle traduit que la maintenabilit est la rparation
disponible, il doit dfaillir le plus rarement ce que la fiabilit est la dfaillance. On dfinit
possible mais il est tout aussi important quil soit avec les mmes hypothses que pour R(t) la
trs rapidement rpar. On entend ici par maintenabilit M(t).
rparation lensemble de la remise en service Le taux de rparation (t) est introduit de faon
incluant les dlais logistiques. Laptitude dun similaire au taux de dfaillance - voir ce paragraphe
systme tre rpar est mesure par la ci-dessus, quation (1). Lorsquil est constant, la
maintenabilit. loi est exponentielle et on a : M(t) = exp(-t).

2.5 Scurit
On distingue les pannes dangereuses des
pannes non dangereuses. La diffrence ne
Gravit
rside pas dans la nature des pannes mais dans
leurs consquences. Le fait dteindre tous les
feux dans une gare ou de les faire passer
intempestivement du vert au rouge affecte le
fonctionnement (arrt des trains) mais nest pas
directement dangereux. Cela est compltement
diffrent dans le cas o les feux passeraient du
Risque
rouge au vert.
inacceptable
La scurit est la probabilit dviter un
vnement dangereux.
La notion de scurit est troitement lie celle Risque
du risque qui lui-mme dpend non seulement acceptable
de la probabilit doccurrence mais aussi de la
gravit de lvnement. On peut accepter de
risquer sa vie, grande gravit, si la probabilit
doccurrence est assez faible. Si le risque est
uniquement de se casser une jambe on peut Probabilit d'occurence
accepter une probabilit plus grande. La courbe Fig. 5 : le niveau de risque est fonction du couple :
de la figure 5 illustre le concept de risque gravit, probabilit doccurence.
acceptable.

Cahier Technique Schneider Electric n 144 / p.7


3 Relations entre les grandeurs de la sret

3.1 Des grandeurs interactives


A travers ces quelques exemples on voit que la On dsigne parfois la sret par les initiales de
SURETE est un concept qui se dcline en 4 ses quatre grandeurs caractristiques, FMDS :
grandeurs chiffrables ; elles dpendent les unes c Fiabilit : probabilit que le systme soit non
des autres (cf. figure 6 ). dfaillant sur [0,t].
Ces quatre grandeurs sont prendre en compte
c Maintenabilit : probabilit que le systme soit
pour toute tude de sret.
rpar sur [0,t].
c Disponibilit : probabilit que le systme
fonctionne linstant t.
Disponibilit Scurit
c Scurit : probabilit dviter un vnement
catastrophique.
La correspondance avec la terminologie
anglaise est la suivante :
c Fiabilit : Reliability.
c Maintenabilit : Maintainability.
Fiabilit Maintenance c Disponibilit : Availability.
Fig. 6 : les composantes de la sret. c Scurit : Safety.
c Sret de fonctionnement : Dependability.

3.2 Des grandeurs qui peuvent sopposer


Parmi les grandeurs caractristiques de la sret Le temps coul avant de quitter ltat A est
certaines peuvent tre contradictoires. caractristique de la fiabilit. Le temps pass
Lamlioration de la maintenabilit peut amener dans ltat B aprs une panne sre est
des choix qui dgradent la fiabilit (par exemple caractristique de la maintenabilit. Le ratio
adjonction de composants pour faciliter le entre le temps pass dans ltat A et le temps
montage-dmontage). La disponibilit est donc total est caractristique de la disponibilit.
un compromis entre la fiabilit et la maintenabilit ; Laptitude du systme ne pas transiter vers
une tude de sret permet de chiffrer ce ltat C est caractristique de la scurit. On
compromis. constate que ltat B est performant vis--vis de
De mme, la scurit et la disponibilit peuvent la scurit ; mais il est source dindisponibilit.
tre contradictoires.
On a vu que la scurit est la probabilit dviter
un vnement dangereux, elle est souvent
maximum quand le systme est arrt, mais la Etat B
disponibilit est alors nulle : cest le cas lorsquon
ferme la circulation un pont risquant de Fonctionnement
Rparation
seffondrer. A linverse pour amliorer la incorrect
non dangereux
disponibilit de leurs appareils certaines
compagnies ariennes peuvent tre tentes de Etat A
ngliger la maintenance prventive et la scurit Panne sre
en vol diminue. La dtermination dun systme Fonctionnement
correct
rpondant au compromis optimal entre la
scurit et la disponibilit impose de pouvoir Panne Etat C
calculer ces grandeurs. dangereuse Fontionnement
Un systme peut occuper trois tats, incorrect et
(cf. figure 7 ). Outre ltat de fonctionnement dangereux
normal on considre deux tats de panne : l'un
dangereux et lautre pas. Dans un but de
simplification les tats de panne incluent tous les Fig. 7 : panne sre : disponibilit !
fonctionnements dgrads, do la dsignation panne dangereuse : scurit !
fonctionnement incorrect .

Cahier Technique Schneider Electric n 144 / p.8


3.3 Des grandeurs fonction des temps moyens
Outre les probabilits (fiabilit, maintenabilit, cours de la vie dun systme sont rappels
disponibilit, scurit) doccurrence dvnements figure 8 .
introduites dans ce qui prcde, on utilise aussi MTTF ou MTFF (Mean Time To First Failure) :
les temps moyens avant loccurrence temps moyen de bon fonctionnement avant la
dvnements pour caractriser la sret. premire dfaillance.
Les temps moyens MTBF (Mean Time Between Failure) : temps
moyen entre deux dfaillances dun systme
Il est utile de rappeler la dfinition prcise de rparable.
tous les temps moyens car ils sont souvent mal
utiliss. Le plus mal utilis est peut-tre le plus MDT (Mean Down Time) : dure moyenne de
connu, le MTBF, qui est souvent considr tort dfaillance comprenant la dtection de la panne,
comme une dure de vie. En effet au bout dun la dure dintervention, le temps de la rparation
temps gal au MTBF, si la loi est exponentielle, et le temps de remise en service.
et pour une population homogne, presque 2/3 MTTR (Mean Time To Repair) : temps moyen de
des dispositifs, en moyenne, sont dfaillants. Sil rparation.
sagit dun systme, celui-ci a 63 % de chances MUT (Mean Up Time) : dure moyenne de bon
davoir eu une panne. Les dfinitions et le fonctionnement aprs rparation.
positionnement de ces temps moyens situs au

MTTF MTBF MTBF

MDT MUT MDT MUT MDT

t
Dfaillance Dfaillance Dfaillance

Rparation Rparation Rparation

Etat de marche Etat de panne

Fig. 8 : diagramme des temps moyens, tabli pour un systme ne ncessitant pas d'interruption de
fonctionnement pour maintenance prventive.

Cahier Technique Schneider Electric n 144 / p.9


Quelques relations et valeurs numriques Pour des lois exponentielles avec les relations
Il existe de nombreuses relations entre les MUT = 1/ et MDT = 1/ on arrive :
grandeurs introduites.
Pour une loi exponentielle R(t) = exp (-t), ID = ou D =
+ +
MTTF = 1/ ; or pour un systme non rparable
MTBF = MTTF (en effet toutes les pannes sont est souvent ngligeable devant puisque le
alors des premires pannes). Ceci explique la temps de rparation est petit devant le temps
formule classique largement utilise pour les moyen avant panne. On peut donc simplifier le
composants lectroniques (non rparables) : dnominateur et on obtient :
MTBF = 1/ .
ID = = MTTR
Il ne faut appliquer cette formule que pour des
lois exponentielles et, en toute rigueur, pour un
composant non rparable (on peut saffranchir Cette dernire formule chiffre dans le cas de lois
de cette dernire hypothse si la MDT est exponentielles le compromis fiabilit-
suffisamment faible). maintenabilit quil faut optimiser pour amliorer
la disponibilit.
Lorsque les temps de rparations suivent aussi Le tableau ci-aprs (cf. fig.9 ) donne un ordre de
une loi exponentielle on montre de mme que grandeur du taux de dfaillance et du temps
MTTR = 1/. moyen avant la premire panne pour un certain
On a MTBF = MUT + MDT. En gnral nombre dlments des domaines lectronique
MDT = MTTR mais il faut parfois ajouter les et lectrotechnique.
dlais logistiques ou de dmarrage. On constate bien sr que la fiabilit se dgrade
On a de plus : quand la complexit augmente. Ceci correspond
c disponibilit asymptotique dailleurs une rgle de base de la conception
de la sret : faire simple autant que possible.
D = lim (D(t)) La notion de temps moyen est souvent mal
t +
comprise. Les deux phrases suivantes signifient
MUT MUT
= = la mme chose dans le cas dune loi
MDT +MUT MTBF exponentielle :
Le MTTF vaut 100 ans et on a une chance
Cette formule illustre linterprtation de la sur 100 dobserver une panne la premire
disponibilit donne en page 5 (ratio du temps anne . Cette deuxime phrase semble
de bon fonctionnement par rapport au temps pourtant plus inquitante pour un industriel qui
total). Cette valeur (MUT/MTBF) correspond vend 10 000 appareils de ce type chaque anne.
lasymptote de la figure 4. En moyenne une centaine dappareils tomberont
c indisponibilit asymptotique en panne la premire anne.
= 1 - disponibilit asymptotique Pour lindisponibilit on peut citer comme
ID = lim (1-D(t)) exemple le rseau lectrique national. On
t +
sintresse la prsence dnergie lectrique
MDT MDT conforme lattente de lutilisateur.
= =
MDT +MUT MTBF Lindisponibilit est de lordre de 10-3 ce qui
correspond en moyenne 9 heures de panne
Lindisponibilit asymptotique est en gnral par an. Pour une salle informatique entirement
plus facile exprimer numriquement que la secourue par un ensemble donduleurs
disponibilit (on lit plus facilement 10-6 que fortement redondants on peut atteindre une
0,999999). disponibilit 1 000 ou 10 000 fois meilleure.

Rsistances Micro Fusible et disj. forte Gnrateur Coupures


processeur intensit, transfos, brves
cbles (100 m) EDF
jeu de barres
(10 dparts)
(/h) 10-9 10-6 entre 10-7 et 10-6 10-5 10-3
MTTF 1000 sicles 100 ans entre 100 et 1000 ans 10 ans 40 jours

Fig. 9 : taux de dfaillance et MTTF de quelques lments.

Cahier Technique Schneider Electric n 144 / p.10


4 Les types de dfaut

La ralisation dun systme satisfaisant un c En conception sont utiliss des ateliers


objectif de sret ncessite didentifier et prendre logiciels adapts la sret (chez
en compte les causes possibles de dfauts. La Schneider Electric, LUSTRE et SCADE, par
classification suivante peut tre propose : exemple) et des techniques de redondance
(plusieurs versions du mme logiciel
Les dfauts physiques dveloppes indpendamment).
Ils peuvent tre induits par des causes internes c En validation sont utilises les techniques
(rupture dun lment) ou externes d'inspection formelle et de preuve de proprit.
(interfrences lectro-magntiques, c Quantifier de faon exacte la fiabilit d'un
vibrations). logiciel reste difficile. Les meilleurs rsultats sont
atteints pour des tudes prliminaires effectues
Les dfauts de conception pour des environnements (langage, mthode)
Ils regroupent notamment les erreurs de prcis. C'est le cas au sein de Schneider Electric
conception matrielles et les erreurs logicielles. o a t dvelopp, par exemple, les logiciels
pilotant le cur des centrales nuclaires : SPIN
Les dfauts dexploitation (Systme de Protection Intgr Numrique).
Ils dsignent les dfauts engendrs par une c Schneider Electric participe un groupe de
mauvaise utilisation du matriel : travail europen sur la sret du logiciel (voir
c utilisation du matriel dans un environnement bibliographie).
pour lequel il na pas t conu,
La fiabilit humaine
c erreur dun oprateur humain dans lutilisation
du matriel ou lors dune opration de Laspect qualitatif prvaut dans ce domaine.
maintenance, Leffort porte sur la schmatisation de loprateur
c malveillance. humain et sur la classification des tches et des
erreurs humaines. Les tudes les plus pousses
Les techniques dveloppes dans ce document
sont celles ralises dans le domaine nuclaire.
concernent prioritairement la prise en compte
Le comportement de loprateur est connu la
des dfauts physiques.
fois par des simulateurs et par les retours
Cependant, le problme des erreurs humaines
dexprience, les deux sources peuvent tre
et des erreurs logicielles nest pas ngliger,
confrontes.
mme si ltat de lart dans ces domaines est
La littrature amricaine fournit mme des
moins riche que pour les dfauts physiques.
valeurs numriques qui sont utiliser avec
Nous nous contenterons de mentionner, dans le prcaution : selon le type daction (machinales,
cadre de ce cahier technique, les lments de procdurales, cognitives) on value la probabilit
rflexions suivants. derreur.
Les vnements actuels en particulier les grandes
En matire de logiciels :
catastrophes, montrent que les dfaillances
c Le logiciel ignore le phnomne de humaines sont une cause essentielle non
vieillissement, mais ds qu'il est complexe, il est seulement au niveau de loprateur mais aussi
ncessaire de valider sa conception par une au niveau du concepteur. Plus la libert daction
dmarche sret. de lhomme est grande plus les risques
c Cette dmarche intervient la fois en phase encourus sont importants. Laccident de la
de conception et en phase de validation. navette amricaine en 1987 montre que mme
c La premire tape de la dmarche peut-tre le management de projet peut tre en cause : on
l'Analyse des Effets des Erreurs du Logiciel remonte jusquaux concepteurs de la structure
(AEEL) qui identifie les parties critiques et de travail des concepteurs de la navette ! Les
prconise des actions de conception ou de comptences multiples sont ncessaires pour
validation. Mais cette analyse est souvent trop aborder le problme de la fiabilit humaine, en
lourde pour tre mene dans le dtail. particulier la psychologie et lergonomie.

Cahier Technique Schneider Electric n 144 / p.11


CCTU 04 01 A
RSISTANCES FIXES AGGLOMRES modle RA
MIL - R - 11 (RC)
MIL - R - 39 008 (RCR)

= b . R . E . Q . 10-9/h Informations ncessaires

Temprature ambiante t
b Dissipation effective
Dissipation nominale
Valeur de la rsistance R R
Environnement E
Classes de qualification Q
0,9
0,8

0,6
0,5
0,4
0,7
1

20
0,1 0,2 0,3

Facteur de charge

Dissipation effective
=
10
Dissipation nominale

Classes de qualification Q
5
avec CCQ 0,5
Agrment (PTT, ...) sans CCQ 1
CCQ sauf usage gnral 1
(UTE/CECC) usage gnral 2,5
2 Homologation 2,5
Qualification par un client 5
Sans qualification (produit courant) 7,5

1
Environnement E

Au sol (conditions favorables) 1


Au sol (matriel fixe) 2,9
0,5 Au sol (matriel mobile) 8,3
Satellite en orbite 1
Missile (lancement) 29
Avion de transport (zones habitables) 2,8
Avion de transport (zones non habitables) 5,7
Avion de combat (zones habitables) 5,7
0,2 Avion de combat (zones non habitables) 11
Bateau (zones protges) 5,2
Bateau (zones non protges) 12
0,1
t Valeur de la rsistance R
0 20 40 60 80 100 120 R i 100 k 1
0,1 M < R i 1 M 1,1
Temprature ambiante en C
1 M < R i 10 M 1,6
R > 10 M 2,5

b en fonction de la temprature Rpartition des dfauts


ambiante t et du facteur de charge Courts-circuits : 0%
Circuits ouverts : 100%

Modle mathmatique

[ 12(t + 273)+( )(t + 273)]



= 9.10-6. e
b 343 0,6 273

Fig. 10 : exemple de feuille de calcul issue des cahiers du CNET.

Cahier Technique Schneider Electric n 144 / p.12


5 De llment au systme : la modlisation

5.1 Les bases de donnes sur les composants des systmes


On utilise le plus souvent les bases de donnes c Une meilleure conception de la carte
dcrites ci-aprs, mais il est prfrable, quand lectronique permet de diminuer le facteur de
cela est possible de recueillir les donnes de charge .
retours d'expriences auprs des constructeurs Avec t = 60 C et = 0,2 labaque donne
des composants que l'on utilise. Cependant, ces b = 1,7.
donnes sont difficiles obtenir car tous les Si on prend un composant homologu :
constructeurs ne s'efforcent pas de les collecter Q = 2,5 on obtient alors : = 0,012 10-6 soit un
systmatiquement ou bien elles sont conserves
gain dun facteur 30.
confidentiellement.
Connaissant la fiabilit de chaque composant on
En lectronique passe facilement la fiabilit des cartes, (qui
Dans ce domaine la fiabilit est trs pratique sont rparables ou remplaables), puis des
depuis de nombreuses annes. Les deux bases systmes lectroniques en utilisant les
de donnes les plus utilises sont le Military mthodes de modlisation dcrites dans la suite
Handbook 217 (F, notice 2), amricain, et le de ce chapitre 5.
recueil de fiabilit du Centre National dEtudes
des Tlcommunications (CNET) (cf. figure 10 ). Remarques importantes :
Schneider Electric participe sa mise jour. c L'exemple ci-dessus est purement illustratif
Ces recueils permettent de calculer le taux de pour montrer l'esprit des calculs de fiabilit en
dfaillance suppos constant dun composant en lectronique. Les valeurs numriques et les
fonction des caractristiques de lapplication, paramtres utiliss sont en constante volution
(environnement ou taux de charge par exemple), et rgulirement mis jour.
ainsi que du type de composant, (nombre de c C'est d'ailleurs la raison pour laquelle depuis
portes, valeur de la rsistance). plusieurs annes dj, les calculs sont effectus
Prenons par exemple une rsistance de 50 k partir d'outils logiciels. Le plus connu est
sur une carte lectronique place dans un RELEX et il runira partir de 1999 les deux
tableau lectrique. bases de donnes du Military Handbook et du
On consulte les tableaux de la page 10 pour CNET.
dterminer les diffrents facteurs correctifs.
Lenvironnement est Au sol (matriel fixe) , En lectrotechnique et en mcanique
le facteur multiplicatif relatif lenvironnement
Les recueils de donnes existants sont moins
est donc :
reconnus quen lectronique, mais ils sont trs
E = 2,9. utiliss.
La valeur de la rsistance donne le facteur
On peut citer :
multiplicatif correspondant :
R = 1. c RAC NPRD 95 : rapport du Reliability Analysis
La rsistance est sans qualification ce qui donne Center, organisme militaire amricain,
le facteur multiplicatif relatif au facteur de concernant les composants et dispositifs non
qualit : lectroniques.
Q = 7,5. c IEEE STD 493 : recueil de donnes de fiabilit
Le facteur de charge est caractristique de observes et concernant des quipements
lapplication contrairement aux autres facteurs lectriques dans les installations lectriques
qui sont caractristiques du composant. Si le industrielles.
facteur de charge est de 0,7 et la temprature c IEEE STD 500 : recueil de donnes de fiabilit
ambiante pour la carte est de 90 C. Labaque observes et concernant des quipements
donne b = 15. lectriques, lectroniques et mcaniques
On obtient alors le taux de dfaillance de la installs dans les centrales nuclaires.
rsistance en effectuant le produit : On utilise aussi des ouvrages de rfrence qui
= b . R . E . Q . 10-9 = 0,33 10-6. contiennent des mthodes de calcul et des
Si la conception est ralise en intgrant donnes propres certains domaines. Par
lobjectif fiabilit : exemple louvrage de Cl. Marcovici et
c Des changes thermiques mieux tudis J. Cl. Ligeron : Utilisation des techniques de
permettent dabaisser la temprature ambiante. fiabilit en mcanique .

Cahier Technique Schneider Electric n 144 / p.13


A titre d'illustration, la figure 11 donne un extrait La connaissance du taux de dfaillance global et
du RAC NPRD97 concernant les disjoncteurs. de la rpartition par mode de dfaillance permet
On a tout dabord une rpartition des diffrents de chiffrer la probabilit des diffrents
modes de dfaillances, on lit par exemple que vnements par une simple rgle de trois.
34 % des dfaillances constates sont des refus Par exemple, pour le mode de dfaillance
de fermeture. Le tableau de la figure 9 donne refus de fermeture , on obtient :
une estimation de la valeur du taux de
34
dfaillance (point estimate) en ce qui concerne 0,335 10-6 x = 1,17 10-7
la fonction thermique (thermal) des disjoncteurs. 100
On lit successivement : Une autre approche est parfois plus pertinente :
c lenvironnement : ici GF = Ground Fixed = au on considre un nombre de manuvres au lieu
sol conditions industrielles, de considrer le temps de fonctionnement. Dans
c lestimation du taux de dfaillance : il faut lire ce cas un test portant sur un chantillon de
0,335 10-6 h-1, quelques dizaines de produits permet de chiffrer
c les bornes dun intervalle de confiance tel que la fiabilit (loi de Weibull).
la probabilit que le taux de dfaillance sy
trouve est de 0,6 (cest--dire 0,8 - 0,2), Le choix dpend du type de dfaillances que lon
c le nombre de recueils utiliss pour le calcul : dsire tudier, lusure des contacts est lie au
ici 2, nombre de manuvres alors que la corrosion
c le nombre de dfaillances observes : ici 3, est lie au temps. Le type dutilisation et les
c le nombre dheures de fonctionnement conditions denvironnement sont toujours
observes : 8,944 106 h. dterminants.

Bruyant : 8 %
Divers autres : 15 %
Bloqu : 15 %

Mal rgl : 6 %

Refus d'ouverture : 8 % Intermittent : 15 %

Dgrad : 15 %

Refus de fermeture : 34 %

Component APPL User Point 60 % upper 20 % lower 80 % upper % of % of Operating


part type ENV code estimate single-side internal internal recs fail HRS (E6)
Thermal GF M 0,335 - 0,171 0,621 2 3 8,944

Fig. 11 : mode de dfaillances et donnes de fiabilit des disjoncteurs.

5.2 La mthode APR


Une APR est une Analyse Prliminaire des A faire ds les premires phases de la
Risques qui a pour objectif d'identifier les conception et remettre jour au fur et
dangers d'une installation industrielle et ses mesure du droulement du projet, cette analyse
causes (exemples : entits dangereuses, permet de dduire tous les moyens, toutes les
situations dangereuses accidents potentiels). actions correctrices permettant d'liminer ou de
Elle peut comporter galement une valuation matriser les situations dangereuses et les
de la gravit des consquences lies aux accidents potentiels.
situations dangereuses et aux accidents Elle ne doit pas tre confondue avec la mthode
potentiels. suivante, l'AMDEC qui, elle, entre dans le dtail

Cahier Technique Schneider Electric n 144 / p.14


des modes de dfaillance des lments d'un On trouvera ci-dessous (figure 12 ) un exemple
systme. Comme son nom l'indique, l'APR est de tableau d'APR, sans chiffrage de la gravit.
un prliminaire qui, partant de l'analyse C'est l'extrait d'une APR faite sur un tableau
fonctionnelle du systme, suppose la dfaillance Basse Tension comportant un automatisme qui
de chaque lment fonctionnel (sans s'occuper doit, notamment dtecter une surconsommation
du mode de dfaillance) et traduit les lectrique du tableau.
consquences de cette dfaillance sur le Pour plus de dtails sur l'APR, on pourra
systme. L'APR est donc particulirement consulter le chapitre 6 de l'ouvrage Sret de
indiqu en dbut de conception afin de ne pas fonctionnement des systmes industriels de
manquer un danger potentiel important. A. Villemeur (voir bibliographie).

Fonctions Equipements Evnements Situation Evnements Accident Consquences Remarques


considrs causant une redoute causant un redout redoutes
situation accident
redoute redout

a
Ouverture du Dialpact Un de ces Non ouverture Demande Non arrt Surtarifi- Consquences
disjoncteur Disjoncteur quipements du disjoncteur douverture du process cation dpendantes de
Cartes lectroniques est dfaillant du disjonc- Non Production lutilisation
Rseau teur dlestage du process du disjoncteur
dtriore

Ouverture Arrt du Production Consquences


imtempestive process du process dpendantes de
du disjoncteur Coupure de dtriore lutilisation
lalim. Energie du disjoncteur
lectrique non dispo.

Fermeture du Dialpact Un de ces Non fermeture Demande de Procdure Energie Consquences


disjoncteur Disjoncteur quipements du disjoncteur fermeture du process non dispo. dpendantes de
Cartes lectroniques est dfaillant du disjonc- non lutilisation
Rseau teur respecte du disjoncteur
Relestage
impossible

Fermeture Procdure Surtarifi- Consquences


imtempestive du process cation si dpendantes de
du disjoncteur non EJP lutilisation
respecte du disjoncteur
Surconsom.
do arrt
du GE

b
Passage de Dialpact Un de ces Info. errone Surconsom- Incendie Destruction
l'information Capteur quipements du capteur : mation du tableau du tableau et
par un Cartes lectroniques est dfaillant t indique lectrique arrt de tous
Dialpact Rseau inf. au seuil du tableau les dparts

Cas direct Capteur Un de ces Info. errone Surconsom- Incendie Destruction


Cartes lectroniques quipements du capteur : mation du tableau du tableau et
Rseau est dfaillant t indique lectrique arrt de tous
inf. au seuil du tableau les dparts

Passage de Dialpact Un de ces Info. errone Demande de Surconsommation


l'information Capteur quipements du capteur : dlestage suspecte
par un Cartes lectroniques est dfaillant t indique inutile
Dialpact Rseau sup. au seuil

Cas direct Capteur Un de ces Info. errone Demande de Ici, cest la mesure
Cartes lectroniques quipements du capteur : dlestage de t qui indique la
Rseau est dfaillant t indique inutile surconsommation et
sup. au seuil non celle des courants

Fig. 12 : exemple dun tableau d'APR pour un tableau BT en configuration automatique , deux cas sont examins ici, celui de la commande
de disjoncteurs (a) et celui des mesures de temprature (b).

Cahier Technique Schneider Electric n 144 / p.15


5.3 La mthode AMDEC
Une AMDEC est une Analyse des Modes de On inclut dans les AMDEC une valuation de la
Dfaillance, de leurs Effets et de leur Criticit. criticit de chaque dfaillance (cf. figure 13 ).
Un mode de dfaillance est un effet par lequel Cette criticit dpend de deux facteurs : la
on observe la dfaillance dun lment du probabilit doccurrence de la dfaillance et la
systme. gravit des consquences.
Cette dfinition de la CEI (publication 812) Une AMDEC permet dtudier linfluence des
montre que la mthode se base sur la dfaillances des composants du systme.
dcomposition du systme en lments. Le Lintrt de cette mthode, essentiellement
recueil des donnes permet de connatre le qualitative, est lexhaustivit. Par contre il faut la
comportement de chaque lment. complter pour combiner les effets mis en
Larchitecture matrielle et fonctionnelle du vidence, cest lobjet des mthodes dcrites
systme permet dinduire tous les effets de tous dans la suite de ce chapitre 5.
les modes de dfaillance de tous les lments
du systme.

Elment Fonctions Modes de Causes Effets Criticit Remarques


dfaillance

Disjoncteur Interrupteur Refus Collage Non 2


douverture dlestage

Refus Mcanique Non 2


de fermeture alimentation

Protection sur Refus Collage Non 4


court-circuit douverture protection

Passage du Ouverture Mauvais Coupure 3


courant intempestive rglage dalimentation

Echauffement Contacts Dtrioration 2


dfectueux lectronique

Fig. 13 : exemple de tableau AMDEC.

5.4 Les diagrammes de fiabilit


Le diagramme de fiabilit est une faon trs Lorsque deux composants sont placs en srie
simple de reprsenter un ensemble de lun ET lautre doivent fonctionner, il faut donc
composants non rparables. Le calcul de la multiplier leurs fiabilits pour obtenir la fiabilit
fiabilit du systme ainsi reprsent est possible de lensemble :
pour les ensembles srie-parallle, en R(t) = R1(t) . R2(t).
redondance K/N et en pont. Leur application aux
systmes rparables est beaucoup moins Lorsque deux composants sont placs en
systmatique. parallle il sagit cette fois que lun OU lautre
fonctionne. Il est plus pratique dutiliser la
Les systmes srie-parallle dfiabilit dans ce cas. Pour que le systme soit
Deux lments sont dits en srie si le en panne il faut que lun ET lautre des deux
fonctionnement des deux est ncessaire pour composants soient en panne, ce qui scrit :
assurer le fonctionnement de lensemble. Deux 1 - R(t) = (1 - R1(t))(1 - R2(t)).
lments sont dits en parallle si le
fonctionnement dau moins un des deux est Les deux formules sont donc :
suffisant pour assurer le fonctionnement de c en srie :
lensemble (cf. figure 14 ). R(t) = R1(t) . R2(t)

Cahier Technique Schneider Electric n 144 / p.16


Srie Parallle

1 2

Fig. 14 : les systmes en srie, en parallle.

c en parallle : assurer sa mission. La redondance est


R(t) = R1(t) + R2(t) - R1(t) . R2(t) gnralement suppose active (cf. figure 15 ).
Dans le cas du systme parallle, 1 et 2 sont Soit Ri(t) la fiabilit du ime composant non
dits en redondance. Cette redondance est dite rparable du systme. Dans les cas simples le
passive si llment 2 est larrt tant que calcul de la fiabilit de lensemble peut se faire
llment 1 fonctionne. Cest le cas dun groupe par recherche des combinaisons favorables :
lectrogne.
c systme 2/3
Si 1 et 2 fonctionnent ensemble la redondance
est dite active, ce qui est suppos ici. R = R1.R2 + R1.R3 + R2.R3 - 2 R1.R2.R3
Pour des composants non rparables on calcule c systme srie (N/N) :
la fiabilit de lensemble, sachant que les lois
R(t) = Ni=1 Ri (t)
suivies par les deux composants sont
exponentielles, on a : Lorsque K est petit il est plus facile de calculer
1 - R(t), par exemple :
c en srie :
R(t) = exp(-1t) . exp(-2t) = exp(-(1 + 2)t) c systme parallle (1/N) :
R(t) suit une loi exponentielle et : i=1(1 Ri ( t ))
1-R(t) = N
= 1 + 2 c systme K/N
c en parallle : Dans le cas o les N lments sont identiques,
R(t) = exp(-1t) + exp(-2t) - exp(-(1 + 2)t) pour tout i : Ri(t) = r(t).
R(t) ne suit pas une loi exponentielle. On peut alors calculer facilement la fiabilit de
Le taux de dfaillance nest pas constant. l'ensemble par la formule
N Ni
Toutes ces formules se gnralisent par R(t) = CN (
i r(t)i 1 r(t)
)
associativit un systme de n composants non i =K
rparables en srie ou en parallle. On peut
Les systmes en pont
combiner ces formules.
On dsigne ainsi les systmes qui ne se
Les systmes redondance K/N rduisent pas une combinaison srie-parallle.
Un systme compos de N lments est dit On peut rduire ces systmes, par itration, au
redondance K/N si K lments suffisent cas ci-dessus (cf. figure 16 ).

1 1 4

2
KN 3

N 2 5

Fig. 15 : les systmes redondance K/N. Fig. 16 : systme en pont.

Cahier Technique Schneider Electric n 144 / p.17


1 4 1 4

2 5 2 5

Fig. 17 : dcomposition d'un systme en pont.

Pour calculer la fiabilit de ce systme partir c calcul pour le schma B (figure 19)
de celles des cinq composants non rparables il Cette fois on a un schma en pont. Lorsque
faut utiliser le thorme des probabilits ladaptateur est en panne on a le schma figure
conditionnelles : 17. Lorsquil fonctionne on a 1 et 2 en parallle
R = R3.R (sachant que 3 marche) qui sont en srie avec 4 et 5 en parallle. Donc
+ (1 - R3). R (sachant que 3 est dfaillant) la fiabilit du systme avec le schma figure 17
On dduit donc R(t) des rsultats de ltude des est :
deux diagrammes de la figure 17 . RB = (1 - R3). R + R3 .(R1 + R2 - R1 . R2)
(R4 + R5 - R4 . R5)
Exemples : fiabilit dun systme de On obtient cette fois : RB = 0,61.
dtection dintrusion.
On constate que lamlioration est trs peu
Le systme est constitu de deux capteurs, un sensible bien que ladaptateur soit excellent. Sur
capteur de vibration et une cellule photo- cet exemple le calcul permet de juger du peu
lectrique, et de deux alarmes, chacune tant dintrt dun systme plus coteux.
relie un unique capteur. La fonction du
systme est dmettre une alarme en cas Cas des lments rparables
dintrusion activant les capteurs. La dure de On ne peut plus utiliser les diagrammes de
mission est fixe trois mois, cest la dure fiabilit aussi systmatiquement :
maximum dune absence. On considre chaque
lment comme non rparable durant cette c lorsque deux lments rparables 1 et 2 sont
priode. La maintenance est ralise avant en parallle, la relation liant R(t) R1(t) et R2(t)
chaque absence et le systme est alors
considr comme neuf. Le systme est dcrit
sur le schma figure 18 . Alarme 1
Le but est dvaluer lamlioration apporte en
terme de fiabilit par lutilisation dun adaptateur
permettant aux deux alarmes de recevoir le
Capteur
de vibration
1 4 ( (( ((
signal des deux capteurs. Le systme ainsi
constitu est reprsent sur le schma
figure 19 .
Alarme 2
Les donnes de fiabilit : tous les composants
sont non rparables et suivent des lois
exponentielles :
Cellule
photo-lectrique
2 5 ( (( ((
Capteur de vibration : 1 = 2.10-4 Fig. 18 : alarmes sans couplage : schma A.
Cellule photo-lectrique : 2 = 10-4
Adaptateur : 3 = 10-5
Alarmes : 4 = 5 = 4.10-4
1 4
c calcul pour le schma A (figure 18)
On a deux chanes en parallle au sens de la
fiabilit, chacune comporte deux lments en Adaptateur
srie :
3
v fiabilit chane 1 : R1(t) . R4(t),
v fiabilit chane 2 : R 2(t) . R5(t) ; d'o pour le
systme, RA(t) = R1(t) . R4(t) + R2(t) . R5(t)
- R1(t) . R4(t) . R2(t) . R5(t).
2 5
En appliquant Ri (t) = exp(- i.t) avec le temps
de mission t = 3 mois = 2190 heures, on obtient : Fig. 19 : chanes avec couplage : schma B.
RA = 0,51.

Cahier Technique Schneider Electric n 144 / p.18


nest plus vraie. En effet le fonctionnement du v en srie :
systme sur [0,t] peut correspondre un D(t) = D1(t) . D2(t) ,
fonctionnement en alternance de 1 et 2. Avec v en parallle :
des lments non rparables un au moins doit D(t) = D1(t) + D2(t) - D1(t) . D2(t) .
fonctionner sur lensemble de la priode [0,t] Ces formules ne sont valables que pour des
alors quici ils peuvent dfaillir tous les deux cas simples.
mais pas en mme temps.
La relation D(t) = D1(t) + D2(t) - D1(t) . D2(t) nest
c Pour deux lments rparables en srie, la plus vraie si on ne dispose que dun seul
relation R(t) = R1(t).R2(t) reste vraie. rparateur par exemple. Cet aspect squentiel,
c Pour des lments rparables cest le chiffrage attente de la rparation dun lment pour
de la disponibilit qui est le plus souvent rparer lautre, ne peut pas tre modlis par un
demand. On utilise alors le diagramme de simple diagramme. Les graphes dtats
fiabilit, et les mmes formules que pour le (introduits plus loin) sont utiliss dans ce cas.
calcul de la fiabilit :

5.5 Les arbres de dfaillance


Ils permettent de calculer la probabilit de
panne dun systme, et consistent en une Protection Commande
reprsentation graphique des combinaisons
dvnements indpendants conduisant
lapparition dun vnement indsirable ou
catastrophique. M
A partir de ces arbres, sauf dans les cas
simples, cest par les moyens de linformatique
scientifique et technique que lon calcule la
probabilit doccurrence ; ensuite on agit
Fig. 20 : chane d'alimentation d'un moteur.
ventuellement sur la conception du systme L'vnement indsirable est : le moteur ne dmarre pas.
pour diminuer la probabilit de dfaillance

Principe de la mthode
Le moteur
La construction de larbre se base sur lanalyse est arrt
du systme et sur le choix de lvnement et ne
indsirable que lon dsire tudier. La premire dmarre pas
tape est la recherche des causes immdiates
de lvnement sommet, puis des causes des
causes immdiates et ainsi de suite.
A titre d'exemple, un cas simple : cf. figure 20
pour le schma et figure 21 pour larbre de
dfaillance correspondant. Moteur
Puissance
dfail-
Une coupe est une combinaison dvnements non
lant
applique
lmentaires qui conduit lvnement
Causes
indsirable. immdiates
Lanalyse de larbre obtenu se dcompose en
deux phases :
c lanalyse qualitative : elle permet dobtenir
les coupes minimales, cest--dire les
combinaisons minimales par inclusion qui Pas de Pas de
conduisent lvnement indsirable. Lordre liaison liaison Batterie
+ / moteur - / moteur vide
dune coupe est le nombre dvnements
lmentaires qui la composent.
Causes de
c lanalyse quantitative : elle est ralise niveau
partir des coupes minimales et des probabilits infrieur
doccurrence des vnements de base. On
obtient ainsi une approximation de la probabilit Cde
doccurrence de lvnement sommet. Il est Protec. Fil Fil
dfail-
ncessaire de sassurer systmatiquement de la bloque coup coup
lante
validit de lapproximation. Selon les probabilits
considres larbre peut tre utilis pour tudier Fig. 21 : arbre de dfaillance du circuit de la figure 20.
la disponibilit ou la fiabilit.

Cahier Technique Schneider Electric n 144 / p.19


Deux exemples simples de quantification :
v un rtroprojecteur avec une lampe en place et
une lampe de rechange. Lvnement
indsirable est : panne de lampe projecteur Panne de Probabilit de
(cf. figure 22 ). lampe non fonctionnement : P
Loprateur a deux chances sur mille dtre en
panne de lampe.
v l'alimentation dune ampoule 220V.
Lvnement indsirable est : la lampe ne
sallume pas (cf. figure 23 ).
On constate que la probabilit de panne est P1 P2 2 lampe Une coupe
Lampe
environ de 0,001. On a une chance sur mille que grille ou minimale
grille
absente d'ordre 2
la lampe ne sallume pas. Lvnement lampe
grille est prpondrant.
Il est bien sr possible deffectuer un calcul P = P1 x P2 = 0,05 x 0,04 = 2.10-3
mathmatiquement exact de la probabilit
doccurrence. Il se base sur une mthode Fig. 22 : arbre de dfaillance d'un rtro projecteur.
rcursive sans utiliser les coupes : on
applique les formules de calcul des probabilits
pour chaque porte partir du calcul ralis pour
les sous arbres entrant dans la porte.
Pas de Probabilit de
Lhypothse dindpendance des vnements lumire non fonctionnement : P
doit tre vrifie mais le calcul est exact. Ce
calcul exact permet de valider le calcul
approch, mais il est rarement effectu en
pratique : en gnral, les combinaisons autres
que les coupes minimales ont des probabilits
d'occurrence trs faibles car elles sont P1 P2 Deux coupes
composes d'un bon nombre d'vnements Absence Lampe minimales
lmentaires ; il est donc souvent inutile et 220V grille d'ordre 1
coteux en temps de calculer ces probabilits.

Application de larbre de dfaillance avec 1 - P = (1 - P1) (1 - P2) = (1 - 10-4) (1 - 10-3) = 0,9989


utilisation des coupes : disponibilit dun
rseau de distribution lectrique BT. Fig. 23 : arbre de dfaillance d'un clairage.
La page suivante donne larbre de dfaillance
construit pour tudier la disponibilit sur un
dpart du rseau dessin ci-dessous
(cf. figure 24 ). On sintresse la disponibilit
en nergie lectrique en considrant uniquement
A B
deux niveaux dnergie : correct (prsence
dnergie), dfaillant (absence dnergie). JDB 1
Lvnement sommet indsirable est labsence C D
dnergie sur le dpart not E.
La construction de larbre (cf. figure 25 ) JDB 2 JDB 3
correspond certaines hypothses : E F
c on a considr uniquement 2 modes de
dfaillance pour les disjoncteurs : ouverture
intempestive et refus douverture sur court- Fig. 24 : rseau de distribution BT.
circuit.

Cahier Technique Schneider Electric n 144 / p.20


Absence
nergie
dpart E
G11*

JDB 3 Ouvert. Remonte


Df. non CC aval
intemp.
JDB 3 aliment par F
disj. E
G22* G24*
2*1* 2*3*

Ouvert. Absence
Df. Non ouv. CC en
intemp. nergie
cble disj. F aval
disj. D JDB 1 sur CC de F
G33*
3*1* 3*2* 3*4* 3*5*

JDB 1 Remonte
non CC aval
Df. par C
aliment
JDB 1
G42* G43*
4*1*

Deux Absence Court


Non ouv.
lignes nergie circuit
disj. C
dfail. EDF HT aval C
sur CC
G51* G53*
5*2* 5*4*

Ligne A Ligne B
Cble JDB 2
G61* G62*
6*3* 6*4*

Transfo. Transfo. Disj. B


Disj. A
A B

7*1* 7*2* 7*3* 7*4*

Fig. 25 : arbre de dfaillance correspondant au rseau de la figure 24.

Cahier Technique Schneider Electric n 144 / p.21


c Chaque voie transformateur peut alimenter
seule lensemble du rseau prioritaire dont le
dpart E fait partie. Indisponibilit : 1,1 10-3
Liste des coupes minimales (indiques sur
c Les deux arrives EDF sont supposes prises
l'arbre) et contribution en % :
sur deux postes diffrents.
Ceci rduit le mode de dfaillance commun 1 : 2*1* : 9,5
lindisponibilit de EDF en haute tension. 2 : 2*3* : 1,6
A chaque vnement de larbre correspond une 3 : 3*1* : 68
probabilit doccurrence qui est dans ce cas une 4 : 3*2* : 1,6
indisponibilit. Celle des vnements 5 : 3*4*, 3*5* : ,013
lmentaires est calcule par la formule 6 : 4*1* : 9,5
ID . MTTR, avec : 7 : 5*2* : 9,9
: le taux de dfaillance de llment, pour un 8 : 5*4*, 6*3* : 9,1 E - 6
mode de dfaillance donn, obtenu par recueils 9 : 5*4*, 6*4* : 3,2 E - 6
des retours dexprience ; 10 : 7*1*, 7*3* : ,00058
MTTR : le temps moyen de rparation qui 11 : 7*1*, 7*4* : 1,3 E - 5
dpend de llment et de linstallation 12 : 7*2*, 7*3* : 1,3 E - 5
(technologie, localisation gographique,
13 : 7*2*, 7*4* : 2,7 E - 7
contrat).
Parfois on majore une probabilit quand celle-ci
est inconnue. On a pris par exemple 10-2 comme Fig. 26 : contribution des lments du rseau
majorant de la probabilit dapparition dun court- l'indisponibilit.
circuit en aval de F.
La figure 26 donne le rsultat obtenu pour secours autonome du type gnrateur diesel.
lindisponibilit sur le dpart E, soit environ 10-5, Ltude de la disponibilit dune alimentation
ce qui correspond 5 mn par an. La recherche lectrique est dtaille dans le Cahier Technique
des coupes minimales permet non seulement Schneider Electric n 184 intitul Etude de
dobtenir la probabilit doccurrence de sret des installations lectriques .
lvnement sommet mais aussi la contribution
de chacune des coupes. La mme figure 26 Remarque sur les arbres de dfaillance
donne la liste des coupes minimales et leur Les systmes avec reconfiguration et stratgies
contribution exprime en %. Cette mesure de la de maintenance complexes sont difficilement
contribution est appele importance. modlisables par un arbre de dfaillance. Par
Lexamen des importances relatives montre que exemple, lorsque deux composants sont en
le cble reliant le jeu de barres 1 au jeu de redondance, la dfaillance du deuxime
barres 3, (3e coupe minimale), est critique ainsi composant n'a un sens que s'il y a auparavent
que, dans une moindre mesure, les deux jeux de dfaillance du premier composant. Cet aspect
barres auxquels il est reli. On constate de plus temporel de des pannes ne peut pas tre pris en
que lamlioration de ces lments rendra la compte dans les arbres de dfaillances,
rseau EDF critique. Pour amliorer encore la contrairement aux graphes d'tat et rseaux de
disponibilit il faudra faire appel une source de Ptri prsents ci-aprs.

5.6 Les graphes dtats


Les graphes dtats (appels aussi graphes de transitions entre tats correspondent aux
Markov) permettent une modlisation sous vnements affectant le fonctionnement des
certaines hypothses. Les tapes successives composants du systme. Ces vnements sont
sont la construction dun graphe, la rsolution en gnral des dfaillances ou des rparations.
des quations de base et linterprtation des Il en rsulte que les taux de transition entre tats
rsultats en terme de fiabilit et de disponibilit. sont essentiellement composs de taux de
La rsolution est grandement simplifie par un dfaillance ou de rparation (parfois pondrs
calcul limit aux grandeurs indpendantes du par des probabilits du type refus de dmarrage
temps. la sollicitation).
Construction du graphe Le graphe de la figure 27 reprsente le
Le graphe reprsente tous les tats du systme comportement dun systme comprenant un
et les transitions possibles entre ces tats. Les unique lment rparable.

Cahier Technique Schneider Electric n 144 / p.22


c le temps moyen doccupation dun
tat i :
: taux de dfaillance 1
Ti =
Etat de Etat de (Taux sortant de l'tat i)
marche panne
c la frquence doccupation de ltat i :
: taux de rparation
Pi
fi =
Ti
Fig. 27 : graphe d'tat lmentaire.
Le calcul en temps moyens MTTF, MTTR, MUT,
MDT, MTBF se fait par calcul matriciel et en
Hypothses utilisant certaines relations vues au paragraphe 3.
Un modle de fonctionnement est dit Markovien Pour le MTTF il faut choisir une distribution
si les conditions suivantes sont vrifies : initiale des probabilits dtre dans chacun des
c lvolution du systme ne dpend que de ltat tats.
quil occupe et non du pass,
c les transitions se ralisent suivant des lois Applications : onduleurs en parallle
exponentielles. Les taux sont constants, Un onduleur est un appareil permettant
c le nombre dtats est fini, damliorer la qualit de lnergie lectrique. Il se
c deux transitions ne peuvent tre simultanes. place en amont de rcepteurs sensibles tels que
les ordinateurs et leurs priphriques. On tudie
Equations ici un ensemble donduleurs en redondance 2/3.
Sous les hypothses dcrites au paragraphe Lindisponibilit nest plus la seule grandeur
prcdent la probabilit dtre dans ltat Ei considrer : le MTTF permet de connatre le
linstant t + dt scrit : temps moyen avant la premire coupure sur
Pi (t+dt) =P (le systme est dans ltat Ei lapplication. On est amen construire le
linstant t et y reste) + P (le systme vient dun graphe dtats. Les trois onduleurs sont
autre tat Ej). identiques ce qui permet de grouper les tats
correspondant au mme nombre donduleurs en
Pour un graphe de n tats on obtient n quations
panne. Les taux de dfaillance et de rparation
diffrentielles qui donnent lquation suivante :
des onduleurs sont nots et (cf. figure 28 ).
d(t)
= (t) . [ A ] Le numro de ltat correspond au nombre
dt donduleurs en panne. Chaque onduleur qui
o : (t) = [P1(t), P2 (t), K, Pn (t)]
fonctionne dans un tat Ei ajoute un taux de
sortie l vers ltat Ei+1.
[A] est appele matrice de transition du graphe. Ces taux sont respectivement 3, 2 et . En
La rsolution informatique de cette quation effet, pour passer de l'tat 0 l'tat 1 il y a trois
sous forme matricielle permet donc dobtenir la possibilits de panne ; pour passer de l'tat 1
probabilit Pi(t) dtre dans ltat i linstant t l'tat 2 il y a deux possibilits de panne, etc.
connaissant les taux de transition du graphe et Les tats de marche sont les tats 0 et 1. Par
ltat de dpart. hypothse le nombre de rparateurs est
suffisant pour que trois rparations puissent tre
Calcul des diffrentes grandeurs en cours simultanment. Les taux de transition
La disponibilit est la probabilit de se trouver correspondant aux rparations sont donc
dans un tat de marche on a donc : proportionnels au nombre donduleurs en panne
D(t) = P(t)
i
dans ltat considr. Les donnes numriques
sont les suivantes :
i
Pi = probabilit dans ltat de marche Ei. = 2.10-5 h-1 ; = 10-1 h-1
La fiabilit est la probabilit dtre dans un tat
de marche sans jamais tre pass par un tat de
panne.
On construit un graphe o lon supprime toutes 3 2
les transitions sortant dun tat de panne vers un
tat de marche et on obtient des probabilits Etat 0 Etat 1 Etat 2 Etat 3
Pi(t) et on a alors :

R(t) = Pi' (t) 2 3


i
Il est noter que deux grandeurs sont obtenues Fig. 28 : onduleurs en parallle.
simplement :

Cahier Technique Schneider Electric n 144 / p.23


Paramtres constants :
Indisponibilit : 1,199360 E-07 Disponibilit : 9,999999 E-01
MTTF : 4,169167 E+07 MTTR : 8,333667 E+00
MUT : 4,169167 E+07 MDT : 5,000333 E+00
MTBF : 4,169167 E+07

Fig. 29 : valeurs relatives au schma de la figure 28.

La figure 29 donne les rsultats obtenus lors du ces deux valeurs se visualise trs bien sur le
calcul des grandeurs indpendantes du temps. graphe. Dans le cas de la redondance 2/3
On constate que le MTTF vaut 4,17.107 heures lindisponibilit se calcule en sommant les
alors que sans redondance (systme 3/3) le probabilits des deux tats de panne soit :
MTTF vaut 1/3 l = 1,67.104 heures. ID = P2 + P3 alors que sans redondance on
Pour lindisponibilit asymptotique on passe de somme sur trois tats de panne :
1,19.10-7 pour le systme tudi 6.10-4 sans ID = P1 + P2 + P3.
redondance (systme 3/3). La diffrence entre

5.7 Les rseaux de Ptri


Un systme est reprsent par des places, des
transitions et des jetons. Le franchissement
dune transition par un jeton correspond a un
vnement fonctionnel ou dysfonctionnel
possible du systme. Ces transitions peuvent Dfaillance Temps de
tre associes nimporte quel type de loi EDF rparation
probabiliste, contrairement aux graphes dtats Temps de Temps de
qui supposent des transitions suivant des lois rparation rparation
exponentielles. Seule la simulation permet de
rsoudre de tels calculs. Probabilit 1-P Probabilit P de
Le rseau de Ptri de la figure 30 reprsente les de dmarrage non dmarrage
diffrentes dfaillances que le systme des GE des GE
distribution lectrique (dune industrie par
exemple) peut subir. Ce systme est compos
dune arrive EDF et de groupes lectrognes
qui prennent le relais si EDF est dfaillant. Dfaillance
des GE en
c A la transition n 1 est associe la probabilit fonctionnement
de dfaillance de lalimentation EDF .
c A la transition n 2 est associe les
probabilits de dmarrage et de non dmarrage
des groupes lectrognes.
c A la transition n 3 est associe la probabilit Fig. 30 : modlisation de la distribution lectrique par
de dfaillances en fonctionnement des groupes rseau de Ptri.
lectrognes.
La modlisation dun systme par rseau de Mais compte tenu des limites lies la
Ptri est la modlisation la plus proche du simulation, cette technique nest pas utilise
fonctionnement rel du systme tudi. Par systmatiquement : pour tre prcis, il faut
exemple, un temps de rparation constant est un raliser un grand nombre de simulations et le
cas de figure courant et peut tre modlis tel temps de calcul peut tre trs long si lestimation
quel dans un rseau de Ptri, alors que si lon des mesures est lie des vnements rares.
modlise par graphes dtat (technique Certes, laugmentation effrne de la puissance
prcdente), on est oblig de supposer que ce des ordinateurs de bureau tend gommer cet
temps de rparation suit une loi exponentielle. inconvnient.

Cahier Technique Schneider Electric n 144 / p.24


5.8 Choix dune technique de modlisation
On trouvera un tableau dtaill pour faire ce ce qui est peu raliste dans certains cas
choix dans le Cahier Technique n 184 (dure de vie de composants mcaniques
Etudes de sret des installations soumis usure, temps de rparation
lectriques mais on peut retenir la faiblesse constant),
principale de chacune des trois mthodes c les rseaux de Ptri sont plus compliqus
utilises (arbres de dfaillances, graphes mettre en uvre, la traabilit des erreurs
dtat, rseau de Ptri), les diagrammes de faite lors de la modlisation nest pas trs
fiabilit se cantonnant des systmes que bonne et les temps de simulation peuvent tre
lon rencontre rarement dans la complexit trs longs lorsque des vnements rares sont
industrielle daujourdhui, savoir : impliqus.
c les arbres de dfaillance ne peuvent traiter Etant donn lamlioration des moyens de
laspect temporel des pannes donc les calcul, la tendance est lutilisation de plus en
reconfigurations, pourtant frquentes, en plus intensive de la simulation par rseau de
particulier dans la distribution lectrique, Ptri, sauf dans le cas de systmes assez
c les graphes dtat supposent que les dures simples o la mise en uvre des deux autres
de vie et de rparation des composants du mthodes est plus rapide pour un rsultat
systme suivent toutes une loi exponentielle, quivalent.

Cahier Technique Schneider Electric n 144 / p.25


6 Maintenance et logistique : de plus en plus complexe

Dans la conception de la sret intervient la donn il existe un optimum en terme de


maintenance : il est plus tolrable qu'un systme maintenance et de stock de pices de rechange
tombe frquemment en panne sil est rparable pour garantir un niveau de fiabilit et/ou de
instantanment. Ainsi, pour un risque de panne disponibilit donn.

6.1 Optimisation de la Maintenance par la Fiabilit (O.M.F.)


Cette mthode apparu dans les annes 60 dans Elle sappuie sur deux rgles de bon sens :
le domaine aronautique, a t reprise par EDF c classer les dfaillances du systme par ordre
en 1990 pour la maintenance du parc nuclaire de priorit pour leur assigner une maintenance
et tend sappliquer dans bon nombre de sites adapte : sil est ncessaire de dtecter la
industriels complexes o des oprations de dfaillance, la maintenance doit tre prventive ;
maintenance sont faites. Cette mthode poursuit sil suffit de rparer la dfaillance, la
trois buts : maintenance peut ntre que corrective,
c rduire des cots de maintenance sans c utiliser les retours dexpriences sur les
dgradation de la fiabilit, dfaillances passes pour axer la maintenance
c amliorer la scurit et la disponibilit des sur les composants les moins fiables.
installations (en tant plus pertinent sur les
priodicits et les lments maintenir),
c matriser la dure de vie des quipements
(parfois suprieure la dure de carrire des
oprateurs de maintenance).

6.2 Soutien Logistique Intgr (S.L.I.)


Cette dmarche devient indispensable lorsquon Cette dmarche trs globale se traduit en
doit par exemple assurer la disponibilit de particulier par des optimisations complexes des
plusieurs systmes partir de centres lots de rechange, optimisations impossibles
logistiques gographiquement distants : combien faire la main , avec une feuille de papier et
de pices de rechange doit-on prvoir pour un crayon. Ces calculs sont effectus laide de
lensemble des systmes ? Vaut-il mieux stocker programmes informatiques faisant appel
ces pices de rechange auprs de chacun des plusieurs domaines des mathmatiques
systmes ou les stocker en un seul endroit ? appliques (probabilits, recherche
Le S.L.I. a donc pour objectifs de : oprationnelle).
c Matriser le rapport cot global de Pour plus de dtails, on pourra consulter
possession/disponibilit oprationnelle . Lanalyse du soutien logistique et son
c Prendre en compte des exigences de soutien enregistrement (voir bibliographie).
ds la conception du systme (do le terme
intgr ).

Cahier Technique Schneider Electric n 144 / p.26


7 Conclusion

La sret, notion de plus en plus importante en


terme de confort, defficacit, de scurit, se
matrise et se calcule. Elle se conoit travers
les appareils, les architectures, les systmes.
Elle fait de plus en plus partie des cahiers des
charges et des clauses contractuelles.
Lexistence des mthodes et outils de la sret
permettent aujourdhui de rendre systmatique
les tudes de sret la conception et lors des
actions dassurance qualit.
Lapproche intuitive, les calculs approchs et
exacts permettent en se combinant de
comparer les configurations, de chiffrer le risque
pour la meilleure performance, cest--dire celle
qui correspond au besoin clairement exprim.
Enfin, des mthodes d'optimisation permettent
d'allger les cots de maintenance et de
logistique tout en maintenant le niveau de sret
exig.

Cahier Technique Schneider Electric n 144 / p.27


Bibliographie et normes

Normes Ouvrages divers


c CEI 60191/UTEC20310 : Liste des termes de c Military Handbook 217 F (notice 2)
base, dfinitions et mathmatiques applicables Department of Defense (US) - 1995.
la fiabilit. c Recueil de donnes de fiabilit du CNET
c CEI 362/UTEC20313 : Guide pour lacquisition (Centre National dEtudes des
des donnes de fiabilit, de disponibilit et de Tlcommunications) - 1999.
maintenabilit partir des rsultats dexploitation c Documents Std 493 et 500 de lIEEE
des dispositifs lectroniques. (Institute of Electrical and Electronics Engineers)
c CEI 305/UTE C20321 20327 : Essai de 1984 et 1997.
fiabilit des quipements. c Document NPRD97 (Nonelectronics Parts
c CEI 706/X 60310 ET 60312 : Guide Reliability Data du Reliability Analysis Center
maintenabilit de matriel. (Department of Defense US) - 1997.
c CEI 812/x 60510 : Techniques danalyse de la c Fiabilit des systmes
fiabilit des systmes. A. PAGS et M. GONDRAN - Eyrolles 1983.
Procdure dAnalyse des Modes de Dfaillance c Sret de fonctionnement des systmes
et de leurs Effets (AMDE). industriels
c CEI 863/x 60520 : Prvision des A. VILLEMEUR - Eyrolles 1988.
caractristiques de fiabilit, maintenabilit et c Vocabulaire Electrotechnique International
disponibilit. VEI 191 - Juin 1988.
c CEI 61508 : Scurit fonctionnelle des c Actes de la 15e confrence Inter Ram
systmes lectriques/lectroniques/lectroniques Portland, Oregon - Juin 1988.
programmables relatifs la scurit. c Techniques de fiabilit en mcanique
Cl. MARCOVICI et J. Cl. LIGERON - Pic 1974.
Cahiers techniques Schneider Electric
c L'analyse du soutien logistique et son
c Etude de sret des installations lectriques.
enregistrement .
S. LOGIACO 1999, Cahier technique n 184.
M. PREVOST et C. WAROQUIER
Participation de Schneider Electric Technique et Documentation (Lavoisier 1994).
diffrents groupes de travail :
c Groupe statistiques du comit 56 (normes de
fiabilit) de la CEI.
c Sret du logiciel au groupe Europen
EWICS - TC7 : computer and critical
applications.

Cahier Technique Schneider Electric n 144 / p.28


1999 Schneider Electric

Schneider Electric Direction Scientifique et Technique, Ralisation : AXESS - Saint-Pray (07).


Service Communication Technique Edition : Schneider Electric
F-38050 Grenoble cedex 9 Impression : Imprimerie du Pont de Claix - Claix - 1000.
Tlcopie : (33) 04 76 57 98 60 - 100 FF-

62589 06-99