Vous êtes sur la page 1sur 6

Note de veille

Mécatronique

LA SÛRETE DE FONCTIONNEMENT EN
MECATRONIQUE (1/3)
LA PROBLEMATIQUE
Octobre 2008

L’intégration de l’électronique dans les systèmes industriels a apporté des


améliorations notables et indéniables. Son utilisation a permis d’implémenter
des lois de pilotage avancées pour la commande des systèmes mécaniques et
hydrauliques. L’association de ces derniers avec le système de pilotage a
donné naissance aux systèmes mécatroniques. Ces derniers cumulent les
avantages de chacune des technologies mécaniques, hydrauliques et
électroniques pour réaliser des composants et des produits mécatroniques1.
Ces systèmes sont complexes et font intervenir différentes technologies en
plus de comporter une partie logicielle. L’augmentation de la complexité des
systèmes mécatroniques n’est pas sans conséquences sur la sûreté de
fonctionnement (SdF). Les méthodes classiques de sûreté de fonctionnement
se heurtent à leurs limites face à la complexité et à la spécificité des systèmes
mécatroniques.

Cette première note de veille technologique fait le point sur le contexte et


la problématique de la sûreté de fonctionnement en mécatronique.
Une deuxième note dressera un état des lieux non exhaustif des dernières
avancées méthodologiques en matière de sûreté de fonctionnement en ce qui
concerne la modélisation et le logiciel.
Une dernière note abordera le problème du diagnostic.

OUTILS CLASSIQUES DE LA dommages consécutifs aux


SURETE DE FONCTIONNEMENT incidents,
 Identifier et hiérarchiser les points
La problématique à laquelle les faibles, les scénarios de
concepteurs sont confrontés dans la défaillances principaux, les actions
maîtrise de la sûreté de fonctionnement ayant le meilleur rapport
(SdF) consiste à : efficacité/coût pour réduire les
 Comprendre comment ça marche, risques et les parades pour limiter
comment ça tombe en panne et ce les conséquences,
qui se passe en cas d’incident,  Fournir les éléments d’aide à la
 Evaluer les probabilités des décision [1].
événements redoutés et les

1
Voir définitions dans le projet de norme française NF E 01-010 - Mécatronique - Vocabulaire.

Centre technique des industries mécaniques www.cetim.fr


L’analyse des dysfonctionnements du L’AAnalyse préliminaire des risques ou
système met en œuvre 2 types de APR est réalisée après l’analyse
raisonnements logiques et fonctionnelle et a pour but d’établir une
complémentaires basés sur : liste aussi exhaustive que possible des
 Une approche déductive : on incidents ou accidents pouvant avoir des
raisonne du général au particulier. conséquences sur la sécurité du personnel
A partir des événements redoutés ou du matériel. L’APR permet également
identifiés, les causes sont d’évaluer la gravité des conséquences
recherchées à des niveaux liées aux situations dangereuses et les
inférieurs (composants), accidents potentiels. Elle permet de mettre
en évidence les événements redoutés
 Une approche inductive : on critiques qui seront analysés en détail dans
raisonne du particulier au général. la suite de l’étude de sûreté de
fonctionnement.

L’A
Analyse des modes de défaillance, de
leurs effets et de leur criticité ou AMDEC
est une méthode d’analyse de systèmes
statiques s’appuyant sur un raisonnement
inductif pour l’étude des causes, des effets
des défaillances et de leur criticité. Cette
méthode est extrêmement répandue dans
tout ce qui a trait à la sécurité, la
Approches pour l’analyse des maintenance ou la disponibilité.
dysfonctionnements Néanmoins, elle n’est pas sans
inconvénients, en particulier au regard de
L’évaluation de la sûreté de son incapacité à prendre en compte des
fonctionnement d’un système consiste à défaillances multiples. Cette méthode
analyser les défaillances des composants considère uniquement les défaillances
pour déterminer leurs causes et estimer simples, et c’est l’arbre de défaillances qui
leurs conséquences sur le service rendu est adaptée aux défaillances multiples.
par le système. Une analyse de sûreté de L’AMDEC prend la forme d’un tableau
fonctionnement peut être qualitative et/ou dans lequel sont répertoriés les
quantitative. Au préalable à l’analyse des composants susceptibles de défaillir, leurs
défaillances d’un système, il est nécessaire modes de défaillance, les causes possibles
d’identifier toutes les fonctions que celui-ci de ces défaillances et les conséquences
doit remplir lors de sa durée de vie de sur le système, la criticité (probabilité
fonctionnement et de son stockage. Pour d’occurrence et gravité), et les actions à
cela, il faut mener une analyse entreprendre. Les AMDEC peuvent être
fonctionnelle qui précède l’étude de sûreté réalisées au niveau fonctionnel, mais
de fonctionnement. Une première analyse également au niveau structurel
fonctionnelle externe permet de définir [décomposition en composants matériels
avec précision les limites matérielles du ou logiciels (AEEL)].
système étudié, les différentes fonctions et
opérations réalisées par le système ainsi L’analyse par Arbre de défaillances ou
que les divers modes d’exploitation. AdD suit une démarche déductive. Elle
L’analyse fonctionnelle interne, qui permet permet de représenter graphiquement les
de réaliser une décomposition diverses combinaisons possibles
arborescente et hiérarchique du système d’événements qui conduisent à la
en éléments matériels et/ou fonctionnels, réalisation de l’événement redouté recensé
décrit les fonctions du système. lors de l’APR ou de l’AMDEC. La
représentation graphique d’un AdD
Parmi les méthodes classiques de sûreté possède une structure arborescente où
de fonctionnement, on peut citer l’analyse l’événement sommet représente
préliminaire des risques, l’analyse des l’événement redouté. Les niveaux
modes de défaillance, de leurs effets et de successifs forment l’arborescence
leur criticité, les arbres de défaillances et le d’événements où chaque événement est
diagramme de fiabilité [2]. définit par une condition logique sur les
événements du niveau inférieur à l’aide
d’opérateurs logiques (OR, AND, etc.).

Page 2/6
Le processus déductif est poursuivi jusqu’à L’analyse par arbre de défaillances est très
ce que les événements de base, dont on utilisée dans les études de sûreté de
connaît la probabilité d’occurrence et fonctionnement, car elle caractérise de
statistiquement indépendants, soient manière claire les liens de dépendance, du
obtenus. Le succès de cette méthode point de vue dysfonctionnement, entre les
résulte de sa simplicité conceptuelle et de composants d’un système. Néanmoins,
la possibilité de mener simultanément une cette méthode présente des limites, en
analyse qualitative (recherche des coupes particulier pour la non prise en compte de
minimales) et quantitative (calcul des l’ordre d’occurrence des événements
probabilités d’occurrence des événements menant vers l’état redouté. Or, cette notion
redoutés). d’ordre dans les événements menant vers
une défaillance est primordiale dans les
systèmes mécatroniques.

110V UPS
Hors service

OR

AND
UPS Contacteur
Converter fusible

OR OR

415 V Disjoncteur_1 415 V Disjoncteur_2


1250A 800A

Exemple d’arbre de défaillances.

L’analyse par Diagramme de fiabilité  MUT : Mean Up Time – durée


permet le calcul de la fiabilité et de la moyenne de fonctionnement après
disponibilité d’un système, avec les mêmes réparation,
restrictions qu’un arbre de défaillance et ne
prend pas en compte des événements  MDT : Mean Down Time – durée
répétés. Tous les chemins entre l’entrée et moyenne d’indisponibilité après
la sortie du diagramme décrivent les défaillance,
conditions pour que la fonction soit  MTBF : Mean Time Between
accomplie et on suppose que les Failure – durée moyenne de
composants n’ont que 2 états de fonctionnement entre 2
fonctionnement (correct, panne). défaillances.

Il existe de nombreuses mesures en sûreté


de fonctionnement, parmi lesquelles les
grandeurs suivantes qui caractérisent des
durées moyennes :
 MTTF : Mean Time To Failure –
durée moyenne de fonctionnement
d’une entité avant la première Mesures moyennes de la sûreté
défaillance, de fonctionnement [1]
 MTTR : Mean Time To Repair –
durée moyenne de réparation,

Page 3/6
Type de Type Entités Type de
Objectifs
Démarche D’évaluation de départ Résultats
Etablir une liste des
risques inhérents au
APR/APD système (éléments et
Répertoire
Analyse situations
Inductive Qualitative Eléments dangereux des situations
préliminaire dangereuses) et de
dangereuses
des risques propositions de
réduction de ces
risques.
AMDEC
Evaluer les effets de
Analyse des
chaque mode de
modes de Qualitative et Répertoire
défaillance des Modes de défaillances
défaillances, Inductive semi- des modes
composants d’un des composants
de leurs effets quantitative de défaillance
système sur ses
et de leur
différentes fonctions.
criticité

Evaluer l’influence des


HAZOP déviations, par rapport
Paramètres Répertoires
Hazrd and à leurs valeurs
Inductive Qualitative mesurables du des
operability nominales, des divers
système déviations
studies paramètres physiques
régissant le système.

Identifier les
séquences
MACQ
d’événements Qualitative et Séquences
Méthode de
inacceptables, et les Inductive semi- Evénement initiateur d’événements
l’arbre des
évaluer de manière quantitative inacceptables
conséquences
qualitative et
quantitative.

Rechercher l’ensemble
AdD des événements Coupes
Méthode de élémentaires minimales,
Déductive Mixte Evénement redouté
l’arbre des conduisant à un probabilités
défaillances événement redouté et d’occurrence
évaluer sa probabilité.

Evaluer les paramètres


MDS Coupes
de sûreté d’un
Méthode du Fonctions ou minimales et
système, à partir d’un Quantitative
diagramme de composants paramètres
diagramme
succès de sûreté
fonctionnel.

Calculer les
paramètres de sûreté
GDM
d’un système à partir Etats de
Méthode des Paramètres
d’un réseau décrivant Déductive Quantitative fonctionnement et de
graphes de de sûreté
ses états possibles et panne
Markov
les lois de passage
d’un état à l’autre.

Analyser a priori, aussi


bien qu’à posteriori, les
RDP propriétés spécifiques Etats de Etats
Réseaux de du modèle du système Déductive Quantitative fonctionnement et de identifiés du
Petri pour les panne système
fonctionnements
nominaux et dégradés.

Méthodes d’analyse de la sûreté de fonctionnement [3]

Page 4/6
POSITION DU PROBLEME POUR Ainsi, les arbres de défaillance permettent
LES SYSTEMES de représenter que des combinaisons
logiques et statiques de défaillances
MECATRONIQUES amenant le système dans un état redouté.
Il n’est donc pas possible de différencier
La sûreté de fonctionnement regroupe les scénarios où l’ordre d’apparition des
les activités d’évaluation de la fiabilité, de défaillances intervient qualitativement ou
la maintenabilité, de la disponibilité et de la quantitativement sur la nature ou la
sécurité (FMDS) d’un système. Ces probabilité des événements redoutés.
évaluations permettent d’identifier les
actions de construction ou d’amélioration Une autre limitation de ces méthodes
de la sûreté de fonctionnement du réside dans l’impossibilité de prendre en
système. Elles sont prédictives et reposent compte de manière efficace et réaliste les
sur des analyses des effets des pannes, dépendances qui caractérisent le
dysfonctionnements, erreurs d’utilisation fonctionnement des systèmes
ou agressions du système. mécatroniques (systèmes dynamiques
La sûreté de fonctionnement est un hybrides par définition). Dans de tels
ensemble de méthodes et d’outils qui, systèmes, la séquence de fonctionnement
dans toutes les phases de vie du produit, normale dangereuse résulte d’une
permettent de s’assurer que celui-ci va occurrence commune de 2 types
accomplir les missions pour lesquelles il a d’événements. Les premiers sont liés à
été conçu, et ce, avec des conditions de l’évolution déterministe des paramètres
fiabilité, de maintenabilité, de disponibilité physiques (pression, température, débit,
et de sécurité définies. niveau, etc.), alors que les seconds sont
dus aux sollicitations et aux défaillances
De nombreuses méthodes et outils des composants du système et sont donc
permettent de représenter les mécanismes de nature aléatoire.
et les interactions de défaillances d’un
système. Les modèles obtenus avec ces Les méthodes combinatoires (arbres de
méthodes sont facilement défaillance, diagrammes de fiabilité)
compréhensibles par les acteurs du projet permettent uniquement d’identifier et
et permettent d’identifier les points faibles d’évaluer les combinaisons des
pour apporter les modifications événements menant à l’occurrence d’un
nécessaires pour renforcer la sûreté de autre événement, indésirable ou pas. De
fonctionnement. Certaines de ces telles combinaisons ne tiennent pas
méthodes supportent une analyse compte de l’ordre d’occurrence des
quantitative. Toutes ces méthodes dites événements qui les composent. Elles
classiques (APR, AMDEC, Arbres de éliminent toute notion de dépendance
défaillances, etc.) ont été pendant entre ces événements. Ces méthodes
longtemps suffisantes. combinatoires présupposent une
occurrence simultanée de tous les
Face à la complexité et la spécificité des événements. Quant aux approches
systèmes mécatroniques, ces méthodes se markoviennes, elles sont limitées par
heurtent à leurs limites. Les systèmes d’autres contraintes telles que la difficulté
mécatroniques sont en interaction de modéliser des délais déterministes et
constante avec l’environnement (systèmes des processus se déroulant en parallèle.
réactifs) et réagissent en temps réel à des
événements par l’intermédiaire de capteurs L’ensemble de ces problématiques a fait et
en élaborant des opérations de contrôle- continue de faire l’objet de nombreux
commande sur le processus. Les systèmes travaux de la plupart des laboratoires de
mécatroniques peuvent avoir la recherche universitaires en collaboration
particularité d’intégrer au niveau des avec les grands donneurs d’ordres des
logiciels embarqués des stratégies secteurs de l’automobile, du transport
permettant au système de se reconfigurer ferroviaire et de l’aéronautique. Des
dynamiquement afin d’assurer une projets, au niveau national et européen tel
continuité du fonctionnement [1]. que Mov’eo et System@tic (Num@tec
Automotive) ont inscrit à leurs programmes
Les méthodes classiques de la sûreté de la thématique de sûreté de fonctionnement
fonctionnement sont statiques, c'est-à-dire des systèmes mécatroniques.
qu’elles ne prennent pas en compte la
dimension temporelle dans le modèle.

Page 5/6
POUR EN SAVOIR PLUS
[1] Définition d’une méthodologie de
conception des systèmes
mécatroniques sûrs de
fonctionnement – R. SCHOENIG –
Thèse Institut National
Polytechnique de Lorraine – Octobre
2004.
[2] Aide à la conception des systèmes
embarqués sûrs de fonctionnement –
N. SADOU – Thèse Université
Toulouse III/Paul Sabatier –
Novembre 2007.

Note de veille rédigée par Smaïn BOUAZDI – CETIM, Pôle Machines et Commandes.

Ensemble pour les entreprises de la mécanique


Contact
Mario PICCO
Département Marketing Stratégique Cetim – B.P. 80067
et Veille Technologique 60304 Senlis Cedex
Tél. : 03 44 67 34 21
Mario.picco@cetim.fr

Page 6/6