Académique Documents
Professionnel Documents
Culture Documents
2004
Le magazine Schneider Electric de
l'enseignement technologique et professionnel
La Sûreté de
Fonctionnement (SdF)
Les préoccupations dites de sécurité sont très présentes dans
le monde des machines outils ou dans les procédés continus
comme la pétrochimie. Dans les applications de type
manufacturier ou batch, les préoccupations sont plutôt
liées à la disponibilité. Dès lors que la sécurité ou la
disponibilité d'un système est mise en défaut, on incrimine
sa fiabilité. Enfin, en cas de dysfonctionnement, il convient
de remettre le système en conditions de fonctionnement
initial : c'est là qu'intervient la maintenabilité.
Ces quatre caractéristiques constituent la sûreté
de fonctionnement d'un dispositif.
p.1 Historique
Historique
Jusqu’à la Renaissance et au-delà, on a toujours pensé que la fiabilité d’une
p.4 chaîne reposait sur celle de son maillon le plus faible. Ainsi, si R était la fonction
de fiabilité (ou de survie), alors en fonction du temps, on pensait pouvoir écrire :
Les fondamentaux Rchaîne (t) = Min1 ≤ i ≤ nRi(t), où les items indexent les n maillons de la chaîne.
de la sûreté
Or, il s'est avéré que, dans une chaîne, ce n’était pas systématiquement le maillon
de fonctionnement
le plus faible qui se rompait en premier. La fiabilité de la chaîne est alors devenue
Les études de sûreté une certaine fonction de la fiabilité de ses maillons, les plus faibles participant
de fonctionnement
davantage que les plus solides à l’éventualité d’une rupture.
p.7 L’époque moderne
Les données de fiabilité Par la suite, des problèmes de fiabilité se sont posés lors de la conquête de l’Ouest.
La normalisation Les composants mécaniques les plus critiques de l’époque étaient les roulements
p.9 à billes des locomotives à vapeur ! De même, les freins de ces mêmes locomotives,
en service entre 1861 et 1883, seront abandonnés pour des problèmes de fiabilité,
Lexique notamment sur les connexions électriques entre les wagons, et les premiers freins
Intersections - novembre 2004
pneumatiques les remplaceront. Ceux-ci sont toujours E. Murphy, l'ingénieur américain amateur de philosophie
d’actualité. qui formula cette loi, ne voulait pas en donner une
La houille blanche, cette nouvelle énergie électrique, impression si pessimiste.
va constituer une formidable source de puissance Il cherchait simplement à s'assurer que ce qui venait
qu’il va rapidement falloir apprendre à domestiquer de lui arriver ne se reproduirait jamais. Le capitaine
et à fiabiliser. Murphy, alors affecté au projet MX981 de l'armée
Les premiers appareils construits dans cette optique américaine, venait d'achever une série de tests sur un
(transformateurs, lignes de tension, interconnexions avion à réaction. Il devait, par ailleurs, étudier les
de lignes) vont permettre de diffuser l’énergie grâce conséquences de la décélération brutale sur les pilotes
à la mise en redondance et à l’amélioration des d'essai. Il avait donc mis au point une combinaison
matériels, mais engendreront des problèmes de équipée de 16 capteurs de mesure répartis sur le
sûreté dramatiques. corps du pilote. Murphy savait pouvoir y accorder sa
C’est l’absence préalable d’étude de sûreté totale confiance, mais ce jour-là aucun des capteurs
approfondie qui coûtera au métro parisien ses n'enregistra la moindre information.
84 morts en 1903, puis au Titanic son naufrage Les vérifications permirent de constater que l'appareil
en 1912. Durant la 1ère Guerre Mondiale, les bateaux de mesure fonctionnait normalement, et que les câbles
construits rapidement pour amener les soldats assurant la liaison avec la combinaison du pilote étaient
américains sur le sol européen ne résisteront que en parfait état de marche. L'erreur ne pouvait donc
très difficilement aux eaux gelées de l’Atlantique résider que dans les capteurs eux-mêmes. Que
Nord, subissant beaucoup de fissures dans les quelques-uns aient pu connaître une défaillance
coques et de multiples naufrages. n'aurait rien eu d'exceptionnel. Mais il semblait très
peu probable que tous aient cessé de fonctionner en
Les années 1930 même temps. En fait, les capteurs ne pouvaient
Dès 1930, les transports aériens commencent à fonctionner qu'à condition d'être branchés dans le
collecter des informations statistiques sur les moteurs bon sens. Or, ce jour-là, le technicien qui avait réalisé
et les accidents des appareils. les branchements les avait tous effectués à l'envers.
Les premiers objectifs quantifiés sont promus par le Résultat : aucune mesure n'avait été enregistrée.
capitaine A.F. Pugsley de la 7ème brigade d’infanterie La probabilité d'une telle erreur est presque nulle.
canadienne, entre 1939 et 1942, avec un taux de Raison de plus pour prendre toutes les précautions
défaillance évalué à 10-5/h pour les avions, afin d'éviter un tel désastre.
dont 10-7/h pour leur structure. Pour ce faire, on se fonde sur l'hypothèse de travail,
raisonnable et à la fois presque paranoïaque,
Les années 1940 formulée par Murphy lorsqu'il rendit compte de
Les années 1940 voient le formidable essor des l'échec total de ces expériences : "S'il existe deux ou
techniques de fiabilité. En Allemagne, W. Von Braun plusieurs moyens de réaliser une opération, et si l'un
met au point ses V1 et revient sur l’idée que la d'eux peut mener à la catastrophe, il est certain que
fiabilité d’une chaîne est celle de son maillon le plus quelqu'un l'emploiera". Aujourd'hui encore, cette loi
faible, en essayant de prouver que la fiabilité d’une résonne dans l'esprit de tout ingénieur responsable
chaîne est la moyenne de la fiabilité de ses d'un système censé être à toute épreuve. La formule
constituants. Les essais montreront que cette connut un succès immédiat. Quelques mois plus tard,
hypothèse était également erronée. on la répétait dans les bases les plus isolées de l'armée
C’est Eric Pieruschka qui va finalement donner de l'air américaine. Le capitaine n'avait fait qu'exprimer
la formule de calcul de la fiabilité d’une chaîne : une frustration connue de tous les ingénieurs. Neuf ans
Rchaîne(t) = P1≤ i ≤ nRi(t). La probabilité de survie d’une plus tard, elle passait à la postérité en apparaissant
chaîne à une date t arbitraire est le produit des pour la première fois, sous le nom de "Murphy's Law"
probabilités de survie de chacun de ses composants dans un dictionnaire anglais. Soixante ans plus tard, cette
à cette date, dans l’hypothèse où lesdits composants loi est toujours d'actualité : il faut reconnaître qu'elle
sont indépendants les uns des autres. n'a pas son égale pour expliquer les catastrophes.
Aux Etats-Unis, pendant ce temps, les nouvelles Mais une formule populaire n'a pas forcément de
techniques permettent de gagner un facteur 4 sur la fondement. D'ailleurs, la plupart des scientifiques
durée de vie des moteurs de traction des locomotives, considèrent que la loi de Murphy ne peut être
pour dépasser le million de miles. Puis naît, en 1949, considérée comme une loi au sens physique du terme.
la loi de Murphy, peut-être mieux connue sous le nom
de "loi de l'empoisonnement maximum" ou "loi de la Les années 1950
tartine beurrée" : dès qu'il existe une possibilité que On assiste à l’avènement du concept de maintenance :
les choses tournent mal, elles tournent mal ! $1 en équipement génère $2 en maintenance. C’est à
Guide
2 Technique
Intersections - novembre 2004
cette époque que la marine militaire américaine météorites. En 1979, c’est la catastrophe nucléaire
prend conscience que ses tubes électroniques ne de TMI (Three Miles Island) ; une manière
sont opérationnels qu’à hauteur de 30 % de leur inattendue de promouvoir les outils de sûreté de
temps d’utilisation. fonctionnement, puisque le scénario qui a mené à la
Les premières directives en électronique voient catastrophe était quasiment décrit dans le rapport
le jour, avec des spécifications d’essais de Rasmussen ! Puis ce sont les industries
vieillissement accéléré, directives qui seront pétrochimiques qui procèdent à leurs premières
reprises et adaptées par la NASA. Les toutes études de risque, avant que les techniques de sûreté
nouvelles centrales nucléaires entraînent les de fonctionnement ne soient diffusées dans la
premières études sur la fiabilité humaine. chimie, le ferroviaire, l’automobile, le traitement
En France, c’est le Centre national d’Etudes et l’épuration d’eau, et l’ensemble des grands
sur les Télécommunications qui commence secteurs industriels.
ses travaux sur un recueil de données de fiabilité
électronique.
Guide
Technique 3
Intersections - novembre 2004
Guide
4 Technique
Intersections - novembre 2004
Comprendre et identifier
les risques, envisager les
conséquences Analyse
des besoins
Definir les objectifs de sécurité Ajuster la politique
et de disponibilité de maintenance
Cahier Sûreté de
des fonctionnement Evolution
Aider à la rédaction du
charges
cahier des charges sur
les parties critiques
c vérifiant la bonne atteinte des objectifs de sûreté niveau voulu, sans dégradation des équipements
de fonctionnement. préjudiciable à l’une des quatre composantes ;
c dimensionnant les stocks de pièces de rechange
Elle peuvent aussi aider à l’optimisation en : au plus juste, sans dégrader la disponibilité du
c diminuant le nombre de pannes qui seront système.
observées durant la vie du système ;
c optimisant économiquement la conception Etudes périphériques
par le dimensionnement des équipements et des Cette recherche de l’optimisation des tailles de
architectures au "juste nécessaire" ; stocks de pièces de rechange (suffisamment de
c rendant la maintenance plus ciblée et plus pièces en regard de l’aptitude du système à tomber
efficace ; en panne, mais pas trop de pièces pour éviter des
c dimensionnant au plus juste les moyens immobilisations financières inutiles) a fait l’objet
de soutien nécessaires (stocks de pièces d’études particulières où ce souci d’optimisation
de rechange). est couplé avec une démarche analogue sur :
c la maintenance des équipements (pas trop
Etape par étape fréquemment pour ne pas gréver la disponibilité
La première étape consiste à analyser du système, mais suffisamment pour ne pas laisser
rigoureusement le besoin pour comprendre se développer une dérive importante de la fiabilité) ;
et identifier l’ensemble des risques, et envisager c l’ordonnancement des transports de pièces
leurs conséquences. Ensuite, des niveaux (par route, mer ou avion).
d’acceptabilité sont attribués pour ces risques Il en résulte une méthodologie d’approche globale,
(on parle d’objectifs de F, M, D et/ou S selon appelée soutien logistique intégré, complémentaire
les systèmes). aux études de sûreté de fonctionnement dans les
milieux industriels.
L’identification précise de ces risques va aider Ainsi il en est de même de la compatibilité électro-
à la rédaction du cahier des charges du système, magnétique, science qui s’intéresse aux influences
précisément sur ses parties critiques. réciproques des équipements susceptibles d’émettre
Il faudra alors imaginer des solutions techniques, des des ondes et ainsi de perturber le fonctionnement
architectures adaptées qui, toutes, seront quantifiées d’autres appareils physiquement proches ou reliés.
d’un point de vue sûreté de fonctionnement,
comparées entre elles et, si nécessaire, optimisées. En pratique
Une fois la solution retenue, il sera nécessaire L’étude de sûreté de fonctionnement comporte deux
de préciser les conditions d’une exploitation la plus volets complémentaires :
efficace possible en : c une analyse fonctionnelle, qui va détailler la
c définissant les opérations de maintenance manière dont le système va opérer dans toutes
préventive nécessaires pour maintenir les ses phases de vie ainsi que les autres systèmes
caractéristiques de sûreté de fonctionnement au avec lesquels il va pouvoir interagir ;
Guide
Technique 5
Intersections - novembre 2004
c une analyse dysfonctionnelle, qui vise à imaginer c’est une méthode d'analyse par niveaux successifs
l’ensemble des défaillances pouvant survenir d'approche descriptive d'un ensemble, quel qu'il soit.
n’importe où dans le système, seules ou combinées On peut l’appliquer aussi bien à la gestion d'une
entre elles, et à analyser l’impact de ces pannes. entreprise qu'à un système automatisé.
c BDF (blocs diagrammes fonctionnels) : méthode
Analyse Analyse de découpage fonctionnel du système.
Fonctionnelle Dysfonctionnelle c Méthode MISME : cette méthode considère
l’ensemble des composants du système avec leurs
interactions, ainsi que les milieux environnants.
Guide
6 Technique
Intersections - novembre 2004
de fiabilité
Ce guide technique a été
Elles sont la base même des études. C’est à partir
rédigé par : des données de fiabilité que vont être élaborés les
Marcel Chevalier, calculs permettant une vision objective des capacités
responsable équipe du système en termes de sûreté de fonctionnement.
6-sigmas ;
Robert Garnier, Master
Block Belt 6-sigmas ;
Philippe Chang, expert en
sûreté de fonctionnement
des systèmes ;
Bruno Lusson, responsable
sûreté de fonctionnement
des systèmes ; Avertissement
Equipe Schneider Ingénierie Schneider Electric dégage toute responsabilité consécutive à l’utilisation incorrecte des informations
Sûreté, dpt Projects & et schémas reproduits dans le présent guide et ne saurait être tenu responsable ni d’éventuelles
Engineering Centre. erreurs ou omissions, ni de conséquences liées à la mise en œuvre des informations et schémas
contenus dans ce guide.
Guide
Technique 7
Intersections - novembre 2004
Bibliographie
c Alain Villemeur c Olivier Coudert & J-C Madre
"Sûreté de Fonctionnement des systèmes "Metaprime : An interactive fault-tree analyzer".
industriels". - IEEE Transactions on Reliability
- Collection de la Direction des Etudes et Recherches (Vo. 43, n° 1, pp. 121-127, 1994).
d’Electricité de France, (Eyrolles, 1988).
c Tadao Murata
c Robert Garnier "Petri Nets : Properties, analysis and applications"
"Une méthode efficace d’accélération de la - Proceedings of the IEEE transactions on Reliability
simulation des réseaux de Petri stochastique". (Vol. 77, n° 4, 1989).
- Thèse de 3ème cycle. Automatique/Productique,
Université Bordeaux I, (Juin 1998). c Carl Adam PETRI
"Kommunication mit Automaten"
c M.A. Boyd - Bonn: Institut für Instrumentelle Mathematik,
"What Markov Modeling can do for you : Schriften des IIM Nr. 2, 1962, Second Edition,
An Introduction". New York : Griffiss Air Force Base
- Annual Reliability and Maintainability (Technical Report RADC-TR-65--377, Vol. 1, 1966).
Symposium – (Tutorial notes, 1994).
c Antoine Rauzy & Yves Dutuit
c Michel Prevost & Charles Waroquier "Exact and Truncated Computations of Prime
"L’analyse du soutien logistique et Implicants of Coherent and Non-Coherent Fault
son enregistrement". Trees within Aralia".
- Editions Lavoisier (TEC DOC, 1994). - Reliability Engineering and System Safety
(Vol. 58, n° 2, pp. 127-144, 1997).
c Alain Leroy & Jean-Pierre Signoret
"Le risque technologique". c Véronique Tieri
- Collection "Que sais-je ?" (PUF, 1992). "Traitement des portes "SI" dans les arbres de
défaillances".
c Alain Pagès & Michel Gondran - Rapport de stage de fin d’études DESS "Ingénierie
"Fiabilité des systèmes". Mathématique", Qualité & Fiabilité, Université Joseph
- Collection de la Direction des Études et Recherches Fourier (Grenoble 1, 1997).
d’Électricité de France, Editions Eyrolles (1980).
c W.E. Vesely, F.F. Goldberg, N.H. Roberts,
c CEI / IEC 1025-Norme Internationale D.F. Haasl
"Fault Tree Analysis (FTA)". "Fault Tree Handbook".
- Bureau Central de la CEI, Genève, Suisse (1990). - U.S. Nuclear Regulatory Commission
(Washington, 1981).
c Yves Dutuit, Eric Chatelet, J. Dos Santos &
T. Bouhoufani c Sylvie Logacio
"Les diagrammes-blocs fonctionnels : une aide à "Etudes de sûreté des installations électriques".
la construction manuelle des arbres de défaillance. - Cahier Technique Schneider Electric, n° 184.
Systèmes sans boucles de régulation"
- Revue Européenne Diagnostic et Sûreté de c Emmanuel Cabau
Fonctionnement (Vol. 5, n° 2, pp. 181-200, 1995). "Introduction à la conception de la sûreté".
- Cahier Technique Schneider Electric, n° 144.
c Christine Bodennec, Robert Garnier,
C. Jourdain, C. Mazuet & D. Perez
"Application of Formal Methods on Safety
Assessment and Fault Tolerant Design".
- Colloque ESREL’98, 15-19 juin 1998,
Trondheim, Norvège.
Guide
8 Technique
Intersections - novembre 2004
Analyse des modes de défaillance, de leurs effets et de Défaillance complète : Défaillance résultant de déviation
leur criticité (AMDEC) : Méthode d'analyse d'un système d'une ou des caractéristiques au-delà des limites spécifiées,
qui comprend une analyse des modes de défaillance telle qu'elle entraîne une disparition complète de la fonction
et de leurs effets, complétée par une analyse de criticité requise (Norme CEI-271-1974).
des modes de défaillance. Terme anglais : "Complete Failure"
Terme anglais : "Failure Modes, Effects and Criticality
Analysis" (FMECA) Défaillance de commande : Défaillance d'une entité dont
la cause directe ou indirecte est la défaillance d'une autre
Analyse préliminaire des risques : Analyse ayant pour entité et pour laquelle cette entité a été qualifiée et
objet d'identifier et d'évaluer des risques (économiques, dimensionnée.
humains...) liés à l'utilisation d'un système, et ce de manière Terme anglais : "Command Failure"
préliminaire à l'utilisation de méthodes d'analyse plus
précises. Défaillance d'usure : Défaillance qui apparaît avec un taux
Terme anglais : "Preliminary Hazard Analysis (PHA)" ; rapidement croissant par suite de processus inhérents à
"Preliminary Risks Analysis" l'entité.
Terme anglais : "Wearout Failure"
A sûreté intégrée : Qualifie une entité qui est conçue
en vue d'éviter que ses défaillances n'entraînent des Défaillance non pertinente : Défaillance à exclure pour
conséquences critiques ou catastrophiques. On parle aussi l'interprétation ou l'évaluation d'une mesure de la sûreté de
de "sécurité intrinsèque". fonctionnement. On parle aussi de "défaillance à ne pas
Terme anglais : "Fail safe" prendre en compte" (Norme CEI-271A-1978).
Terme anglais : "Non-relevant Failure"
Composant : C'est la plus petite partie d'un système
qu'il est nécessaire et suffisant de considérer pour Défaillance par dégradation : Défaillance qui est à la fois
Guide
Technique 9
Intersections - novembre 2004
progressive et partielle (Norme CEI-271-1974). A la longue, Densité de transition : C'est la dérivée, si elle existe,
une telle défaillance peut devenir une défaillance complète de la probabilité de transition.
(Norme CEI-271-1974). Terme anglais : "Transition density"
Terme anglais : "Degradation Failure"
Disponibilité : Aptitude d'une entité à être en état
Défaillance partielle : Défaillance résultant de déviation d'accomplir une fonction requise dans des conditions
d'une ou des caractéristiques au-delà des limites spécifiées, données et à un instant donné. Le terme de "disponibilité"
mais telle qu'elle n'entraîne pas une disparition complète est aussi employé pour désigner la mesure de la disponibilité.
de la fonction requise (Norme CEI-271-1974). Terme anglais : "Availability"
Les limites sont des limites spéciales spécifiées à cette fin
(CEI-271-1974). Disponibilité (mesure de la) : Probabilité pour qu'une
Terme anglais : "Partial Failure" entité soit en état d'accomplir une fonction requise dans
des conditions données et à un instant donné. Elle est
Défaillance pertinente : Défaillance à prendre en compte généralement notée A(t) et est aussi dénommée "disponibilité
pour interpréter ou évaluer une mesure de la sûreté de instantanée".
fonctionnement. On parle aussi de "défaillance à prendre en Terme anglais : "Availability"
compte" (CEI-271A-1978).
Terme anglais : "Relevant Failure" Disponibilité asymptotique : C'est la limite, si elle existe,
de la disponibilité instantanée représentée par un modèle
Défaillance progressive : Défaillance due à une évolution mathématique, quand on fait tendre le temps vers l'infini.
dans le temps des caractéristiques d'une entité. En général, Elle est notée A(∞).
une défaillance progressive peut être prévue par un examen Terme anglais : "Steady-state availability" ; "Asymptotic
ou une surveillance antérieur. availbility"
Terme anglais : "Gradual Failure" ; "Drift Failure"
Disponibilité moyenne : C'est la moyenne de la
Défaillance de cause commune : Défaillances disponibilité instantanée sur un intervalle de temps donné
dépendantes ayant pour origine la même cause directe. [t1;t2]. Elle est notée Am(t1,t2).
Terme anglais : "Common cause Failures" Terme anglais : "Mean availability"
Défaillance de mode commun : Défaillances de cause Durée de disponibilité : Période pendant laquelle
commune se manifestant par le même mode de défaillance une entité est en état d'accomplir sa fonction requise
des entités. (Norme CEI-271A-1978).
Terme anglais : "Commun mode Failures" Terme anglais : "Up time"
Défaut : Ecart entre une caractéristique d'une entité Durée de fonctionnement : Période pendant laquelle une
et la caractéristique voulue, cet écart dépassant les limites entité accomplit sa fonction requise (Norme CEI-271A-1978).
d'acceptabilité. Terme anglais : "Operating time"
Terme anglais : "Defect"
Durée de vie utile : Période commençant à un instant
Démarche déductive : Démarche dans laquelle on raisonne donné, pendant laquelle, dans des conditions données,
du plus général au plus particulier. une entité a un taux de défaillance acceptable, ou période
Terme anglais : "Deductive approach" précédant l'apparition d'une défaillance non réparable
(Norme CEI-271-1978).
Démarche inductive : Démarche dans laquelle on raisonne Terme anglais : "Useful life"
du plus particulier au plus général.
Terme anglais : "Inductive approach" Durée d'indisponibilité : Période pendant laquelle une
entité n'est pas en état d'accomplir sa fonction requise
Densité de défaillance : C'est la limite, si elle existe, du (Norme CEI-271A-1978).
quotient de la probabilité conditionnelle pour que l'instant T Terme anglais : "Down time"
de la première défaillance d'une entité soit compris dans un
intervalle de temps donné [t;t+∆t], par la durée de l'intervalle Entité : Tout élément, composant, sous-système,
de temps, lorsque ∆t tend vers zéro, sachant que l'entité dispositif, équipement, unité fonctionnelle que
est en fonctionnement au temps t=0. Elle est notée U(t). l'on peut considérer individuellement.
Terme anglais : "Failure density" Terme anglais : "Entity" ; "Item"
Densité de probabilité : C'est la dérivée, si elle existe, Etat d'attente : Etat d'une entité disponible et
de la fonction de répartition d'une variable aléatoire. en état de non-fonctionnement pendant une période
Elle est notée f(x). requise.
Terme anglais : "Probability density function" Terme anglais : "Standby state"
Densité de réparation : C'est la limite, si elle existe, du Etat de disponibilité : Etat d'une entité caractérisée
quotient de la probabilité conditionnelle pour que l'instant T par son aptitude à accomplir une fonction requise.
d'achèvement de la réparation d'une entité soit compris Terme anglais : "Availability state"
dans un intervalle de temps donné [t;t+∆t], par la durée de
l'intervalle de temps, lorsque ∆t tend vers zéro, sachant que Etat de fonctionnement : Etat d'une entité dans lequel
l'entité est défaillante au temps t=0. Elle est notée G(t). cette entité accomplit correctement une fonction requise.
Terme anglais : "Repair density" Terme anglais : "Operating state"
Guide
10 Technique
Intersections - novembre 2004
Etat de panne : Etat d'une entité caractérisée par une des conditions données et à un instant donné. Elle est
inaptitude à accomplir une fonction requise. notée A (t). Elle est aussi dénommée "indisponibilité
Terme anglais : "Fault state" instantanée".
Terme anglais : "Unavailability" ; "Instantaneous unavailability"
Evénement catastrophique : Evénement qui occasionne la
perte d'une (ou des) fonction(s) essentielle(s) d'un système Indisponibilité asymptotique : C'est la limite, si elle existe,
en causant des dommages importants au dit système ou à de l'indisponibilité instantanée représentée par un modèle
son environnement et/ou entraîne pour l'homme la mort mathématique, quand on fait tendre le temps vers l'infini.
ou des dommages corporels. Elle est notée A (∞).
Terme anglais : "Catastrophic event" Terme anglais : "Steady-state unavailability" ; "Asymptotic
unavailability"
Evénement critique : Evénement qui occasionne la perte
d'une (ou des) fonction(s) essentielle(s) d'un système en Indisponibilité moyenne : C'est la moyenne de
causant des dommages importants au dit système ou à son l'indisponibilité instantanée sur un intervalle de temps
environnement en ne présentant toutefois qu'un risque donné [t1;t2]. Elle est notée Am (t1, t2).
négligeable de mort ou de blessure. Terme anglais : "Mean unavailability"
Terme anglais : "Critical event"
Insécurité : Aptitude d'une entité à faire apparaître, dans
Evénement indésirable : Evénement (de la vie d'une entité) des conditions données, des événements critiques ou
ne devant pas se produire ou devant se produire avec une catastrophiques.
probabilité moins élevée au regard d'objectifs de sûreté de Terme anglais : "Unsafety"
fonctionnement.
Terme anglais : "Undesirable event" Maintenabilité : Aptitude d'une entité à être maintenue ou
rétablie dans un état dans lequel elle peut accomplir une
Evénement majeur : Evénement critique ou significatif. fonction requise lorsque la maintenance est effectuée dans
Terme anglais : "Major event" des conditions données avec des procédures et des
moyens prescrits.
Fiabilité : Aptitude d'une entité à accomplir une fonction Terme anglais : "Maintainability"
requise, dans des conditions données, pendant une durée
donnée (Norme CEI-271-1974). Maintenabilité (mesure de la) : Pour une entité donnée,
Terme anglais : "Reliability" probabilité qu'une maintenance accomplie dans des
conditions données, avec des procédures et des moyens
Fiabilité (mesure de la) : Probabilité qu'une entité prescrits, soit achevée au temps t sachant que l'entité est
accomplisse une fonction requise dans des conditions défaillante au temps t = 0. Elle est notée M(t).
données, pendant une durée donnée (Norme CEI-271- Terme anglais : "Maintainability"
1974). Elle est notée R(t). On suppose en général que
l'entité est en état d'accomplir la fonction requise au Maintenance : Combinaison de toutes les actions
début de l'intervalle de temps donné. techniques et des actions administratives correspondantes,
Terme anglais : "Reliability" y compris les opérations de surveillance et de contrôle,
destinées à maintenir ou à remettre une entité dans un état
Graphe d'états : Diagramme logique montrant les états de lui permettant d'accomplir une fonction requise.
fonctionnement et de pannes d'un système, ainsi que leurs Terme anglais : "Maintenance"
transitions.
Terme anglais : "States graph" Maintenance corrective : Maintenance effectuée après la
détection de panne et destinée à remettre une entité dans
Immaintenabilité : Inaptitude d'une entité à être maintenue un état lui permettant d'accomplir une fonction requise.
ou rétablie dans un état dans lequel elle peut accomplir une Terme anglais : "Corrective maintenance"
fonction requise lorsque la maintenance est accomplie dans
des conditions données avec des procédures et des Maintenance préventive : Maintenance effectuée à
moyens prescrits. intervalles prédéterminés ou selon des critères prescrits
Terme anglais : "Unmaintainability" et destinée à réduire la probabilité de défaillance ou la
dégradation du fonctionnement d'une entité.
Inacceptable : Qualifie un événement jugé inacceptable au Terme anglais : "Preventive maintenance"
regard d'objectifs de sûreté de fonctionnement.
Terme anglais : "Unacceptable" MDT : Durée moyenne d'indisponibilité.
Terme anglais : "Mean down time"
Incident : Evénement ayant des effets ou des
conséquences critiques ou susceptible d'en avoir. Mode de défaillance : Effet par lequel une défaillance
Terme anglais : "Incident" est observée (Norme CEI-271-1974).
Terme anglais : "Failure mode"
Indisponibilité : Inaptitude d'une entité à accomplir une
fonction requise, dans des conditions données et à un Mode de fonctionnement : Effet par lequel un
instant donné. fonctionnement est observé.
Terme anglais : "Unavailability" Terme anglais : "Functional mode"
Indisponibilité (mesure de l') : Probabilité qu'une entité MTBF : Durée moyenne entre deux défaillances
ne soit pas en état d'accomplir une fonction requise, dans consécutives d'une entité réparée.
Guide
Technique 11
Intersections - novembre 2004
Terme anglais : "Mean time between failure" Réparation : Partie de la maintenance corrective pendant
laquelle des opérations sont effectuées sur l'entité.
MTTF : Durée moyenne de fonctionnement d'une entité Terme anglais : "Repair"
avant la première défaillance.
Terme anglais : "Mean time to failure" ; "Mean Time To First Risque : Mesure du danger associant une mesure de
Failure" (MTTFF) l'occurrence d'un événement indésirable et une mesure
de ses effets ou conséquences.
MTTR : Durée moyenne de réparation. Ce terme est parfois Terme anglais : "Risk"
utilisé pour désigner la durée moyenne de maintenance
corrective. Sécurité : Aptitude d'une entité à éviter de faire apparaître,
Terme anglais : "Mean time to repair" dans des conditions données, des événements critiques
ou catastrophiques.
MUT : Durée moyenne de fonctionnement après réparation. Terme anglais : "Safety"
Terme anglais : "Mean up time"
Sûreté de fonctionnement : Aptitude d'une entité à
Panne : Inaptitude d'une entité à accomplir une fonction satisfaire à une ou plusieurs fonctions requises dans des
requise. conditions données. Ce concept peut englober la
Terme anglais : "Fault" fiabilité, la disponibilité, la maintenabilité, la sécurité...
ou des combinaisons de ces aptitudes. Au sens large,
Panne intermittente : Panne d'une entité subsistant on considère la sûreté de fonctionnement comme la
pendant une durée limitée après laquelle l'entité redevient Science des Défaillances et des Pannes.
apte à accomplir une fonction requise sans avoir été Terme anglais : "Dependability"
soumise à une opération de maintenance corrective.
Terme anglais : "Intermittent fault" Taux de défaillance : C'est la limite, si elle existe, du
quotient de la probabilité conditionnelle pour que l'instant T
Panne latente : Panne qui existe, mais qui n'a pas encore d'une défaillance soit compris dans un intervalle de temps
été détectée. donné [t;t+∆t], par la durée de l'intervalle de temps, lorsque
Terme anglais : "Latent fault" ∆t tend vers zéro, en sachant que l'entité n'a pas eu de
défaillance sur [0;t]. Ce taux est noté Λ(t).
Panne permanente : Panne d'une entité qui persiste tant Terme anglais : "(Instantaneous) Failure rate"
que n'ont pas eu lieu les opérations de maintenance
corrective. Taux de défaillance asymptotique : C'est la limite,
Terme anglais : "Permanent fault" si elle existe, du taux de défaillance représenté par
un modèle mathématique lorsqu'on fait tendre le temps
Probabilité de transition : Probabilité de quitter un état du vers l'infini. Il est noté Λ(∞).
système dans l'intervalle de temps [0;t] et de passer dans Terme anglais : "Steady-state failure rate"
un autre état en une seule transition, sachant que l'on est
entré dans le premier état à l'instant t=0. Taux de réparation : C'est la limite, si elle existe,
Terme anglais : "Transition probability" ; du quotient de la probabilité conditionnelle pour que
"Transition distribution" l'instant T d'achèvement de la réparation (ou d'une
opération de maintenance) d'une entité soit compris
Processus stochastique : Ensemble de variables aléatoires dans un intervalle de temps donné [t;+∆ t], par la durée
dépendant du temps, dont les valeurs sont régies par un de l'intervalle de temps, lorsque ∆ t tend vers zéro, sachant
ensemble donné de lois de probabilité multidimensionnelles que l'entité a été en panne sur tout l'intervalle de temps [0;t].
qui correspondent à toutes les combinaisons des variables Ce taux est noté M(t).
aléatoires. Le terme de "processus aléatoire" est aussi utilisé. Terme anglais : "Repair rate (instantaneous)"
Terme anglais : "Random process"
Taux de réparation asymptotique : C'est la limite, si elle
Qualité : Aptitude d'un produit ou d'un service à satisfaire existe, du taux de réparation représenté par un modèle
les besoins des utilisateurs. mathématique lorsqu'on fait tendre le temps vers l'infini.
Terme anglais : "Quality" Il est noté M(∞).
Terme anglais : "Steady-state repair rate"
Redondance : Existence, dans une entité, de plus
d'un moyen pour accomplir une fonction requise Taux de transition : C'est la limite, si elle existe,
(Norme CEI-271-1974). du quotient de la probabilité de quitter un état du système
Terme anglais : "Redundancy" pour un autre état du système dans l'intervalle de temps
[t;t+∆t], par la durée de l'intervalle de temps, lorsque ∆t tend
Redondance active : Redondance selon laquelle tous vers zéro.
les moyens d'accomplir une fonction requise sont mis Terme anglais : "Transition rate"
en œuvre simultanément (Norme CEI-271-1974).
Terme anglais : "Active redundancy" Tolérance aux fautes : Propriété d'un système qui le rend
capable d'accomplir une fonction requise en présence de
Redondance passive : Redondance où les différents certaines défaillances ou pannes de ses composants.
moyens d'accomplir une fonction donnée ne sont pas Terme anglais : "Fault tolerance"
mis en oeuvre avant que ce ne soit nécessaire
(Norme CEI-271-194).
Terme anglais : "Standby redundancy"
Guide
12 Technique