Analyse des risques des systèmes

dynamiques : préliminaires
par Jean-Pierre SIGNORET
Maître ès sciences. Ingénieur fiabiliste Total
Ancien Président de European Safety & Reliability Society (ESRA)
Animateur du groupe de travail « Recherche méthodologique » de l’IMdR-SdF

1. Notion de « Risque »............................................................................... SE 4 070 - 2

2. Démarche générale.................................................................................. — 2
3. Sécurité versus disponibilité (de production).................................. — 2
4. Méthodes et outils................................................................................... — 4
5. Systèmes dynamiques ............................................................................ — 5
Références bibliographiques ......................................................................... — 5

nalyse des risques des systèmes dynamiques : choisi pour ne comporter

A que des mots du langage courant, un tel titre ne devrait générer aucune
ambiguïté sur son objet. Cependant, dans le domaine fiabiliste, beaucoup de
termes font l’objet d’une certaine dérive sémantique qui brouille les propos à
l’insu même des interlocuteurs.
Ainsi nous aurions pu substituer Sûreté de fonctionnement (SdF) à Analyse
des risques, mais ce terme restant encore très fortement connoté sécurité, cela
n’aurait pas correspondu complètement à l’esprit de cet article où nous nous
préoccupons aussi d’aspects économiques comme la disponibilité de produc-
tion, par exemple. En effet, défini comme une grandeur à deux dimensions
(probabilité × conséquences), le risque a l’immense avantage d’appréhender,
dans le même concept, des risques de nature complètement différente et, dans
cet exposé préliminaire, nous nous efforcerons de montrer comment le corpus
de méthodes et d’outils fiabilistes développés ces cinquante dernières années
permet de faire face aux divers types de risques rencontrés.
De même, tout système industriel étant peu ou prou « dynamique », l’appel-
lation système dynamique constitue un raccourci pour désigner les méthodes
et modèles fiabilistes auxquels nous allons nous intéresser pour représenter le
comportement des systèmes étudiés. Les travaux réalisés par l’ingénieur fiabi-
liste s’inscrivent en effet dans une démarche d’analyse systématique, systé-
mique et probabiliste mettant en œuvre toute une batterie de méthodes et
d’outils que l’on peut globalement répartir en trois grandes classes :
— méthodes de base pour aborder et dégrossir les problèmes ;
— méthodes statiques pour analyser les systèmes d’un point de vue structurel
(topologique) ;
— méthodes dynamiques pour appréhender les aspects comportementaux.
Cette classification traduit une certaine gradation dans le degré d’expertise
nécessaire à la mise en œuvre des méthodes et surtout des outils qui prennent
de plus en plus l’allure de boîtes noires dont les limitations échappent souvent
à ceux qui les utilisent.

Le but de cet article introductif est de discuter rapidement des différentes classes de métho-
des et d’outils afin de mettre en lumière leurs rôles respectifs ainsi que quelques-uns des pro-
blèmes attachés à leurs limitations, puis de situer plus précisément dans cette démarche
générale les méthodes dynamiques qui feront l’objet d’articles spécifiques ultérieurs :
— processus de Markov (méthode analytique) [SE 4 071] ;
— réseaux de Petri stochastiques (simulation de Monte Carlo) [SE 4 072].

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur SE 4 070 − 1
ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES ________________________________________________________________________________________
1. Notion de « Risque »
Un des maîtres mots de l’analyse des risques est, bien entendu,
« risque ». Il fait partie de ces termes utilisés quotidiennement dans
le langage courant avec un sens plus ou moins interchangeable
avec « danger » qui, lui aussi, est aussi un des maîtres mots de
l’analyse des risques. Il en résulte que l’acception de ces concepts
reste souvent assez floue, y compris dans la tête de ceux qui les
utilisent tous les jours. Pour les différencier explicitement, la
consultation d’un dictionnaire s’impose ! Les dictionnaires moder-
nes n’étant pas d’une clarté absolue pour trouver une distinction
non équivoque nous nous retournerons vers le bon vieux Littré qui
fort heureusement nous livre la clé :
« Risque se distingue facilement de danger car il contient
moins l’idée de péril que celle de chance aléatoire, mais
considérée de son mauvais côté. »
Cette notion de risque à la fois probabiliste et pessimiste reste
étonnamment moderne. Elle est très proche de celle largement
adoptée depuis une trentaine d’années dans le domaine fiabiliste
et qui consiste à définir le risque comme une grandeur à deux
dimensions :
— probabilité (ou fréquence) d’occurrence d’un événement indé-
siré ;
— conséquences (négatives) de l’événement indésiré une fois qu’il
s’est produit.
Dans cette définition, tout comme dans celle du Littré, à part le
fait qu’elles sont négatives, aucune hypothèse n’est faite sur la
nature des conséquences envisagées.
Loin de réduire la portée du concept, cela lui confère, au
contraire, une très grande généralité et permet de réunir en une
même approche les risques mettant en jeu la sécurité tout aussi
bien que ceux procédant d’aspects plus économiques. C’est ce que
nous allons envisager ci-dessous.
2. Démarche générale
Avant d’aborder le problème spécifique des systèmes dyna-
miques, il est utile de rappeler quelle est la démarche générale
d’une étude de sûreté de fonctionnement.
Il s’agit d’un processus itératif comportant toujours plus ou
moins les mêmes différentes étapes :
1. définition précise du système à étudier ;
2. définition du but de l’étude à réaliser ;
3. analyse fonctionnelle du système ;
4. analyse dysfonctionelle : identification et hiérarchisation des
risques, modélisation ; analyse qualitative ; analyse quantitative ;
5. discussion avec les spécialistes/synthèse et décisions ;
6. résultats : spécifications ; programmes de tests ; politique de
maintenance ; évaluation du risque résiduel/pertes de production.
Les étapes 1 et 2, qui paraissent triviales, ne sont cependant pas
les plus faciles à franchir quand le système est en cours de
conception (ou est tellement ancien que les documents de
conception ont disparu) et que le client a du mal à formuler ses
préoccupations. La qualité des informations réunies à cette étape
influe sur tout le bon déroulement de la suite. C’est ici que se
décide l’orientation sécuritaire ou économique (ou les deux) de
l’étude à réaliser.
L’étape 3 est indispensable car, avant d’essayer de comprendre
comment un système tombe en panne, il faut avoir compris
comment il fonctionne ! Il peut arriver que cela soit oublié par les
analystes...
L’étape 4 est au cœur du problème. L’identification et la hiérarchi-
sation pertinente des risques est fondamentale, car elle conditionne
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 070 − 2 © Techniques de l’Ingénieur
toute la suite des travaux. Bien entendu, les risques à prendre en
compte – sécurité/économie – sont directement liés aux enjeux de
l’étude considérée et il se peut que, dans les cas les plus simples,
l’analyse s’arrête à ce niveau sans qu’il soit nécessaire d’effectuer de
développements plus approfondis. Cependant, dès que le système
étudié présente un comportement un tant soit peu complexe, il est
indispensable d’aller plus loin et de procéder à une modélisation ser-
vant de support à des analyses qui, selon le cas, pourront être pure-
ment qualitatives, semi-quantitatives ou purement quantitatives.
À l’étape 5, les résultats théoriques sont confrontés aux connais-
sances pratiques des spécialistes du terrain afin de mettre en évi-
dence les éléments qui pourraient les choquer et procéder aux
rectifications nécessaires. Cette étape peut être le point de départ
d’une nouvelle itération si elle conduit à la remise en cause de la
conception du système en cours d’analyse.
Finalement, les résultats sont produits à l’étape 6.
Cette démarche très générale convient pour tous les types de sys-
tèmes industriels, dynamiques ou pas, et tous les types d’études
sécuritaires ou pas. Les différences quant aux méthodes et outils à
mettre en œuvre se situent principalement au niveau de l’étape 4, et
c’est ce que nous allons détailler au paragraphe suivant.
3. Sécurité vs disponibilité
(de production)
Dès le tout début, il y a cinquante ans environ, le domaine de la
fiabilité a plus particulièrement privilégié la sécurité des installa-
tions industrielles et cette situation a perduré jusqu’à nos jours.
L’aspect économique lié à la rentabilité des exploitations, contre-
partie directe tout aussi importante et indispensable pour assurer
la sûreté de fonctionnement, a été beaucoup moins développé que
le précédent.
Pendant longtemps, pour ce second aspect, les fiabilistes se sont
contentés d’évaluation de disponibilité classique simple et lorsque,
il y a une dizaine d’années, la demande en études de disponibilité
de production a commencé à monter en puissance, des ingénieurs
en dehors du monde de la fiabilité se sont débrouillés pour la satis-
faire en développant des outils spécialisés pour répondre à leurs
besoins spécifiques (et dont nous ne parlerons pas dans le cadre
de cet article vu leur manque de généralité). Aidé en cela par les
normes internationales qui séparent de manière relativement
étanche sécurité et disponibilité, les deux communautés d’ingé-
nieurs tendent à mutuellement s’ignorer. De plus, le vocable sûreté
de fonctionnement, conçu à l’origine pour marier les deux aspects,
reste pour nombre d’ingénieurs cantonné à la seule sécurité alors
que le concept anglo-saxon de « Dependability » qui est censé en
être la traduction reste pour certains autres cantonné aux aspects
strictement économiques.
Cela est fort dommage car le risque, tel que défini au paragraphe
précédent ne sous-entend pas une telle scission et permet de concilier
de manière naturelle les deux aspects complémentaires sécurité/fia-
bilité d’une part et disponibilité/productivité d’autre part. Comme il
est bien connu que l’optimisation de l’un ne va pas sans la détériora-
tion de l’autre (le système le plus sûr étant celui qu’on n’arrive plus à
faire démarrer du tout à cause des sécurités installées!), il y a tout inté-
rêt à appréhender les deux aspects simultanément.
La question qui vient alors immédiatement à l’esprit est la
suivante : le corpus de méthodes et d’outils développés pendant ce
demi-siècle d’expérience fiabiliste focalisée sur le traitement des
problèmes sécurité/fiabilité convient-il aussi pour satisfaire aux
besoins relatifs aux problèmes de disponibilité/productivité et
évoqués ci-dessus ?
Un retour sur la notion de risque elle-même peut aider à répondre
à cette intéressante question car on constate que les valeurs des
_______________________________________________________________________________________
paramètres sont complètement inversées quand on passe d’un type
d’étude à l’autre :
— sécurité/fiabilité = {événements rares, fortes conséquences} ;
— disponibilité/productivité = {événements fréquents, faibles
conséquences}.
La non-sécurité est faite d’événements catastrophiques très
improbables alors que la non-disponibilité (indisponibilité) est liée
au cumul de petites conséquences d’événements très fréquents.
Cela implique immédiatement des répercussions.
■ Du point de vue calculatoire :
— les approximations de calcul liées aux événements rares ne
sont plus opératoires pour les événements fréquents ;
— la simulation de Monte Carlo, difficile à mettre en œuvre pour
les calculs liés à la sécurité, devient pertinente pour les calculs de
disponibilité.
■ Du point de vue modélisation :
— l’analyse dichotomique classique « marche/panne » ou « acci-
dent/pas accident » n’est plus suffisante et elle doit être affinée pour
prendre en compte les différents niveaux de production ;
— les passages d’un niveau de production à un autre introduisent
des comportements dynamiques dont il n’est pas possible de faire
l’économie au niveau de la modélisation.
Le but dans lequel les études sont réalisées apporte aussi des
éléments de comparaison :
— instruction d’un dossier de sécurité pour les premières ;
— fourniture d’éléments d’aide à la décision pour les secondes.
Pour les études de sécurité/fiabilité, le but est principalement de
démontrer à une autorité de sûreté extérieure que le risque est
acceptable, c’est-à-dire qu’il reste au-dessous d’un certain niveau.
Pour les études de disponibilité/productivité, le but est de prendre
la meilleure décision possible afin de ne pas engendrer d’investis-
sements inutiles pouvant mettre en péril l’économie de l’installa-
tion étudiée. Dans le premier cas, des estimations conservatives
(voir très conservatives) conviennent parfaitement à partir du
moment où le résultat est au-dessous de la barre fatidique. Dans
le second, par contre, on a besoin de résultats dits « best
estimate », c’est-à-dire au plus près de la réalité concrète.
Donc, en résumé, même si la nature des études ne diffère pas
fondamentalement, les études de disponibilité/productivité néces-
sitent une modélisation plus détaillée, des calculs plus exacts et
des données plus précises que les études de sécurité/fiabilité. Cela
a bien sûr un impact sur les méthodes et outils utilisables mais,
comme on le verra dans les articles suivants, ceux mis au point
dans le domaine fiabiliste pour appréhender les systèmes dynami-
ques (approche markovienne et réseaux de Petri stochastiques)
conviennent bien, fort heureusement, pour répondre aux besoins
évoqués ci-dessus.
4. Méthodes et outils
Après les considérations ci-dessus, il est temps de regarder
comment le corpus de méthodes et d’outils de modélisation déve-
loppé depuis une cinquantaine d’années peut satisfaire aux
besoins.
Globalement, il peut être divisé en trois catégories distinctes : les
méthodes de « base », les méthodes « statiques » et les méthodes
« dynamiques ». Il n’est pas dans notre intention de les décrire en
détail ici mais de les comparer succinctement afin de mettre en évi-
dence leurs mérites respectifs et d’attirer l’attention sur quelques
difficultés lors de leur mise en œuvre dans le contexte qui nous
intéresse ici.
■ Parmi les plus connues des méthodes de base, on peut citer :
— l’analyse « fonctionnelle » ;
— l’analyse préliminaire des risques (APR) ;
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur
ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES
— l’AMDEC (analyse des modes de défaillances, de leurs effets
et de leur criticité) [1] ;
— l’HAZOP (Hazard & Operability study ) [2] [9].
Ces méthodes de base sont souvent utilisées à un stade prélimi-
naire et sont destinées à bien comprendre comment le système
fonctionne, à identifier les risques qui lui sont attachés et à procé-
der à une première analyse globale et de haut niveau. En fonction
de la complexité plus ou moins grande du système étudié, il se
peut qu’une analyse plus détaillée ne soit pas nécessaire. La plu-
part des méthodes de base sont de nature « inductive »
(cause → effet) et ne nécessitent rien de plus qu’un crayon et les
colonnes d’un tableau pour être mises en œuvre : il n’y a pas de
modèle mathématique sous-jacent derrière ces méthodes. Pour
comprendre comment le système fonctionne et pour bien identifier
les risques, elles sont incontournables et cela quels que soient le
système étudié et la nature de l’étude réalisée.
Notons au passage que, malgré une utilisation très répandue, le
terme analyse « fonctionnelle » est ambigu car il en existe deux
acceptions différentes. La plus ancienne concerne le processus
consistant à identifier les fonctions réalisées par les différents équi-
pements d’un système et à décrire leurs interrelations. La plus
récente englobe l’ensemble des méthodes formalisées [SADT
(Structured Analysis and Design Technique ), SART (Structured Ana-
lysis-Real Time ), MERISE, APTE (militaire : Application des Techni-
ques d’Entreprise), RELIASEP (spatial)...] destinée lors de la
conception à repousser les choix matériels le plus loin possible
dans le temps en ne raisonnant que sur les fonctions virtuelles que
le système aura à réaliser. La première est seulement une méthode
d’analyse alors que la seconde constitue une philosophie de
conception. Ici c’est le premier type qui est concerné ; cependant,
comme les deux types d’analyses fonctionnelles sont de la
compétence de l’ingénieur fiabiliste, il est nécessaire de lever
l’ambiguïté quand cela s’avère nécessaire.
■ Les méthodes « statiques » les plus utilisées sont les suivantes :
— bloc diagramme de fiabilité ;
— arbre de défaillance [3] ;
— arbre d’événement [3].
Par rapport aux précédentes, ces méthodes permettent d’analy-
ser le système d’un point de vue structurel (topologique). Cela est
obtenu grâce au modèle mathématique booléen sous-jacent qui
est un modèle statique car il ne contient aucune possibilité de
modélisation des interrelations temporelles agissant au sein du
système modélisé. Pour simplifier, disons qu’il permet uniquement
de représenter la logique du système à un moment donné mais
pas du tout les changements au cours du temps. Parmi les trois
méthodes citées, il faut évoquer le cas particulier de l’arbre de
défaillance qui constitue le seul cas d’analyse déductive (effet →
cause) de la panoplie de l’ingénieur fiabiliste.
La plus grande valeur ajoutée est la génération à partir de ces
modèles des combinaisons de défaillances conduisant à la perte du
système étudié. Ces combinaisons appelées « coupes minimales »,
« impliquants premiers » ou « séquences » sont d’un grand intérêt
du point de vue qualitatif.
Très connus et très utilisés, ces modèles recèlent cependant quel-
ques difficultés qu’il convient de ne pas sous-estimer et qui, malheu-
reusement, sont le plus souvent oubliées voire inconnues des
analystes. Nous n’en citerons que quelques-unes ici pour mémoire :
— la plupart des logiciels du marché utilisent des algorithmes
approchés ;
— dès que les composants sont réparables, les calculs
deviennent approchés (surtout en ce qui concerne la fiabilité) ;
— dès que des événements complémentaires sont introduits
(exemple « panne » et « bon fonctionnement » du même compo-
sant), la structure logique devient non monotone (on dit aussi « non
cohérente »). La notion de coupe minimale devient alors caduque
et doit être remplacée par celle « d’impliquants premiers ». Cela est
particulièrement vrai pour les arbres d’événement qui sont des
structures logiques non cohérentes par construction.
SE 4 070 − 3
ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES ________________________________________________________________________________________
Pendant très longtemps, on n’a pas su réaliser de calculs exacts
sur de grandes structures logiques et on a utilisé des algorithmes
approchés et conservatifs convenant relativement bien pour traiter
les besoins liés à la sécurité de systèmes cohérents. Pour les pro-
babilités fortes et les systèmes non cohérents, le problème sub-
siste et, bizarrement, il semble actuellement occulté aussi bien par
les fournisseurs des logiciels que par leurs utilisateurs... Pourtant
depuis une dizaine d’années sont apparus de nouveaux algorith-
mes (à base de « diagrammes binaires de décision ») [8] résolvant
ces difficultés et permettant de manipuler des modèles de très
grande taille et d’obtenir des résultats exacts même dans le cas de
modèles non cohérents. Des voix commencent à s’élever et nul
doute que des changements devraient survenir à plus ou moins
court terme.
■ Les méthodes dynamiques les plus connues sont les suivantes :
— processus de Markov [4] ;
— réseaux de Petri stochastiques (RdPS) [5] [6].
Ces méthodes, auxquelles il faudrait maintenant ajouter des
modélisations par des langages formels comme le langage Alta-
Rica, ont été développées pour permettre la prise en compte des
aspects comportemental et temporel que les méthodes statiques
ne permettent pas d’appréhender correctement.
Si l’approche markovienne est analytique, l’approche par RdPS
nécessite des calculs par simulation de Monte Carlo. Ces appro-
ches sont complémentaires mais, comme elles sont décrites en
détail dans des articles spécifiques [SE 4 071] et [SE 4 072] nous ne
les développerons pas plus avant ici.
5. Systèmes dynamiques
5.1 Introduction
Depuis le début de cet article, nous utilisons le terme « systèmes
dynamiques » comme s’il allait de soi. Il devient maintenant néces-
saire de préciser un peu plus ce que sous-entend ce vocable dans
notre contexte.
Un coup d’oeil sur le dictionnaire donne :
dynamique, « qui considère les choses dans leur mouvement,
leur devenir ».
Cela convient bien à notre propos, car nous allons nous pré-
occuper ici des systèmes industriels dont les états changent au
cours du temps en fonction des aléas (défaillances, réparations,
reconfigurations, météo...) auxquels ils sont soumis.
À la réflexion, il pourrait être difficile de trouver un système
industriel qui ne soit pas dynamique ! Un simple composant
« réparable » qui passe alternativement de l’état de marche à celui
de réparation est indubitablement un système dynamique. Et
même, à la limite, un composant non réparable qui possède tout
de même deux états – marche et panne (ou il reste après y être
tombé) – est en toute rigueur « dynamique ». En fait, c’est plutôt le
type de modélisation mise en œuvre pour obtenir les résultats
recherchés qui confère un caractère statique ou dynamique : nous
nous intéressons donc plus précisément dans cet article à la modé-
lisation des caractères dynamiques des systèmes industriels.
Il est à noter cependant que, depuis quelques années, est appa-
rue une nouvelle discipline théorique dénommée « fiabilité dyna-
mique » dont le sujet est de combiner dans une modélisation
unique à la fois les processus physiques continus et les phénomè-
nes aléatoires. Bien entendu, il y a un lien avec notre propre pro-
pos mais il s’agit en quelque sorte de l’étape suivante de ce que
nous avons entrepris de décrire ici où nous nous focaliserons sur
les systèmes industriels possédant un nombre fini d’états discrets
et évoluant au cours du temps entre lesdits états.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
SE 4 070 − 4 © Techniques de l’Ingénieur
États
E1
E2
E3
E4
Temps
Figure 1 – Représentation graphique d’un processus stochastique
5.2 Processus stochastique
Un système qui évolue entre divers états de manière aléatoire
porte, en mathématique, le nom de « processus aléatoire » ou de
« processus stochastique ». Dans le domaine des probabilités les
deux termes sont synonymes et comme leur nom l’indique, il s’agit
de processus où le hasard intervient [7].
La figure 1 montre la représentation graphique d’un tel processus
stochastique où l’on voit le système sauter d’états en états au bout
de délais aléatoires au gré des défaillances, réparations, reconfigu-
rations, etc.
Dans le cas d’un système de production, chacun des états
correspond bien entendu à un niveau de production différent : la
dichotomie classique marche/panne n’est plus utilisable ici car,
entre l’état de fonctionnement parfait (production maximale) et
l’état de panne totale (production nulle), il existe de nombreux
états dégradés (production inférieure au maximum mais non nulle)
qui doivent être correctement pris en compte pour évaluer la pro-
duction du système. La notion classique de disponibilité moyenne
(temps de marche/temps total) doit céder le pas à celle plus géné-
rale de disponibilité de production (production assurée/production
maximale possible). Nous verrons plus loin que la disponibilité de
production est le prolongement naturel de la disponibilité
moyenne classique qui, de ce fait, n’est qu’un cas de disponibilité
de production.
Processus de Markov et RdPS constituent les deux modèles de
représentation les plus couramment utilisés en France par les ingé-
nieurs fiabilistes.
5.3 Typologie des systèmes
Bien que de nombreux éléments aient été développés précédem-
ment, nous allons maintenant regarder d’un peu plus près quand
l’ingénieur fiabiliste doit opter pour une modélisation par proces-
sus stochastique plutôt que pour une méthode plus simple du type
arbre de défaillance (archétype des approches booléennes) par
exemple.
Cela dépend à la fois de la nature du système lui-même, mais
aussi du type de résultats à évaluer. Deux axes déterminants
permettant d’effectuer la discrimination peuvent être dégagés :
1) les composants élémentaires indépendants les uns des autres
ou non ;
2) les composants élémentaires réparables ou non.
La plupart des méthodes mathématiques mises en œuvre dans les
calculs de probabilité postulent que les composants de base sont
indépendants. Cela signifie qu’ils évoluent indépendamment les uns
des autres et que l’état de l’un n’affecte pas du tout l’état de l’autre.
Bien entendu, cela reste très théorique et aucun système industriel
ne répond exactement à ce critère d’indépendance. En pratique, si
les interactions restent ténues, les composants sont réputés, tout au
_______________________________________________________________________________________ ANALYSE DES RISQUES DES SYSTÈMES DYNAMIQUES

moins pour les calculs, indépendants. Sinon, si les interactions sont
importantes, elles devront être modélisées explicitement.
Sauf domaine particulier (spatial, avion en vol...), les composants
sont en général réparables (remplaçables, reconfigurables...). Il en
résulte que les systèmes industriels sont pratiquement toujours
dynamiques quelque part. Cependant, en régime permanent, un
certain équilibre peut être atteint qui permet de les assimiler à des
systèmes statiques.
Exemple : un composant réparable de taux de défaillance λ et de
taux de réparation µ atteint rapidement un équilibre où son indisponibi-
lité moyenne devient constante et égale à λ/µ. Le processus
défaillance/réparation est clairement dynamique mais celui correspon-
dant à l’indisponibilité moyenne asymptotique est tout aussi clairement
statique puisqu’elle ne change plus au cours du temps.
Pour les études classiques, le croisement de ces deux critères
conduit au tableau 1.
(0)
Comme on l’a déjà dit, la plus grande partie des études réalisées
correspondent à des systèmes de sécurité possédant les caractéris-
tiques suivantes :
— probabilité de défaillances faibles ;
— priorité pour les réparations.
La première de ces caractéristiques est intéressante du point de
vue mathématique, car elle implique que les approximations habi-
tuelles marchent bien. La seconde diminue l’interdépendance des
composants vis-à-vis de la maintenance. La très faible probabilité
d’avoir plusieurs défaillances liées à la sécurité en même temps
alliée à la priorité pour les réparations font que tout se passe
comme si chaque composant avait une équipe de maintenance
attitrée. L’interdépendance liée à un nombre limité de réparateurs
est donc assez ténue pour ce genre de système qui constitue le cas
idéal (configuration no 2) où les approximations des arbres de
défaillances marchent parfaitement bien pour les calculs de dispo-
nibilité moyenne. C’est ce qui explique que ceux-ci sont utilisés
avec succès et depuis longtemps à cet usage.

Pour les calculs de fiabilité proprement dits, la situation est

moins idéale car, mathématiquement, les composants ne sont
Tableau 1 – Typologie des systèmes réparables que pour autant que leur défaillance n’entraîne pas la
panne globale du système. Cela introduit une interrelation entre
Arbre tous les composants du système concerné, interrelation que l’arbre
Configu- Composants Composants Processus de défaillance ne sait prendre en compte que de manière appro-
de
ration indépendants réparables stochastique chée et dans des cas très particuliers.
défaillance
Pour les configurations 3 et 4, l’utilisation sans discernement des
Calculs Marteau approches booléennes risque de conduire à des déboires. La
1 Oui Non exacts pilon
variété des dépendances entre composants est infinie et il est
Calculs d’une nécessité primordiale de distinguer celles qui peuvent être
2 Oui Oui Utile prises en compte correctement de celles qui ne le peuvent pas
approchés
selon le processus stochastique utilisé.
3 Non Non Résultats Indispensable
douteux Bien entendu, pour les études de disponibilité de production, la
présence de divers niveaux de production rend pratiquement
4 Non Oui Résultats Indispensable inopérante l’approche booléenne et oblige à utiliser les processus
douteux stochastiques dans tous les cas.

Références bibliographiques

Dans les Techniques de l’Ingénieur
[1] RIDOUX (M.). – AMDEC – Moyen AG 4 220.
Traité l’Entreprise industrielle (2002).
[2] VÉROT (Y.). – Démarche générale de maîtrise
du risque dans les industries de procédé
AG 4 605. Traité Sécurité et gestion des ris-
ques (2001).
[3] MORTUREUX (Y.). – Arbres de défaillance,
des causes et événements SE 4 050. Traité
Sécurité et gestion des risques (2002).
[4] SOIZE (C.). – Problèmes classiques de dyna-
miques stochastiques : méthodes d’études
A 1 346. Traité Sciences fondamentales
(1988).
[5] LADET (P.). – Réseaux de Petri R 7 252. Traité
Informatique industrielle (1989).
[6] RICHARD (P.) et HARO (C.). – Application des
réseaux de Petri S 7 254. Traité Informatique
industrielle (2001).
[7] MÉLÉARD (S.). – Probabilités – Présentation
AF 165 et Probabilité Concepts fondamen-
taux AF 166. Traité Sciences fondamentales
(2001).
[8] NIEL (E.) et CRAYE (E.). – Maîtrise des risques
et sûreté de fonctionnement des systèmes
de production. IC2 Productique. Hermes/
Lavoisier (2002).
[9] ROYER (M.). – Hozop, méthode d’analyse des
risques SE 4 030. Traité Sécurité et gestion
des risques (2005).

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur SE 4 070 − 5