Master 1 QSE Module: Sûreté de fonctionnement des processus et aide à la décision Code : QHSE 831 Responsable du module: Mme S.DJENDLI
Année universitaire: 2019-2020
Concepts de la sûreté de fonctionnement SdF
Aujourd'hui, la sûreté de fonctionnement fait partie des enjeux majeurs
qui intéressent les constructeurs dans les différents secteurs. L'évolution exponentielle de la technologie a fait accroitre la complexité des systèmes et elle a réduit davantage leurs coûts de conception et de fabrication. Dans cette perspective, les fabricants s'appuient sur le critère de la qualité pour se faire distinguer sur le marché. Pour cela, ils doivent maitriser les différents outils qui leurs permettent de garder leur place compétitive et doivent adopter des actions d'amélioration à tous les niveaux. Toutes ces raisons font de la sûreté de fonctionnement le moyen incontestable qui doit être maitrisé lors de la conception de tout système. Définitions
La sûreté de fonctionnement est considérée comme l'aptitude
d'une entité à assumer une ou plusieurs fonctions requises dans des conditions données. Dans cette définition, l'entité peut désigner une organisation, un système, un produit ou un moyen et la fonction du système signifie les performances fonctionnelles attendues par celui-là. Il note également que ce concept englobe principalement la fiabilité, la disponibilité, la maintenabilité et la sécurité (FDMS) mais aussi d'autres aptitudes telles que la durabilité, la testabilité... ou encore des combinaisons de ces aptitudes. Au sens large, cette notion réfère à la science des défaillances et des pannes La sûreté de fonctionnement est la propriété qui permet aux utilisateurs du système de placer une confiance justifiée dans le service qu'il leur délivre. Donc selon cette définition, La sûreté de fonctionnement traduit la confiance qu'on peut accorder à un système. Historique de la sûreté de fonctionnement 1940 -1950 : une discipline se développe 1980 : Formalisation de l'approche sous le nom de « théorie de la fiabilité », suite à la comparaison des fréquences globale de la sûreté de des pannes des avions utilisés pendant la fonctionnement dans le cadre de la deuxième guerre mondiale. Elle est conception des systèmes appliquée à l'électronique dans complexes et l'apparition de l'aéronautique, la défense et le nucléaire. plusieurs approfondissements qui se manifestent dans le 1960 - 1970 : généralisation de cette développement : des bases de approche probabiliste à d'autres composants : mécaniques, hydrauliques, données de fiabilité, des méthodes électriques, puis aux hommes, aux d'analyse et de modélisation, des logiciels... et développement de nouvelles logiciels de calculs, des logiciels de méthodes (APR, Arbres de défaillances, modélisation, etc. AMDE...) permettant de maitriser les risques. Les fondamentaux de la sûreté de fonctionnement
Quatre composantes Le terme "sûreté de fonctionnement", inventé voici quelques décénies pour englober plusieurs concepts, n’a pas d’équivalent exact en langue anglaise. la sûreté de fonctionnement regroupe quatre notions. • La fiabilité : aptitude d’un système à rester constamment opérationnel pendant une durée donnée. • La maintenabilité : c’est l’aptitude d’un système à être remis rapidement dans un état opérationnel. Ainsi les systèmes dont les composants sont très facilement démontables peuvent bénéficier d’une meilleure maintenabilité que les autres. • La disponibilité : aptitude d’un système à être opérationnel au moment où il est sollicité. C’est une notion importante pour un appareil de sécurité tel qu'un disjoncteur par exemple. Une disponibilité importante est compatible avec une fiabilité faible, pour peu que l’appareil puisse être réparé très rapidement. • La sécurité : c’est l’aptitude d’un système à ne pas connaître de pannes considérées comme catastrophiques pendant une durée donnée. On trouvera aussi l’acronyme FMDS pour désigner la sûreté de fonctionnement (comme fiabilité, maintenabilité, disponibilité et sécurité). • Quelques indicateurs • Le MDT est le temps moyen séparant la Certains indicateurs vont survenance d’une panne et la remise caractériser le en état opérationnel du système. Il se fonctionnement prévu du système, décompose en plusieurs phases : tels - durée de détection de la panne (1) ; que le MTTF, le MDT et le MUT. - durée de diagnostic de la panne (2) ; - durée d’intervention jusqu’au début • Le MTTF (Mean Time To [first] de la réparation (3) ; Failure) est l’estimation de la • - durée de la réparation (4) ; durée moyenne s’écoulant entre la mise en service du système et la - durée de remise en service du survenance de la première panne. système (5). • Le MUT est le temps moyen qui sépare une remise en service opérationnelle du système de la survenance de la panne suivante. Ces deux derniers indicateurs ne sont pertinents que dans le cas de systèmes réparables. Leur somme MUT+MDT représente le temps moyen qui sépare deux pannes consécutives du système. On le note MTBF, comme Mean Time Between Failures. Les outils utilisés
Pour l’analyse fonctionnelle, les principaux outils utilisés
sont les suivants : c • SADT (system analysis and design technique) : c’est une méthode d'analyse par niveaux successifs d'approche descriptive d'un ensemble, quel qu'il soit. On peut l’appliquer aussi bien à la gestion d'une entreprise qu'à un système automatisé. • BDF (blocs diagrammes fonctionnels) : méthode de découpage fonctionnel du système. • Méthode MISME : cette méthode considère l’ensemble des composants du système avec leurs interactions, ainsi que les milieux environnants. Pour l’analyse dysfonctionnelle, on peut recourir à : l’analyse préliminaire des risques (APR), qui fournit l’ensemble des événements redoutés prévisionnels dans toutes les phases de vie du système (de la conception au rebut, en passant par la mise en service, l’exploitation et la maintenance) ; l’AMDEC (analyse des modes de défaillance, de leurs effets et de leur criticité) : cette méthode exhaustive examine les potentialités de dysfonctionnements de chacun des éléments composant le système, à un niveau de détail choisi à l’avance. Elle permet de quantifier la probabilité d’apparition de la dite défaillance et de classer ses effets par ordre de gravité ; la combinaison de ces deux estimations fournissant la criticité de l’élément retenu. A l’issue de cette phase, et pour les éléments les plus critiques, il sera procédé à une fiabilisation, ou bien à l'adjonction d'un dispositif de réduction du risque ; • l’AEEL (analyse des effets des erreurs logicielles) : cette méthode est l’adaptation au logiciel de la méthode AMDEC décrite ci-dessus, le programme étant lui-même décomposé en parties élémentaires de taille prédéfinie. Enfin, pour modéliser le système ainsi analysé, on utilise : • Les arbres de défaillance : En partant d’un événement redouté bien identifié (dit "de tête"), on détermine les sous-événements qui peuvent conduire à l’événement de tête - soit par survenance simultanée (il est nécessaire que tous les sous- événements se réalisent pour que l’événement de tête se réalise (on parle de porte ET), - soit par survenance d'un quelconque sous-événement (porte OU). Chacun des sous-événements est lui-même décomposé ensuite de la même manière, jusqu’à obtenir des éléments suffisamment simples pour estimer directement leur probabilité d’apparition (on parle d’événements de base). En recombinant les probabilités d’apparition de tous les événements de base grâce au schéma logique de l’arbre de décomposition (algèbre booléenne/théorème de Poincaré), on en déduit la probabilité d’apparition de l’événement de tête. La syntaxe des arbres de défaillances est décrite dans la figure suivante et l’équivalence avec les diagrammes de fiabilité est donnée dans la figure 14. On utilise généralement la convention du rond pour dénoter un évènement terminal, ou une feuille. Un évènement intermédiaire sera représenté par un rectangle. • Quand un sous-arbre apparaît plusieurs fois, on peut factoriser l‘écriture en utilisant les reports symbolises par des triangles. Syntaxe des arbres de défaillance Dans le cas de la porte et, la sortie S est vraie si toutes les entrées Ei le sont.
Pour la porte ou, la sortie S est vraie si au moins une des
entrées Ei est a vrai. Dans le cas de la porte ou exclusif, la sortie S est vraie si une seule entrée est à vrai. Enfin, pour la porte k/n, S est à vrai si k évènements au moins sont à vrai sur les n. Il existe d'autres portes dont nous ne parlerons pas dans la suite. Le schéma suivant est un guide permettant l‘élaboration d'un arbre de défaillance. L'idée est de déterminer toutes les causes élémentaires qui mènent à l‘évènement redouté. Les chaînes de Markov: La Méthode de l‘Espace d'Etat (MEE) a été développée pour l'analyse de sûreté de fonctionnement de système réparable. Les arbres de défaillances, vus dans le chapitre précédent, permettent de bonnes descriptions statiques de système mais ne prennent pas en compte les reconfigurations, comme les réparations. Les premières utilisations des processus stochastiques dans les années 50 utilisaient des processus markoviens ; des généralisations ont ensuite été faites. Dans cette partie nous nous concentrons sur les processus markoviens. Andrei Markov a publié ses premiers résultats en 1906, qui ont ensuite été généralisés à un espace d‘états infini dénombrable par Andrei Kolmogorov en 1936. Construction d’un modèle • Considérons un système composé de n composants, chaque composant ayant un nombre ni d‘états de fonctionnement et de panne ; ce système est supposé réparable et chaque composant est répare après constatation de la panne. Le système est donc composé : des états de fonctionnement : un état de bon fonctionnement ou tous les composants fonctionnent, et des états où certains composants sont en panne mais le système reste fonctionnel, des états de pannes : où suffisamment de composants sont en panne pour affecter le système globale. La construction du modèle se fait en 3 étapes : 1. recensement de tous les états du système. Si chaque composant a 2 états (ok ou panne) et si le système a n composants, le nombre maximal d‘états est 2n. Au cours de la vie du système, des états de panne peuvent apparaître à la suite de défaillance ou disparaître à la suite de réparation ;
2. recensement de toutes les transitions possibles entre ces
différents états et l'identification de toutes les causes de ces transitions. Les causes des transitions sont généralement des défaillances des composants ou la réparation de composants ;
3. calcul des probabilités de se trouver dans les différents
états au cours d'une période de vie du système, calcul des temps moyens (MTTF, MTBF, MTTR . . . ) Exemple: (Composant unique) Pour un système à un composant qui n'a qu'un mode de défaillance panne, on obtient le graphe décrit ci-dessous. Initialement, on est dans l‘état ok, à tout instant le composant peut tomber en panne avec le taux de défaillance instantané puis se faire réparer avec le taux de réparation . • Exemple 2: (Deux composants) On considère un système constitué de deux composants et on suppose qu'une seule panne à la fois peut survenir. Chaque composant a trois états possibles : l‘état 0 correspond au bon fonctionnement, l‘état 1R correspond au fait que le composant est indisponible mais en cours de réparation et 1 correspond à l‘état de panne. Le graphe associé au système est la combinaison de tous ces états, par exemple 00 est le bon fonctionnement du système alors que 11 correspond à l'arrêt total. A gauche, la chaîne de Markov avec un seul réparateur qui intervient dès la détection d'une panne ; et à droite deux réparateurs sont à disposition. Les graphes des états avec deux réparateurs pour un système série à deux composants et un système en redondance active sont donnés ci-dessous:
