Fiabilité –Maintenabilité - Disponibilité

Chapitre1

Cours de Contrôle et Fiabilité

___________________________________________________________________________

Introduction La Sûreté de Fonctionnement (SdF) Les Principales Composantes de la SdF (Fiabilité, Disponibilité, Maintenabilité, Sécurité) Notion de Défaillance

CHAPITRE 1 : PRINCIPAUX CONCEPTS

1. INTRODUCTION Les activités industrielles et humaines sont presque quotidiennement sujet d’incidents, d’accidents ou d’événements catastrophiques. Le zéro défaut ou le risque zéro n’existe pas pour les activités industrielles à cause de l’occurrence de défaillances humaines ou matérielles. Pour tenter de réduire les risques à un niveau le plus faible possible, des méthodes, des techniques et des outils scientifiques ont été développés des le début du 20° siècle pour : - Évaluer les risques potentiels potentiels ; - Prévoir l’occurrence des défaillances défaillances ; - Tenter de minimiser les conséquences des situations catastrophiques lorsqu’elles se produisent. L’ensemble de ces développements méthodologiques à caractère scientifique représente la discipline de la sûreté de fonctionnement. ___________________________________________________________________________ ENIT 2A GI

1

Dr. K. Bourouni

Chapitre1

Principaux concepts de la sûreté de fonctionnement

___________________________________________________________________________

2. LA SURETE DE FONCTIONNEMENT FONCTIONNEMENT (SdF) 2.1. Les enjeux de la sûreté de fonctionnement La sûreté de fonctionnement (SdF) consiste à connaître, évaluer, maîtriser, prévoir et mesurer les défaillances technologiques et les défaillances humaines. La sûreté de fonctionnement d’un système est son aptitude (état) à délivrer le service garanti. La figure 1.1. illustre le rôle de la SdF.

BESOIN SYSTEME

FONCTIONNALITES

SERVICE SPECIFIE e i c v r e S e d s n o i t c n o e s F n c

SdF

s o o n e s c t i q u n F o c h n i q T e e i c v r e S e d s n n i o o t i t c t e n c o o r F p

d e s n i o t n c o F

F o n c t i o n s d e S e r v i c e D é f a i l l a n c e s

l a l i a é f D

T N E M E N N O R I V N E

CONCEPTION (FABRICATION)

SERVICE GARANTI (DELIVRE)

EXPLOITATION

UTILISATEUR

Figure 1.1. Les enjeux de la sûreté de fonctionnement

___________________________________________________________________________ ENIT 2A GI

2

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

La SdF recouvre l’ensemble des méthodes, outils et techniques ayant pour but : - l’analyse (modélisation) - l’évaluation (mesure) - l’amélioration (protection) du comportement du système en terme de service délivré compte tenu de défaillances potentielles.

2.2. Évolution de la discipline La SdF est appelée la science des « défaillances ». D’autres désignations existent suivant les domaines d’applications : analyse de risque (milieu pétrolier), aléatique, cynindique (science du danger), FMDS ( Fiabilité, Maintenabilité, Disponibilité et Sécurité) en anglais RAMS (Reliability, Availability, Maintainability, Maintainability, and Safety). Elle se caractérise à la fois par les études structurelles statiques et dynamiques des systèmes, du point de vue prévisionnel mais aussi opérationnel et expérimental (essais, accidents), en tenant compte des aspects probabilités et des conséquences induites par les défaillances techniques et humaines. Cette discipline intervient non seulement au niveau des systèmes déjà construis mais aussi au niveau conceptuel pour la réalisation des systèmes. La SdF s’est développée principalement au cours du 20° siècle pour être actuellement un domaine incontournable pour les «industries à risques» (nucléaires, aéronautiques, etc.) mais aussi, de plus en plus, pour toute l’industrie, en raison r aison de sa corrélation avec la notion de qualité , les problèmes ergonomiques (relation homme-machine) homme-machine) et l’impact sur l’environnement.

2.3. Missions et fonctions Une étude de la SdF passe nécessairement par une analyse exhaustive des différentes phases de fonctionnement faisant appel à des termes précis tels que missions et fonctions assurées par un bien. 2.3.1. Missions : Le profil de la mission d’une entité se décompose en plusieurs phases distinctes distinctes dans lesquelles il est indispensable pour chacune d’entre elles de disposer d’un ensemble de fonctions bien définies. L’une des missions de la navette spatiale américaine est de mettre en orbite des satellites. Les phases de la mission qui doivent ___________________________________________________________________________ ENIT 2A GI

3

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

être réalisées par la navette une fois mise en orbite sont représentées sur la figure 1.2. MISSION

Larguer un satellite

et PHASES

Navigation

Manoeuvrer le bras

Fonction 1

Fonction 2

Larguer le satellite

Vol de l’entrée

Fonction 3

Fonction N

ou

manuelle

automatique

Figure 1.2. : phases de la mission de la navette spatiale pour le lancement d’un satellite

2.3.2. Fonctions L’AFNOR définit une fonction comme «l’action d’une entité ou de ses constituants exprimée en termes de finalité ». Pour des systèmes plus complexes, il est indispensable de classer et de hiérarchiser la nature des fonctions : Fonctions Principales : la raison raison d’être d’un bien ou d’un système défini souvent avec ses caractéristiques associées (durée, caractéristiques physiques, chimiques, …) . Fonctions Secondaires : dans de nombreux cas, un système assure d’autres fonctions que la fonction principale. La perte de ces fonctions peut également avoir des conséquences catastrophiques. Fonctions de Protection : ces fonctions ont pour but de garantir la sécurité des biens, des personnes et de l’environnement. Fonctions Redondantes : dans les secteurs aéronautiques, nucléaires et spatiaux ont trouvent des systèmes ou matériels redondants (doublés, triplets ou quadruplés) pour assurer le niveau requis de sécurité ou de sûreté. Ces systèmes redondants peuvent fonctionner en permanence (redondance active) ou être en attente (redondance passive). ___________________________________________________________________________ ENIT 2A GI

4

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

2.4. Avant Projet Avant toute mise en œuvre d’une analyse de SdF, il est nécessaire d’identifier les caractéristiques des systèmes et des composants : - Les fonctions du système en distinguant les missions principales et secondaires et leurs importances relatives ; - La structure du système en analysant les liens entre systèmes et composants ; - Les modes de fonctionnement des systèmes et les caractéristiques des composants ; - Les conditions d’exploitation du système ; - L’environnement du système pour connaître ses délimitations et l’influence des facteurs extérieurs ; - L’inventaire des moyens de mesures .

2.5. Description des procédés industriels Au sens très large : Un processus assure la fabrication d’un produit ou fournit un service. Conceptuellement : On appellera processus industriel, une installation complexe assumant un objectif fonctionnel de haut niveau (production de biens ou de services). Pour assurer ces objectifs fonctionnels, le processus fait appel à un ensemble de systèmes interconnectés ou en interaction. Chaque système assure une ou plusieurs fonctions bien définie(s). 2.5.1. Description générale Les termes suivants sont souvent employés pour la description générale d’un procédé industriel

* Bien durable Tout élément, composant, équipement, sous système, système matériel de processus, etc. , que l’on peut considérer individuellement et qui a pour objectif d’assurer une fonction donnée pendant un temps relativement long, compte tenu de la qualité des opérations opérations de maintenance. maintenance. Un bien durable durable peut être relativement relativement simple (machine à laver) ou complexe (avion, centrale nucléaire, ouvrage d’art, etc.)

___________________________________________________________________________ ENIT 2A GI

5

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

* Élément Partie constitutive d’un ensemble ou sous-ensemble quelles qu’en soient la nature ou la dimension. Exemple : tuyère d’un propulseur * Sous-ensemble Groupement d’éléments associés en fonctionnement entrant dans la constitution d’un ensemble Exemple : Propulseur d’une fusée * Ensemble : Groupement de sous-ensembles assurant une ou plusieurs fonctions techniques qui le rendent apte à remplir une fonction opérationnelle. Exemple : Les propulseurs d’une fusée permettent le lancement en orbite d’un satellite (fonction opérationnelle) ; les fonctions techniques consistent à réaliser la poussée nécessaire. 2.5.2. Description fonctionnelle Une description fonctionnelle se présente généralement sous la forme d’une arborescence hiérarchisée à plusieurs niveaux (figure 1.3). MACHINE À LAVER Fonction : laver et LA VAISSELLE sécher la vaisselle

CIRCUIT DE LAVAGE

CIRCUIT DE CHAUFFAGE

Alimentation électrique

CIRCUIT DE SECHAGE

Pompage de l’eau

1er niveau

CIRCUIT DE VIDANGE

2ème niveau

Motorisation de la pompe

Evacuation 3ème niveau de l’eau

Figure 1.3. : Description fonctionnelle d’une machine à laver la vaisselle

___________________________________________________________________________ ENIT 2A GI

6

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

Des méthodes issues des techniques de l’analyse de la valeur et de l’analyse fonctionnelle sont utilisables pour décrire les phases de conception et l’exploitation d’un système industriel (méthodes FAST, RELIASEP, APTE, SADT, etc.) Trois termes principaux sont largement utilisés pour décrire fonctionnellement une installation industrielle complexe: les systèmes, les sous-systèmes et les composants. * Système C’est l’association de sous-systèmes constituant un tout organique complexe, destiné à remplir une fonction générale d’un bien durable complexe (figure 1.4). Il faut aussi noter que la définition indique que le système n’est pas simplement égal à la somme de ses sous-systèmes ou, de ses composants. En outre, si la nature physique d’un sous-système ou d’un composant est modifiée à la suite d’une défaillance, le système est lui-même modifié. C’est ainsi qu’en toute rigueur un système dans lequel un élément est défaillant devient un nouveau système différent du précédent. Environnement Limites extérieures Système élémentaire S2 Sous-Système

C B A

D

Système élémentaire S1

E

Composant

F

Interface Système élémentaire S3

Figure 1.4 : Représentation d’un système

___________________________________________________________________________ ENIT 2A GI

7

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

Exemple : le système de propulsion d’un avion quadriréacteur comporte les 4 réacteurs et sa fonction est de propulser l’avion. Un système est caractérisé par : - Le choix d’une limite de résolution définissant les composants considérés ; ceci fixera le niveau de détail de l’analyse qui sera effectuée sur le système. Les frontières entre les divers systèmes élémentaires seront dénommées « interfaces » - Le choix des limites extérieures et de l’environnement du système ; les limites extérieures enveloppent l’ensemble des systèmes en interaction avec le système étudié et sont déterminantes pour la compréhension du système et de ses fonctions.

* Sous-système Le sous-système représente une association de composants destinée à remplir une ou plusieurs fonctions opérationnelles Exemple : un réacteur d’un quadriréacteur remplit une partie de la fonction de propulsion durant le décollage et pendant le vol. Il assure par inversion de poussée la fonction de freinage et d’atterrissage. * Composants Le composant représente un élément matériel ou un ensemble matériel remplissant une fonction particulière dans un système ou sous-système. Exemple : le compresseur d’un réacteur d’avion est un composant qui comprime l’air avant son injection dans les chambres de combustion Dans la suite de ce cours, on utilisera les termes suivants : (PIECE)

⊂ (COMPOSANT) ⊂ (SOUS-SYSTEME) ⊂ (SYSTEME

ELEMENTAIRE)

⊂ (SYSTEME)

2.5.3. Description matérielle Une description matérielle d’un processus ou d’un équipement fournit essentiellement tous ses éléments constitutifs sans se préoccuper de leurs fonctions (la nomenclature). Cette décomposition matérielle comprend des descripteurs matériels tels que pièces, organes, mécanismes, dispositifs, matériels et installations qui vont du plus petit élément (pièce) au plus important (installation).

___________________________________________________________________________ ENIT 2A GI

8

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

3. LES PRINCIPALES COMPOSANTES DE LA SURETE DE FONCTIONNEMENT 3.1. La fiabilité 3.1.1. Définitions * Au sens commun C’est la confiance de l’usager dans le matériel qui l’utilise

* Au sens large C’est l’analyse des défaillances, fiabilité opérationnelle, banques de données de fiabilité, essais de fiabilité, assurance de la fiabilité et de la qualité. * Au sens strict «C’est l’aptitude d’une entité à accomplir une fonction requise, dans des conditions données, pendant une durée donnée» . * Au sens mathématique La fiabilité est généralement mesurée par la probabilité qu’une entité E accomplisse une fonction requise, dans des conditions données, pendant l’intervalle de temps [0, t] : R(t) = P[E non défaillante sur [0, t]] (1.1) L’aptitude contraire sera dénommée « défiabilité » ; sa mesure est notée : R(t) = 1 – R(t)

(1.2)

3.1.2. Types de fiabilité * Fiabilité opérationnelle Elle résulte de l’observation et de l’analyse du comportement d’entités identiques dans des conditions opérationnelles.

* Fiabilité Prévisionnelle Elle estime une fiabilité future à partir de considérations sur la conception du système et la fiabilité de ses composants. ___________________________________________________________________________ ENIT 2A GI

9

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

Fiabilité opérationnelle

Effets des actions de maintenance préventive

Nouvelle Fiabilité Opérationnelle

Zone d’activité de la MBF Limite acceptable Domaine de Défaillance t0

t1

Temps

Figure 1.5 : Evolution de la fiabilité opérationnelle pendant la durée de vie

* Fiabilité extrapolée Elle est déduite de la fiabilité opérationnelle par extrapolation ou interpolation pour des conditions ou des durées différentes * Fiabilité intrinsèque C’est la fiabilité maximale que l’on peut atteindre d’un matériel quand il fait l’objet d’une maintenance préventive efficace : c’est une valeur inhérente à sa conception. 3.1.3. Qualité et Fiabilité Selon la norme AFNOR la qualité est définie comme : « L’aptitude d’un produit ou d’un service à satisfaire les besoins des utilisateurs ».

En toute rigueur la qualité d’un produit est caractérisée, non seulement par sa conformité aux spécifications qui la définissent, mais encore par son aptitude à rester conforme à ses spécifications pendant sa durée de vie. L’une des caractéristiques fondamentales d’un produit qui concourt alors à la qualité est sa fiabilité, c’est-àdire son aptitude à conserver ses caractéristiques d’origine. Cependant, un usage assez répandu désigne par qualité la conformité du produit à sa spécification à la sortie d’usine ; la fiabilité est alors son aptitude à y demeurer conforme au cours de la période d’utilisation. La fiabilité devient alors une extension de la qualité dans le temps.

___________________________________________________________________________ ENIT 2A GI

10

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

3.2. La disponibilité C’est l’aptitude d’une entité à être en état d’accomplir une fonction requise dans des conditions données et à un instant donné. La disponibilité est généralement mesurée par la probabilité qu’une entité E soit en état d’accomplir une fonction requise dans des conditions données et à un instant t donné : A(t) = P[E non défaillante à l’instant t] (1.3) L’aptitude contraire sera dénommée « indisponibilité » ; sa mesure est notée A(t) : A(t) = 1 – A(t)

(1.4)

3.3. La maintenabilité C’est l’aptitude d’une entité à être maintenue ou rétablie, sur un intervalle de temps donné, dans un état dans lequel elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données avec des procédures et des moyens prescrits. La maintenabilité est généralement mesurée par la probabilité que la maintenance d’une entité (E) accomplie dans des conditions données, avec des procédures et des moyens prescrits, soit achevée au temps t, sachant que l’entité est défaillante au temps t = 0 ; M(t) = P [E est réparée sur [0,t]] ou M(t) = P [la maintenance de E est achevée au temps t] = 1 - P [ E non réparée sur la durée [0,t] ]

(1.5)

L’aptitude contraire sera dénommée « immaintenabilité » ; sa mesure est notée M(t) : M(t) = 1 – M(t) (1.6) Cette notion ne concerne que les systèmes réparables. En d’autres termes, la maintenabilité caractérise l’aptitude d’un système à reprendre l’accomplissement de sa fonction (ou de ses fonctions) après une défaillance. ___________________________________________________________________________ ENIT 2A GI

11

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

De nombreux concepts liés à celui de maintenabilité on été définis ; Exemples: réparation, maintenance préventive (corrective maintenance programmée ou non programmée.

différée),

3.3.1. Assurance de la maintenabilité

Pour assurer une bonne maintenabilité

Il faut intervenir tout au long du cycle de vie :

Il faut intégrer les concepts suivants :

- à la conception

- Standardisation - Modularité - Accessibilité - Interchangeabilité - Testabilité - Démontrabilité - Documentation

- à la réalisation

- à l’utilisation

* Facilité la réalisation des opérations de maintenance * Maximiser la probabilité de réparation du matériel

Figure 1.6 : Assurance de la maintenabilité

3.3.2. Autres concepts relatifs à la maintenabilité * Surveillabilité : C’est un indicateur quantitatif servant à caractériser les moyens mis en œuvre pour permettre de détecter rapidement une défaillance d’après ses symptômes externes. Elle peut ainsi être considérée comme des facettes de la maintenance conditionnelle – prévisionnelle. * Vulnérabilité : C’est un indicateur utilisé pour identifier si des composants des matériels sont ___________________________________________________________________________ ENIT 2A GI

12

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

susceptibles d’être endommagés par des agressions externes telles que collisions avec des engins de manutention, fuites de liquides ou de gaz en provenance de matériels situés à proximité, inondations, etc. Pour éviter la vulnérabilité des composants, il est possible de faire appel à des dispositifs de protection tels que capots, blindages, etc. * Survivabilité : Elle peut se définir comme la capacité d’une entité à remplir sa ou ses fonction(s) avec des caractéristiques normales en présence de la perte de certains de ses composants à suite d’agression externes.

3.4. La sécurité C’est l’aptitude d’une entité à éviter de faire apparaître, dans des conditions données, des événements critiques ou catastrophiques. La sécurité est généralement mesurée par la probabilité qu’une entité E évite de faire apparaître, dans des conditions données, des événements critiques ou catastrophiques. L’aptitude contraire sera dénommée « insécurité ». La sécurité est actuellement encore limitée dans le milieu industriel et est effectuée dans : - les installations chimiques, - les centrales nucléaires, - les plates formes pétrolières et l’aéronautique. 3.4.1. Evaluation de la sécurité Les études de sécurité visent essentiellement à évaluer les probabilités de l’occurrence d’un événement indésirable en prenant en compte dès la conception tous les facteurs initiateurs : * Facteurs techniques Matériels et produits manipulés (incluant les problèmes de conception, de fabrication, d’assurance qualité, de conduite et de maintenance), * Facteurs humains : Qualité de la formation, ergonomie, procédure * Facteurs environnementaux : risques de la formation, milieux ambiants (poussières, gaz, électricité statique, etc.)

___________________________________________________________________________ ENIT 2A GI

13

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

3.5. Relation entre fiabilité, maintenabilité, disponibilité et sécurité Politique de Maintenance

Maintenabilité

Logisti que de Maintenance

Fiabilité

Disponibilité Prévisionnelle

Disponibilité Opérationnelle

Sécurité

Sûreté de Fonctionnement Figure 1.7 : Relation entre fiabilité, maintenabilité, disponibilité et sécurité

3.6. La SdF : une composante de la performance industrielle La SdF est une composante de la performance industrielle. En effet, l’obtention de la performance industrielle passe par : - la qualité des produits et des services : c’est le zéro défaut - la disponibilité et la performance des matériels de production : c’est le zéro panne, - la maîtrise de production : c’est le zéro délai - la prise en compte des conditions de travail et de sécurité : c’est le zéro accident Les actions à engager dans les trois domaines de la qualité, de la maintenance et de la sécurité sont complémentaires et interdépendantes. ___________________________________________________________________________ ENIT 2A GI

14

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

QUALITE I T

P

0

I T

Défaut Panne Accident Délai

SECURITE

P

MAINTENANCE

MI MA

MA MI

Figure 1.8. : Sécurité, Qualité, Maintenance des démarches complémentaires

- La qualité traite plutôt des relations (I), des tâches (T), des produits et procédés (P) - La SdF traite plutôt des hommes (I), des tâches (T) des matériels (MA) et un milieu (MI); - la maintenance traite plutôt des matériels (MA), du milieu (MI) et des procédés (P).

4. NOTION DE DEFAILLANCE 4.1. Définition de la défaillance C’est la « cessation de l’aptitude d’une entité à accomplir une fonction requise ». Ainsi, on peut dire qu’il y a défaillance chaque fois que le service délivré est différent du service spécifié. Défaillance ≡ Serice délivré – Service spécifié

On dira qu’une entité connaît une défaillance lorsqu’elle n’est plus en mesure de remplir sa (ou ses) fonction(s). On distingue : ___________________________________________________________________________ ENIT 2A GI

15

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

4.1.1. La défaillance fonctionnelle C’est «l’altération ou la cessation de l’aptitude d’un ensemble ou d’un matériel à accomplir sa ou (ses) fonction(s) avec les performances définies dans les spécifications techniques». 4.1.2. La défaillance potentielle : C’est une condition physique identifiable qui indique qu’une défaillance fonctionnelle est imminente. Ce concept est à la base des techniques modernes de maintenance (conditionnelle ou prévisionnelle) 4.1.3. Dégradation Une dégradation est l’état d’une entité présentant une perte de performance d’une des fonctions assurées par l’entité. Si les performances sont au-dessous du seuil d’arrêt défini dans les spécifications fonctionnelles, il n’y a plus dégradation mais défaillance (figure 1.5). Paramètre de fonctionnement Initiation de la défaillance

Valeur initiale DEGRADATION SEUIL DE DEFAILLANCE DEFAILLANCE t1

t2

temps

Figure 1.9. : Défaillance et dégradation

4.2. Les causes d’une défaillance «Ce sont les circonstances liées à la conception, la fabrication ou l’emploi et qui entraînent la défaillance» (figure 1.6)

___________________________________________________________________________ ENIT 2A GI

16

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

La défaillance du matériel peut résulter

d’une dégradation physique naturelle ou accidentelle

d’un environnement défavorable (parasite technique ou mauvaise intervention humaine à la conception ou a l’exploitation)

DEFAUT

Etat physique du système ou de son environnement

DEFAUT

PANNE

Effet fonctionnel local (interne)

PANNE

ERREUR

Effet fonctionnel observable (externe)

ERREUR

Figure 1.10. : Les causes d’une défaillance

Exemples : Causes internes au matériel : Vieillissement Causes liées au milieu, à l’exploitation et à l’environnement : Poussière, chocs, vibrations, échauffement local, etc. Causes liées à la main d’œuvre et aux outils : fabrication, montage, contrôle, manque énergie, utilisation, outils

4.3. Effet d’une défaillance «C’est l’ensemble des modifications de toute nature qui se produisent après l’occurrence de la seule défaillance»

___________________________________________________________________________ ENIT 2A GI

17

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

4.4. Modes de défaillance « Un mode de défaillance est l’effet par lequel une défaillance est observée » Ainsi à chaque défaillance d’un composant, on associe des modes de défaillance et des causes de défaillance ; les modes de défaillance dont générés par les causes de défaillance. Un mode de défaillance représente l’effet (ou les effets) par lequel se manifeste la cause de défaillance. Les principales modes de défaillance sont illustrées sur la figure 1.6. réel

prévu

Perte de la fonction

Fonctionnement intempestif

Refus de s’arrêter

Refus de démarrer

Fonctionnement dégradé

Figure 1.11. : Les modes de défaillance générique

___________________________________________________________________________ ENIT 2A GI

18

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

4.5. Les coûts d’une défaillance La répartition des coûts de la défaillance est illustrée sur la figure 1.7. Dommages corporels

Impacts juridiques Contentieux Assurances Pénalités Primes Frais de justice Procédures Avocats Amendes

Soins médicaux Assurance vie Arrêt de travail Incapacité Premiers secours Rentes et indemnités

Impacts commerciaux Image de marque Prix de vente Reconception Part de marché Publicité Marketing Risques de Boycottage

Impacts sur la production

Coûts de la défaillance

Coûts matériels directs Réparation des matériels Surveillance Dégâts secondaires Instrumentation Main d’oeuvre Dépollution

Manque à gagner Perte de production Perte de qualité Chômage technique Coûts des stocks Pertes de résultats Coûts secondaires

Expertise avarie Reconception Déplacements Réunions Transport et séjours Frais consultants

Impacts sur l’environnement Dépollution Démantèlement Requalification vis à vis des réglementations Adaptation aux normes nouvelles en matière d’environnement

Coût à long terme

Formation personnel Embauche de personnel Procédure de sécurité Certification des personnes

Figure 1.12. : Répartition des coûts des défaillances

___________________________________________________________________________ ENIT 2A GI

19

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

4.6. Classification des défaillances Afin de préciser cette notion de défaillance, on réalise plusieurs classifications des défaillances. 4.6.1. Classification en fonction de la rapidité de leur manifestation

* Défaillance progressive : Défaillance due à une évolution dans le temps des caractéristiques d’une entité. En général, une telle défaillance peut être prévue par un examen ou une surveillance antérieurs. * Défaillance soudaine : Défaillance qui ne se manifeste pas par une perte progressive des performances et qui n’aurait pas pu être prévue par un examen ou une surveillance antérieurs (figure 1.8)

Paramètre de fonctionnement


Normal Seuil


Normal Seuil

Normal Seuil

Défaillance

Défaillance

Défaillance

Temps

Temps

Temps

Défaillance progressive

Défaillance aléatoire

Défaillance soudaine

Figure 1.13. : Classification des défaillances en fonction de la rapidité de leur manifestation

4.6.2. Classification en fonction de leur amplitude

* Défaillance partielle : Défaillance résultant de déviation d’une ou des caractéristiques au-delà des limites spécifiées, mais telle qu’elle n’entraîne pas une disparition complète de la fonction requise.

___________________________________________________________________________ ENIT 2A GI

20

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

* Défaillance Complète : Défaillance résultant de déviation d’une ou des caractéristiques au-delà des limites spécifiées, telle qu’elle entraîne une disparition complète de la fonction requise. 4.6.3. Classification en fonction de la rapidité de leur manifestation et de leur amplitude * Défaillance catalectique : Défaillance qui est à la fois soudaine et complète

* Défaillance par dégradation : Défaillance qui est à la fois progressive et partielle 4.6.4. Classification en fonction de leur date d’apparition dans la vie du système * Le taux de défaillance Le taux de défaillance d’une entité E est défini par : λ(t)

= lim ∆t → 0

1 E est défaillante entre t et t + ∆t sachant P qu'elle n'a pas eu de défaillance sur [0,t] ∆t

(1.7)

Ce taux de défaillance varie suivant la courbe illustrée à figure 1.9, appelée courbe en baignoire. Nous pouvons distinguer trois périodes de la vie d’un système : jeunesse (λ(t) décroissante), vie opérationnelle (λ(t) constante), et vieillissement (λ(t) croissante).

R(t)

Jeunesse

Vie opérationnelle

Vieillissement Temps

Figure 1.14. : Variation du taux de défaillance en fonction du temps

Les défaillances qui apparaissent pendant ces périodes sont, respectivement ___________________________________________________________________________ ENIT 2A GI

21

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

appelées défaillance précoce (ou de jeunesse), défaillance à taux constant et défaillance d’usure : * Défaillance précoce (ou de jeunesse) Défaillance qui survient au début de la vie d’une entité et dont le taux d’apparition est rapidement décroissant. Le début de la vie est compté à partir d’un instant spécifié : sortie de chaîne, de fabrication, livraison.... * Défaillance à taux constant Défaillance qui apparaît avec un taux sensiblement constant pendant la durée de vie utile du matériel. Elle est généralement catalectique. * Défaillance d’usure : Défaillance qui apparaît avec un taux rapidement croissant. Elle est généralement due à des processus inhérents à l’entité (processus de détérioration, de corrosion...) 4.6.5. Classification en fonction des effets Les défaillances survenant dans un système sont susceptibles d’avoir des effets très différents. Certaines défaillances n’affectent pas directement les fonctions du système et ne nécessitent qu’une action corrective qui ne pose pas de problème (réparation sans degré d’urgence par exemple) ; d’autres affectent la disponibilité du système et de sa sûreté. Les effets des défaillances doivent être évalués. On utilise généralement une échelle de gravité des effets et on répartit ainsi les niveaux de dégradation du fonctionnement du système en catégorie ou classes de gravité. Habituellement, on considère 4 catégories. Les effets peuvent être mineurs, significatifs, critiques, catastrophiques ; les défaillances sont respectivement dénommées mineures, significatives, critiques, catastrophiques (tableau 1.1.)

___________________________________________________________________________ ENIT 2A GI

22

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________ Tableau 1.1 : Classification des défaillances en fonction de leurs effets

Défaillance mineure

Défaillance qui nuit au bon fonctionnement d’un système en causant un dommage négligeable au dit système ou à son environnement sans toutefois présenter de risque pour l’homme

Défaillance significative

Défaillance qui nuit au bon fonctionnement d’un système sans toutefois causer de dommage notable, ni présenter de risque important pour l’homme

Défaillance critique

Défaillance qui entraîne la perte d’une (ou des) fonction(s) essentielles d’un système et cause des dommages importants au dit système ou à son environnement en ne présentant toutefois qu’un risque négligeable de mort ou de blessure.

Défaillance catastrophique

Défaillance qui occasionne la perte d’une (ou des) fonction(s) essentielle(s) d’un système en causant des dommages importants au dit système ou à son environnement et/ou entraîne pour l’homme, la mort ou des dommages corporels.

___________________________________________________________________________ ENIT 2A GI

23

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

4.6.6. Classification en fonction des causes La défaillance d’une entité résulte de causes de défaillances ; celles-ci sont définies comme des « circonstances liées à la conception, la fabrication ou l’emploi et qui ont entraîné la défaillance »

Les défaillances peuvent être classées en trois catégories selon leurs causes : a. Défaillance Première : Défaillance d’une entité dont la cause directe ou indirecte n’est pas la défaillance d’une autre entité. Généralement, une réparation de l’entité est nécessaire pour la remettre en état de fonctionnement. Exemple:

On considère une tuyauterie ; une rupture de celle-ci, suite à une mise en pression inférieure à la pression de dimensionnement, est une défaillance première. b. Défaillance Seconde : Défaillance d’une entité dont la cause directe ou indirecte est la défaillance d’une autre entité et pour laquelle cette entité n’a pas été qualifiée et dimensionnée. Généralement, une réparation de l’entité est nécessaire pour la remettre en état de fonctionnement. Des défaillances d’autres entités, des conditions particulières dans l’environnement, des erreurs humaines peuvent être à l’origine d’une défaillance seconde d’un composant. Exemple :

Gardons l’exemple de la tuyauterie ; une rupture de celle-ci, suite à une mise en pression, supérieure à la pression de dimensionnement, qui résulte de la défaillance d’un autre composant est une défaillance seconde. c. Défaillance de commande Défaillance d’une entité dont la cause directe ou indirecte est la défaillance d’une autre entité et pour laquelle cette entité a été qualifiée et dimensionnée. Généralement une réparation de l’entité n’est pas nécessaire pour revenir à un état de fonctionnement. On est en présence d’une telle défaillance lorsque l’entité change d’état à la suite de l’émission de signaux de commande ou de contrôle intempestifs. Exemples:

___________________________________________________________________________ ENIT 2A GI

24

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

On peut citer les cas suivants : - une tension est appliquée, par inadvertance, à une bobine d’un relais, - une vanne, en position normalement fermée, s’ouvre à la suite de l’émission intempestive d’un signal de commande. La figure 1.10. représente ces trois catégories de défaillance. Une telle classification doit être considérée comme un guide pour l’analyse. Elle sera très utile dans le cadre de la Méthode de l’arbre des Causes.

Progressive

Déviante

Soudaine

Catalectique

Partielle

Rapidité de la manifestation Rapidité + Amplitude

Totale

Catastrophique

Amplitude

DEFAILLANCE

Précoce (jeunesse)

Critique

des effets

En fonction de l’age

Taux constant (vie active)

En fonction

Significative

En fonction des causes

Usure (Vieillesse

Mineure Commande

Première Seconde

Figure 1. 15. : Classification des défaillances en fonction de leurs causes

___________________________________________________________________________ ENIT 2A GI

25

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

5. DEFAUT, DEFAILLANCE ET PANNE 5.1. Défaut On considère comme défaut, tout écart entre une caractéristique d’une entité et la caractéristique voulue, cet écart dépassant des limites d’acceptabilité dans des conditions données. Ainsi, le défaut est plutôt défini comme une non-conformité à des objectifs ou des clauses de spécifications. Bien évidemment, Certaines classifications des défaillances s’appliquent à celles des défauts ; on parle ainsi de défaut mineur, significatif, critique, catastrophique. Tout défaut conduit-il à une défaillance ? Non, un défaut constaté au niveau du système ou un défaut d’un composant du système peut parfaitement ne pas affecter l’aptitude d’un système à accomplir une fonction requise. A titre d’exemple, l’inclusion d’un clou dans un pneu est un défaut est un défaut ; si ce clou est suffisamment petit, il n’entraîne pas de défaillance de pneu (crevaison du pneu). Inversement toute défaillance conduit-elle à un défaut ? Oui, bien évidemment, puisque la cessation de l’aptitude de l’entité à accomplir une fonction requise est indiscutablement liée à un écart entre la caractéristique réelle et la caractéristique espérée de la fonction.

5.2. Panne La panne est « l’inaptitude d’une entité à accomplir une fonction requise ». Après apparition d’une défaillance, on considère donc que l’entité est en panne ; une panne résulte toujours d’une défaillance. Les classifications des pannes sont semblables à celles des défaillances ; on parle ainsi de panne mineure, significative, critique, catastrophique, de panne complète, partielle... Il existe cependant une classification spécifique aux pannes ; elle est fonction de l’aptitude des pannes à être constatées : - Panne intermittente : Panne d’une entité subsistant pendant une durée limitée après laquelle l’entité redevient apte à accomplir une fonction requise sans avoir été soumise à une opération de maintenance corrective. - Panne fugitive : Panne d’une entité qui est intermittente et ___________________________________________________________________________ ENIT 2A GI

26

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________ - Panne permanente :

- Panne latente :

difficilement constatable. Panne d’une entité qui persiste tant que n’ont pas eu lieu des opérations de maintenance corrective. Panne qui existe mais qui n’a pas encore été détectée. On parle parfois de « Panne cachée ».

En outre une panne est souvent caractérisée par : - son état (de panne) ou état de l’entité caractérisée par son inaptitude à accomplir la fonction requise ; - son mode de panne ou effet par lequel une panne est observée ; on verra dans le paragraphe suivant qu’il y a équivalence avec le concept de mode de défaillance. Exemple : Prenons l’exemple d’un pneu en crevaison à la suite d’un percement par un clou. La dépressurisation du pneu qui résulte de l’introduction du clou dans le pneu conduit à la défaillance (perte de la pression satisfaisante du pneu), la fonction requise étant le maintien d’une pression suffisante pour la marche dans de bonnes conditions de sécurité. La panne est caractérisée par l’état dégonflée du pneu. Notons que la panne commence à partir du moment où le pneu n’a plus une pression suffisante pour la marche dans de bonnes conditions de sécurité. Ainsi, elle ne se caractérise pas uniquement par l’état « à plat » du pneu. Cette remarque est importante ; il convient en effet de ne pas caractériser la défaillance par les effets immédiats et la panne par l’état de l’entité à plus long terme . La figure 1.16. illustre les relations entre défaut, défaillance et panne.

___________________________________________________________________________ ENIT 2A GI

27

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

DEFAUT DE L’ENTITE :

PANNE DE ’ENTITÉ

écart entre une caractéristique de l’entité et la caractéristique voulue

inaptitude de

ETAT DE PANNE:

l’entité à accomplir une fonction requise

état d’inaptitude dans lequel se trouve l’entité

ENTITE MODE DE DÉFAILLANCE effet par lequel une défaillance est observée

DÉFAILLANCE DE L’ENTITÉ :

cessation de l’aptitude de l’entité à accomplir une fonction requise

Figure 1. 16. : Défaut, Défaillance et panne d’un système

___________________________________________________________________________ ENIT 2A GI

28

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________ 1. INTRODUCTION ....................................................... ........................................................... ........................... 1 2. LA SURETE DE FONCTIONNEMENT (SDF) ............................................................................................. 2

2.1. LES ENJEUX DE LA SURETE DE FONCTIONNEMENT..................................................... .................................... 2 2.2. ÉVOLUTION DE LA DISCIPLINE ....................................................................................................................... 3 2.3. MISSIONS ET FONCTIONS ............................................................................................................................... 3 2.3.1. Missions : .............................................................................................................................................. 3 2.3.2. Fonctions............................................................................................................................................... 4 2.4. AVANT PROJET.............................................................................................................................................. 5 2.5. DESCRIPTION DES PROCEDES INDUSTRIELS...................................................... .............................................. 5 2.5.1. Description générale ........................................................... ........................................................... ....... 5 2.5.2. Description fonctionnelle .................................................... ........................................................... ....... 6 2.5.3. Description matérielle ......................................................... ........................................................... ....... 8 3. LES PRINCIPALES COMPOSANTES DE LA SURETE DE

FONCTIONNEMENT .......................... 9

3.1. L A FIABILITE .................................................................................................................................................. 9 3.1.1. Définitions ............................................................................................................................................. 9 3.1.2. Types de fiabilité ................................................................................................................................... 9 3.1.3. Qualité et Fiabilité .............................................................................................................................. 10 3.2. L A DISPONIBILITE ..................................................... ........................................................... ......................... 11 3.3. L A MAINTENABILITE ........................................................... ........................................................... ............... 11 3.3.1. Assurance de la maintenabilité ........................................................................................................... 12 3.3.2. Autres concepts relatifs à la maintenabilité ...................................................... .................................. 12 3.4. LA SECURITE ............................................................................................................................................... 13 3.4.1. Evaluation de la sécurité ..................................................... ........................................................... ..... 13 3.5. RELATION ENTRE FIABILITE, MAINTENABILITE, DISPONIBILITE ET SECURITE ................................................ 14 3.6. LA SDF : UNE COMPOSANTE DE LA PERFORMANCE INDUSTRIELLE.......................................................... ..... 14 4. NOTION DE DEFAILLANCE ...................................................................................................................... 15

4.1. DEFINITION DE LA DEFAILLANCE ................................................................................................................. 15 4.1.1. La défaillance fonctionnelle ................................................................................................................ 16 4.1.2. La défaillance potentielle : ................................................................................................................. 16 4.1.3. Dégradation ........................................................................................................................................ 16 4.2. LES CAUSES D’UNE DEFAILLANCE ............................................................................................................... 16 EXEMPLES : .......................................................... ............................................................ .................................. 17 4.3. EFFET D’UNE DEFAILLANCE......................................................... ........................................................... ..... 17 4.4. MODES DE DEFAILLANCE ............................................................................................................................ 18 4.5. LES COUTS D’UNE DEFAILLANCE ................................................................................................................. 19 4.6. CLASSIFICATION DES DEFAILLANCES ........................................................................................................... 20 4.6.1. Classification en fonction de la rapidité de leur manifestation .......................................................... 20 4.6.2. Classification en fonction de leur amplitude..................................................... .................................. 20 4.6.3. Classification en fonction de la rapidité de leur manifestation et de leur amplitude.......................... 21 4.6.4. Classification en fonction de leur date d’apparition dans la vie du système ...................................... 21 4.6.5. Classification en fonction des effets ........................................................ ............................................ 22 4.6.6. Classification en fonction des causes ...................................................... ............................................ 24 5. DEFAUT, DEFAILLANCE ET PANNE ........................................................... ............................................ 26

5.1. DEFAUT......................................................... ............................................................ .................................. 26 5.2. PANNE ........................................................... ............................................................ .................................. 26

___________________________________________________________________________ ENIT 2A GI

29

Dr. K. Bourouni

Chapitre1


___________________________________________________________________________

1 2 3 4 5 6 7

___________________________________________________________________________ ENIT 2A GI

30

Dr. K. Bourouni

Chapitre 2 Principe de l’Analyse Prévisionnelle ___________________________________________________________________________

Analyse Prévisionnelle de la sûreté de fonctionnement Principales étapes Principales caractéristiques Démarche d’évaluation Prévisionnelle

CHAPITRE 2 : PRINCIPE DE L’ANALYSE PREVISIONNELLE

1. ANALYSE PREVISIONNELLE DE LA SURETE DE FONCTIONNEMENT D’UN SYSTEME 1.1. Analyse de système Qu’est-ce que l’analyse d’un système ? C’est un processus orienté vers l’acquisition, l’investigation et le traitement ordonnés d’informations spécifiques au système et pertinentes vis-à-vis d’une décision ou d’un objectif donné ; ce processus aboutit à l’obtention d’un modèle du système. Selon cette définition, la fonction première de l’analyse de système est l’acquisition d’informations. Ce processus doit être effectué selon des règles ou des méthodes ; sinon le modèle correspondant risque d’être peu utile et peu adapté aux objectifs. Qu’elle est l’information nécessaire à acquérir ? Ceci n’est pas aussi évident que cela peut paraître. On considère la figure 2.1. : ___________________________________________________________________________

ENIT 2A GI

30

Dr. K. Bourouni

Chapitre 2 Cours de Contrôle et Fiabilité ___________________________________________________________________________

A2

B2 A1

B1 A B INFORMATIONS A ACQUERIR

Figure 2.1 : Informations à acquérir pour l’analyse prévisionnelle d’un système.

Un cercle représente l’information qu’il est essentiel d’acquérir pour l’objectif de l’analyse du système. Un analyste spécialiste des problèmes de type A commence sa recherche dans ce domaine et ceci conduit à quelques questions intéressantes le menant dans le domaine A 1; l’investigation du domaine A 1 le conduit à A 2 et ainsi de suite. Un autre analyste spécialiste des problèmes de type B suit le même processus le menant à B1 puis B2... Pour illustrer ce problème, considérons un système de sécurité d’une importante installation industrielle. L’analyste commence sa recherche par les causes de défaillance de nature électrique des actionneurs du système, poursuit en examinant les sources électriques internes à l’installation puis les alimentations électriques externes à l’installation. Quand arrive l’échéance, et notamment le moment de présenter l’étude ou de prendre des décisions, l’information pertinente n’est pas disponible en dépit de l’importance des efforts effectués. Afin d’éviter ce «piège» dans l’analyse, il est important de fixer dès le début de l’étude les principales caractéristiques du système à prendre en compte. A savoir : - les limites intérieures de l’analyse : on précisera notamment les limites physiques, géographiques, fonctionnelles du système ainsi que les interfaces avec les autres systèmes et l’environnement. - les limites de résolution de l’analyse : on précisera notamment si l’analyse s’arrête au niveau des composants ou nécessite des investigations plus approfondies au niveau des pièces de composants. Bien évidemment, ceci peut être revu en cours d’étude ; mais il est préférable de le faire en toute connaissance et en ayant évalué toutes les conséquences (charge de ___________________________________________________________________________

ENIT 2A GI

31

Dr. K. Bourouni


travail, longueur de l’analyse, aspects approfondis aux dépens d’autres aspects peutêtre plus importants !...). Le processus d’analyse doit conduire à l’obtention d’un premier modèle du système ; puis après des compléments d’études et des révisions, à l’obtention d’un dernier modèle du système. Les conclusions de l’analyse ainsi que les décisions à prendre seront basées sur ce modèle. La figure 2.2 illustre les étapes de ce processus. * acquisition * investigation * traitement

Système réel

* acquisition

d’informations * investigation d’informations complémentaires * traitement

1er modèle du système

dernier modèle du système

* Conclusions * décisions

Figure 2.2. : Étapes du processus d’analyse

1.2. Prévision de la sûreté de fonctionnement On parle d’analyse prévisionnelle de la sûreté de fonctionnement d’un système lorsque le processus, décrit précédemment, est orienté vers l’obtention d’un modèle relatif à une caractéristique de la sûreté de fonctionnement ( exemples : fiabilité, disponibilité, maintenabilité, sécurité) du système. Les éléments de ce modèle seront des événements susceptibles de se produire dans le système et son environnement, tels par exemple : - des défaillances et des pannes des composants du système, - des événements liés à l’environnement - des erreurs humaines dans la phase d’exploitation.

Le modèle permet ainsi de représenter toutes les défaillances et les pannes (et ___________________________________________________________________________

ENIT 2A GI

32

Dr. K. Bourouni


leurs combinaisons) des composants du système qui compromettent une des caractéristiques de sa sûreté de fonctionnement.

1.3. Méthodes d’analyse Afin d’aider l’analyste à réaliser un modèle de la sûreté de fonctionnement, des méthodes d’analyse ont été mises au point. Les méthodes d’analyse prévisionnelle se répartissent en deux grandes familles qui se différencient par les techniques de raisonnement : n Les méthodes inductives (bottom to top) partent des causes des défaillances et remontent jusqu’aux conséquences que l’on souhaite éviter ; n Les méthodes déductives sont au contraire des méthodes descendantes (top to bottom) : on part de l’événement indésirable et on recherche toutes les causes susceptibles d’entraîner cet événement. Les principales méthodes sont : n AMDEC : Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité (FMECA : Failure mode, Effects and Criticality Analysis – année 60 – NASA) ; n APD : Analyse Préliminaire des Dangers ou Analyse Préliminaire des Risques (années 60, aéronautique) ; n HAZOP : Hazard and Operability Study (années 70, industries chimiques) ; n MDS ou MDF : Méthode du Diagramme de Succès ou de Fiabilité (RBDM : Reliability Block Diagram Method , années 60) ; n MTV : Méthode de la Table de Vérité, MTD : Méthode de la Table de Décision ; n MAC : Méthode de l’Arbre des Causes (fault tree method, années 60) ; n Méthode des combinaisons de pannes résumées (années 70, aéronautique); n MACQ ou MAE : Méthode de l’Arbre des Conséquences ou des Arbres d’Evénements (ETM : Event Tree Method, années 70, nucléaire) ; Méthode du Diagramme Causes-Conséquences (années 70, n MDCC : nucléaire) ; n MEE : Méthode de l’Espace des Etats (années 50, processus de Markov).

___________________________________________________________________________

ENIT 2A GI

33

Dr. K. Bourouni


1.4. Démarches inductives et déductives On distingue deux types de démarche dans l’analyse de la sûreté de fonctionnement d’un système, l’inductive et la déductive. Dans la démarche inductive, on raisonne du plus particulier au plus général. Face à un système et à une défaillance (ou une combinaison de défaillances), on étudiera de façon détaillée les effets ou conséquences de cette défaillance (ou de la combinaison de défaillances) sur le système lui-même et/ou son environnement. Exemple: Les analyses des conséquences de la perte d’un réacteur d’un avion ou de la rupture d’une tuyauterie du circuit primaire d’un réacteur nucléaire sont de nature inductive. Les principales méthodes inductives sont les suivantes : l’ Analyse des Modes de Défaillances et de leurs effets , la Méthode de la Table de Vérité, la Méthode des Combinaisons de Pannes Résumées, la Méthode de l’Arbre des Conséquences. Dans la démarche déductive, on raisonne du plus général au plus particulier : supposant que le système est défaillant, on (recherchera les causes de cette défaillance. L’analyse et les enquêtes à la suite de catastrophes, pour en retrouver les causes, sont de nature déductive. La principale méthode déductive est la Méthode de l’Arbre des Causes . La figure 2.3. illustre ces définitions :

___________________________________________________________________________

ENIT 2A GI

34

Dr. K. Bourouni


Défaillances des composants du système

Recherche d’un modèle relatif à une caractéristique de sûreté d’un système

Événements liés à l’environnement du système

Erreurs humaines d’exploitation du système

Inductive (du particulier au général)

2 Types de Démarche

“AMDE” : Analyse des Modes de défaillance et de leur effets Déductive : (du général au particulier) “MAC” : Méthode de l’Arbre des Causes

Figure 2.3: Démarche inductive, démarche déductive

2. PRINCIPALES ETAPES On distingue habituellement et schématiquement quatre étapes principales dans l’analyse prévisionnelle de la sûreté de fonctionnement d’un système (figure 2.4). ___________________________________________________________________________

ENIT 2A GI

35

Dr. K. Bourouni


2.1. Étape 1 : Analyse technique et fonctionnelle Cette étape est celle du recueil des premières informations relatives au système et à ses caractéristiques techniques et fonctionnelles. On cherchera notamment à recueillir les informations relatives aux composants constituant le système. Une première analyse fonctionnelle du système doit aboutir à identifier et à définir les principales fonctions du système. Il est non moins important de bien définir les limites extérieures du système.

2.2. Étape 2 : Analyse qualitative Dès le début de cette étape, les objectifs de l’analyse de la sûreté de fonctionnement doivent être clairement définis : s’agit-il d’une étude de la fiabilité, de la disponibilité, de la maintenabilité, ou de la sécurité ? Quelles sont les fonctions importantes concernées par l’analyse ? Les limites de résolution de l’analyse doivent être précisées. Faut-il aller dans l’analyse jusqu’aux composants décrits précédemment ? Faut-il aller jusqu'à un niveau de détails plus fin, c’est-à-dire jusqu’à des pièces de composants ? La considération des éléments précédents doit aboutir à la proposition d’une décomposition du système en composants pour l’analyse. Bien évidemment, cette décomposition peut être différente de celle retenue dans la description du système. Il faut, en effet, disposer sur chaque composant d’informations relatives tant aux modes de défaillances et de leur causes, qu’aux données de sûreté de fonctionnement associées. On peut ainsi proposer une définition pratique et spécifique de la notion de composant : c’est la plus petite partie d’un système pour laquelle, d’une part, on peut préciser, a priori et sans ambiguïté, les modes de défaillances et, d’autre part, on dispose de données quantitatives, sans qu’il soit nécessaire de décomposer l’élément lui-même pour en faire l’analyse.

___________________________________________________________________________

ENIT 2A GI

36

Dr. K. Bourouni


Recueil de l’information ÉTAPE 1 Analyse technique et fonctionnelle

Définition du système et de son environnement

Informations relatives au système et à son environnement, aux composants, ...

Analyse des caractéristiques techniques et fonctionnelles du système Objectifs de l’analyse de sûreté de fonctionnement du système Définition des limites de résolution de l’analyse Décomposition du système (définition des composants)

ÉTAPE 2 Analyse qualitative

Méthodes d’analyse prévisionnelle de la sûreté de fonctionnement (choix d’une ou plusieurs méthodes, application) Modélisation de la sûreté de fonctionnement du système Obtention des défaillances pertinentes Enseignements

ÉTAPE 3 Analyse quantitative

Évaluation d’une mesure de la sûreté de fonctionnement

Données de sûreté de fonctionnement

Étude de sensibilité

Incertitudes relatives aux données et aux hypothèses

Enseignements ÉTAPE 4 Synthèse et conclusions

Synthèse-Conclusions

Figure 2.4 : Étapes principales de l’analyse prévisionnelle de la sûreté de fonctionnement d’un système

___________________________________________________________________________

ENIT 2A GI

37

Dr. K. Bourouni


Les méthodes de l’analyse qualitatives ont ensuite pour objectif la recherche de toutes les causes de défaillance pouvant affecter la sûreté de fonctionnement du système. De nombreuses méthodes existent et l’art du spécialiste consiste alors à choisir les méthodes les plus adaptées aux objectifs des études, au système à analyser et aux moyens dont il dispose. L’utilisation de ces méthodes aboutit à une modélisation de la sûreté de fonctionnement du système et des défaillances l’affectant. Cette modélisation est basée sur la décomposition retenue pour le système et sur un certain nombre d’hypothèses relatives, par exemple, au caractère catalectique des défaillances, aux phases ou configurations de fonctionnement reconnues à priori importantes, ou aux effets de telle défaillance. Bien évidemment, la modélisation de la sûreté de fonctionnement d’un système est étroitement liée à la modélisation des phénomènes physiques auxquels donnent lieu les défauts du système. D’une manière générale, l’analyste est conduit à effectuer un certain nombre d’hypothèses spécifiques à chaque étude. Ce sera le cas, entre autres, pour l’impact de l’environnement ou les autres systèmes sur le système étudié, la schématisation des opérations de tests ou de maintenance, le comportement de l’opérateur en situation normale ou incidentielle ou accidentelle. Il est important de souligner que la qualité de l’étude entreprise dépendra directement de la modélisation effectuée. Celle-ci permet de recenser et d’obtenir les défaillances à prendre en compte (ou défaillances pertinentes) pour évaluer la sûreté de fonctionnement du système ; ces défaillances sont généralement des modes de défaillance de composants ou (et) leurs combinaisons. Les enregistrements tirés de cette analyse qualitative sont relatifs aux mécanismes de défaillance du système, aux combinaisons de défaillances menant à l’événement indésirable. Ils dépendent dans une certaine mesure des méthodes d’analyse utilisées.

2.3. Étape 3 : Analyse quantitative La phase d’analyse quantitative consiste à caractériser par des mesures (probabilité, par exemple) la sûreté de fonctionnement du système. Ces probabilités sont obtenues par le traitement mathématique du modèle et par la prise en compte des données relatives aux événements élémentaires. Outre les données de sûreté de fonctionnement proprement dites et relatives aux composants, d’autres types ___________________________________________________________________________

ENIT 2A GI

38

Dr. K. Bourouni


d’informations de nature quantitative sont généralement nécessaires telles que : - les durées de fonctionnement (durée de mission, des phases de fonctionnement), - les caractéristiques des tests des systèmes en attente (fréquence et durée des tests), - les caractéristiques de la maintenance préventive ou corrective (fréquence et durée de la maintenance), - les données statistiques sur les agressions liées à l’environnement... Des marges d’incertitude existent sur l’ensemble de ces données ; on déterminera donc une marge d’incertitude sur le résultat final, cette étude étant dénommée « évaluation des incertitudes ». Des incertitudes affectent aussi parfois les hypothèses retenues pour la modélisation (exemple : incertitude sur les effets d’une défaillance) et il apparaît aussi intéressant d’étudier l’effet de ces hypothèses sur les résultats. Ces études seront dénommées « étude de sensibilité ».

2.4. Étape 4 : Synthèse et conclusions La synthèse de l’analyse qualitative et quantitative mettra en évidence, par exemple, les défaillances et leurs combinaisons qui compromettent la sûreté de fonctionnement du système ainsi que les composants les plus critiques ou les missions les plus importants du système. Seront alors dégagées des améliorations techniques susceptibles d’augmenter la fiabilité, la disponibilité, la maintenabilité ou la sécurité... Les conclusions permettent de considérer le système soit comme satisfaisant au regard des exigences de sûreté de fonctionnement soit comme peu satisfaisant. Dans ce dernier cas, des propositions peuvent être faites, au vu de l’analyse précédente ou d’éventuels compléments. Citons de façon non limitative : - une amélioration de la fiabilité de composants; - une modification des redondances ; - une redondance supplémentaire ; - une élimination de redondances inutiles ; - une adjonction de protection ou de dispositif de surveillance ou de contrôle ; - une protection supplémentaire contre les défauts de cause commune ; - une modification des caractéristiques des tests périodiques ou de la maintenance ; - des essais périodiques supplémentaires de certains composants - une maintenance préventive sur certains composants ___________________________________________________________________________

ENIT 2A GI

39

Dr. K. Bourouni


- une modification des procédures d’exploitation pour réduire le risque d’erreurs humaines...

3. PRINCIPALES CARACTERISTIQUES Il faut souligner quelques caractéristiques particulièrement importantes de l’analyse prévisionnelle de la sûreté de fonctionnement.

3.1. Caractère interactif Exemples : - La définition des composants, retenue dans le cadre de la décomposition du système, dépend des données de sûreté de fonctionnement disponibles ; il serait de peu d’intérêt d’effectuer une décomposition très fine pour rendre compte ensuite de l’absence ou de l’insuffisance des données ! Il faut donc veiller à l’adéquation entre le niveau de décomposition retenu et la disponibilité des données. - La décomposition du système, le degré de finesse de l’analyse, les méthodes choisies dépendent des moyens dont on dispose pour l’analyse ! La plupart du temps, des moyens limités sont accordés. Un niveau de décomposition trop fin, des méthodes trop lourdes peuvent conduire à « noyer » les analystes qui verront approcher avec angoisse le fin prévue pour l’étude ! - La modélisation qualitative obtenue contient implicitement des aspects quantitatifs. En effet, le choix des défaillances retenues, par exemple au niveau des modes de défaillance, est souvent de nature probabiliste ; ainsi, on ne considère que ceux connus pour tel composant sur la base d’une certaine expérience d’exploitation. On ne peut toujours exclure l’hypothèse d’un autre mode de défaillance, moins probable, non encore survenu faute d’expérience suffisante ! De même, pour certaines méthodes, on ne retiendra souvent que les combinaisons de modes de défaillance dont la probabilité est supérieure à une probabilité limite. Les aspects qualitatifs et quantitatifs apparaissent donc parfois étroitement imbriqués. - Les conclusions de l’analyse quantitatives peuvent mettre en évidence certains aspects du système et nécessiter une analyse plus fine, remettant ainsi en cause la décomposition initialement choisie ! Ces étroites interactions entre les différentes étapes compliquent la tâche de l’analyste (surtout débutant) qui doit en être conscient dès le début de l’étude. ___________________________________________________________________________

ENIT 2A GI

40

Dr. K. Bourouni


3.2. Caractère itératif Le processus d’analyse d’un système est en fait essentiellement itératif, surtout quand il intervient dans le cadre de la définition d’un projet. En premières conclusions de l’étude entraînent généralement des améliorations et modifications du système. L’influence de celles-ci est alors évaluée, et ainsi de suite jusqu’au respect de certains objectifs (exemple : objectifs de fiabilité, objectifs de risque...) que l’on a pu se fixer. La figure 2.5. représente le caractère itératif . ETAPE 1 Analyse technique et fonctionnelle

MODIFICATIONS DU SYSTEME ETAPE 2 Analyse qualitative

REVISION DU PROJET

ETAPE 3 Analyse quantitative

NON ETAPE 4 Synthèse et conclusions

Les objectifs initiaux sont-ils remplis?

OUI

FIN DE L’ETUDE

Figure 2.5.: Caractère itératif d’une étude de la sûreté de fonctionnement d’un système.

___________________________________________________________________________

ENIT 2A GI

41

Dr. K. Bourouni


4. DEMARCHE D’EVALUATION PREVISIONNELLE Une analyse de la sûreté de fonctionnement d’un système matériel se décompose en quatre phases principales successives : - la première étape consiste à définir précisément les objectifs de l’étude qui peuvent varier selon le paramètre à évaluer (fiabilité, disponibilité, productivité...), le type de système à étudier, l’étape de la conception ou encore le niveau de détail désiré ; elle a aussi pour objectif de définir le système à étudier et son environnement ; - la seconde étape réside dans l’analyse fonctionnelle du système ; les méthodes d’analyse fonctionnelle permettent de décrire les fonctions attendues d’un système et ses caractéristiques, apportant ainsi une aide importante pour la compréhension et la description synthétique des modes de fonctionnement nominaux du système étudié ; - la troisième étape a pour but d’identifier les risques potentiels présentés par le système du point de vue des objectifs fixés ; les méthodes utilisées procèdent d’une démarche inductive (partant d’une cause quelconque, elles cherchent à mettre en évidence les effets sur le système étudié) ou d’une démarche déductive (elles partent d’un effet pour essayer de remonter à ses causes) ; elles s’appuient sur une décomposition du système en sous-système, fonctions, composants..., à partir de laquelle les éléments dangereux, les déviations ou les défaillances dangereuses sont identifiés afin d’en déterminer les conséquences sur le système lui-même et/ou sur les systèmes adjacents ; elles cherchent aussi à s’assurer que, pour chaque risque potentiel, mis en évidence, les moyens de détection appropriés sont en place ; - la dernière étape consiste à utiliser le modèle pour en tirer les résultats désirés sous la forme d’une analyse qualitative et/ou quantitative selon les méthodes mises en œuvre auparavant. A partir du modèle et des données statistiques sur les événements qui s’y rencontrent, des traitements et des calculs peuvent être entrepris nécessitant souvent l’emploi de logiciels appropriés. Les résultats obtenus sont divers et variés : paramètres probabilistes liés à la sécurité ou à l’économie de l’installation, mise en évidence des paramètres prépondérants vis-à-vis du risque envisagé, évaluation de plusieurs conceptions possibles... Tous ces résultats sont finalement des éléments d’aide à la décision qui permettront d’établir des spécifications pour les composants les plus sensibles, des programmes d’essais pour les composants nouveaux, les stratégies de maintenance à mettre en place ou encore le niveau de risque du système et/ou de ses éléments. ___________________________________________________________________________

ENIT 2A GI

42

Dr. K. Bourouni


Les différentes méthodes existantes d’analyse de la sûreté de fonctionnement se différencient par un certain nombre de critères. Le tableau 2.1 répertorie les principales méthodes en les comparant en fonction de la démarche utilisée, du type d’évaluation, de l’événement de départ de l’analyse, du type et de la forme d’expression des résultats.

___________________________________________________________________________

ENIT 2A GI

43

Dr. K. Bourouni


s e d o h t é m l s a v e A l e r t n t e n s o n e m i L A

E P D O Z M A A H

Q C C C A D . u h t o é D M A

e s n o y i t l a c n n o A f

. t c R n P o A f . u l o a / n t A e

n o i t é s a s i l i i l t a u m r o F

x u a e l b a t

e s d t a e t l p u y s T é r

s s e e s d s n u e o r i i r t e o a e t u g r t e i n a p s d é r

t r a p é d e d é t i t n E

s x t u n e e r e m g é l n a é d

n o i t e a p u y l T a v é ' d

e v i t a t i l a u q

e e d h c e r p a y m T é d s s e d e r o è h t i r t é C M

& x s e u l a l i e l r b g a t

s e d s e r i o t r e p é r

s e e d c s n a e l d l i o f a m é d

e e d c n s l a e l d i a o f m é d t e e v i t a t i l a u q

M d G

D C A C D M M

D A M

M d G

/

/

D A M . v é

E D M A

. t c n o f e s y l a n A

E D M A

R P A

. t c n S o f . D l a M n A

s s e e v d i o t c h t u é d n M i

x u a e l b a t

e r i a n i b e r b r a

e e r u i q o i t g a o n l i e r b m b r o a c

e r i a n i b e r b r a

e e r u i q o i t g a o n l . i g b a m i d o c

e m ) m s c a o r l g b a ( i d

s t a t é ' d s e h p a r g

s s t e n l e b a m t e p n e e c v c é a ' n d i

, s e R l a E . m r i u n c i c o m ' s d . e b p o u r o c p

. n é v é ' d . u q é s

, . s m e i l n b i a m t p s é e c c p a u n o i c

t e e . d m s i e t n t r é i e r m è û s m s e a p r u a p o c

e d s é e r t t r è e m û s a r a p

t ) n R e E ( m é e t n é u v o é d e r

t u n o e e r u m u q e i e t t i n i a é t r v i c é i n

s e d s s n o e t r i i a o i t v r é e d p é r

u s s d t e e n t r s e m a s è l è o m b t p a a r s r y m a u s s o p e c m

e v i t i a i m t t e s n a u q

e v i t a t i l a u q

e v i t c u d n i

e v i t c u d n i

R P A

C E D M A

s e c n e u q é s

s ) I t n E e ( r m u e e t n a é i v t é i n i t e e v i t a t i l a u q

e v i t i a i m t t e s n a u q

e t x i m

e t x i m

e v i t c u d n i

e v i t c u d n i

e v i t c u d é d

e t x i m

P O Z A H

Q C A M

D A M

C C D M

s u t o n s a n s o o i p t c m n o o c f e v i t a t i t n a u q

e d s t a t é

t n e e m n e n n a n p e o d i t c t n e o f e v i t a t i t n a u q

/

S D M

e v i t c u d é d

M d G

Tableau 2.1. : Les différentes méthodes d’Analyse Prévisionnelle

___________________________________________________________________________

ENIT 2A GI

44

Dr. K. Bourouni

3

Chapitre 3

Mathématiques de la Sûreté de Fonctionnement

___________________________________________________________________________

Probabilit é d ’é v énement Variables al éatoires Principales lois de probabilit é Relations fondamentales de la SdF Taux de d é faillances et MTTF pour les principales lois de la SdF Fiabilité et disponibilité d ’ une entit é

CHAPITRE 3 : ÉLEMENTS MATHEMATIQUES APPLIQUES A LA FIABILITE Les diverses méthode d’analyse que nous aurons à décrire supposent, bien entendu, des calculs plus ou moins complexes. Il a donc paru indispensable de présenter ici un exposé des principaux concepts mathématiques nécessaires aux calculs dans le domaine de la Sûreté de Fonctionnement Billinton [1983], après avoir exposé les base de l’algèbre des événements et de la théorie des probabilités, nous abord ons les mesures de Sûreté de Fonctionnement et leurs principales relations. 1. PROBABILITE D’EVENEMENTS

Soit un ensemble des observables Ω. Considérons une application P qui associe à chaque événement A, un nombre positif appelé probabilité, avec les propriétés suivantes : * P [Ω] = 1 P [A+B] = P [A] + P [B] si A.B = Ø

(3.1)

avec : P [A + B] = P [A ∪ B] et P [A.B] = P [A ∩ B] Le triplet (Ω, A,P) est appelé espace de probabilité. ___________________________________________________________________________ ENIT 2A GI

46

Dr. K. Bourouni

Chapitre 3

Cours de contrôle et Fiabilité

___________________________________________________________________________

L’application P possède les propriétés suivantes : 0 ≤ P[A] ≤ 1 P[A] = 1 Š P[A] A ⊂ B ⇒ P[A] ≤ P[B]

1.1. Théorème de Poincaré P [A+B] = P [A] + P [B] - P [A.B]

(3.2)

Cas général : n

P

n

n j – 1

n j – 1 k – 1

n

n Σ A i = Σ P A i –Σ Σ P A A i j + Σ Σ Σ P A i.A j .A k – ... + ( – 1 ) P Π A i i =1

i =1

j=2 i = 1

j= 3 k =2 i = 1

i= 1

Si les événements sont incompatibles : n

∀i,j A i .A j = Φ (événements incompatibles 2 à 2)

alors : P

n

Σ A i =Σ P i =1

Ai

i =1

1.2. Théorème de probabilité conditionnelle P A . X = P [A / X ] . P [X ]

(3.3)

P[A/X] = est la probabilité conditionnelle de l’événement A rapportée à l’événement X : C’est la probabilité que A se produise sachant que X s’est déjà produit. Ainsi, par définition : P [A / X]. =

P A .X P [X]

On en déduit : P A 1.A 2...A n = P A 1 / A 2 ...A n . P A 2 / A 3 ...A n ...P A n – 1 / A n . P A n

Deux événements sont indépendants si et seulement si : ___________________________________________________________________________ ENIT 2A GI

47

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ PA/B=PA

C’est-à-dire si et seulement si : P A .B = P A P B 1.3. Théorème des probabilités totales

On appelle système complet d’événements un ensemble dénombrable d’événements Ai 2 à 2 incompatibles tels que : n

P

ΣAi = Σ P

Ai = 1

i =1

Soit B un événement; le théorème des probabilités totales d’écrit : n

Σ P B /A i . P A i

P B =

(3.4)

i =1

1.4. Théorème de Bayes

Étant donné un événement B de probabilité non nulle et A i un ensemble d’événements complets, on appelle théorème de Bayes la relation suivante : P A /B = i

P B /A i P A i n

(3.5)

Σ P B /A i . P A i i= 1

Ce théorème s’appelle aussi “ théorème sur la probabilité des causes ”. En effet, si B est un événement pouvant avoir les causes X ou Y, ce théorème donne la probabilité que l’événement B soit dû à la cause X : P X /B =

P X P B /X P X P B /X + P Y P B /Y

___________________________________________________________________________ ENIT 2A GI

48

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ 2. VARIABLES ALEATOIRES

2.1. Définition

Une variable aléatoire (v.a) est une variable pouvant prendre n’importe quelle valeur d’un ensemble déterminé de valeurs numériques, et à laquelle est associée une loi de probabilité. Soient (Ω, A, P) un espace de probabilité et V une application de Ω dans IR. On dit que V est une variable aléatoire si : ∀ x ∈ IR,

V-1

( ] Š ∞ , x [ ) ∈ A

Une telle variable peut être continue ou discontinue. Exemples :

- La durée de vie d’un composant est une variable aléatoire continue 0 si un composant A est en fonctionnement - La variable aléatoire étant égal à 1 si il est en panne

est une variable aléatoire discontinue. Une variable aléatoire est caractérisée par sa fonction de répartition et par sa densité de probabilité. 2.1.1. Fonction de répartition :

La fonction de répartition d’une variable aléatoire X définie de -∞ à +∞ est la fonction F(x) définie par : F(x) = P[X ≤ x]

Les propriétés de cette fonction sont les suivantes : - lim F(x)= 0 x → Š ∞

- lim F(x) = 1 x → + ∞

- F(x) est non décroissante - 0 ≤ F(x) ≤ 1 ∀ x ___________________________________________________________________________ ENIT 2A GI

49

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ 2.1.2. Densité de probabilité :

Lorsque la fonction de répartition F(x) est dérivable, sa dérivée f(x) est la densité de probabilité : (x) =

dF(x) dx

Les propriétés de cette fonction sont les suivantes : F(x) =

x Š ∞

f(x) dx ;

+∞ Š ∞

f(x) dx = 1

Par ailleurs, on appelle moment d’ordre k de la v.a. X, lorsqu’il existe, le réel défini par : k

E X =

+∞ – ∞

x k f(x) dx

E[x] est l’espérance mathématique ou moyenne. On appelle variance le réel V[x], lorsqu’il existe, défini par : V [x] = σ=

+∞ – ∞

x – E[x] 2 f(x) dx

V[x] est appelé écart-type ; d’où : σ 2 = V[x]

2.2. Algèbre des variables aléatoires Pour toute constante finie a on a : 1) E[a X] = a E[X] 2) E [ X+a ] = E [ X ] + a 3) σ 2[ a X ] = a2σ 2[ X ] 4) σ 2[ X + a ] = σ2 [X] 5) σ 2[X] = E X 2 – E [X] 2 6) E X + Y = E(X) + E(Y) 7) σ 2[ X+ Y ] = σ 2[ X ] + σ 2[ Y ] + 2 cov ( X ,Y ) si X et Y sont non corrélées 8) E [X-Y] = E[X] - E[Y] 9) σ 2 [ X–Y ] = σ 2[ X ] + σ 2[ Y ] – 2 cov (X,Y ) 10) E X – Y = E [ X ] – E[ Y ] 11) si X et Y sont indépendantes : 2

2

σ 2 [ X . Y ] = E [X] σ 2[Y]+ E [Y] σ 2[X]+ σ 2[X] σ 2[Y]

___________________________________________________________________________ ENIT 2A GI

50

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ 3. PRINCIPALES LOIS DE PROBABILITES

3.1. Lois discrètes 3.1.1. Loi binomiale

On suppose que l’on ait p pour-cent de pièces défectueuses dans un lot et que l’on tire un échantillon non exhaustif de taille n, la loi binomiale B(n,p) donne la probabilité d’avoir k éléments défectueux dans l’échantillon. P (X = K) = Cnk pk 1 – p 0 ≤ k ≤ n; 0 ≤ p ≤ 1

n – k

(3.6)

où p : probabilité de réalisation de l’événement X : v.a représente le nombre de réalisation de l’événement k

C n =

n! k! (n Š k)! k

* Fonction de répartition : F(k) = P[x ≤ k] = Σ C ni pi 1 – p n – i i =1

* Espérance mathématique : E[x] = n.p * Variance : σ 2 [x] = n.p.(1 Š p ) Exemple 3.1:

Pour réaliser le montage d’un système électronique, on dispose de résistances issues d’une production importante, où l’on sait que le pourcentage P de défectueux est de 5%. On doit utiliser 4 résistances. 1) Quelle est la probabilité d’en avoir 3 de mauvaises ? 2) Quelle est la probabilité d’en avoir un nombre inférieur ou égal à 3 de mauvaises ? Solution 3.1:

1) P ( k = 3 ) = C43 × 0.05 3 × (1 Š 0.05)1 = 0.0005 k=3

2) P(k ≤ 3) = Σ C4k × 0.05k × (1 Š 0.05)4 Š k = 1 Š P(k = 4) = 0.9999 k=0

Remarque :

___________________________________________________________________________ ENIT 2A GI

51

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ Lorsque n → ∞ et si n.p = Cte = m ⇒

La loi binomiale tend vers une loi de Poisson

3.1.2. Loi de Poisson

La loi de Poisson est une loi à un paramètre positif m défini par : P(x=k)=e

mk . k!

Šm k

– m

* Fonction de répartition : P ( x = k ) = Σ e i= 0

(3.7)

i

m . i!

* Espérance mathématique : E [x] = m * Variance : σ 2[ x ] = m Exemple 3.2 :

Sur une machine de production, on sait qu’il y a en moyenne 10 pannes par semaine. Quelle est la probabilité qu’il y ait 0 pannes lors d’une journée de démonstration. Solution 3.2 :

m = 10/5 = 2 pannes / jour 20 P ( x = 0 ) = e . = 0.135 0! Š2

3.2. Lois continues 3.2.1. Loi exponentielle * Densité de probabilité :

(t) = λ e

Š λt

; λ>0;t>0

οù λ est une constante positive et t

(3.8)

le temps

* Fonction de répartition : F ( t ) = 1 Š e

Š λt

___________________________________________________________________________ ENIT 2A GI

52

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ 1

* Moyenne µ = θ = λ (MTBF)

1

* Espérance mathématique : E(x) = λ * Variance : σ x2 =

1 λ

2

* Représentation graphique : f(t) λ

t Figure 3.1. : Représentation graphique de la densité de probabilité et de la fonction de répartition de la loi exponentielle Remarque : C’est une loi, qui ne dépend que d’un paramètre ( λ ou θ = 1/λ) : elle s’applique généralement aux matériels électroniques , et d’une façon générale aux matériels qui subissent des défaillances brutales (catalectiques) , ou à des systèmes

complexes composés de plusieurs composants dont les lois de fiabilité élémentaires sont différentes. Cette loi décrit la période pendant laquelle le taux de défaillance est constant (vie utile, zone 2 de la courbe en baignoire cf figure 1.14). Exemple 3.3 :

Sur un matériel électronique, on connaît le taux de défaillance : λ = 0.0001 / h . Trouver la probabilité de défaillance entre t 1 = 200 h et t2 = 300 h. Solution 3.3 :

Probabilité de défaillance entre t 1 et t2 : t 2 t 1

– λt

λ.e

dt = e – λt 1 – e – λt 2 = e – 200 × 0.0001 – e – 300 × 0.0001 =0.001

3.2.2. Loi normale (ou de Gauss) notée N(m, σ)

___________________________________________________________________________ ENIT 2A GI

53

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

* Densité de probabilité : 1 t –m 2 (t ) = exp – ; 2 σ σ 2π – ∞ < t < + ∞; σ >0;– ∞ < m < + ∞ 1

(3.9)

* Fonction de répartition : F(t) =

1 σ

t

1 x – m exp – 2 σ 2π – ∞

2

dx

* Espérance mathématique : E(x) = m * Variance = σ2 * La loi N(0.1) est appelée loi normale réduite * Représentation graphique f(t)

F(t) 1

68.26%

95.45% 99.73% m σ

t t

2σ 3σ

Figure 3.2. : Représentation graphique de la densité de probabilité et de la fonction de répartition de la loi normale Exemple 3.4 :

___________________________________________________________________________ ENIT 2A GI

54

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

Les tolérances sur les valeurs d’une résistance sont en 10 -2 Ω : Ti = 420 Ω et Ts = 720 Ω. Ces résistances ont une valeur qui suit une loi de Gauss de moyenne 600.10 -3 Ω et d’écart-type σ = 120.10 -3 Ω. Quel est le pourcentage de bonnes résistances? Solution 3.4 :

Probabilité d’être entre 420 Ω et 720 Ω 720

420

1 120

2π

x – 600

exp –

2

2 × 1202

dx = F u 2 –F u 1

720 Š 600 =+1 120 420 Š 600 u1 = =Š1.5 120

avec :

u2 =

F(+1) = 0.84134 (Annexes 3.3) F(-1.5) = 1 - F(1.5) = 1 - 0.03319 = 0.06681 d’où F(u2) - F(u1) = 0.774 = 77.4% ⇒

3.2.3. Loi log-normale

Une variable aléatoire est distribuée suivant une loi log-normale si son logarithme est distribué suivant une loi normale. * Densité de probabilité : (t ) =

1 σt

1 exp – 2 2π

log t – µ σ

2

, pour t ≥ 0 et σ > 0

(3.10)

* Fonction de répartition : F(t) =

1 σ

t

1 1 exp – 2 2π 0 x

logx–m σ

* Espérance mathématique : E(x) = exp µ +

σ

2

dx

2

2

* Variance : ___________________________________________________________________________ ENIT 2A GI

55

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ 2 2.µ + σ2 σ x2 = e eσ – 1

Cette loi est souvent utilisée pour représenter les durées de répartition des composants ou les incertitudes dans la connaissance d’une donnée de SdF. Considérons l’intervalle de confiance [X0.05, X0.95] associée à un niveau de confiance de 0.9. X 0.05 =exp µ – 1.645 σ X 0.95 =exp µ +1.645 σ X 0.5 = Médiane =

X 0.05 X 0.95 = e µ

La connaissance de l’intervalle de confiance permet d’en déduire les paramètres de la loi log-normale Notons que le : facteur d’erreur ( FE) X 0.95 1.645 σ =e X 0.05

FE =

X 0.5 X = D’où : X 0.95 = X 0.5 FE et 0.05 FE 3.2.4. Loi de Weibull

La loi de Weibull dépend des trois paramètres suivants : γ γ : paramètre de position (décalage à l’origine) γ ≥ 0 (homogène au temps) β : paramètre de forme , β > 0 sans dimension (décide de l’allure globale de la loi) ; η : paramètre d’échelle (ou de durée de vie), η > 0 (homogène au temps).

n

n

n

* Densité de probabilité :

β (t ) = η

t – γ η

β – 1

exp –

* Fonction de répartition :

F(t) =1 – exp –

t – γ β η

t – γ β η

pour t ≥ γ

(3.11)

pour t ≥ γ

F(t) =0 pour t <

___________________________________________________________________________ ENIT 2A GI

56

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ 1 * Moyenne : m = γ + η Γ 1 + β

2

1

* Variance : σ 2 = η 2 Γ 1 + β + Γ 2 1 + β Γ (β) =

∞

0

x β – 1e x p ( – x ) d x fonction Gamma

Γ (β) = β – 1 ! pour les valeurs entière de β

Remarques :

Pour la distribution de Weibull à 2 paramètres (soit en faisant un changement de variable t 1 = t – γ ou si γ = 0 ), on fait la transformation suivante : Y = ln ln

1 = ln – ln R(t) 1 – F(t)

X = ln (t)

On obtient une relation linéaire : Y = β X – ln (η )

Il existe un papier graphique (graphique d’Allan Plait) dont les ordonnées sont proportionnelle à Y et graduées en F(t), et les abscisses sont proportionnelle à X et graduées en t (figure 3. 3) . Si l’on porte sur ce graphique des points (t i, F(ti)), ces points s’alignent sensiblement sur une droite, si les durée de vie suivent une distribution de Weibull. La pente de la droite sera proportionnelle à β et l’abscisse du point d’intersection de la droite avec l’ordonnée Y = 0, soit F(t) = 0.632 correspondra au paramètre d’échelle η. De plus ces graphiques comportent un rapporteur d’angle permettant de mesurer β.

___________________________________________________________________________ ENIT 2A GI

57

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ F(t) (en%) -2.0

99.9 99.0

-1.0

0.0

1.0

2.0

3.0

Y

4.0

X 1.0

90.0 0

0.0

50.0 30.0

- 1.0

0.5 β = 2.5

10.0 1.0 5.0

- 2.0 - 3.0

2.0 3.0 4.0

- 4.0

1.0 - 5.0

0.5

0.1 0.1

-6.0

η=4.8

0.2

0.5

2

t 5

10

20

50

100

Figure 3.3 : Représentation sur graphique à échelle fonctionnelle de la distribution de Weibull (graphique d’Allan Plait)

4. RELATIONS FONDAMENTALES DANS LE DOMAINE DE LA SURETE DE FONCTIONNEMENT 4.1. Définition et principales caractéristiques 4.1.1. Fiabilité d’une entité E

D’un point de vue mathématique, la fiabilité est une probabilité (notée P) fonction du temps, que l’on désigne par R(t) R(t) = P [ E non défaillante sur [0,t], en supposant qu’elle n’est pas défaillante à l’instant t=0 ];

- L’aptitude contraire est appelée Défiabilité et sera notée R(t) : R(t ) = 1 – R(t ) = F(t)

___________________________________________________________________________ ENIT 2A GI

58

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

* Probabilité de défaillance : F(t) = 1 – R(t)

Elle représente la fonction de répartition de la v.a. instant de défaillance * Densité de probabilité de défaillance : (t)=

dF(t) dR(t) =– dt dt

Remarques :

- R(t) est une fonction non croissante variant de 1 à 0 sur [0,+ ∞[ - lim R(t) = 0 t → + ∞

- La probabilité de voir un dispositif cesser de fonctionner avant le temps t est égale à F(t), mais la probabilité de voir le même dispositif cesser de fonctionner entre t et t+dt est égale à f(t).dt. - La probabilité f(t) dt de voir une entité cesser de fonctionner entre t et t+dt est égale au produit de la probabilité de fonctionnement de cet appareil au temps t, soit R(t), par la probabilité λ(t) dt de voir cette entité cesser de fonctionner entre t et t+dt, s’il a fonctionné jusqu’à t. f(t) dt = R(t) λ(t) dt * Loi de survie et Fiabilité :

Considérons à un instant t donné le nombre N(t) de dispositifs en fonctionnement et soit N(0) le nombre de dispositifs qui fonctionnent à t = 0, il vient : R(t)=

N(t) N(0)

Ce rapport constitue un estimateur de la fiabilité à l’instant t. Densité de probabilité des durées de vie:

La probabilité pour qu’une entité soit défaillante entre t et t+dt est égale à f(t).dt avec f(t) = - dR(t)/dt représente la densité de probabilité des durées de vie. Un calcul approximatif de f(t) pour l’intervalle de durée de vie s’étendant de ti-1 à ti est donné par : f(t)= f(t i – 1

R( t i – 1) – R (t i ) < t < t i) = t i – t i – 1

___________________________________________________________________________ ENIT 2A GI

59

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

Soit, en désignant par N(ti) le nombre de survivants pour une durée de vie t i: f(t)=

ni 1 N(t i – 1) – N (t i) = N(0) t i –t i – 1 N(0) ∆t i

avec : ni = N(ti-1) – N(ti) : nombre de défaillance dans le i ème intervalle. ∆ti = ti – ti-1 : durée du ième intervalle. N(0) : nombre initial des entités essayées. (Voir exemple 3.5) 4.1.2. Disponibilité d’une entité A(t) = P[E non défaillante à l’instant t];

- L’expression 1 - A(t) est l’Indisponibilité et sera notée A(t) - dans le cas d’une entité irréparable : A(t) = R(t) - dans le cas général (entité réparable, par exemple), on a la relation suivante: A(t) ≥ R(t)

En effet, une entité contribue à la disponibilité A(t), mais non à la fiabilité R(t) si l’entité tombe en panne avant le temps t puis est réparée pour être disponible au temps t. 4.1.3. Maintenabilité d’une entité E:

La maintenabilité (maintenability) d’une entité repérable est caractérisée par une probabilité M(t) que la maintenance d’une Entité E accomplie dans des conditions données, avec des procédures et des moyens prescrits, soit achevée au temps t, sachant que E est défaillante au temps t = 0. M(t) = P [E est réparée sur [0.t];

on a aussi : M(t) = 1 - P [E non réparée sur [0.t]]

- L’expression de 1 - M(t) est l’Immaintenabilité et sera notée M(t) - M(t) est une fonction non décroissante variant de 0 à 1 sur [0,+ ∞ [ - M(0) = 0 car l’entité E est défaillante à t = 0 - lim M(t) =1 t → + ∞

___________________________________________________________________________ ENIT 2A GI

60

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

4.2. Définitions du MTTF, MTTR, MUT, MDT, MTBF

: Durée moyenne de fonctionnement d’une entité avant la première défaillance ( Mean Time To Failure) MTTR : Durée moyenne de réparation (Mean Time To Repair) MUT : Durée moyenne de fonctionnement après réparation (Mean Up Time) MDT : Durée moyenne d’indisponibilité (Mean Down Time) Cette durée correspond aux phases suivantes : - détection de la panne - réparation de la panne - remise en service Le MDT traduit en fait la moyenne des durées des indisponibilités consécutives à des défaillances. MTBF : Durée moyenne entre deux défaillances consécutives d’une entité réparée (Mean Time Between Failure) MTTF

Ces différentes notions sont illustrées par le schéma suivant (figure 3.4) :

DÉFAILLANCE

REMISE EN SERVICE

0

DÉFAILLANCE

Temps

MTTF

MDT

MUT MTBF

Figure 3.4. : Représentation du MTTF, MUT, MDT, MTBF Quelques commentaires : - Le MUT est différent du MTTF; lorsqu’un système est remis en service après

réparation, tous les composants défaillants n’ont pas été nécessairement réparés et le ___________________________________________________________________________ ENIT 2A GI

61

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

MUT caractérise cette durée moyenne de fonctionnement jusqu’à la prochaine défaillance. Le MTTF caractérise la durée moyenne de fonctionnement d’un système qui aurait été complètement réparé avant la remise en service. - On a la relation suivante : MTBF = MUT + MDT - Une autre signification est parfois donnée à MTBF : Moyenne des Temps de Bon fonctionnement. Cette définition est celle que nous donnons au MTTF ou au MUT. Cependant, pour de nombreux systèmes, MDT est faible devant MUT; la différence entre MTTF et MTBF est donc également faible. 4.3. Densité de défaillance et de réparation, MTTF et MTTR

Soit T la variable aléatoire mesurant la durée de fonctionnement de l’entité : R(t) = P[T>t]

(3.12)

La fonction de répartition de la variable aléatoire T s’écrit : F(t) = P[T ≤ t] = 1 Š R(t) = R(t)

La densité de défaillance U(t) s’écrit : U(t)=

dF dR dR (t) = (t) = Š (t) dt dt dt

Ainsi, U(t) dt est la probabilité que la première défaillance de l’entité survienne durant le petit intervalle de temps [t, t+dt], sachant que l’entité est en fonctionnement au temps t = 0. On en déduit alors le MTTF : MTTF =

+∞ 0

t U(t) dt

D’où : +∞

MTTF = Š

t 0

dR(t) dt dt

On montre en intégrant par partie, que : MTTF =

+∞ 0

R(t ) dt – t R(t )

∞

0

Supposons que le MTTF est défini; t R(t) tend vers zéro quand t tend vers l’infini. D’où : MTTF =

+∞ 0

R(t) dt

(3.13)

___________________________________________________________________________ ENIT 2A GI

62

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ Remarque :

Pour calculer le MTTF , il suffit de calculer le temps total de fonctionnement T de toutes les entités et de le diviser par le nombre d’entité défaillantes N d. T = N

θ=

Σ N(t i – 1) +N(t i ) ∆t i i

2 N

Avec : T : La durée total de fonctionnement des entités survivantes N : Le nombre d’entités défaillantes Puisque

N(t i – 1) +N(t i ) représente la fiabilité moyenne entre t i-1 et ti, on 2 N

obtient : θ=

+∞ 0

R(t) dt

De la même manière, on définit la densité de réparation G(t); on a : dM (t) dt

G(t)=

Ainsi, G(t).dt est la probabilité que la réparation soit achevée durant l’intervalle de temps [t, t+dt] sachant que l’entité est défaillante au temps t = 0. On en déduit le MTTR : MTTR=

∞

0

t G(t) dt

On montre, en intégrant par partie que : MTTR=

∞

0

1 Š M(t) dt

(3.14)

4.4. Taux de défaillance et de réparation 4.4.1. Taux de défaillance (instantané) :

C’est la limite, si elle existe, du quotient de la probabilité conditionnelle pour que l’instant T d’une défaillance d’une entité soit compris dans un intervalle de temps donné [t, t+∆t], par la durée de l’intervalle de temps, lorsque ∆t tend vers zéro en supposant que l’entité n’a as eu de défaillance sur [0,t]. ___________________________________________________________________________ ENIT 2A GI

63

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ 1 E est défaillanteentre t et t + ∆t sachant P ∆ t qu' ellen' a pas eu de défaillancesur [0,t] ∆t → 0

λ(t) = lim

Il en résulte en utilisant le théorème des probabilités conditionnelles : E est défaillanteentre t et t + ∆t et 1 E non défaillante sur [0,t] λ(t) = lim P E non défaillante sur [0,t] ∆t → 0 ∆ t P

D’où : 1 1 λ(t) = lim ∆t → 0 ∆ t R(t)

P [E est défaillante sur [0,t + ∆t]] – P [E est défaillante sur [0,t ]] R(t) – R(t + ∆ t) ∆t.R(t)

λ(t) = lim ∆t → 0

dR(t) – dt λ(t ) = R(t)

(3.15)

Ce taux de défaillance est aussi appelé “ taux de défaillance instantané ” Remarque :

On calcul approximativement le taux de défaillance, pour l’intervalle de durée s’étendant de ti-1 à ti par : f(t) R(t )

λ(t ) =

Avec : ni (t ) = N(0) ∆t R(t i – 1 ) + R(t i ) R(t ) = 2

Où R(t) représente la fiabilité moyenne dans l’intervalle [t i-1 , ti]. Soit

___________________________________________________________________________ ENIT 2A GI

64

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ 2.n i ni = λ (t) = N(t ) + N ( t ) ∆ t T i i –1

Avec T i =

i

i

N(t i – 1) + N ( t i ) ∆t i représente la durée de fonctionnement totale des 2

entités survivantes pendant l’intervalle ∆ti (Exemple 3.5). 4.4.2. Taux de réparation (instantané) :

C’est la limite, si elle existe, du quotient de la probabilité conditionnelle pour que l’instant T d’achèvement de la réparation d’une entité soit compris dans un intervalle de temps [t, t+ ∆t], par la durée de l’intervalle de temps, lorsque ∆t tend vers zéro, en supposant que l’entité a été en panne sur [0.t], µ(t) = lim ∆ t → 0

1 E est réparéeentre t et t + ∆t sachant P ∆t qu'elle a été en panne sur [0,t]

Précisons que l’entité est supposée défaillante au temps t = 0 et en panne jusqu’au temps t. On montre, en utilisant le théorème des probabilités conditionnelles, que : d M (t) dt µ (t) = 1 – M (t)

(3.16)

Ce taux de réparation est aussi appelé “ taux de réparation instantané ”. Remarque :

Le taux de réparation peut s’assimiler à la proportion d’entités réparées sur [t, t+∆t] rapportées aux entités non réparées à l’instant t. 4.5. Intensités de défaillance et de réparation 4.5.1. Intensité de défaillance

C’est la limite, si elle existe, du quotient de la probabilité conditionnelle pour que l’instant T d’une défaillance d’une entité soit compris dans un intervalle de temps donné [t, t+∆t], par la durée de l’intervalle de temps, lorsque ∆t tend vers zéro sachant que l’entité est en fonctionnement au temps t = 0. ___________________________________________________________________________ ENIT 2A GI

65

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

L’intensité de défaillance W(t) suppose que l’entité est en fonctionnement au temps t = 0 (ou plus généralement à l’état normal), tandis que le taux de défaillance admet, en plus, que l’entité n’a pas eu de défaillance sur [0,t]. L’intensité de défaillance W(t) est encore appelée “ intensité de défaillance inconditionnelle” (unconditionned failure intensity) par opposition à l’intensité de défaillance conditionnelle qui admet, de plus, que l’entité est en fonctionnement au temps t. L’intensité de défaillance W(t) permet de calculer le nombre prévu de défaillance. En effet, soit N D(t, t+dt) le nombre prévu de défaillance d’une entité réparée, sachant que l’entité est en fonctionnement au temps t = 0. ∞

N D t, t + dt = Σ i . P i défaillancesdurant [t, t + dt] / C i= 1

C étant l’événement : “l’entité est en fonctionnement au temps t = 0” Au moins une défaillance se produit dans l’intervalle de temps [t, t+dt]. D’où : N D t, t +dt =P une défaillancedurant [t, t +dt] / C N D t, t + dt = W(t) dt

Ainsi, le nombre prévu de défaillances durant l’intervalle de temps [t 1,t2] est: N D t 1 , t 2 =

t 2 t 1

W (t) dt

Pour une entité non réparable, l’intensité de défaillance coïncide avec la densité de défaillance U(t); N D(0.t) pour une telle entité est égale à la défiabilité R(t) et tend vers un lorsque t tend vers l’infini. Pour une entité réparable, N D(0,t) tend vers l’infini lorsque t tend vers l’infini. 4.5.2. L’intensité de réparation :

C’est la limite, si elle existe, du quotient de la probabilité conditionnelle pour que l’instant T d’achèvement de la réparation d’une entité soit compris dans un intervalle de temps donné [t, t+ ∆t], par la durée de l’intervalle de temps, lorsque ∆t tend vers zéro, sachant que l’entité est en fonctionnement au temps t = 0. L’intensité de réparation V(t) suppose que l’entité est en fonctionnement au temps t = 0 (ou plus généralement dans un état normal), tandis que le taux de réparation admet que l’entité a été en panne sur [0,t]. L’intensité de réparation V(t) est encore appelée “I ntensité de réparation inconditionnelle”; “unconditionnal repair intensity” par opposition à l’intensité de réparation conditionnelle qui admet, de plus, que l’entité est en panne au temps t. ___________________________________________________________________________ ENIT 2A GI

66

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

On définit un nombre prévu de réparations de manière analogue à la définition du nombre prévu de défaillances : t 2

N R t 1 , t 2 =

V (t) dt

t 1

4.6. Principales relations

Les considérations précédentes permettent de déduire les relations suivantes: t

R(t) = exp –

0

U(t ) = λ(t) exp –

λ(u).du t

0

G (t) = M (t) exp –

(3.18)

µ (u).du

(3.19)

M(u).du

(3.20)

t 0

(3.17)

λ (u).du

0 t

M (t) = 1 – exp –

Les relations entre F(t), R(t), f(t) et λ(t) sont illustrées dans le tableau 3.1 : Fonction

F(t)

R(t)

F(t)

f(t) t

1 – R(t)

0

f(u).du

∞

R(t)

1 – F(t)

f(t)

dF(t) dt

λ (t)

dF(t) R'( t) dt – R (t) 1 – F(t)

t

f(u).du

dR(t) – dt

λ (t)

1 – exp – exp –

t 0

λ(t) exp –

t 0

λ (u).du

λ(u).du t 0

λ(u).du

f(t) +∞ t

f(u).du

Tableau 3.1 : Relations entre F(t), R(t), f(t) et λ( t) Exemple 3.5 : Estimation de la fiabilité par l a loi de survie

On considère un essai de N(0)=200 lampes à incandescence placées sur un banc d’essai. Toutes les 100 heures, on notes le nombre N(t) de lampes qui fonctionnent encore. Les résultats relatifs à la fiabilité sont illustrés dans le Tableau 3.2 et les figures 3.5 ___________________________________________________________________________ ENIT 2A GI

67

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

Durées Nombre d’essais de h survivants

Fiabilité cf fig 3.6

0 100 200 300 400 500 600 700 800 900 1000 1100

200 190 188 187 186 184 180 162 99 46 18 6

1.000 0.950 0.940 0.935 0.930 0.920 0.900 0.810 0.495 0.230 0.090 0.030

1200

0

0.000

Nombre Densité de Taux de de probabilité défaillance cf fig 3.5.b défaillants cf fig 3.5.a 10 2 1 1 2 4 18 63 53 28 12

0.000 50 0.00010 0.00005 0.000 05 0.000 10 0.000 10 0.000 20 0.000 90 0.003 15 0.002 65 0.001 40

6

0.000 30

0.000 513 0.000 106 0.000 053 0.000 054 0.000 108 0.000 220 0.001 053 0.004 828 0.007 310 0.008 750 0.010 000 0.020 000

Tableau 3.2 : Fiabilité, densité de probabilité et taux de défaillance d’un lot de 200 lampes à incandescence placées sur un banc d’essais

f(t)

λ(t)

0.005

0.02

0.01

0 0

500

1000

t(h)

Figure 3.5.a. : Densité de proba bilité f(t) des durées de vie d’un lot de lampes

0

0

500

1000

Figure 3.5.b: Taux de défaillanceλ (t) d’un lot de lampes

Figure 3.5 : f(t) et λ (t) d’un lot d lampes

___________________________________________________________________________ ENIT 2A GI

68

Dr. K. Bourouni

t(h)

Chapitre 3


___________________________________________________________________________

La fiabilité R(t) du lot des lampes en fonction de la durée d’essai t, (ou loi de survie) est illustrée sur la figure 3.6. R(t) 1

0.5

0 0

500

1000

t(h)

Figure 3.6 : Fiabilité R(t) d’un lot de lampes en fonction de la durée d’essai t, ou loi de survie 4.6.1. Relations entre les intensités de défaillance et de réparation :

Une entité peut tomber en panne dans l’intervalle de temps [t, t+dt] selon deux scénarios différents : - l’entité a été réparée dans l’intervalle de temps [x, x+dx], est en fonctionnement jusqu’au temps t, puis tombe en panne, - l’entité est en fonctionnement sur l’intervalle de temps [0,t], puis tombe en panne. On admet que l’entité est dans un état normal au temps t = 0. La probabilité du premier scénario est V(x) dx U(t-x) dt puisque : - V(x) dx est la probabilité que l’entité soit réparé durant l’intervalle de temps [x, x+dx], l’entité étant en fonctionnement au temps t = 0 - U(t-x) dt est la probabilité que l’entité fonctionne jusqu’au temps t et tombe en panne durant l’intervalle de temps [t, t+dt], l’entité étant en fonctionnement au temps t =0 et ayant été réparée au temps x. La probabilité du deuxième scénario est U(t) dt. D’où : ___________________________________________________________________________ ENIT 2A GI

69

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ W(t) dt = U(t) dt + dt

t 0

V(x) U(t Š x) dx

Soit W(t) = U (t)+ dt

t 0

U(t Š x) V(x) dx

De manière analogue, considérons une entité tombant en panne dans l’intervalle de temps [x, x+dx] en réparation jusqu’à l’instant t et réparée dans l’intervalle de temps [t, t+dt]. On en déduit: V(t) =

t 0

G(t Š x) W(x) dx

On a ainsi obtenu les égalités suivantes : W(t) = U (t)+ dt V(t) =

t 0

t 0

U(t Š x) V(x) dx

G(t Š x) W(x) dx

Les intensités de défaillance et de réparation sont déduites, de manière itérative, de ces deux équations quand les densités de défaillance U(t) et de réparation G(t) sont données. 4.6.2 Calcul de l’indisponibilité :

On démontre que A(t) = ND(0,t) - NR(0.t)

(3.21)

C’est-à-dire que : A(t) =

t 0

W(x) Š V(x) dx

5. TAUX DE DEFAILLANCE ET MTTF POUR LES PRINCIPALES LOIS DE PROBABILITE

Pour représenter les différents comportements de matériels, il est d’usage d’utiliser les lois de probabilité suivantes : - Loi exponentielle ; - Loi normale ; - Loi de Weibull ; - Loi de Poisson. ___________________________________________________________________________ ENIT 2A GI

70

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

E X P O N E N T I E L L E

Fonction de Répartition F (t) = P [ T < t ] LOIS CONTINUES

Densité de Probabilité f (t) = dF(t)/dt

F(t)=1 –e – λ0t

F R(t) =1 – F(T) = e – λt

f(t) = λ e – λt

f

(R(t) =fiabilité)

Taux de Défaillance

λ

N O F R M 1 A L 0.5 E

exp – – ∞

f(t) =

1 x – m 2 dx 2 σ

m=

f

λ

t

1 1 t –m 2 exp – ; 2 σ σ 2π

Σ t i k

;σ=

exp –

Σ t i – m 2

λ(t)

k –1

2

1 t–m 2 σ t

λ(t) =

exp – – ∞

1

2

1 x – m 2 σ

dx

σ 2π

0.68

m

m- σ m m+ σ

t

F(t)=1– exp –

t – γ β η

W E I F B 1 U L L

Cas particuliers : β = 1, η , γ = 0, λ =

β = 2, λ =

f

β=0.2

2

λ(t ) croissant λ(t ) cste λ(t ) décroissant

1

β

λ(t)

, γ = 0

3

2 1.5 1.1 1 0.9

β=1

0.5 0.1

t

t t β β – 1 – θ t

θ β t β – 1 – θ t (t)= e Γ (β)

dx

Γ ( β) = ( β – 1) ! – ( β – 1) Γ ( β – 1)

λ(t)

λ(t)=

β=5

∞

Γ (β) u(t) dt

E (θt) = β = V( θ t) β=0.5 β=2.0 β=5.0

t

θ β t β – 1 e – θ t t

β=0.5

0.05

10 20 30 40 50

t

f

β=0.5

β=1

γ =0, η = 1

β=3

β=1 β=3

0

si β > 1 si β = 1 si β < 1

1 MTBF = E(t) = γ + η Γ (1 + )

η2

β=1,5

e Γ (β)

β t – γ β – 1 η η

⇔ LoideRayleigh γ =0, η = 1

β=0.5

θ x

λ( t ) =

η ⇔ Loi Exponentielle β = 3,25, η = 1 , γ = 0 ⇔ Loi Normale

γ =0, η = 1

F(t) =

t

t

β t – γ β – 1 t – γ β exp – η η η

f(t) =

β : paramètrede forme η :paramètred'échelle γ :paramètrede localisation

G A F M M 1 A

1

t

Normale centrée réduite t

MTBF =

λ

t

1 F(t) = σ 2π

λ(t)= λ

λ(t)

10 20 30 40 50 t

β=2

β=5

10 20 30 4 0 50

t

Tableau 3.3: Distributions de probabilité : Lois continues

___________________________________________________________________________ ENIT 2A GI

71

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

Le tableau 3.3. donne pour des lois fréquemment utilisées en Sûreté de Fonctionnement (lois exponentielle, normale, log-normale, de Weibull) les expressions et les allures : - de la densité de fonctionnement U(t) - de la défiabilité R(t) - du taux de défaillance λ(t) Le MTTF est également indiqué pour chaque loi. On rappelle que ces lois sont relatives à la variable aléatoire T mesurant la durée de fonctionnement de l’entité. 5.1. Loi Exponentielle 5.1.1. Propriétés de la loi * Densité de probabilité : (t)= λ0 e – λ0t

* Fonction de répartition : F(t) = 1 – e – λ0t * Fiabilité (loi d’usure) : R(t ) = e – λ0t * Temps moyen de fonctionnement avant la première défaillance : +∞

MTTF =

0

R(t ). dt = –

1 λ0

∞

e – λ0t 0 =

1 λ0

1 λ

) t ( R

λ

) t (

) t ( f

λ

t 2 λ t

1

3

a Probabilité de survie R(t)

1

2 λ t

b densité de probabilité

3 f(t)

1

2

c taux de défaillance λ(t)

Figure 3.7 . Utilisation de la loi exponentielle dans le calcul de fiabilité

___________________________________________________________________________ ENIT 2A GI

72

Dr. K. Bourouni

3

Chapitre 3


___________________________________________________________________________ Exemple 3.6 :

Un équipement doit avoir une fiabilité de 0.98 pour une mission de 10 heures. Déterminer la MTTF de cet équipement Solution 3.6 : R(t ) = e – λ0t ⇔ 0.98 = e – 10 λ0 ⇒ λ = 0.002 défaillance/ h 0 θ0 =

1 λ0

= 500 heures

5.1.2. Application à la fiabilité : Calcul de la distributions des durées de réparation

La distribution exponentielle est très utilisée dans la distribution des durées de réparation. En effet, le taux de réparation est supposé constant. * Distribution de probabilité :

g(t)= µ exp ( – µ t)

* Fonction de maintenabilité : M(t) = 1 – exp – µ t * Durée moyenne de réparation :

MTTR =

1 µ n

* Estimation du MTTR à partir de n durées mesurées t i : MTTR = Σ i= 1

t i n

5.2. Loi normale ou loi de Laplace-Gauss 5.2.1 Application à la fiabilité :

La distribution normale est utilisée pour représenter la distribution des durées de vie de dispositifs en fin de vie (usure) car le taux de défaillance est toujours croissant. On ne l’utilisera que si la moyenne des durées de vie est supérieure à 3 fois l’écart type. 1 1 t –µ exp – * Densité de Probabilité : (t)= 2 σ σ 2π

2

* Moyenne : µ * Variance : σ2 ___________________________________________________________________________ ENIT 2A GI

73

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ 5.2.2. Variable normale centrée réduite (de moyenne 0 et d’écart type 1) :

1 u2 exp (– ) * Densité de probabilité : ϕ (u) = 2 2π

* Fonction de répartition : Φ (u) = t–µ

* Fiabilité : R(t ) = 1 – Φ σ

=Φ 1

* Taux de défaillance : λ(t ) = σ

ϕ Φ

u 0

ϕ(x) dx

µ – t σ

t –u σ

t–u σ

La représentation graphique de R(u), f(u) et σ λ(u) est illustrée sur la figure 3.8 : 1

) u (

0.5

λ σ

3 ) u ( R

) u ( f

2 1

-3

-2 -1

0

1

2

a Fiabilité R(u)

3

-3

-2 -1

0

1

2

b densité de probabilité

3 f(u)

-3

-2 -1

0

1

c taux de défaillance (u) x écart type σ

Figure 3.8 : Représentation graphique de R(u), f(u) et σ λ (u) Exemple 3.7 :

La durée de vie d’un dispositif suit une loi normale de moyenne µ = 1 000 h et d’écart type σ = 200 h. Calcuer sa fiabilité pour une mission de 700 h. Solution 3.7 :

Pour une mission t = 700 h, sa fiabilité sera : R(700) = 1 – Φ

700 – 1000 1000 – 700 =Φ = Φ 1.5 200 200

D’après la table statistique (Annexes 3.3) de la loi normale réduite, on relève: Φ(1,5) = 0,9332

___________________________________________________________________________ ENIT 2A GI

74

2

Dr. K. Bourouni

3

Chapitre 3


___________________________________________________________________________

A la fin de cette mission, le taux de défaillance sera : 1 0.1295 ϕ (1.5) = (700) = = 6.475.10 – 4 200 200

f(700) 6.475.10 – 4 λ(700) = = = 6.94 10 – 4 défaillancepar heure R(700) 0.9332

5.3. Loi de Weibull 5.3.1. Application à la fiabilité : Suivant les valeurs de β, le taux de défaillance est soit décroisant (β < 1) , soit constant (β = 1), soit croissant (β > 1 ). La distribution de Weibull permet donc de

représenter les trois périodes de vie d’un dispositif (courbe en baignoire cf Figure 1.14). t – γ β

* Fiabilité : R(t ) = exp –

η

pour t ≥ γ ; R(t) = 1 pour t < γ

β t – γ * Taux de défaillance : λ(t ) =η η

β – 1

pour t ≥ γ ;

* La durée de vie correspondant à la fiabilité R est : E = γ + η – ln R 1 / β Ces trois fonctions sont représentées sur la figure 3.9 1

2.5 1

2

β = 2

β

1.5

) t ( f ) t ( R

β

β = 0 .

= 1

5

1 a fiabilité R(t)

2

) t (

λ

β=1

1

β

= 0 .5

β = 1 β =

2 =

β = 0.5

0.5

t

t

t

2

1 b densité de probabilité

2 f(t)

1 c taux de défaillance λ(t)

Figure 3.9 : Principales propriétés de la distribution de Weibull

___________________________________________________________________________ ENIT 2A GI

75

Dr. K. Bourouni

2

Chapitre 3


___________________________________________________________________________ Exemple 3.8 : Usure d’une pompe à eau

Les garnitures mécaniques d’une pompe à eau subissent un phénomène d’usure accéléré, bien représenté par une loi de Weibull. Les temps d’observation du comportement de ces garnitures débutent en même temps que leur mise en service ( γ = 0), et leur durée de vie moyenne est de 10 000 heures. Sachant que le processus de détérioration est un processus de vieillissement dont la cinétique est telle que β = 2, quelle est la probabilité de défaillance à 5 000 heures ? Solution 3.8 : L’espérance mathématique de la durée de vie moyenne est : E(t) = γ + η Γ

1 +β β

= 0 + η Γ

1 +2 =10.000 2

D’après la table de la loi gamma : Γ 3/2 =0.88 D’où l’on déduit : η =11 360 heures La probabilité de défaillance après 5 000 h est donc : 5000 2 F(t) = 1 – exp – = 1 – exp – =0.18 η 11360 t β

Il y a donc 18 chances sur 100 pour que ces garnitures soient défaillantes après 5 000 h d’utilisation. Cette valeur servira à la prise de décision quant à leur fréquence de remplacement. 5.4. La Loi log normale : Distribution des durée de réparation * Distribution log normale : elle représente bien les durées de réparation, avec

un taux de réparation croissant au départ, puis passant par un maximum. Elle est caractérisée par le fait que le logarithme des durées suit une loi normale. * Densité de probabilité :

g(t)=

1 t σ

1 lnt–m exp – σ 2 2π

2

Si l’on désigne par ϕ(u) la distribution normale réduite et par F(u) la fonction de répartition correspondante sachant que la variable réduite : ___________________________________________________________________________ ENIT 2A GI

76

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ u lnt–m 1 u2 u= ; ϕ(u)= exp – ; Φ(u) = ϕ(x) .dx n σ 2 0 2π ϕ(u) On obtient : g(t)= t σ * Fonction maintenabilité : M(t) = Φ(u ) * Taux de réparation : µ(t) =

ϕ (u) t σ 1 – Φ(u) 2

* Durée moyenne de réparation : MTTR = exp m +

σ

2

Remarques :

- La loi exponentielle est très souvent utilisée dans les calculs car ceux-ci s’en trouvent grandement simplifiés. Cependant, cette loi ne décrit ni le cas de composants jeunes (défaillances précoces) dont le taux de défaillance diminue dans le temps, ni le cas de composants vieux dont le taux de défaillance augmente dans le temps (dû à l’usure) Avec cette loi on obtient : R(t) = e

Š λ t

MTTF =

1 λ

De même, si l’on suppose que le taux de réparation µ(t) est une constante µ, on en déduit : M(t) = 1 Š e 1 MTTR =

Š µ t

µ

On note également τ la durée moyenne de réparation ( τ = 1/µ). - La loi normale convient à des composants usés dont le taux de défaillance augmente avec le temps. - La loi de Weibull a les caractéristiques suivantes : * β <1 : le taux de défaillance est décroissant avec le temps; * β > 1 : le taux de défaillance est croissant avec le temps. Cette loi correspond généralement bien aux composants mécaniques pour ___________________________________________________________________________ ENIT 2A GI

77

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

lesquels les taux de défaillance sont rarement constants.

6. FIABILITE ET DISPONIBILITE D’UNE ENTITE

On distingue généralement trois classes d’entités : - l’entité est irréparable - l’entité est réparable : la réparation est entreprise lorsque l’on détecte la panne et l’entité est, à la fin de la réparation, remise en service en étant aussi “neuve” qu’avant; - l’entité est en attente et est périodiquement testée : on admet que l’entité est à l’arrêt et qu’un test est périodiquement effectué (démarrage de l’entité). On évalue la fiabilité et la disponibilité de ces entités. Dans un souci de simplification, on admet que les taux de défaillance et de réparation sont constants. 6.1. L’entité est irréparable

Sa disponibilité A(t) est égale à sa fiabilité R(t). On a précédemment vu : A (t) = R(t ) = e – λ t

6.2. L’entité est réparable

Le théorème des probabilités totales permet d’écrire : A(t +dt) = P entitˇ en fonctionnement t et n'a pas de dˇfaillance entre t et t + ∆ t + P entitˇ en panne t et est rˇparˇe entre t et t + ∆t

On suppose que les taux de défaillance et de réparation sont constants : A (t + dt) = A (t) (1 – λ dt) +(1 – A(t)) µ dt dA (t) = µ – (λ + µ)A(t) dt

La résolution peut éventuellement se faire en utilisant la transformation de Laplace. A (t) =

µ λ +µ

–

µ (1 – A(0)) – λ A (0) – (λ + µ) t e λ+ µ

(3.22)

___________________________________________________________________________ ENIT 2A GI

78

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

Supposons que l’entité était disponible à t = 0 (A(0) = 1) A (t) =

µ λ +µ

–

λ λ+µ

e – (λ + µ) t

(3.23)

Nous obtenons la courbe 1 de la figure 3.10. Supposons maintenant que l’entité n’était pas disponible à t = 0 (A(0) = 0) A (t) =

µ λ +µ

1 – e – (λ + µ) t

(3.24)

Nous obtenons la courbe 2 de la figure 3.10. A(t) 1

µ λ +µ

2

t Figure 3.10.: Disponibilité d’une entité

Il est intéressant de noter que : Disponibilité asymptotique : lim A (t) = A (∞) = t → ∞

MTTF = λ + µ MTTF + MTTR µ

(3.25)

Indisponibilité asymptotique : ___________________________________________________________________________ ENIT 2A GI

79

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ MTTR λ ≈ A (∞) = 1 – A (∞) = (3.26) MTTF + MTTR µ

Ainsi : - La disponibilité asymptotique est égale à la proportion du temps pendant lequel l’entité est en état de fonctionner, - L’indisponibilité asymptotique est égale à la proportion du temps pendant lequel l’entité n’est pas en état de fonctionner. On démontre que ces derniers résultats sont également vérifiés (avec des conditions générales) pour des taux de défaillance et des taux de réparation µ(t) non constants.

___________________________________________________________________________ ENIT 2A GI

80

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

1. PROBABILITE D’EVENEMENTS ........................................................ ...................................................... 46 1.1. THEOREME DE POINCARE............................................................................................................. ............... 47 1.2. THEOREME DE PROBABILITE CONDITIONNELLE ......................................................... .................................. 47 1.3. THEOREME DES PROBABILITES TOTALES ......................................................... ............................................ 48 1.4. THEOREME DE BAYES ................................................................................................................................. 48

2. VARIABLES ALEATOIRES ........................................................................................................................ 49 2.1. DEFINITION ................................................................................................................................................. 49 2.1.1. Fonction de répartition : ..................................................................................................................... 49 2.1.2. Densité de probabilité : ....................................................... ........................................................... ..... 50 2.2. ALGEBRE DES VARIABLES ALEATOIRES........................................................... ............................................ 50

3. PRINCIPALES LOIS DE PROBABILITES.................................................... ............................................ 51 3.1. LOIS DISCRETES .......................................................................................................................................... 51 3.1.1. Loi binomiale ...................................................................................................................................... 51 3.1.2. Loi de Poisson ..................................................................................................................................... 52 3.2. LOIS CONTINUES ......................................................................................................................................... 52 3.2.1. Loi exponentielle ................................................................................................................................. 52 3.2.2. Loi normale (ou de Gauss) notée N(m, σ ) .......................................................... .................................. 53 3.2.3. Loi log-normale ......................................................... ........................................................... ............... 55 3.2.4. Loi de Weibull ..................................................................................................................................... 56

4. RELATIONS FONDAMENTALES DANS LE DOMAINE DE LA SURETE DE FONCTIONNEMENT .............................................................................................................................................................................. 58 4.1. DEFINITION ET PRINCIPALES CARACTERISTIQUES...................................................... .................................. 58 4.1.1. Fiabilité d’une entité E........................................................ ........................................................... ..... 58 F(T) DT = R(T) λ(T) DT ....................................................................................................................................... 59 4.1.2. Disponibilité d’une entité .................................................................................................................... 60 4.1.3. Maintenabilité d’une entité E:....................................................... ...................................................... 60 4.2. DEFINITIONS DU MTTF, MTTR, MUT, MDT, MTBF ....................................................... ......................... 61 4.3. DENSITE DE DEFAILLANCE ET DE REPARATION, MTTF ET MTTR .......................................................... ..... 62 4.4. TAUX DE DEFAILLANCE ET DE REPARATION ................................................................................................ 63 4.4.1. Taux de défaillance (instantané) : ........................................................... ............................................ 63 Remarque : .................................................................................................................. .................................. 64 4.4.2. Taux de réparation (instantané) : ....................................................................................................... 65 4.5. INTENSITES DE DEFAILLANCE ET DE REPARATION ....................................................................................... 65 4.5.1. Intensité de défaillance ....................................................................................................................... 65 4.5.2. L’intensité de réparation :................................................................................................................... 66 4.6. PRINCIPALES RELATIONS.............................................................................................................. ............... 67 Exemple 3.5 : Estimation de la fiabilité par la loi de survie ......................................................................... 67 4.6.1. Relations entre les intensités de défaillance et de réparation : ........................................................... 69 4.6.2 Calcul de l’indisponibilité :.................................................................................................................. 70 5. TAUX DE DEFAILLANCE ET MTTF POUR LES PRINCIPALES LOIS DE PROBABILITE .......... 70 5.1. LOI EXPONENTIELLE ................................................................................................................................... 72 5.1.1. Propriétés de la loi .............................................................................................................................. 72 5.1.2. Application à la fiabilité : Calcul de la distributions des durées de .................................................. 73 réparation ..................................................................................................................................................... 73 5.2. LOI NORMALE OU LOI DE LAPLACE-GAUSS ................................................................................................. 73 5.2.1 Application à la fiabilité : .................................................................................................................... 73 5.2.2. Variable normale centrée réduite (de moyenne 0 et d’écart type 1) :

.......................... 74

5.3. LOI DE WEIBULL ......................................................................................................................................... 75

___________________________________________________________________________ ENIT 2A GI

81

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________

5.3.1. Application à la fiabilité : ................................................................................................................... 75 5.4. LA LOI LOG NORMALE : DISTRIBUTION DES DUREE DE REPARATION...................................................... ..... 76

6. FIABILITE ET DISPONIBILITE D’UNE ENTITE .......................................................... ......................... 78 6.1. L’ENTITE EST IRREPARABLE ........................................................ ........................................................... ..... 78 6.2. L’ENTITE EST REPARABLE ........................................................................................................................... 78

___________________________________________________________________________ ENIT 2A GI

82

Dr. K. Bourouni

Chapitre 3


___________________________________________________________________________ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

___________________________________________________________________________ ENIT 2A GI

83

Dr. K. Bourouni

Chapitre 4

Données de Sûreté de Fonctionnement

___________________________________________________________________________

Généralités Elaboration des données Exemple d’un système de recueil de données Sources de données

CHAPITRE 4 : DONNEES DE SURETE DE FONCTIONNEMENT

1. INTRODUCTION Évaluer la Sûreté de Fonctionnement d’un composant requiert l’obtention d’informations sur ce composant. Elles sont relatives à des événements ( défaillances ou pannes) survenant sur ces composants. Leur obtention dépend en partie de la nature des composants. Très schématiquement, la démarche consiste à observer pendant un certain temps de fonctionnement, dans des conditions données, des matériels auxquels on s’intéresse et à répertorier toutes les défaillances ou pannes que subissent ces

___________________________________________________________________________ ENIT 2A GI

86

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

matériels. On obtient ainsi les informations de base qui permettent de quantifier la Sûreté de Fonctionnement. A l’origine, les données cherchées étaient relatives à la fiabilité des composants; d’où le nom de données de fiabilité utilisé pour les qualifier. Lorsque ces données recouvrent d’autres domaines que celui strict de la fiabilité (par exemple les données relatives aux durées de maintenance), on parlera de données de Sûreté de Fonctionnement.

1.1. Composants Schématiquement, on distingue quatre types de composants : 1.1.1. Les composants électroniques : Ces composants (diodes, transistors, etc.) présentent généralement les caractéristiques suivantes : - ils constituent des populations de composants identiques de taille statistique élevée, - ils ne sont pas réparables.

Ces deux facteurs conjugués permettent d’appliquer efficacement des méthodes statistiques simples pour évaluer leur fiabilité. Celle-ci sera souvent déterminée par l’intermédiaire d’essais de fiabilité. 1.1.2. Les composants électriques : Ces composants (ligne électrique, transformateur, etc.) présentent généralement les caractéristiques suivantes : - ils constituent des populations de composants de taille statistique élevée, - ils sont réparables

Généralement, la Sûreté de Fonctionnement de ces matériels sera déduite d’essais de fiabilité ou de l’analyse de l’expérience d’exploitation réelle de ces matériels dans des installations industrielles. 1.1.3. Les composants éléctro-mécaniques actifs :

Ces composants (moto-pompes, disjoncteurs, etc.) présentent généralement les caractéristiques suivantes : ___________________________________________________________________________ ENIT 2A GI

87

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

- ils constituent des populations de matériels identiques de faible taille statistique, - ils sont réparables Ces composants se composent souvent eux-mêmes d’un nombre important de pièces élémentaires, voire d’un système à l’autre; d’où la nécessité de regrouper ces composants dans des classes de composants aux caractéristiques semblables pour évaluer la Sûreté de Fonctionnement d’une population aussi homogène que possible. Ceci peut conduire à des périodes d’observation longues si l’on veut évaluer la Sûreté de Fonctionnement avec une marge d’incertitude faible .

La possibilité de réparer ces composants introduit une première difficulté; en effet, comment doit-on considérer ce matériel après réparation ? La réparation constitue-t-elle une remise à neuf ? La réponse dépend essentiellement de la nature de la panne et de la réparation effectuée. Généralement la Sûreté de Fonctionnement de ces matériels sera déduite de l’analyse de l’expérience d’exploitation réelle de ces matériels dans des installations industrielles. 1.1.4. Les composants mécaniques passifs Il s’agit essentiellement de composants purement mécaniques tels que les tuyauteries, les éléments de supportage, les pièces de structure. Les sollicitations vont les amener à travailler essentiellement en fatigue. Les paramètres qui influent de manière prépondérante sur le comportement de ces matériels sont les contraintes externes liées aux conditions de fonctionnement. Leurs caractéristiques ne sont pas toujours faciles à définir; ils sont souvent difficilement réparables. Par ailleurs, leurs caractéristiques et performances sont souvent propres à des systèmes ou à des installations industrielles (exemple: pièces de structure).

1.2. Recherche de données événementielles Un événement est ici défini comme «une prise de connaissance de variation(s) de caractéristique(s) fonctionnelle(s) d’un ensemble délimité». Citons à titre d’exemple : la défaillance, la panne, la réparation, la substitution, la dérive d’un paramètre, etc. On distingue deux principaux moyens de recherche de données événementielles.

___________________________________________________________________________ ENIT 2A GI

88

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

1.2.1. Les essais de fiabilité Ils sont dessinés à fournir les données événementielles lorsque l’observation du comportement des matériels en exploitation est difficile, voire impossible (matériels nouveaux non exploités par exemple). Selon la façon de réaliser les essais, les traitements mathématiques qui permettront le calcul des paramètres sont différents. On distingue principalement deux types d’essais : - Type I : l’essai se termine au temps T avant que tous les composants (N) soient défaillants ; le critère d’arrêt de l’essai est donc la durée. - Type II : l’essai se termine au temps de la r-ième défaillance (r < N); le critère d’arrêt de l’essai est donc un nombre de défaillances .

Dans le type I, le temps T est fixé et les instants de défaillances correspondent à des variables aléatoires. Dans le type II, le nombre de r de défaillances est fixé et les instants de défaillances correspondent à des variables aléatoires. Dans ce dernier cas, si on suppose que le taux de défaillance est constant, on peut démontrer que les bornes de l’intervalle de confiance sont telles que : 2 χ α (2r) 2

λ inf =

2 T

(4.1)

2

χ 1 – α (2r) λ sup = χ 2α ν

2

2 T

(4.2)

est déduit de la loi χ2 (khi-deux) à ν degré de liberté (Annexes 3.5).

Pour les tests de type I, la limite supérieure de l’intervalle de confiance est obtenue à partir de la loi χ 2 à 2 r +2 degrés de liberté. Par ailleurs, on dit qu’un essai est non censuré lorsqu’il est poursuivi jusqu’à la défaillance de tous les matériels. Remarques : - On peut réaliser des plans mixtes pour lesquels on définit un critère d’arrêt qui est l’obtention d’un nombre déterminé de pannes ou la fin d’une durée fixée si le nombre de pannes déterminé n’a pas été observé au cours de cette durée. - On définit également des essais progressifs pour lesquels la décision d’arrêt dépend des résultats déjà obtenus. ___________________________________________________________________________ ENIT 2A GI

89

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

- Des essais identiques, réalisés dans des conditions de contraintes extérieures différentes, peuvent permettre de déterminer l’influence de l’environnement sur la fiabilité. Cette influence de l’environnement, si elle se révèle très difficile à évaluer matériellement, reste sans nul doute un caractère important et, dans certains cas, primordial. Par ailleurs les essais de fiabilité ne permettent généralement pas de reproduire, avec fidélité, les conditions d’environnement de l’exploitation réelle. En conséquence, les valeurs de paramètres obtenues à partir d’essais présentent toujours le risque d’être mal adaptées à l’application qu’on se propose d’en faire. - Les essais de fiabilité sont souvent très coûteux à la fois en moyens et en temps. Pour ces raisons, on accorde la préférence - lorsque le choix existe bien sûr au recueil de données en exploitation. 1.2.2. Le recueil de données en exploitation On observe alors le comportement des composants dans les conditions réelles d’exploitation et on relève toutes les données événementielles qui, après traitement, donneront accès aux paramètres recherchés. Les paramètres de fiabilité qui en sont déduits sont évidemment fonction des politiques de maintenance préventive, de réparation, de test, etc. qui sont suivies sur ces composants : de tels paramètres peuvent être très différents de ceux résultant d’essais de fiabilité.

2. ÉLABORATION DE DONNEES 2.1. Paramètres de Sûreté de Fonctionnement Afin de caractériser la Sûreté de Fonctionnement d’un composant (ou d’une entité), on cherche à évaluer les paramètres suivants : - taux de défaillance en fonctionnement (symbole λ) - taux de défaillance à l’arrêt (symbole λa) - taux de défaillance à la sollicitation (symbole γ γ γ) - taux de réparation (symbole µ) - MTTF, MTTR, MUT, MDT, MTBF 2.1.1. Taux de défaillance en fonctionnement Ce paramètre exprime la probabilité pour qu’une entité E, qui a fonctionné pendant un temps t, soit défaillante au cours de l’unité de temps qui suit. Mathématiquement, on écrit : ___________________________________________________________________________ ENIT 2A GI

90

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________ 1 E est défaillanteentre t et t + ∆t sachant P qu' ellen' a pas eu dedéfaillancesur [0,t] ∆ t → 0 ∆t

λ = lim

L’hypothèse du taux de défaillance constant est souvent retenue : en effet, elle conduit à des calculs simples et, souvent, le faible nombre de données événementielles ne permet pas de privilégier une autre hypothèse. Dans ce cas un estimateur λ du taux de défaillance est : N f T f

λ=

(4.3)

avec : N f : le nombre de défaillances observées en fonctionnement T f : la durée cumulée de fonctionnement 2.1.2. Taux de défaillance à l’arrêt Sa définition est analogue à celle du taux de défaillance en fonctionnement : 1 E est défaillante entre t et t + ∆t sachant P (4.4) ∆ t qu' elleétait à l' arrêt, en état de fonctionnement sur [0,t] ∆t → 0

λ a = lim

Si l’on admet que le taux de défaillance est constant, un estimateur λ a du taux de défaillance est : N a λa = T a

(4.5)

avec : N a : le nombre de défaillances survenues à l’arrêt T a : la durée cumulée d’arrêt Remarque : Ce paramètre est très difficile d’accès et il convient généralement de distinguer entre : - les pannes latentes : leur détection s’effectue lors de la première sollicitation qui suit leur occurrence; - les pannes immédiatement observables; 2.1.3. Taux de défaillance à la sollicitation ___________________________________________________________________________ ENIT 2A GI

91

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

Ce paramètre exprime la probabilité pour que l’entité E refuse de changer d’état lorsque cela lui est demandé sous forme d’une sollicitation.

Si on admet que ce taux de défaillance est constant, un estimateur γ de ce taux de défaillance est : N ds γ = N s

(4.6)

avec : N ds : le nombre de défaillances observées à la sollicitation N s : le nombre de sollicitations 2.1.4. Taux de réparation Ce paramètre exprime la probabilité pour qu’une entité E, qui a été en panne pendant un temps t, retrouve son aptitude à remplir sa fonction dans l’unité de temps qui suit. Dans le cas d’une entité non réparable, on procède à un remplacement et on parle parfois de taux de substitution.

Mathématiquement, on écrit : 1 E soit réparée, ou remplacéeentre t et t + ∆t P sachant qu' elle a été en panne sur [0,t] ∆t → 0 ∆ t

µ = lim

Si on admet que le taux de réparation est constant, un estimateur µ du taux de réparation est : N r µ= T r

(4.7)

avec : N r : le nombre de réparations T r : la durée cumulée de réparation 2.1.5. MTTF, MTTR, MUT, MDT, MTBF On rappelle que certaines relations simples existent : MTTR =

1 µ

___________________________________________________________________________ ENIT 2A GI

92

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

Dans la majorité des cas, la durée de réparation ( MTTR) et la durée moyenne d’indisponibilité (MDT) sont très faibles devant la durée de fonctionnement ( MTBF). On a alors : MTBF ≈ MUT ≈ MTTF ≈

1

λ

(4.8)

2.2. Lois de probabilités des paramètres Les paramètres peuvent être modélisés par différentes lois de probabilités. Les lois les plus utilisées ont été présentées dans le chapitre précédent. On rappelle qu’il ne suffit pas, pour modéliser une variable aléatoire par une loi; il faut également s’assurer que la variable aléatoire considérée est effectivement régie par cette loi . Dans ce but, il existe des tests d’hypothèses : les deux principaux sont les tests du khi-deux et le test de Kolmogorov-Smirnov. L’utilisation d’un test d’hypothèse s’accompagne de deux risques: - le risque de première espèce : c’est le risque α de rejeter une hypothèse alors qu’elle est vraie; - le risque de seconde espèce : c’est le risque β d’accepter une hypothèse fausse. La quantité 1 - β est alors appelée puissance du test. La loi exponentielle est plus utilisée pour des raisons liées à sa validité et a sa commodité d’emploi. Les observations effectuées sur des composants (surtout électroniques) ont permis d’établir la «courbe en baignoire » donnant l’évolution du taux de défaillance en fonction du temps. On rappelle qu’il existe alors une période « duré de vie utile» pendant laquelle le taux de défaillance est constant. En ce qui concerne les équipements mécaniques et électro-mécaniques, par contre, l’adaptation de cette courbe à l’évolution du taux de défaillance soulève bien des difficultés et controverses. L’hypothèse de l’existence d’une durée de vie utile pendant laquelle le taux de défaillance serai constant n’est pas toujours admise.

2.3. Calcul d’estimateurs et d’intervalles de confiance Il est important d’affecter chaque estimateur d’un intervalle de confiance à un niveau de confiance donné. Par principe, on cherche ainsi à évaluer les bornes d’un intervalle encadrant la valeur de l’estimateur; si on affirme que le paramètre appartient à cet intervalle, il y a une probabilité α pour que l’on se trompe. De ___________________________________________________________________________ ENIT 2A GI

93

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

manière simplifiée, on peut dire que le paramètre cherché aura une probabilité choisie α de ne pas appartenir à cet intervalle. Celui-ci est appelé intervalle de confiance et la quantité (1- α) est appelée niveau de confiance. Abordons maintenant le calcul de l’estimateur et de l’intervalle de confiance d’un taux de défaillance en fonctionnement. Soit : λ : estimateur du taux de défaillance λ sup : borne supérieure de l’intervalle de confiance au niveau de confiance 1- α λ inf : borne inférieure de l’intervalle de confiance au niveau de confiance 1- α On a : λ=

N f nombre de défaillancesen fonctionnement = T f durée cumulée de fonctionnement

(4.9)

Supposons que λ est constant; le nombre de défaillances est distribué suivant une loi de Poisson. On en déduit que les limites de l’intervalle de confiance sont les suivantes : χ

2

2 N f + 2

1–

λ sup =

α

2

2 T f χ

λ inf =

2

(4.10)

2 N f

α

2

2 T f

(4.11)

avec α = P λ ∉ λinf ,λsup Dans le cas d’un taux de défaillance à la sollicitation, en reprenant des notations analogues à celles employées ci-dessus, on écrit : N ds nombre de défaillancesà la sollicitation = N s nombre total de sollicitation

γ =

(4.12)

Le nombre de défaillances étant distribué suivant une loi binomiale, on montre que :

N s

γ inf est la solution de :

Σ

i =N ds

i C N x i 1 – x N s – i = s

α

2

___________________________________________________________________________ ENIT 2A GI

94

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________ N ds

γ sup est la solution de :

Σ C N i x i s

i =0

1 – x N s – i =

i = et C N s

avec : α = P γ ∉ γ inf ,γ sup

α

2

N s! i!(N s – i)!

Exemple 4.1 : On considère une population de pompes qui ont subi 2 défaillances en fonctionnement pour une durée cumulée de fonctionnement de 10.000 heures. On peut écrire : 2 =2.10 – 4 / h 10.000

λ=

Dans la pratique, on cherche souvent à encadrer cette valeur par les bornes de l’intervalle de confiance au niveau de confiance de 0.9 (soit 90%) D’où : χ λ inf =

(4)

0.05

20.000 χ

λ sup =

2

2 0.95

=

0.711 – 5 ≈ 3.6.10 / h 20.000

=

12.6 =6.3.10 – 4 / h 20.000

(6)

20.000

Ainsi, on obtient : Ğ4

λ = 2.10 / h

L’intervalle de confiance est : [ 3,6 10 -5 / h; 6.3 10 -4 / h ] On constate que : λ sup λ inf

≈ 18

On suppose que l’on ait poursuivi l’observation de cette population de pompes et qu’au terme de 70.000 heures de fonctionnement cumulées, on ait recensé 14 défaillances : λ=

14 =2.10 – 4 / h 70.000

___________________________________________________________________________ ENIT 2A GI

95

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________ 2 χ (28) 16,9 0.05 λ inf = = = 1,2 10 – 4 / h 140.000 140.000 χ λ sup =

2 0.95

(30)

140.000

≈

43,8 = 3,1 10 – 4 / h 140.000

Ainsi :

– 4

λ = 2 1 0 / h

Ce qui nous donne comme intervalle de confiance : [ 1.2 10 -4 / h; 3.1 10-4 / h ] On constate que : λ sup λ inf

≈ 2.6

On remarque que la précision des résultats est ainsi nettement améliorée. Remarques : Il arrive que les populations homogènes soient de faible taille et il n’est pas rare qu’aucune défaillance ne se produise, même au cours d’une période d’observation assez longue. L’estimation d’un taux de défaillance à priori se relève alors délicate. Plusieurs méthodes ont été proposées afin de calculer un estimateur du taux de défaillance: - la première consiste à calculer cet estimateur comme la borne supérieure de l’intervalle de confiance unilatérale au niveau de confiance 60 %. Ceci revient, sur le plan pratique, à considérer qu’il s’est produit 0.9 défaillance et la valeur calculée est telle que la valeur réelle a une probabilité égale à 0.4 de lui être supérieure. Cette estimation peut sembler pessimiste. - la deuxième consiste à calculer cet estimateur comme la borne supérieure de l’intervalle de confiance unilatérale au niveau de confiance 50 %. Cette valeur est telle que la valeur réelle a la même probabilité (0.5) de lui être inférieure ou supérieure. L’estimateur se calcule par : χ 2 (2) λ=

0.5

2 T

≈

0.7 T

(4.13)

avec : T : durée de fonctionnement observé ou ___________________________________________________________________________ ENIT 2A GI

96

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________ 1

γ = 1 –

1 / N

2

(4.14)

avec : N : nombre de sollicitations observées Dès que N est grand, cette dernière formule s’écrit également : γ≈

0.7 N

(4.15)

Sur un plan pratique, cette méthode consiste donc à considérer qu’il y a eu sensiblement 0.7 défaillance; cette méthode est très utilisée dans le domaine nucléaire.

2.4. Évaluation par jugement d’experts Ces méthodes se sont développées à partir de l’idée que des experts, confrontés à l’expérience d’entités et donc à leur défaillance et à leur panne, pouvaient être en mesure d’en déduire des paramètres de Sûreté de Fonctionnement. Des expériences ont été menées en Grande-Bretagne (United Kingdom Atomic Energy Authority : UKAEA) en 1967 et aux Etats-Unis en 1977 afin de comparer la fiabilité réellement observée à la fiabilité prédite par des jugements d’experts. Dans la première expérience décrite par Green [1970], 73 experts devaient estimer la fiabilité (sous forme d’un taux de défaillance) de 16 équipements (électriques et mécaniques) essentiellement utilisés dans les systèmes de sécurité du domaine nucléaire. On peut noter les résultats suivants : - il existe une importante dispersion des estimations des experts : le rapport entre la fiabilité prédite et celle réellement observée peut varier de 10 -2 à 70! - si on utilise le rapport moyen, on constate que celui-ci varie de 0.5 à 9; - environ le tiers des estimateurs pour chaque équipement se situe à l’intérieur d’un facteur 2. - dans l’ensemble, les experts sont trop pessimistes, Dans la deuxième expérience réalisée par 62 experts sur 8 équipements de l’aéronautique, il apparut que : - les estimations des experts suivent approximativement une loi log-normale. - le rapport entre la moyenne de la loi log-normale et la valeur observée était comprise entre 0.9 et 5. ___________________________________________________________________________ ENIT 2A GI

97

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

Ces techniques (appelées méthodes de Delphi) ont été utilisées par divers auteurs ( Shooman and Sinkar [1977] et Green [1970]); elles furent employées à grande échelle en 1977 dans le cadre du projet IEEE-500 (Institute of Electrical and Electronics Engineers : IEEE) aux Etats-Unis pour l’obtention de données de fiabilité relatives aux composants électriques et électroniques ainsi que pour les chaînes de mesure des centrales nucléaires (IEEE standard 500). En conclusion, il apparaît préférable, quand c’est possible, d’obtenir des données de fiabilité à partir d’une analyse rigoureuse de l’expérience d’exploitation plutôt que par jugements d’experts. Néanmoins, cette dernière méthode peut être intéressante quand les données sont rares ou quand une grande précision sur cellesci n’est pas requise. L’utilisation des méthodes de type Delphi en conjonction avec des méthodes bayésiennes peut être recommandée; des estimations «à priori» sont élaborées à partir du jugement d’experts et des estimations « à posteriori» en sont déduites à l’aide d’informations «à posteriori»; des travaux ont montré l’intérêt d’une telle approche (Apostolakis [1978]).

3. EXEMPLE D’UN SYSTEME DE RECUEIL DE DONNEES Nous présenterons, comme annoncé, un exemple détaillé : «le Système de Recueil de Données de Fiabilité» (SRDF), mis en place par Électricité de France (EDF) et relatif aux matériels des centrales nucléaires. C’est en 1974 qu’EDF a pris cette décision, la première expérience s’effectuant sur les six tranches nucléaires à eau pressurisée de 900 MWe de Fessenheim et de Bugey. En 1983, il a été décidé d’étendre ce système à toutes les tranches nucléaires à eau pressurisée exploitées par EDF (une quarantaine en 1985). Ce système a pour vocation de permettre un suivi aussi exhaustif que possible du comportement en exploitation d’un certain nombre de matériels choisis en fonction de leur importance vis-à-vis, soit de la sûreté, soit de la disponibilité des tranches. Cette connaissance permet d’en déduire des estimateurs des paramètres de Sûreté de Fonctionnement. Le nombre de matériels suivis est d’environ 1.100 par paire de tranches nucléaires depuis la mise en service réelle du système en avril 1978. Actuellement, ces 1.100 matériels comprennent notamment : 509 robinets (vannes de tous types), 92 pompes, 35 réservoirs, 30 échangeurs, 6 turbines, 4 groupes électrogènes de secours, 102 moteurs, 152 appareils de coupure, 26 transformateurs, etc. En 1982, l’échantillon statistique recueilli représente 24 années x tranches d’expérience ou 150 000 heures de fonctionnement et 4 000 défaillances dont 30% ___________________________________________________________________________ ENIT 2A GI

98

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

concernent la robinetterie; en 1986, il correspond à environ 100 années x tranches d’expérience. Ces équipements présentent en général la particularité d’être munis de compteurs d’impulsion et de compteurs horaires afin de faciliter l’accès aux nombres de sollicitations et aux temps de fonctionnement.

3.1. Collecte de l’information et des données La collecte de l’information porte bien entendu sur les matériels dont la liste est évoquée ci-dessus. Elle s’effectue à l’aide de trois catégories de fiches rédigées par les agents (deux par paire de tranches nucléaires) chargés de collecte de données en centrales nucléaires. 3.1.1. Les fiches signalétiques : Elles sont des véritables cartes d’identité, ces fiches sont établies une fois pour toutes à raison d’une par matériel suivi. Elles en donnent les caractéristiques techniques ou historiques (date de mise en service, entretien, etc.) en précisant les conditions de fonctionnement et fournissent des informations sur l’environnement. Ces fiches permettent de constituer des groupes de matériels identiques sur lesquels porteront les traitements statistiques. 3.1.2. Les fiches de fonctionnement Chaque année, une fiche est remplie pour chaque matériel suivi. Elle résume les principales données de fonctionnement de la tranche nucléaire, et de chaque matériel : elle mentionne principalement le nombre d’heures de fonctionnement et le nombre de sollicitations au cours de l’année écoulée. 3.1.3. Les fiches de défaillance : Ces fiches sont rédigées chaque fois qu’un incident affecte le matériel suivi. Les incidents sont répérés et collectés à partir des ordres de travaux quotidiens rassemblés dans le bureau du chef de quart de la centrale nucléaire. Les agents chargés du SRDF effectuent le tri de ces ordres de travaux et font l’analyse de la défaillance en complétant les informations recueillies éventuellement par les dossiers d’intervention, les consignations, les cahiers de quart, les documents statistiques ou historiques ou les enquêtes sur le terrain. Une fiche est ensuite rédigée à l’aide d’un guide d’analyse logique des défaillances; elle est vérifiée puis introduite directement dans le fichier informatique ___________________________________________________________________________ ENIT 2A GI

99

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

central d’EDF à partir d’un écran, clavier local. En moyenne, 350 fiches de défaillances sont émises par an et par paire de tranches.

3.2. Traitement de l’information Dès qu’une fiche a été introduite dans l’ordinateur, elle fait l’objet d’un certain nombre de tests, réalisés automatiquement et qui permettent de vérifier la cohérence des informations, la présence de renseignements jugés indispensables, etc. A partir des informations contenues dans les fiches signalétiques, l’ordinateur constitue des groupes de matériels identiques, groupes sur lesquels porteront les traitements statistiques. Périodiquement, une récapitulation des défaillances est effectuée pour chaque groupe de matériels identiques. Les informations introduites peuvent à tout moment être vérifiées, modifiées et complétées. Un logiciel permet de plus de consulter les fichiers par l’intermédiaire de questions exprimées sous forme d’équations booléennes. Il est ainsi possible, par exemple, de dresser la liste des défaillances survenues au cours d’une période donnée sur un certain type de matériel appartenant à un système donné. Ce procédé, par sa souplesse, permet d’apporter rapidement des réponses précises à des questions formulées par le personnel d’exploitation.

3.3. Restitution des données Les fichiers ainsi constitués peuvent être interrogés à tout moment et selon de nombreux critères de tri. Divers traitements «à la demande» permettent aux utilisateurs de formuler des questions de nature très variée : - calcul des paramètres de Sûreté de Fonctionnement d’une population de matériels présentant des caractéristiques données : - calcul des paramètres de Sûreté de Fonctionnement d’une population de matériels présentant des caractéristiques données : * taux de défaillance en fonctionnement, * taux de défaillance à la sollicitation, * taux de réparation, * taux d’indisponibilité, - recherche de la loi statistique la mieux adaptée pour représenter la durée de vie d’un ensemble d’équipements donné; les limites d’un intervalle de confiance sont aussi calculées. ___________________________________________________________________________ ENIT 2A GI

100

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

4. SOURCES DE DONNEES On distingue deux types de sources de données : - les banques de données de Sûreté de Fonctionnement : elles sont caractérisées par une évolution de ces données sous la forme de la mise à jour périodique. Dans le domaine nucléaire, ces banques sont nombreuses; les pays ayant engagé d’importants programmes de construction de centrales nucléaires ont généralement ressenti le besoin de disposer de telles banques. Souvent, ces banques se limitent à des données de fiabilité ou de disponibilité; - les documents contenant des listes de données de Sûreté de Fonctionnement: ceux-ci ont été généralement élaborés dans un domaine particulier pour des objectifs spécifiques (étude de fiabilité, évaluation de risque) et peuvent constituer une source importante de données.

4.1. Les banques de données On recense ici les principales banques connues; celle créée par Électricité de France a déjà été évoquée ci-dessus 4.1.1. Banque de données de fiabilité du Centre National d’Études des Télécommunications (CNET)

Cette banque est élaborée grâce à l’exploitation statistique des défaillances des équipements de télécommunications; un recueil de ces données est publié et fait l’objet d’une mise à jour périodique. Très largement orienté vers les matériels électroniques, il concerne notamment les circuits intégrés, les transistors, les diodes, les résistances, les potentiomètres, les composants inductifs, les relais, les commutateurs, les connecteurs, les ventilateurs, etc. Pour tous ces matériels, les taux de défaillance sont donnés sous forme de relations analytiques et d’abaques qui permettent de faire intervenir les caractéristiques technologiques, les conditions d’utilisation, les facteurs (ou coefficients) d’environnement. 4.1.2. Banque de données de fiabilité pour les équipements aux Etats-Unis ___________________________________________________________________________ ENIT 2A GI

101

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

- Military Handbook 217B (MIL HDBK 217B) : ce document considère les composants électroniques employés sur des équipements militaires. Les taux de défaillances sont calculés selon une modélisation bien déterminée. - NPRD 2 (Non electronic Parts Reliability Data (1981)) : ce document concerne les composants mécaniques et électromécaniques employés sur des équipements militaires. Dès 1996, un premier travail de collecte de données de fiabilité des éléments mécaniques a été entrepris; l’expérience de grands organismes américains tels la NASA, la NAVY était prise en compte.

4.1.3. Offshore REliability DAta (OREDA) Cette banque de données est relative aux matériels de plates-formes pétrolières opérant en Mer du Nord et en Mer Adriatique. La première publication a été faite en 1984 et il est prévu une ré-actualisation des données. On y trouve des données de composants intervenant dans les systèmes de sûreté (détection d’incendie, alarmes, lute contre l’incendie, etc.), les systèmes généraux (pompes, vannes échangeurs, compresseurs, etc.), les systèmes électriques (générateurs, transformateurs, etc.), les systèmes auxiliaires, les systèmes de manutention et les équipements de forage. Les données présentées sont généralement des taux de défaillance et des durées de réparation. 4.1.4. System Reliability Service Data Bank (SYREL) Dès 1961, UKAEA (United Kingdom Atomic Energy Authority) en Grande Bretagne a commencé à recenser les incidents sur ses centrales nucléaires. Ce travail a abouti à la création de SYREL à partir de 1987. SYREL est une banque élaborée par «Systems Reliability Service» (SRS). Elle est en réalité constituée d’une banque relative aux données de fiabilité. Les événements sont généralement des ordres de travaux émis dans les différentes installations; celles-ci comprennent des installations nucléaires et sont généralement étendues à d’autres installations industrielles. Il est à noter que la banque de données de fiabilité est régulièrement enrichie de données élaborées à la suite d’enquêtes effectuées dans diverses installations, chez des constructeurs. 4.1.5. Nuclear Plant Reliability Data System (NPRDS) Cette banque de données de fiabilité est réalisée par l’INPO (Institute of Nuclear Power Operations) sur les composants des centrales nucléaires aux EtatsUnis. ___________________________________________________________________________ ENIT 2A GI

102

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

A la fin de 1984, 86 réacteurs nucléaires (réacteurs à eau pressurisée et à eau bouillante) alimentent cette banque qui contient 25.000 comptes rendus de défaillances. A cette même date, quelque 4.000 à 5.000 composants issus d’environ 30 systèmes importants pour la disponibilité ou la sûreté sont suivis. Les comptes rendus de défaillance sont élaborés à partir des ordres de travaux collectés en centrale nucléaire; ils sont ensuite centralisés et vérifiés par les spécialistes de l’INPO. Après des débuts difficiles, la qualité et l’exhaustivité des comptes rendus de défaillance se sont grandement améliorées et cette très importante banque de données est maintenant considérée comme fonctionnant de manière satisfaisante. 4.1.6 European Reliability Data System (ERDS) ERDS a été développée au niveau européen par le centre de recherche d’ISPRA (Italie) de la communauté Européenne depuis 1977. Elle suit des composants de centrales en eau pressurisée et à eau bouillante. Elle est constituée de 4 banques de données : - Component Event Data Bank (CEDB) : cette banque comprend des informations provenant de centrales nucléaires de différents pays de la Communauté Européenne; 2 000 composants de centrales nucléaires ont fait l’objet d’une classification et cette banque est en développement avec le concours de diverses compagnies exploitant des centrales nucléaires. - Abnormal Occurence Reporting System (AORS) : cette banque comprend le compte rendu d’événements significatifs survenant sur un certain nombre de centrales nucléaires de la Communauté Européenne. - Operating Unit Status Report (OURS) : cette banque comprend des informations relatives à la disponibilité de 83 centrales nucléaires européennes (incluant l’Espagne et la Suisse) depuis 1982. - Reliability Parameter Data Bank (RPDB): cette banque en cours de définition comprendra les paramètres de fiabilité de divers composants.

4.2. Les documents sources de données On recense ici les divers documents constituant d’importantes sources de données de Sûreté de Fonctionnement 4.2.1. Évaluation Probabiliste de Risque de centrales nucléaires ___________________________________________________________________________ ENIT 2A GI

103

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

A l’occasion de la première évaluation probabiliste de Risque (ERP) effectuée sur des centrales nucléaires à eau pressurisée et à eau bouillante aux Etats-Unis, un important effort fut effectué pour rassembler et élaborer des données de Sûreté de Fonctionnement relatives à des composants de ces centrales. Des données provenant de divers domaines industriels furent analysées et proposées pour ces composants en faisant largement appel au jugement de l’ingénieur. Ce rapport a ainsi constitué la première banque de données de Sûreté de Fonctionnement de ce domaine industriel. Depuis, de nombreuses EPR ont été réalisées et constituent également des sources de données de Sûreté de Fonctionnement. Les plus récentes de ces EPR ayant généralement les mêmes sources de données, on se contentera d’en citer quelquesunes. En outre, les EPR relatives à une centrale nucléaire de type à haute température ou à neutrons rapides peuvent être des sources intéressantes de données pour des composants de systèmes véhiculant respectivement de l’hélium et du sodium. 4.2.2. Analyse d’événements significatifs survenant sur des centrales nucléaires Les événements significatifs survenus sur des centrales nucléaires américaines et pouvant avoir des effets sur la sûreté de ces installations font l’objet de rapports systématiques (LER: Licence Event Report). Ces derniers ont été analysés, généralement sur plusieurs années, pour différents types de composants (pompes, vannes, instrumentation et contrôle, mécanismes de barres de contrôle, batteries, chargeurs, redresseurs, diesels) et des données de fiabilité et de disponibilité en ont été déduites. 4.2.3. In-Plant Reliability Data System (IPRDS) IEEE (The Institute of Electrical and Electronics Engineers) a entrepris en 1977 un effort pour collecter et analyser des données provenant de réacteurs nucléaires dont une dizaine furent choisis; 150 000 comptes rendus de maintenance furent ainsi étudiés. Un rapport de méthode ainsi que des rapports relatifs aux pompes, vannes, diesels, batteries, chargeurs et redresseurs furent publiés. 4.2.4. Document IEEE Stsd 500-1984 IEEE avait publié un premier document en 1977. Un important effort a été effectué pour améliorer la qualité de ces données et étendre le nombre de composants considérés au domaine des composants mécaniques. La dernière édition IEE-Sdt 500-1984 s’est en partie appuyée sur «In-Plant Reliability Data System»

___________________________________________________________________________ ENIT 2A GI

104

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________

1. INTRODUCTION ....................................................... ........................................................... ......................... 86

1.1. COMPOSANTS .............................................................................................................................................. 87 1.1.1. Les composants électroniques : .......................................................................................................... 87 1.1.2. Les composants électriques : .............................................................................................................. 87 1.1.3. Les composants éléctro-mécaniques actifs : ....................................................................................... 87 1.1.4. Les composants mécaniques passifs .................................................................................................... 88 1.2. RECHERCHE DE DONNEES EVENEMENTIELLES........................................................... .................................. 88 1.2.1. Les essais de fiabilité .......................................................................................................................... 89 1.2.2. Le recueil de données en exploitation ................................................................................................. 90 2. ÉLABORATION DE DONNEES ............................................................ ...................................................... 90

2.1. PARAMETRES DE SURETE DE FONCTIONNEMENT ........................................................................................ 90 2.1.1. Taux de défaillance en fonctionnement ............................................................................................... 90 2.1.2. Taux de défaillance à l’arrêt ............................................................................................................... 91 2.1.3. Taux de défaillance à la sollicitation .................................................................................................. 91 2.1.4. Taux de réparation .............................................................................................................................. 92 2.1.5. MTTF, MTTR, MUT, MDT, MTBF ..................................................................................................... 92 2.2. LOIS DE PROBABILITES DES PARAMETRES........................................................ ............................................ 93 2.3. CALCUL D’ESTIMATEURS ET D’INTERVALLES DE CONFIANCE ...................................................................... 93 2.4. ÉVALUATION PAR JUGEMENT D’EXPERTS .................................................................................................... 97 3. EXEMPLE D’UN SYSTEME DE RECUEIL DE DONNEES ..................................................... ............... 98

3.1. COLLECTE DE L’INFORMATION ET DES DONNEES ....................................................... .................................. 99 3.1.1. Les fiches signalétiques : .................................................................................................................... 99 3.1.2. Les fiches de fonctionnement .............................................................................................................. 99 3.1.3. Les fiches de défaillance : ................................................................................................................... 99 3.2. TRAITEMENT DE L’INFORMATION .............................................................................................................. 100 3.3. RESTITUTION DES DONNEES ...................................................................................................................... 100 4. SOURCES DE DONNEES ........................................................................................................................... 101

4.1. LES BANQUES DE DONNEES ....................................................................................................................... 101 4.1.1. Banque de données de fiabilité du Centre National d’Études des Télécommunications (CNET) ..... 101 4.1.2. Banque de données de fiabilité pour les équipements aux Etats-Unis .............................................. 101 4.1.3. Offshore REliability DAta (OREDA) ................................................................................................ 102 4.1.4. System Reliability Service Data Bank (SYREL) ................................................................................ 102 4.1.5. Nuclear Plant Reliability Data System (NPRDS) ....................................................... ....................... 102 4.1.6 European Reliability Data System (ERDS) ........................................................................................ 103 4.2. LES DOCUMENTS SOURCES DE DONNEES ................................................................................................... 103 4.2.1. Évaluation Probabiliste de Risque de centrales nucléaires .............................................................. 103 4.2.2. Analyse d’événements significatifs survenant sur des centrales nucléaires ...................................... 104 4.2.3. In-Plant Reliability Data System (IPRDS) ........................................................................................ 104 4.2.4. Document IEEE Stsd 500-1984......................................................................................................... 104

___________________________________________________________________________ ENIT 2A GI

105

Dr. K. Bourouni

Chapitre 4


___________________________________________________________________________ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

___________________________________________________________________________ ENIT 2A GI

106

Dr. K. Bourouni

Chapitre 5


___________________________________________________________________________

Introduction Principes de la méthode Utilisation de l’Analyse Préliminaire des Dangers dans l’Industrie Aéronautique Utilisation de l’Analyse Préliminaire des Dangers dans l’Industrie chimique

CHAPITRE 5 : ANALYSE PRELIMINAIRE DES DANGERS

1. INTRODUCTION L’Analyse Préliminaire des Dangers (ADP) a été utilisée pour la première fois aux Etats-Unis, au début des années 1960, dans le cadre de l’analyse de sécurité de missiles à propergols liquides ; elle a ensuite été formalisée par l’industrie aéronautique et notamment par la société Boeing. Depuis cette utilisation, elle s’est généralisée à de nombreuses industries : chimie, nucléaire, aéronautique. En France l’Union des Industries Chimiques la recommande depuis le début des années 1980. Dans ce chapitre, après la présentation des principes de cette méthode, des exemples de sa mise en œuvre dans l’aéronautique et la chimie seront présentés.

2. PRINCIPES DE LA METHODE La méthode a pour objectif : - d’identifier les dangers d’une installation industrielle et ses causes (exemples : entités dangereuses, situations dangereuses, accidents potentiels), - d’ évaluer la gravité des conséquences liées aux situations dangereuses et aux accidents potentiels. On en déduit tous les moyens, toutes les actions correctives permettant d’éliminer ou de maîtriser les situations dangereuses et les accidents potentiels mis en évidence précédemment. ___________________________________________________________________________

ENIT 2A GI

106

Dr. K. Bourouni

Chapitre 5


___________________________________________________________________________

Cette méthode peut être orientée vers les aspects liés à la sécurité de l’installation. Il est recommandé de commencer l’Analyse Préliminaire des Dangers dès les premières phases de la conception en utilisant toutes les données alors disponibles. Au fur et à mesure du déroulement du projet, cette analyse sera périodiquement vérifiée, remise à jour et complétée jusqu’à la fin de vie de l’installation. L’identification des dangers est effectuée à l’aide de l’expérience et du jugement des ingénieurs, aidés par l’utilisation des listes-guides élaborées pour un domaine précis et régulièrement enrichies Comme son nom l’indique, cette méthode doit être considérée comme préliminaire à la réalisation d’études complémentaires de Sûreté de Fonctionnement. En effet, la mise en évidence d’un danger majeur ou de la nécessité de l’approfondir conduit généralement à faire ensuite appel à d’autres méthodes de l’analyse prévisionnelle de Sûreté de Fonctionnement. L’utilisation de cette analyse préliminaire permet, par exemple, de définir des entités à analyser en détail ou des événements indésirables dont il faut chercher les causes par la méthode de l’Arbre de Causes (chapitre 7). Cette analyse peut inclure une évaluation des risques liés à ces dangers. Le risque est une mesure d’un danger associant une mesure de l’occurrence d’un événement indésirable et une mesure de ses effets ou conséquences. C’est notamment le cas, lorsque l’analyse comprend une évaluation précise ou grossière de la probabilité d’occurrence des situations dangereuses et des accidents potentiels. L’analyse est alors dénommée « Analyse Préliminaire des Risques ». Cette extension de l’Analyse Préliminaire des Dangers se révèle souvent indispensable à effectuer, par exemple, lorsqu’on désire adapter des mesures préventives aux accidents potentiels les plus probables.

3. UTILISATION DE L’ANALYSE PRELIMINAIRE DES DANGERS DANS L’INDUSTRIE AERONAUTIQUE Les dangers et leurs causes sont caractérisés par les concepts suivants : les entités dangereuses, les situations dangereuses, les accidents potentiels. L’entité dangereuse (exemple : le carburant) doit être soumis à certains événements ou conditions (électricité statique) pour entraîner une situation dangereuse ; celle-ci doit être associée à un événement ou condition supplémentaire pour se transformer en accident supplémentaire. Les résultats de l’analyse sont présentés dans un tableau à colonnes (tableau 5.1) qui rappelle à l’Analyse des Modes de Défaillances et de leurs Effets (chapitre 9). ___________________________________________________________________________

ENIT 2A GI

107

Dr. K. Bourouni

Chapitre 5


___________________________________________________________________________

Cette analyse est effectuée à l’aide de la liste-guide des entités dangereuses et des situations dangereuses (tableau 5.2). 1 Système ou fonction

2

3

4

5

6

7

8

9

10

11

événemévénementités ent situation ent accident effets ou classific- mesures applicatPhase dangere- causant dangere- causant potentiel conséqu- ation par préventi- ion de ces uses une use un ences gravité ves mesures situation accident dangerepotentiel use

Tableau 5.1. :

Analyse Préliminaire des Dangers

Les colonnes correspondent aux notions suivantes : - Système ou fonction : identification de l’ensemble étudié. - Phase : identification identification des phases ou des modes d’utilisation d’utilisation du système système de la fonction pendant lesquels certaines entités peuvent générer un danger. - Entités dangereuses : identification des entités du système ou de la fonction auxquelles on peut associer un danger intrinsèque. - événements causant une situation dangereuse : identification des conditions, événements indésirables, pannes ou erreurs qui peuvent transformer une entité dangereuse en situation dangereuse. - Situation dangereuse : identification des situations dangereuses, résultant de l’interaction d’une entité dangereuse et de l’ensemble du système à la suite d’un événement décrit précédemment. - Evénement causant un accident potentiel : identification des conditions, événements indésirables, pannes ou erreurs qui peuvent transformer une situation dangereuse en accident - Accident potentiel : identification des possibilités d’accidents résultant des situations dangereuses à la suite d’un événement décrit précédemment. - Effets ou conséquences : identification des effets ou conséquences des accidents potentiels, lorsqu’ils se produisent. - Classification par gravité : appréciation de la gravité des effets ou conséquences suivant la classification en mineure, significative, critique, catastrophique. catastrophique. - Mesures préventives : recensement des mesures proposées pour éliminer ou maîtriser les dangers ainsi identifiés (situations dangereuses ou accidents potentiels). Exemples : amélioration de la conception, système de sécurité supplémentaire, supplémentaire, élaboration de procédures particulières, particulières, etc. - Application de ces mesures : recueil d’informations relatives aux mesures ___________________________________________________________________________

ENIT 2A GI

108

Dr. K. Bourouni

Chapitre 5


___________________________________________________________________________

préventives proposées : est-ce que ces mesures ont été incorporées dans le système ? Se sont-elles relevées efficaces?

ENTITÉS

SITUATIONS DANGEREUSES

* Combustible * Propergols * Catalyseurs chimiques * Charges explosives * Capacités * Batteries * Conteneurs sous pression * Ressorts tendus * Systèmes de suspension * Fluides sous pression * Générateurs électriques * Objets susceptibles de tomber * Objets susceptibles de se déplacer, d’être catapultés * Dispositif de chauffage * Pompes * Ventilateurs, hélices, soufflantes * Machines tournantes * Interrupteurs, dispositifs de mies à feu * Éléments nucléaires * Réacteurs * Matériaux favorables à l’électricité statique * Énergie sous toutes ses formes

Tableau 5.2. Liste

* Accélération * Contamination Contamination * Corrosion * Réactions chimiques * Électricité (pannes, chocs, chaleurs, action faite par mégarde) * Explosion * Feu * Chaleur, température (y compris variations) * Fuites * Humidité, buée * Oxydation * Pression (trop élevée, trop faible, f aible, variations rapides) * Chutes, mouvements, catapultage d’objets * Radiations (thermique, électromagnétique, électromagnétique, ultraviolet, nucléaire, ionisation, etc.) * Chocs * Concentration de contraintes * Endommagement structurel * Vibration et bruit...

guide des entités enti tés dangereuses et des situations dangereuses utilisées dans l’aéronautique

___________________________________________________________________________

ENIT 2A GI

109

Dr. K. Bourouni

Chapitre 5


___________________________________________________________________________

4. UTILISATION DE L’ANALYSE PRELIMINAIRE DES DANGERS DANS L’INDUSTRIE CHIMIQUE L’Analyse Préliminaire des Dangers tient généralement compte des risques inhérents : - aux différents produits mis en œuvre (matières premières, produits intermédiaires et finis) et à leurs propriétés intrinsèques (corrosion, combustion, toxicité, etc.) - aux procédés retenus (réactions chimiques et opérations diverses) voire aux équipements (réservoirs sous pression, réacteurs chimiques, etc.) Des listes guides sont utilisées ; les premiers et deuxièmes types de risques sont basés, respectivement, sur des «FICHES PRODUITS» et des «FICHES PROCƒDƒS». L’emploi de telles listes pour la réflexion sur les problèmes de sécurité est une garantie de prise en compte de tous les facteurs. On trouvera dans les tableaux 5.3 et 5.4. le contenu de ces fiches. Ces fiches seront établies pour chaque installation et révisées pour chacune des phases successives : recherche, développement, conception, réalisation, et exploitation L’application de cette méthode à l’industrie chimique a été précisée par un groupe de travail de l’Union des Industries Chimiques.

___________________________________________________________________________

ENIT 2A GI

110

Dr. K. Bourouni

Chapitre 5


___________________________________________________________________________

Fiche produit

Formule brute

USINE DE : FABRICATION :

NOM: FORMULE DÉVELOPPÉE OU COMPOSITION : P.M Annexe ou référence

1. Propriétés

1.1. État à 20°C; gazeux, liquide, pâteux, pulvérulent, solide 1.2. Température de fusion 1.3. Température d’ébullition. 1.4. Tension de la vapeur 1.5. Température critique 1.6. Pression critique 1.7. Poids spécifique 1.8. Densité des vapeurs 2. Solubilités.

2.1. Insolubiliés 3. Chaleur spécifique

3.1. Chaleur de formation 3.2. Chaleur de fusion 3.3. Chaleur de conversation 3.4. Chaleur de dissolution 3.5. Chaleur de combustion 3.6. Chaleur de polymérisation 4. Combustion 4.1. Point éclair 4.2. Température d’auto-inflammation 4.3. Limite d’inflam./air. 4.4. Limites d’inflam. dans les conditions opératoires 4.5. Énergie d’allumage 4.6. Résistivité 4.7. Pyrophoricité 4.8.% O 2 minimum entretenant la combustion 4.9. Produits de combustion ___________________________________________________________________________

ENIT 2A GI

111

Dr. K. Bourouni

Chapitre 5


___________________________________________________________________________

5. Agents extincteurs (eau, eau pulvérisée, mousse, CO2 , halogénés, poudre)

Annexe ou référence

5.1. Agents extincteurs incompatibles 6. Corrosion

6.1. Matériaux préconisés 6.2. Matériaux prohibés 7. Incompatibilités

7.1. * Eau 7.2. * Fluides caloporteurs 7.3. * Métaux 7.4. * Plastiques 7.5. * Autres

8. Stabilités : risques, ... de Peroxydation, de Polymérisation

8.1. * 8.2. * 8.3. * 8.4. *

Stabilité thermique Stabilité de la lumière Sensibilité au Choc Sensibilité à la friction Catalyseur de : 8.5. * Polymérisation 8.6. * Décomposition Inhibiteurs de : 8.7. * Polymérisation 8.8. * Décomposition 9. Analyse produit

Technique ou commercial : Additifs 10. Effets des impuretés

10.1. Par concentration 10.2. Par réaction avec d’autres produits présents dans le procédé 10.3. Par formation de sous-produits présentant des risques

___________________________________________________________________________

ENIT 2A GI

112

Dr. K. Bourouni

Chapitre 5


___________________________________________________________________________


11. Hygiène industrielle

11.1. Limite olfactive 11.2. Valeur M.A.C

12. Toxicité

12.1. DL 50 12.2. CL 50 12.3. Irritations oculaire et cutanée 12.4. Sensibilité de la peau 12.5. Toxicité subaigue 12.6. Autres effets

13. Réglementation

13.1. Installation classées 13.2. Étiquetage 13.3. Maladies professionnelles 13.4. Surveillance médicale spéciale 13.5. Substances vénéneuses 13.6. Transports RTMD AIR-ADR IMCO-IATA 13.7. Réglementation spécifique 14. Stockage

14.1. Précautions 15. Destruction

15.1. En cas d’epandage 15.2. Stock inutilisable

Tableau 5.3. Fiche

Produit

___________________________________________________________________________

ENIT 2A GI

113

Dr. K. Bourouni

Chapitre 5


___________________________________________________________________________

Fiche procédé

Produits mis en oeuvre : noms et quantités

USINE DE : FABRICATION :

-

PHASE :


1. Équation de la réaction principale et des réactions secondaires et chaleurs réactionnelles (préciser en clair: Exothermique ou Endothermique): 2. Conditions opératoires : opération continue, semi-continue, discontinue 2.1.Mode opératoire résumé 2.2. Schéma de l’appareillage (type schéma de procédé): 2.3. Solvant 2.4. Catalyseur 2.5. Température °C : Pression : PH: 2.6. Conditions particulières (atmosphère inerte, obscurité, etc.) 2.7. T°C maximal supportée par le mélange réactionnel sans risque de dégradation 3. Risques 3.1. Potentiel énergétique maximum (P.E.M) : 3.2. Volume de gaz émis en cas de décomposition : 3.3. Produits chimiques incompatibles dont l’addition provoque une réaction violente: 3.4. Risque d’accumulation d’impuretés instables : 3.5. Risque de retard au démarrage de la réaction : 3.6. Risque de désamorçage de la réaction : 3.7. Les mélanges réactionnels sont-ils susceptibles d’évoluer? 3.8. Risques toxiques à court et long terme des matières premières, des intermédiaires, des impuretés et des produits fabriqués par les réactions normales, secondaires ou anormales. 3.9. Risque d’incendie ou d’explosion: vapeurs, poussières inflammables, sources d’ignition. 4. Dispositifs prévus pour assurer la maîtrise de la réaction en cas de : 4.1. Montée en T° 4.2. Montée en pressions (soupape, tampon d’explosion, vidange rapide...): 4.3. Emballement (inhibiteurs, dilution...):

___________________________________________________________________________

ENIT 2A GI

114

Dr. K. Bourouni

Chapitre 5


___________________________________________________________________________


5. Moyens de prévention de contamination par mélange intempestif des réactifs 5.1. Retour indésirable par réseau de distribution des réactifs ou des fluides des services généraux (air comprimé, azote, vide,...) 5.2. Fuite de fluides caloporteurs dans le mélange réactionnel (présence dans le même atelier de produits incompatibles) 6. Mesures propres à parer les conséquences d’une panne: 6.1. D’énergie électrique 6.2. D’eau 6.3. De fluides caloporteurs (chauffage, refroidissement, ...) 6.4. D’agitation; 6.5. De régulation 6.6..... 7. Mesures propres à éviter les fausses manoeuvres: 7.1. Oubli de charge d’un réactif 7.2. Double charge d’un réactif 7.3. Confusion et réactif 7.4. Interversion de l’ordre de chargement 7.5. Autres fausses manoeuvres possibles

8. Corrosion (matériaux à proscrire/matériaux à utiliser): 8.1. Influence de la température 8.2. Evolution des compositions 8.3. Teneurs en produits secondaires ou impuretés 9. Moyens d’élimination et de destruction des effluents (gazeux, liquide, solide) 10. Anomalies observées et incidents divers: Consigner toute observation d’un phénomène inattendu ou d’incident survenant au cours de la recherche, du développement ou de l’exploitation du procédé, tels que : émission de gaz, fumées, flammes, ... apparition de mousses, émulsion, débordement, ... formation de goudron, dépôt, précipité, polymère... Tableau 5.4.

: Fiche Procédé

___________________________________________________________________________

ENIT 2A GI

115

Dr. K. Bourouni

Chapitre 6

Méthode du Diagramme du Succès

___________________________________________________________________________

Introduction Principe d’élaboration Évaluation de la fiabilité d’un système irréparable Diagrammes de succès particuliers Diagrammes de succès complexes Évaluation de la sûreté de fonctionnement d’un système réparable Méthode de décompte des composants

CHAPITRE 6 : LA METHODE DU DIAGRAMME DE SUCCES (MDS)

1. INTRODUCTION La Méthode du Diagramme de Succès (MDS) est la première à avoir été utilisée pour analyser des systèmes et permettre des calculs de fiabilité . Les limites de cette méthode ont été mises en évidences au début des années 1960 : la recherche des voies nouvelles et plus fines d’analyse des défaillances a conduit à la méthode de l’AMDE. Par ailleurs, elle peut être utilisée dans certaines conditions, pour l’évaluation de la fiabilité, de la disponibilité, et de la maintenabilité des systèmes réparables.

2. PRINCIPES D’ELABORATION Considérons une fonction F d’un système S. L’analyse par diagramme de succès a pour but de représenter le fonctionnement du système et plus particulièrement, la fonction F. ___________________________________________________________________________ ENIT 2A GI

117

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

Pour cette modélisation, des blocs représentent généralement des composants, des sous-systèmes ou des fonctions. La modélisation consiste à rechercher les liens entre les blocs. Les principes suivants sont appliqués : - Les blocs qui représentent des composants dont la défaillance (ou la panne) entraîne la défaillance du système (c’est-à-dire la perte de la fonction F) sont placés en série : on obtient un diagramme série (figure 6.1) E C1

C2

(Entrée)

S (Sortie)

Figure 6.1. : Diagramme série

Le signal de sortie (la fonction F) est présent si les deux composants fonctionnent. - Les blocs qui représentent des composants, dont la défaillance (ou la panne) ne provoque la défaillance du système qu’en combinaison avec d’autres blocs , sont disposés en parallèle avec ces derniers : on obtient un diagramme parallèle (figure 6.2). C1

E

S (Sortie)

(Entrée)

C2 Figure 6.2. : Diagramme parallèle

Le signal de sortie (fonction F) est présent si au mois un des composants fonctionne. Le diagramme de succès est donc relatif à une fonction donnée du système S. C’est un graphe admettant une entrée et une sortie dont les sommets (appelés blocs) représentent des composants du système et dont les arcs traduisent les relations entre les différents composants.

___________________________________________________________________________ ENIT 2A GI

118

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

Considérons maintenant le diagramme de succès suivant :

E (Entrée)

C1

C2

S (Sortie)

C3

C4

Figure 6.3. : Diagramme série parallèle

Le système fonctionne si : - Les composants c 1 et c2 fonctionnent ou - Les composants c 3 et c4 fonctionnent. Soient E1, E2, E3 et E4 les événements correspondant, respectivement aux fonctionnements des composants c 1, c2, c3 et c4. Le premier « chemin » (de E à S) sera appelé chemin de succès E1 E2 ; le deuxième chemin de succès E 3 E4. On appellera « lien » toute combinaison de fonctionnement de composants permettant d’assurer la fonction requise ( E 1.E2 , E3.E4 , E 1.E2.E3 , E 1.E2.E3.E4 ). Un lien est donc constitué par l’ensemble de fonctionnements de composants permettant d’aller de E en S sur le diagramme de succès, il n’y a pas toujours équivalence entre les « chemins de succès » et les « liens » : un chemin de succès peut comprendre, plusieurs fois, le fonctionnement d’un même composant. Un « lien minimal » sera une des plus petites combinaisons de fonctionnement de composants permettant d’assurer la fonction requise ; seuls E 1.E2 et E 3.E4 sont des liens minimaux du diagramme de succès de la figure 6.3. En outre, des symboles de redondance peuvent être utilisés pour représenter des cas plus complexes (tableau 6.1)

___________________________________________________________________________ ENIT 2A GI

119

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

C1 S

E

C2

m/n

Cn

C1 S

E C2 Cn autre représentation parfois utilisée E

Redondance m/n : représente le cas où on exige qu’au moins m composants parmi les n placés en parallèle soient non défaillants pour que le système fonctionne

Redondance passive avec un organe de commutation commun: représente le cas où il existe des composants en réserve qui n’interviennent qu’en secours du composant principal

S

C1 C2 Cn

Tableau 6.1. : Symbole de redondance

L’analyse par la MDS présente des aspects d’une part, d’une méthode de recherche de défaillance et d’autre part, d’un moyen de représentation du fonctionnement et les défaillances.

___________________________________________________________________________ ENIT 2A GI

120

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

3. ÉVALUATION DE LA FIABILITE D’UN SYSTEME IRREPARABLES 3.1. Diagrammes de succès particuliers 3.1.1. Diagramme série Le diagramme série et ses éléments sont représentés à la figure 6.4. E

S C1

C2

Ci

Cn

Figure 6.4. : Diagramme série

Soit Ei l’événement « le composant C i fonctionne à l’instant t » ; la fiabilité du système s’écrit : R = P [E1.E2. ... .Ei. ... . En] Lorsque les événements sont indépendants : n

R=

Π P Ei i= 1

Notons : ri = P [Ei] n

R =

Π r i

(6.1)

i=1

Supposons que les taux de défaillance λi des composants sont constants. Il en résulte que : - la fiabilité du système est : n

Σ λi

R = exp –

t

(6.2)

i =1

- le taux de défaillance du système est λ : n

λ=

Σ λi

(6.3)

i =1

___________________________________________________________________________ ENIT 2A GI

121

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

- Le MTTF (durée moyenne de fonctionnement d’une entité avant la première défaillance) MTTF =

1

n

(6.4)

Σ λi i=1

Si tous les composants ont le même taux de défaillance λ, le MTTF obtenu est MTTF =

1 nλ

Le MTTF d’un système série de n composants identiques est donc n fois plus faible que le MTTF d’un seul composants . 3.1.2. Diagramme Parallèle

Le diagramme parallèle et ses éléments sont représentés à la figure 6.5 C1

C2 S

E

Ci

Ci Figure 6.5. : Diagramme parallèle

Avec les notations précédentes, on obtient : R = P [ E 1 + E2 + ... + Ei + ... + E n ] ___________________________________________________________________________ ENIT 2A GI

122

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________ R = 1 – P E1 +E 2 +... +Ei + ... + E n R = 1 – P E1 .E2 ...E i ... En

Lorsque les événements sont indépendants entre eux : n

R=1–

Π P Ei avec P Ei

= 1 – ri

i= 1

D’où n

R = 1 –

Π 1 – r i

i=1

(6.5)

Deux types de fonctionnement de telles configurations sont distingués : tous les composants sont normalement en fonctionnement permanent il est nécessaire de mettre en service au moins un composant sain lors de la défaillance du composant en fonctionnement

*Redondance active : *Redondance passive :

a. Redondance active Dans ce cas, les événements Ei sont indépendants entre eux. Supposons que les taux de défaillance λi des composants sont constants. Il en résulte que : - La fiabilité du système est : n

R=1–

Π 1 – e– λ t i

i= 1 n

R =

n – λi t

Σe i=1

–

n – λi + λ j t

Σ Σ e i = 1 j ≠ i

+

Σ Σ Σ ...

n

+ –1

n +1

exp –

Σ λi

t (6.6)

i= 1

i = 1 j ≠ i k ≠ i k ≠

- Le taux de défaillance du système est : 1 λ= R

n

Σ λi e

j ≠ i – λit

i= 1

Π

1 – e–

λ j t

(6.7)

j = 1,n

___________________________________________________________________________ ENIT 2A GI

123

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

- Le MTTF du système est : n

MTTF =

1

Σ λi Σ Σ –

i = 1 j ≠ i

i= 1

∞

1 + λi + λ j

ΣΣΣ

i = 1 j ≠ i k ≠ i

1 ... + – 1 λ i + λ j + λk

1

n+1 n

(6.8)

Σ λi

k ≠ j

i =1

- si tous les composants ont le même taux de défaillance, le MTTF obtenu est : n

Σ i=1

MTTF =

λ

1 i

(6.9)

Exemple 6.1: Le MTTF d’un système constitué par 2 composants identiques en parallèle est 1.5 fois plus important que le MTTF d’un seul composant.

b. Redondance passive

C1 S

E C2

Cn Figure 6.6 : Diagramme parallèle avec redondance passive

Dans ce cas, les commutations peuvent être la cause de défaillances. La fiabilité n’est simple à déterminer que lorsque les commutateurs sont parfaitement fiables . Cette fois-ci, les événements à considérer ne sont plus indépendants et une autre approche doit être faite. Supposons qu’un composant fonctionne et que n-1 composants sont en attente ; la densité de défaillance du système est : U(t) =

t xn –1 = 0

.

xn– 1 xn – 2 = 0

....

x2 x1 = 0

u 1(x1 ) u2(x2 – x 1 )... ...un( t – x n – 1) dx1 dx 2...dx n – 1

où ui est la densité de défaillance du composant i. ___________________________________________________________________________ ENIT 2A GI

124

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

La fiabilité du système est : t

R(t) = 1 –

0

U(τ ) dτ

U(t) est le produit de convolution des U i(t) U(t) = u1(t) * u2(t) * .... * u i(t) * ... * u n(t) L’utilisation de la transformation de Laplace permet de calculer U(t) puis d’en déduire R(t). 1 1 L R(t) = L U(t) = s s

n

Π L U i(t) i= 1

Admettons que les taux de défaillance des composants sont constants : u i(t) = λi e– λit 1 L R(t) = s

n

λi

Π s + λi

i =1

Lorsque tous les taux de défaillance sont distincts : n

R(t) =

Σ Bi e– λ t

(6.10)

i

i =0

avec : n

Π λ j Bi =

j = 1 n

Π

et

λ0 = 0

(3.11)

λ j –λ i

j = 0 j ≠ i

D’où n

R(t)= λ1 λ2 ...λ n

Σ i =1

e

– λi t

n

Π

(6.12)

λ i – λ j

j = 0 j ≠ i

___________________________________________________________________________ ENIT 2A GI

125

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

Lorsque tous les taux de défaillance sont égaux à λ : λ

L U(t) =

n

λ+s

n

U(t) est une loi d’Erlang : n n – 1 – λt

e λ t U(t) = n–1!

D’où n

R(t)=

Σ

λt

i =1

i –1

– λt

e i–1!

(6.13)

Exemple 6.2 Pour n = 2 ; on obtient R(t) = e – λt + λ t e – λt Calcul du MTTF d’un système constitué par n composants identiques en redondance passive :

Étant donné que : d L U(t) s → 0 ds

MTTF = lim

Il en résulte que : MTTF =

n

λ

(6.14)

Le MTTF d’un tel système est évidemment supérieur au MTTF du même système fonctionnant en redondance active.

c . Diagramme parallèle m/n Considérons une telle configuration à redondance active où le système fonctionne si au moins m composants parmi les n fonctionnent (figure 6.7). Supposons que les composants sont indépendants et identiques :

R = P [au moins m composants parmi n fonctionnent]

___________________________________________________________________________ ENIT 2A GI

126

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

C1 S

E

m/n

C2

Cn Figure 6.7. : Diagramme parallèle m/n

Le nombre de composants en fonctionnement suit une loi binomiale de paramètres r et n. D’où : n

R=

Σ

C kn r k 1 – r n – ;k avec C kn =

k=m

n! k! n – k !

Exemple 6.3: Diagramme parallèle 2/3 ; 2

3

2

3

R = 3 r 1 – r + r = 3r – 2r

d. Diagramme série parallèle

Branche i : ni entités en série

E

S

p Branches en redondance

Figure 6.8. Diagramme série parallèle

___________________________________________________________________________ ENIT 2A GI

127

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

Considérons des composants indépendants et des redondances actives. La fiabilité obtenue est : n j

p

R = 1 –

Π

1–

i=1

Π r

ij

j = 1

(6.15)

où rij est la fiabilité du j-ième composant de la branche i. c

c

c

E

S c

c

c

c

c

c

Figure 6.9. : Diagramme série-parallèle avec redondances passives

Si les redondances sont passives et si les entités sont identiques avec le même taux de défaillance constant λ, nous obtenons p

R=

Σ i= 1

i– 1 –n λ t

n λt e i–1!

=e

– nλt

+nλt e

–nλt

p – 1 – n λ t

nλt e + ... + p – 1 !

(6.16)

e. Diagramme parallèle-série

Considérons des composants indépendants et des redondances actives (figure 6.10). La fiabilité obtenue est : P i

n

R =

Π 1 – Π 1 – r

ij

i=1

j = 1

(6.17)

où rij est la fiabilité du j-ième composant de l’étage i ___________________________________________________________________________ ENIT 2A GI

128

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

E

S

Etage 1 P1 composants en redondance

Etage 2 P2 composants en redondance

Etage n Pn composants en redondance

Figure 6.10. : diagramme parallèle-série

C

C

C S

E

C

C

C

Figure 6.11. : diagramme parallèle-série avec redondance passive

n

R=

Π i= 1

p

λ 1...λ pi

Σ

j = 1

e

– λ jt

p

Π

(6.18)

λ j –λ k

k =0

___________________________________________________________________________ ENIT 2A GI

129

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

Système

Fiabilité du système

Diagramme

Composants identiques et λ constant

Formule générale

Diagramme série

Composants E en série

– n λt

S C1

R = e

n

R=

Cn

Π r i

MTTF=

i=1

1 n λ

Diagramme parallèle – λt n

Composants en parallèle : redondance active

R = 1 – (1 – e )

C1 S

E

n

R= 1 –

Π 1 –r i

n

Σ

i=1

MTTF=

Cn

λ

p branches; n composants par branche

C1.1

Composants E en série parallèle ; redondance active

i=1

1 i

S n j

p

R= 1 –

Π

1–

i=1

Π rij

p

R= 1 – 1 – e – n λt

j = 1

Cp.1

p branches; in commposants par branches n étages; p branches par étage

Composants en parallèle E série; redondance active

S

n

R=

Π 1 – Π 1 – r ij i= 1

Cp.1

P i

n – λt p

R= 1– 1 –e

j = 1

Cp.n

Tableau 6.2. : formules de calcul de fiabilité pour des configurations simples

___________________________________________________________________________ ENIT 2A GI

130

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

Si les redondances sont passives, et si les entités sont identiques avec le même taux de défaillance constant λ, nous obtenons dans le cas de 2 composants en redondance par étage : R = e– λt + λ t e– λt

p

On trouvera dans le tableau 6.2. les formules de calcul de la fiabilité des principales configurations étudiées précédemment.

3.2. Diagramme de succès complexe ; cas général Quatre méthodes sont disponibles pour traiter un diagramme complexe ; elles reposent principalement sur l’utilisation : - du théorème des probabilités totales - des liens minimaux et des coupes minimales - de la fonction de structure - de la table de vérité 3.2.1. Utilisation du théorème des probabilités totales Soit un diagramme complexe ne se réduisant pas aux cas précédents. La figure 6.12 en présente un.

C1

C4

S

E C2

C3

C5

Figure 6.12. : Diagramme complexe

Le théorème des probabilités totales en prenant comme ensemble d’événements ___________________________________________________________________________ ENIT 2A GI

131

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

complets les deux événements « le composant x fonctionne à l’instant t » et « le composant x est défaillant à l’instant t » de probabilités respectives rx et 1-rx. La fiabilité du système s’écrit alors : R = P [S fonctionne sur [0,t]/ x fonctionne à t]. r x + P[S fonctionne sur [0,t]/ x est défaillant à t]. (1-rx)

Lorsque les diagrammes obtenus se ramènent aux cas précédents, la fiabilité est facilement déduite. Dans les cas plus compliqués, ce théorème est appliqué autant de fois qu’il sera nécessaire. Dans l’exemple précédent, soit x = c 2, on note r ci = ri. Si c2 fonctionne à t, le diagramme devient : C4 S

E

C5 Figure 6.13. :

Équivalent du diagramme complexe si C2 fonctionne

P [ S fonctionne sur [0,t] /c 2 fonctionne à t ] = 1- (1-r 4) (1-r5). Si c2 est défaillant à t, le diagramme devient :

E

Figure 6.14 :

C1

C4

C3

C5

S

Équivalent du diagramme complexe si C2 est en panne

P [ S fonctionne sur [0,t]/c2 en panne à t ] = 1- (1 - r 1 r4) (1 - r 3 r4). La fiabilité est donc : R = [ 1 - (1 - r4) (1 - r 5) ] r2 + [ 1 - (1 - r1 r4) (1 - r3 r4) ] (1 - r 2) R = (r4 + r5 - r4 r5) r2 + (r1 r4 + r3 r5 - r1 r3 r4 r5) (1 - r2) ___________________________________________________________________________ ENIT 2A GI

132

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

3.2.2. Utilisation des liens minimaux et des coupes minimales

Notons Li les liens minimaux associés à un diagramme de succès. A titre d’exemple, il existe un lien minimal du diagramme série de la figure 6.4. (diagramme série) L1 = E1. E2.....Ei....En Par contre, il existe n liens minimaux du diagramme parallèle de la figure (6.5) parallèle : Li = Ei i = 1, 2, ..., n Lorsque tous les liens minimaux (au nombre de q) d’un diagramme de succès ont été identifiés, nous pouvons écrire : E = L1 +L2+....+Lq où E est l’événement « le système fonctionne à l’instant t ». En effet E est la somme booléenne de tous les liens. D’où : q

Σ Li

R=P

i =1

(6.19)

Les liens minimaux sont généralement faciles à identifier pour les diagrammes de succès combinant les diagrammes série et les diagrammes parallèles. Pour les autres diagrammes de succès, l’inspection visuelle du diagramme ne suffit pas toujours et il faut avoir recours à des méthodes qui se prêtent bien à l’informatisation. Exemple de ces méthodes : Elle consiste, dans un premier temps, à identifier tous les chemins de succès minimaux. Un chemin de succès est dit minimal si, le long d’un chemin, aucun nœud n’est traversé plus d’une fois. On déduit facilement de la liste de ces chemins, celle des liens puis celle des liens minimaux. ___________________________________________________________________________ ENIT 2A GI

133

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

Considérons le diagramme de la figure 6.12 : Les liens minimaux sont : E 1.E4 ; E2.E4 ; E2.E5 ; E3.E5 D’où on a : R = P [E1 . E4 + E2 .E4 + E2 E5 +E3 E5] Des calculs semblables peuvent être effectués à partir des coupes minimales : celles-ci représentent les plus petites combinaisons de défaillance de composants qui compromettent la fonction requise. Autrement dit, les coupes minimales représentent les plus petites combinaisons de défaillances de composants empêchant d’aller de E à S sur le diagramme de succès. Si on note Ci les coupes minimales associées à un diagramme de succès : m

Σ Ci

R=P

i =1

(6.20)

Il existe également des méthodes permettant d’identifier les coupes minimales d’un diagramme de succès. Exemple 6.4 :

Les étapes sont les suivantes : 1. Identification de tous les chemins de succès minimaux ; E1.E4 , E 2.E4 , E2.E5.E3.E5 sont des chemins de succès minimaux. 2. Construction d’une matrice d’incidence permettant d’affecter les composants à chaque chemin. Composants Chemins

C1

C2

C3

C4

C5

1 2 3 4

1 0 0 0

0 1 1 0

0 0 0 1

1 1 0 0

0 0 1 1

3. Examen des colonnes de la matrice : si tous les éléments d’une colonne sont égaux à 1, le composant associé donne lieu à une coupe d’ordre 1. Il n’existe pas, ici, de coupe d’ordre 1. ___________________________________________________________________________ ENIT 2A GI

134

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

4. Examen des colonnes combinées deux à deux, selon les règles suivantes : 0+0 ; 0+1 =1 ; 1+1 = 1. De cette manière, on cherche à connaître l’incidence des événements Ei+E j (i j) sur les chemins. Si tous les éléments d’une nouvelle colonne sont égaux à 1, les composants associés donnent lieu à une coupe d’ordre 2. Les coupes contenant des coupes d’ordre 1 sont éliminés : on obtient ainsi les coupes minimales d’ordre 2. Il existe une coupe minimale d’ordre 2 : E4 E 5

5. Répétition de l’étape précédente jusqu'à l’ordre maximal envisageable pour les coupes. Dans l’exemple, les coupes minimales d’ordre 3 sont : E1 .E 2.E3 , E1.E2 .E5 , E2.E3 .E 4

On vérifie facilement que : R = P E4.E 5 + E1.E2.E3 + E1 .E2.E5 + E 2.E3.E4 3.2.3. Utilisation de la fonction structure A chaque composant d’un diagramme de succès, on associe une variable d’état booléenne telle que : xi = 1 si le composant est en état de panne xi = 0 si le composant est dans l’état de fonctionnement

A chaque diagramme de succès correspond une fonction de structure unique. Ainsi, les fonctions de structure des diagrammes série et parallèle (figure 8.4 et 8.5) sont respectivement les suivantes : n

Ψ(x) = Ψ x 1 ,x2...,x n = 1 –

Π

1 – xi

(6.21)

i =1 n

Ψ(x) = Ψ x 1 ,x2...,x n =

Π xi

(6.22)

i= 1

La fonction de structure a une intéressante propriété : la défiabilité s’obtient simplement en remplaçant les variables xi par la défiabilité des composants dans la fonction de structure mise sous forme simple. Nous en déduisons, pour les diagrammes série et parallèle : R=

n

n

i= 1

i =1

Π 1 – ri ou R = Π ri

___________________________________________________________________________ ENIT 2A GI

135

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________ n

R=

Π r i

n

ou R =1 –

i= 1

Π

1 –ri

i =1

Nous retrouvons les formules (6.1) et (6.5). Le calcul de la fiabilité du diagramme complexe nécessite d’abord l’établissement de la fonction de structure. Plusieurs cas peuvent se présenter : - Établissement direct de la fonction de structure : c’est aisé lorsque le diagramme de succès de réduit à des combinaisons de diagrammes série et de diagrammes parallèles. La combinaison des fonctions de structure correspondantes est ensuite mise sous forme simple. - Établissement de la fonction de structure à partir des coupes minimales ou des liens minimaux : il est parfois possible d’identifier les coupes minimales ou les liens minimaux associés à un diagramme de succès. Exemple 6.5 . Considérons le diagramme complexe de la figure (6.12).

Soit E i l’événement « le composant ci est défaillant à l’instant t ». Les coupes minimales sont : E 4 .E 5 ,

E 1 .E 2 E 3 ,

E 1 .E 2 E 5 ,

E 2 .E 3 E 4

La fonction de structure est : Ψ(x) = 1 - [1 - x 4 x5] [1 - x1 x2 x3] [1 - x1 x2 x5] [1 - x2 x3 x5]

La fonction de structure mise sous forme simple est : Ψ(x)

= x4 x5 + x1 x2 x3 + x 1 x2 x5 + x 2 x3 x4 - x 1 x2 x3 x4 - x 1 x2 x3 x5 - x 1 x2 x4 x5 - x 2 x3 x4 x5 + x 1 x 2 x3 x4 x5

Posons 1 – xi = xi On obtient : 1 – Ψ(x) = x4 + x5 – x4 x 5 x2 + x1 x 4 +x3 x 5 –x1 x3 x4 x5

1 – x2

R = (r4 + r5 - r4 r5) r2 + (r1 r4 + r3 r5 - r1 r3 r4 r5) (1 - r2) Cette formule est identique à celle obtenue à l’aide du théorème des probabilités totales. ___________________________________________________________________________ ENIT 2A GI

136

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

- Établissement de la fonction de structure à partir d’une composition linéaire de fonction de structure. Nous avons vu que toute fonction de structure peut s’écrire : Ψ x 1 , ... ,x i – 1 , x ,i xi + 1 , ... , xn = xi Ψ x 1 , ... , xi – 1 , 1, x i + 1 ,..., xn

+

1 – xi Ψ x1 , ... , x i – 1 , 0 , x i + 1 , ... , x n = xi Ψi1 (x) + 1 –x i Ψi0 (x)

Lorsque les fonctions de structure Ψi 1(x) , Ψi 0 (x) sont faciles à établir, on en déduit immédiatement la fonction de structure Ψ(x). Ceci conduit à décomposer le diagramme de succès en plusieurs diagrammes de succès dont les fonctions de structure sont aisées à écrire. Cette méthode est semblable à celle utilisant le théorème des probabilités totales. Exemple 6.6. Considérons de nouveau le diagramme complexe de la figure 6.12. Calculons 1 0 Ψ2 (x) et Ψ2 (x) : Ψ21(x) = 1 – 1 – x1

1 – x4

= x1 + x4 – x1 x 4

1 – 1 – x3

1 – x5

x3 + x5 – x3 x 5

Ψ20(x) = x4 x5

On vérifie facilement que : Ψ( x ) = x2 Ψ21 (x) + 1 – x 2 Ψ20(x)

4. ÉVALUATION DE LA SURETE DE FONCTIONNEMENT D’UN SYSTEME REPARABLE Dans des conditions de restrictives, la MDS peut être utilisée pour l’évaluation quantitative de mesures de fiabilité, de disponibilité et de maintenabilité de systèmes réparables ; les calculs sont alors aisés et rapides à effectuer. Comme dans le paragraphe précédent, il convient de supposer l’indépendance entre les événements (défaillance, réparation) intervenant dans la vie des composants. Cette hypothèse implique notamment : - l’absence d’événements (ou blocs) répétés dans le diagramme de succès. - l’existence d’autant de réparateurs que de composants ; les stratégies de maintenance doivent être indépendantes les unes des autres. ___________________________________________________________________________ ENIT 2A GI

137

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

- la présence de redondance uniquement de type actif ; en effet pour une redondance de type passif les périodes de fonctionnement de chacune des entités dépendent de la disponibilité des autres entités.

4.1. Calcul de la disponibilité. Le calcul de la disponibilité est envisageable car la disponibilité ne dépend que de l’état du système - et donc des composants - à l’instant t. 4.1.1. Diagramme série (figure 6.4) : La disponibilité A(t) du système est le produit de la disponibilité a i(t) des différents composants : n

A(t) =

Π a (t) i

i=1

(6.23)

Dans le cas où les taux de défaillance λi et de réparation µi des composants sont constants, nous obtenons, en supposant a i(0) = 1. n

A(t) =

Π i =1

µi λi +µi

+

λi λ i +µ i

e–

λi + µ i t

(6.24)

D’où n

A(∞ ) = lim A(t) = t → ∞

Dans le cas où

λ i µi

µi

Π λi + µi

(6.25)

i=1

<< 1 n

A(∞ ) ≈ 1 –

λ i

Σ µi

(6.26)

i=1

n

A(∞ ) ≈

λ i

Σ µ i

i=1

4.1.2. Diagramme parallèle : L’indisponibilité A(t) du système est le produit des indisponibilité

ai (t)

des

différents composants : n

A(t) =

Π a (t) i

i=1

Soit : ___________________________________________________________________________ ENIT 2A GI

138

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________ n

A(t) = 1 –

Π 1 – ai(t) i= 1

Dans le cas où les taux de défaillance λi et de réparation µi des composants sont constants, nous obtenons, en supposant A i(0) = 1 : n

A(t) = 1 –

Π i= 1

λi

1 – e – ( λ i + µ )i t

λ i + µi

(6.27)

D’où n

A( ∞ ) = lim A(t) = 1 – t→∞

Dans le cas où :

λ i µi

Π i= 1

µi λi +µi

<< 1 n

A( ∞ ) ≈ 1 –

λi

Π µi

(6.28)

i= 1

n

A(∞ ) ≈

λ i

Π µi i=1

4.1.3. Diagramme complexe : Considérons maintenant un diagramme de succès où les éléments ne sont pas répétés et sont placés soit en série, soit en parallèle. On peut alors remplacer chaque ensemble d’éléments en série par un seul élément de disponibilité équivalente et chaque ensemble d’éléments en parallèle par un seul élément de disponibilité équivalente. L’application successive de ces réductions et l’utilisation des formules associées : n

Π a (t)

A(t) =

i

i=1

n

A(t) = 1 –

Π

1 – ai (t)

i =1

permet d’obtenir la disponibilité du système. C’est cette méthode qui est la plus utilisée pour l’étude des systèmes simples. Remarque :

Comme en général ai(t) est voisin de 1 ( ai (t) << 1 ), les calculs se feront très simplement en utilisant les indisponibilités : en effet dans le cas du diagramme série : ___________________________________________________________________________ ENIT 2A GI

139

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________ A(t) = 1 –

n

n

n

i= 1

i =1

i =1

Π a i(t) = 1 – Π 1 –a i(t) ≈ Σ a i(t)

4.2. Méthode du lambda-mu Cette méthode, au départ surtout développée dans le cadre de la méthode de l’Arbre des Causes (MAC, voir chapitre 7), s’applique en réalité au diagramme de succès lorsque toutes les conditions énumérées précédemment sont vérifiées. Elle donne les formules de base de calcul des taux de défaillance et de réparation asymptotiques pour des diagrammes série et parallèle. Ces formules ne seront pas justifiées dans ce paragraphe ; nécessitant le recours à la Méthode de l’Espace des États (MEE, voir chapitre 8), elles seront démontrées dans le chapitre MEE. Elles supposent, de plus, que les λi/µi sont petits devant 1. 4.2.1. Diagramme série (figure 6.4) : Les taux de défaillance et de réparation asymptotiques sont les suivants : n

Σ λi

λ ( ∞ ) =

(6.29)

i =1 n

Σ λi M(∞ ) =

i=1 n

Σ i=1

λ i µi

(6.30)

4.2.2. Diagramme parallèle (figure 6.5) : Les taux de défaillance et de réparation asymptotiques sont les suivants : n

λ ( ∞ ) =

Π i =1

λi µi

n

Σ µi

(6.31)

i =1

n

M(∞ ) =

Σ µi

(6.32)

i=1

Exemple 6.7 ___________________________________________________________________________ ENIT 2A GI

140

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

Le tableau 6.3. donne les résultats de ces calculs pour des diagrammes série et parallèle constitué de 2 éléments. Les calculs précédents se généralisent à un diagramme de succès où les éléments ne sont pas répétés et sont placés soit en série, soit en parallèle. On peut alors remplacer chaque ensemble d’éléments en série par un seul élément de taux de défaillance et de réparation équivalents ; on procède de même pour chaque ensemble d’éléments en parallèle.

Fiabilité Taux de défaillance disponibilité et de réparation et maintenaasymptotique bilité

Diagramme de Succès

Diagramme E série

S C1

C2

λ ( ∞ = λ 1 + λ 2

M( ∞ ) =

λ1 +λ 2 λ1 µ1

E

C1

S

Diagramme parallèle

λ( ∞ ) =

λ1 λ2 µ1 µ2

+

λ2 µ2

µ1 + µ 2

R(t) ≈ e– λ( ∞ ) t λ( ∞ ) A(t) ≈ M ( ∞ ) M(t) ≈1 – e– M( ∞ ) t

M( ∞ ) = µ1 +µ2

C2

Tableau 6.3 : . Mesures de fiabilité, disponibilité et maintenabilité des diagrammes série et parallèle d’un système réparable.

4.3. Commentaires. Les nombreuses conditions énumérées précédemment montrent les limites de l’évaluation quantitative de la fiabilité, de la disponibilité et de la maintenabilité à partir du diagramme de succès. Il s’avère nécessaire, avant d’utiliser ces techniques, de s’assurer soigneusement de l’indépendance entre les événements considérés. Si des calculs de disponibilité sont possibles directement à partir du diagramme de succès, les calculs de fiabilité (ou de maintenabilité) ne permettent d’obtenir que des taux de défaillance (ou de réparation) asymptotique par la méthode lambda-mu qui est en réalité dérivée de la MEE. Lorsque les événements considérés ne sont pas indépendants, d’autres méthodes ___________________________________________________________________________ ENIT 2A GI

141

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

doivent être utilisées. Lorsque des éléments se trouvent répétés dans le diagramme de succès, la MAC et les techniques de réduction associées (coupes minimales) seront employées. Lorsque des dépendances statistiques existent entre les éléments, telles que celles résultant d’un seul réparateur, on aura recours à la MEE.

5. METHODE DE DECOMPTE DES COMPOSANTS (MDC) Cette méthode « Parts Count Reliability Prediction » est basée sur l’hypothèse que tous les composants du système doivent être en fonctionnement pour que le système fonctionne. Le diagramme de succès du système est alors un diagramme série : n

λ=

Σ λi i =1

Le taux de défaillance est simplement obtenu en additionnant les taux de défaillance de tous les composants du système. Lorsque le diagramme de succès du système n’est pas un diagramme série (exemple : présence d’une redondance) l’application de cette méthode permet d’obtenir un majorant du taux de défaillance. Cette méthode est très utile pour obtenir très rapidement un taux de défaillance pessimiste ; néanmoins, il s’avère très difficile de connaître la marge de conservatisme qui en résulte. Cette méthode a été très utilisée pour des systèmes électroniques où la défaillance d’un composant quelconque (transistor, résistance...) entraîne généralement la défaillance du système : elle donne alors l’ordre de grandeur du taux de défaillance. Elle est souvent couplée à une modélisation du taux de défaillance en fonction d’un taux de défaillance de base et de coefficient d’influence.

6. CONCLUSION La Méthode du Diagramme de Succès (MDS) conduit à une modélisation du fonctionnement d’un système. Le diagramme de succès obtenu permet le calcul généralement aisé, de la fiabilité (ou disponibilité) du système supposé irréparable. Dans certaines conditions très restrictives, ce calcul peut être étendu à ceux de la fiabilité, de la disponibilité et de la maintenabilité d’un système réparable. Cette méthode est utilisable lorsqu’une analyse détaillée des causes de défaillance (et de leurs combinaisons) n’est pas requise et lorsqu’il y a indépendance entre les défaillances (et les réparations) des composants. ___________________________________________________________________________ ENIT 2A GI

142

Dr. K. Bourouni

Chapitre 6


___________________________________________________________________________

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

___________________________________________________________________________ ENIT 2A GI

143

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

Introduction : Exposé de la méthode Etapes de la Méthode Concepts de base Elaboration de l’arbre des causes : Principes Coupes minimales et implicants premiers Exercice d’application : Détermination des coupes minimales Analyse quantitative

CHAPITRE 7 : LA METHODE DE L’ARBRE DES CAUSES (FAULT TREE METHOD) 1. INTRODUCTION Cette méthode de l’Arbre des Causes («Fault Tree Method») est aussi connue sous le nom de Arbre des Défauts ou Arbre des fautes à cause du mode de présentation des résultats. De nombreuses analyses de systèmes très divers ont été menées à Electricité de France (EDF) en utilisant cette méthode.

2. EXPOSE DE LA METHODE : Partant d’un événement indésirable unique et bien défini, il s’agit de représenter graphiquement les combinaisons d’événements qui consistent à la réalisation de cet événement indésirable . L’Arbre des Défauts sera donc formé de niveaux successifs tels que chaque événement soit généré à partir des événements du niveau inférieur par l’intermédiaire de divers opérateurs (ou portes) logiques. Le processus déductif est poursuivi jusqu'à ce qu’on arrive à des événements élémentaires caractérisés par les trois critères suivants : - ils sont indépendants entre eux, - leurs probabilités peuvent être estimées (même si cette estimation est entachée d’incertitude), - il y a plus besoin de les décomposer en événements plus simples . ENIT 2A GI

144

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

Ces événements élémentaires peuvent être des pannes, des erreurs humaines, des conditions extérieures, etc. La Méthode de l’Arbre des Causes présente donc l’avantage de ne pas exiger l’examen des pannes sans conséquences significatives . C’est un outil orienté vers la représentation logique des interactions entre divers événements et particulièrement bien adapté, de ce fait, à l’étude des systèmes. Un Arbre des Défauts est dit indépendant du temps si les événements élémentaires, une fois qu’ils sont apparus, demeurent, jusqu'à la fin de la mission ; d’une manière un peu imagée, on peut dire qu’il s’agit d’événements non réparables. La probabilité de l’événement indésirable dépend donc du taux d’apparition des événements élémentaires, et il est inutile d’intervenir dans les calculs de la durée de présence de ces événements. Exemple 7.1 Considérons le système permettant à distance d’allumer la lampe 7.1). Batterie

(figure

B.P

Fusible Figure 7.1: Système d’allumage à distance d’une lampe

L’événement indésirable ici «la lampe ne s’allume pas» lorsqu’on appuie sur le bouton poussoir. Les causes possibles sont les suivantes : - le bouton-poussoir est bloqué, - la batterie est déchargée, - le fusible est ouvert, - le fil est débranché, - la lampe est grillée. Ceci est représenté par l’arbre suivant : ___________________________________________________________________________ ENIT 2A GI

145

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

La lampe ne s’allume pas

Le bouton-poussoir est bloqué

La batterie est déchargée

Le fusible est ouvert

Le fil est débranché

La lampe est grillée

Figure 7.2. : Arbre de Causes du système d’allumage

L’événement indésirable est ici lié à cinq événements de base par l’intermédiaire d’une porte (ou opérateur) logique « OU » : un quelconque de ces cinq événements de base empêche la lampe de s’allumer. Une autre porte logique très souvent utilisée est la porte « ET » (voir exemple 7.2). Ainsi, la démarche de l’Arbre des Causes est la suivante : Définition d’un événement indésirable

L’arbre des causes est constitué de combinaisons d’événements conduisant à l’événement indésirable Les combinaisons d’événements sont construites à l’aide des portes logiques Chaque événement est représenté par un événement où est inscrit un libellé le décrivant Figure 7.3.: Démarche liée à l’arbre des Causes

ENIT 2A GI

146

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

3. ÉTAPES DE LA METHODE La méthode de l’Arbre des Défauts comporte six étapes (figure 7.3): 1. La définition de l’événement indésirable, 2. L’examen du système, 3. La construction de l’Arbre des Défauts, 4. Le recueil des données quantitatives, 5. L’évaluation de la probabilité, 6. L’analyse des résultats obtenus

3.1. La définition de l’événement indésirable : Étudier la sécurité d’un système en utilisant l’Arbre des Défauts exige que l’on commence par définir l’événement indésirable. Pour un avion de transport, par exemple, la perte de vies humaines ou la destruction de l’appareil pourraient être considérées comme le seul événement indésirable. Mais cet événement conduirait à un Arbre de Causes trop compliqué et très difficile à construire. La liste des événements indésirables peut être établie au terme d’une Analyse Préliminaire des Risques, première estimation intuitive, purement qualitative, des événements portant atteinte à la sécurité. En conclusion, un Arbre de Causes est construit à partir d’un événement indésirable, unique, bien défini et choisi - au terme d’une Analyse Préliminaire des Risques - de telle manière qu’il n’entraîne pas une complexité dans la construction de l’arbre.

3.2. L’examen du Système : Les ingénieurs et techniciens chargés des études de sécurité doivent acquérir une très bonne connaissance de l’ensemble du système et de son utilisation.

3.3. La construction de l’Arbre des Causes : L’Arbre des Causes (ou défauts) est constitué, ainsi, de niveaux successifs d’événements, chacun d’entre eux étant généré par une combinaison des événements du niveau inférieur. Le niveau auquel se situe l’un des événements ne préjuge en rien de l’ordre de grandeur de la probabilité qui lui sera ultérieurement affectée. ___________________________________________________________________________ ENIT 2A GI

147

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

Exemple 7.2 A l’atterrissage, la panne d’un dispositif d’anti-dérapage d’avion de transport peut à priori induire à une sortie latérale de piste, même en l’absence de mauvaise réaction de l’équipage : il faut au moins, pour cela, qu’il y ait un fort vent de travers et que la piste soit glissante. Mais, en l’absence de panne de moteur, il est vraisemblable que le pilote corrigera aisément tout écart latéral ; et si une panne de moteur s’est produite suffisamment longtemps avant l’arrondi, le pilote compensera la dissymétrie de poussée au cours de l’approche, portera une plus grande attention à l’état de l’atmosphère et de la piste et se trouvera bien armé pour faire face à la panne. L’événement « Sortie latérale de piste à l’atterrissage en l’absence de mauvaise réaction de l’équipage » est donc généré par la combinaison suivante : - Panne du dispositif d’anti-dérapage - ET piste glissante - ET fort vent de travers - ET Panne de moteur survenant en fin d’approche.

Dans la pratique, le choix entre les portes ET et OU peut être fait en se référant à la règle suivante : si l’événement considéré entraîne, à lui seul, celui du niveau supérieur, il faut le faire entrer dans une porte OU. Sinon, identifier les événements qui doivent nécessairement survenir en même temps pour que l’événement du niveau supérieur soit généré, et les relier à une porte ET.

3.4. Le recueil des données quantitatives : Il s’agit d’écrire les variables aléatoires caractéristiques de la présence des événements élémentaires auxquels l’Arbre des Défauts a abouti. Pour un arbre indépendant du temps, il suffit de connaître la densité de probabilité de l’instant d’apparition de chaque événement élémentaire X i. Dans le cas d’un arbre dépendant du temps, et pour chaque X i, on doit considérer un succession de périodes de durées (τi) aléatoires où X i est présent, et de périodes de durées ( θi) aléatoires où Xi est absent : il faut donc connaître les fonctions décrivant la probabilité des variables aléatoires (τi) et (θi).

ENIT 2A GI

148

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

3.5. L’évaluation de la probabilité : Cette étape débute suite à la construction de l’Arbre des Défauts et le recueil des données quantitatives. Il s’agit : - de déterminer la probabilité d’apparition de l’événement indésirable, - de déterminer, avec leurs probabilités, les chemins les plus critiques, c’est-àdire les plus probables parmi les combinaisons d’événements susceptibles d’entraîner l’événement indésirable. L’analyse des résultats obtenus :

Comme la construction de l’arbre, l’analyse des résultats obtenu doit être confiée à des équipes pluridisciplinaires dominant les divers aspects de la conception, de la fabrication, de l’utilisation du système. L’Arbre des Défauts peut être utilisé dans plusieurs perspectives : (1) porter un jugement sur la probabilité d’apparition de l’événement indésirable (2) déterminer les chemins les plus critiques et identifier les points faibles du système, (3) mettre en évidence les fausses redondances (4) respecter l’influence d’un événement donné, qu’il soit ou non élémentaire, Il est important de bien distinguer les deux aspects de l’Arbre des Causes qui sont dans la pratique, profondément liés : - déterminer les diverses combinaisons possibles d’événements qui entraînent la réalisation d’un événement indésirable unique ; - représenter graphiquement ces combinaisons au moyen d’une structure arborescente. Dans le cadre de son premier objectif, cette méthode permet, grâce à un raisonnement déductif s’appuyant sur un certain nombre de principes et de règles, d’accéder aux multiples causes d’un événement unique préalablement bien défini. On représentera ces causes sous forme d’un arbre conformément au deuxième objectif. Il faut cependant noter que l’on peut représenter sous la même forme d’arbre, des combinaisons d’événements déterminées par d’autres méthodes d’analyse. L’Arbre des Causes représente ainsi graphiquement les combinaisons des événements qui conduisent à la réalisation d’un événement unique ; ce dernier constitue l’événement de tête de l’Arbre des Causes et est, la plupart du temps, un événement indésirable pour le système étudié. ___________________________________________________________________________ ENIT 2A GI

149

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

L’arbre des Causes est formé de niveaux successifs d’événements tels que, chaque événement est généré à partir des événements du niveau inférieur par l’intermédiaire de divers opérateurs (ou portes) logiques. Ces événements sont généralement des défauts associés à des défaillances de matériels, des erreurs humaines, des défauts de logiciels, etc. pouvant conduire à l’événement indésirable. Ce processus déductif est poursuivi jusqu'à ce que l’on obtienne des événements dits « événements de base » ; ces derniers sont généralement des événements indépendants entre eux et dont on connaît le probabilité d’occurrence. Il est important de mentionner qu’ un Arbre de Causes n’est évidemment pas un modèle de toutes les défaillances possibles dans le système ; c’est par contre ; un modèle de la logique des interactions entre des événements conduisant à l’événement indésirable.

4. CONCEPTS DE BASE 4.1. Evénement indésirable L’analyse par l’Arbre des Causes se concentre sur un événement particulier qualifié d’ »indésirable ». Cet événement devient l’événement « sommet » de l’arbre et l’analyse a pour but d’en déterminer toutes les causes. Souvent, cet événement est un événement catastrophique ; cependant, cet événement peut être plus simplement une indisponibilité de système affectant la sécurité mais également la disponibilité d’une installation (aspect économique). Afin de faciliter l’analyse, l’événement indésirable doit être défini de façon précise. En effet, si cet événement est beaucoup trop général (exemple : chute d’un avion, fusion d’un cœur de réacteur nucléaire...), l’analyse devient inextricable et impossible à réaliser. Si par contre, cet événement est trop spécifique, l’analyse risque de ne pas mettre en évidence les éléments importants du système.

4.2. Représentation des portes logiques Les portes logiques lient les événements suivant des relations de causalité. Les principaux symboles généralement utilisés sont représentés dans le tableau 7.1.

ENIT 2A GI

150

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________ Tableau 7.1 : Présentation des portes logiques utilisées dans la MAC

Symbole

Nom du Symbole

Signification du symbole

Porte ET

L’événement de “sortie” (ici S) de la porte ET est généré si tous les événements d’entrée (ici E1, E2 et E 3 ) sont présents simultanément

S

E1

E2

E3

S

Porte OU

E1

E2

E3

S E1 avant E2

E1

Porte ET avec condition

1

L’événement de “sortie” (ici S) est généré si tous les événements d’entrée (ici E1 et E 2) sont présents et si la condition (ici E 1 est présent avant E 2) est réalisée

E2 S Exclusion

E1

L’événement de “sortie” (ici S) de la porte OU est généré si l’un au moins des événements d’entrée (ici E ou E 2 ou E 3) est présent : la porte est appelée aussi OU exclusif

Porte OU avec exclusion

E2

L’événement de “sortie” (ici S) de la porte OU est généré si l’un au moins des événements d’entrée (ici E 1 ou E 2 ou E 3) est présent et si la condition est réalisée (ici, il faut que E1 et E 2 ne soient pas présents simultanément); la porte est appelée aussi OU EXCLUSIF

___________________________________________________________________________ ENIT 2A GI

151

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

Tableau 7.1 : Suite

Symbole

Nom du Symbole


Porte SI

L’événement de “sortie” (ici S) est généré l’événements d’entrée (ici E 1) est présent et si la

S x

condition X est réalisée

E1

S Porte COMBINAISON m/n (ici 2/4)

2/4

E1

E2

E3

E4

L’événement de “sortie” (ici S) est généré si m des événements d’entrée sont présents (ici il suffit que 2 des événements E 1, E2, E3, E4 soient présents)

D’autres portes logiques sont utilisées dans des applications particulières (tableau 7.2)

ENIT 2A GI

152

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

Tableau 7.2: Représentation d’autres portes logiques parfois utilisées

Symbole

Nom du Symbole

S 10 min

x

Porte Délai

L’événement de “sortie” (ici S) est généré avec un retard donné (ici 10 min) par rapport à l’événement d’entrée (ici E 1 ) à condition que celui-ci n’ait pas disparu entre temps.

E1

S Porte MATRICIELLE

E1


E2

L’événement de “sortie” (ici S) est généré à partir de certaines combinaisons des entrées qui ne sont pas pour le moment explicitées

E3

6 Porte QUANTIFICATION

Une porte QUANTIFICATION fait correspondre à un événement (ici E 1) une valeur numérique (ici 6)

E1

___________________________________________________________________________ ENIT 2A GI

153

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

Tableau 7.2 Suite

Symbole

Nom du Symbole


Porte SOMMATION

Une porte de SOMMATION effectue la somme des valeurs issues des diverses portes QUANTIFICATION

Σ

6

E1

12

E1 S ≥ 48

Porte MATRICIELLE Σ

L’événement de “sortie” (ici S) de la porte de COMPARAISON est généré si la valeur issue de la porte SOMMATION vérifie une certaine inégalité (ici supérieure à 48)

Il convient de noter que d’autres symboles sont parfois employés (tableau 7.3) pour les portes « OU EXCLUSIF » et « ET AVEC CONDITION ».

ENIT 2A GI

154

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________ Tableau 7.3. : Diverses représentations de certaines portes logiques Porte Logique

Symbole

Autre symbole utilisé

Référence

6 Porte “EXCLUSIVE OR”

Exclusion

OU EXCLUSIF

1

E1 avant E 2

6

E1 E2

ET AVEC CONDITION

Porte “PRIORITY AND”

E1 avant E 2

E1 E2

1 E1 E2

En outre, des portes logiques de type NON peuvent se révéler utiles : citons le cas de la porte NON-OU (ou NON-ET) dont l’événement complémentaire de l’événement de sortie de la porte logique OU (ou respectivement ET). Habituellement, les portes logiques de type NON sont représentées par les symboles des portes logiques surmontées d’un petit cercle.

3.3. Représentation des événements Les symboles habituellement utilisés sont représentés dans le tableau 7.4.

___________________________________________________________________________ ENIT 2A GI

155

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

Tableau 7.4. Représentation des événements Symbole

Nom du Symbole

rectangle


Représentation d’un événement (événement indésirable ou intermédiaire) résultant de la combinaison d’autres événements par l’intermédiaire d’une porte logique.

cercle

Représentation d’un événement élémentaire ne nécessitant pas de futur développement

losange

Représentation d’un événement qui ne peut être considéré comme élémentaire mais dont les causes ne sont pas et ne seront pas développées

double losange

Représentation d’un événement dont les causes ne sont pas encore développées mais le seront ultérieurement

maison

Représentation d’un événement de base qui est un événement survenant normalement pendant le fonctionnement du système.

ovale

Représentation d’un événement conditionnel qui peut être utilisé avec certaines portes logiques

Notons qu’un événement complémentaire peut être représenté par le symbole habituel surmonté d’un petit cercle. Les symboles dits « transferts de sous-arbres » (tableau 7.5) permettent de réduire la taille d’un Arbre des Causes en évitant le duplication de sous-arbres identiques ou semblables.

ENIT 2A GI

156

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________ Tableau 7.5 . Représentation des symboles « transferts de sous-arbres »

Symbole

Nom du Symbole


La partie de l’arbre des causes qui suit le symbole

triangle

est transféré à l’emplacement indiqué par le symbole

Une partie semblable, mais non identique à celle qui suit le symbole triangle inversé

est transféré à l’emplacement indiqué par le symbole

4.4. Défauts, défaillances et pannes Comme nous l’avons vu au chapitre 1, la panne ou la défaillance d’un système (ou d’un composant) est la conséquence de l’existence d’une ou plusieurs pannes ou défaillances de composants du système (ou de pièces du composant). La MAC a pour objet de rechercher, à partir d’un événement indésirable, les pannes ou les défaillances de composants dont la combinaison entraîne l’apparition de l’événement indésirable.

___________________________________________________________________________ ENIT 2A GI

157

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

4.5. Classes de défaillances Nous avons classé au chapitre 1, les défaillances en 3 classes selon leurs causes : - défaillance première, - défaillance seconde, - défaillance de commande. Cette classification est très utile pour la construction de l’arbre des Causes ; la figure 7.4. représente l’arbre des Causes d’un composant. Défaillance d’un composant

Défaillance première

Défaillance seconde

Défaillance de commande

Figure 7.4. : Arbre des Causes d’un composant

4.6. Événements de base L’analyse des causes des événements doit être faite jusqu'à ce que l’on obtienne des événements de base ». Aussi est-il important de définir de tels événements qui fixent une limite à l’analyse. Les événement de base de l’Arbre des Causes sont les suivants : - les événements élémentaires ne nécessitant pas de futur développement (symbole le cercle). Un tel événement est généralement suffisamment bien décrit et connu pour qu’il soit inutile d’en rechercher les causes ; sa probabilité est généralement connue (une erreur humaine élémentaire, une indisponibilité de composant à la suite d’une maintenance préventive, etc.), - l’événement ne peut être considéré comme élémentaire que si les causes ne sont pas et ne seront pas développées (symbole : le losange). Dans un tel cas, ENIT 2A GI

158

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

on a atteint les limites du système étudié en aboutissant à cet événement ; - l’événement est un événement survenant normalement pendant le fonctionnement du système (symbole : la maison). Un tel événement peut être lié à l’environnement du système. En ce qui concerne le niveau de finesse de l’étude, on peut commencer par un niveau moyen et affiner au fur et à mesure, sinon an va se trouver immergé par un nombre important de données).

5. ÉLABORATION DE L’ARBRE DES CAUSES : PRINCIPES L’élaboration de l’Arbre des Causes est une technique qui a évolué depuis l’époque de sa création ; elle fut longtemps considérée comme un art, réservé aux analystes. Cependant, l’extrême étendue de son champ d’application a permis, au fur et à mesure, de mettre en évidence des principes et des règles. Il reste toujours vraie, qu’il est difficile jusqu’aujourd’hui, de définir un algorithme précis et rigoureux pour élaborer un tel arbre de causes. Voici cependant des éléments permettant de guider à construire un arbre de causes.

5.1. Recherche des causes immédiates, nécessaires et suffisantes (1er Principe) Il est nécessaire de rechercher les causes immédiates, nécessaires et suffisantes (INS) de l’événement indésirable. On prendra deux exemples Exemple 7.3 un système représenté par la figure suivante : B A

D

E

C

Figure 7.5. Exemple 7.4

Un signal de sortie de l’élément A devient un signal d’entrée des composants B et C ; ces derniers envoient un signal au composant D, puis ce dernier, au composant E. Il existe ainsi, une redondance au niveau de B et C. On choisit comme événement ___________________________________________________________________________ ENIT 2A GI

159

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

indésirable « pas de signal d’entrée pour E ». On doit procéder étape par étape dans la recherche des causes immédiates. La cause immédiate de l’événement indésirable est « pas de signal de sortie de D ». On doit résister à la tentation d’indiquer que l’événement « pas de signal d’entrée pour D » est la cause immédiate de « pas de signal d’entrée pour E » . Pour les causes immédiates de « pas de signal de sortie » : - « pas de signal de sortie de D malgré l’existence d’un signal d’entrée pour D » (événement 1) - « pas de signal d’entrée pour D » (événement 2). On effectue ensuite la recherche des causes immédiates des causes de ces deux événements : - si la limite de l’étude est le niveau « composant » l’événement 1 peut être reformulé comme « défaillance de D » ; il ne sera donc pas analysé plus en détail et sera considéré comme un événement de base. La précipitation de l’analyste dans l’étape suivante aurait pu conduire à ignorer cet événement ; - les cause INS de l’événement 2 sont « pas de signal de sortie de B et pas de signal de sortie de C » ; cet événement est l’intersection de deux événements : ∗ « pas de signal de sortie de B » ∗ « pas de signal de sortie de C » Il convient de noter que ces causes doivent être nécessaires et suffisantes : ainsi, par exemple, l’événement « pas de signal de sortie de B » n’est pas suffisant et les causes de l’événement « pas de sortie de B » et « pas de signal de sortie de C » et « pas de signal de sortie de A » ne sont pas toutes nécessaires. L’analyse se produit ensuite suivant la même procédure. Ainsi la recherche des causes INS doit être faite, étape par étape, de manière aussi rigoureuse et minutieuse que possible. Il ne faut surtout pas « brûler les étapes » ! Exemple 7.4 : Soit un système représenté par la figure 7.6. Il s’agit d’un échangeur permettant de refroidir un fluide primaire de débit Q et de température T 1 jusqu'à la température T2 ; le fluide secondaire qui a un débit q et une température t 1 à l’entrée et une température t2 à la sortie de l’échangeur. L’événement indésirable est ici « augmentation trop importante de la température T 2 ». On imagine l’existence de sous-systèmes permettant d’alimenter l’échangeur côté primaire et secondaire.

ENIT 2A GI

160

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

t2 Fluide primaire Q

T2

T1 t1 q Fluide secondaire Figure 7.6 : Exemple 7.5 : Echangeur de chaleur

Le recherche des causes INS à l’événement indésirable doit être effectuée , dans un premier temps, au niveau même de l’échangeur, en ignorant les sous-systèmes qui l’alimentent. La démarche la plus simple consiste à considérer les paramètres physiques importants et les lois qui régissent le comportement de l’échangeur. Par exemple, on définira les températures aux entrées et aux sorties de l’échangeur et les débits de fluides primaire et secondaire. Les causes INS sont alors les suivantes : - augmentation trop importante de T 1, - augmentation trop importante de Q, - augmentation trop importante de t 1 - diminution trop importante de q. Un modèle plus précis pourrait être établi de la manière suivante : - écriture de toutes les lois de comportement de l’échangeur (exemple : prise en compte des coefficients d’échange) - détermination des paramètres dont la variation entraîne l’événement indésirable, - analyse des défaillances possibles de l’échangeur (exemple : fuite interne, fuite externe) et de leur influence sur les lois de comportement de l’échangeur (exemple : prise en compte de possibles réactions exothermiques entre fluide primaire et secondaire) L’analyse se poursuit en recherchant les causes INS aux variations de ___________________________________________________________________________ ENIT 2A GI

161

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

paramètres physiques mises en évidence précédemment . La relation entre ces paramètres peut s’écrire : Q C p T 1 – T 2 = q c p t 2 – t 1

⇒

T 2 = T 1 –

q c p t 2 – t 1 Q C p

A partir de cette relation, on peut déduire les causes INS. Cet exemple illustre l’intérêt de parfois revenir aux paramètres physiques et aux lois qui régissent le comportement de composants, sous-systèmes ou du système dans la recherche des causes INS de certains événements. Cette méthode garantit la rigueur et l’exhaustivité de l’analyse ; mais, sa lourdeur doit conduire à ne l’utiliser qu’à bon escient. En conclusion, il apparaît que la recherche des causes INS doit être effectuée étape par étape, de manière aussi rigoureuse que possible ; une importante aide à cette recherche peut être la considération des paramètres physiques et des lois qui régissent le comportement des composants, des sous-systèmes ou du système.

5.2. Classement des événements intermédiaires (2e Principe) La recherche des causes INS à l’événement indésirable a permis d’obtenir des événements intermédiaires (E i). Un classement de ces derniers est alors effectué. On distingue principalement trois classes d’événements : - Ei est un événement de base - Ei est un défaut de composant : comme on l’a précédemment vu, la défaillance associée se décompose en défaillance première, seconde et de commande. L’analyse de poursuit ensuite conformément au 3 ème principe qu’on analysera ultérieurement. - Ei est un « défaut du système » : cette classe d’événement mérite quelque explication . Il s’agit d’événements qui ne sont pas des événements de base et pour lesquels on ne peut pas spécifier un composant du système pour cause de ceux-ci ; généralement, plus d’un composant est alors responsable d’un tel événement. Un événement combinant un événement de base et un défaut de composant fait également partie de cette classe d’événement. La recherche des causes INS conduit alors à définir des événements intermédiaires liés par des opérateurs logiques. L’analyse de chaque événement intermédiaire est représentée schématiquement à la figure 7.7.

ENIT 2A GI

162

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

Dˇfinition dÕun ˇvˇnement intermˇdiaire 1

E i

1

E i est-il un ˇvˇnement de base? Oui

e s a b e d s t n e m e n ˇ v ˇ s e d n o i t n e t b O

Non

1

E i est-il un dˇfaut de comosant? Oui

Recherche de la dˇfaillance premi¸re

Recherche des dˇfaillances secondes

Non

Recherche des dˇfaillances de commandes

1

E i est un dˇfaut du syst¸me

Recherche des causes INS

Dˇfinition des 2 ˇvˇnements E i intermˇdiaires liˇs par des portes logiques Figure 7.7. : Représentation schématique de l’analyse de chaque événement intermédiaire

___________________________________________________________________________ ENIT 2A GI

163

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

5.3. Analyse des défauts de composants (3ème principe) Dès que l’on rencontre un défaut de composant, on utilise l’Arbre des Causes à la figure 7.4. Si la recherche des causes INS conduit à définir : a) une défaillance première : on obtient un événement de base, b) une ou des défaillances secondes : la recherche de leurs causes INS conduit à définir des événement intermédiaires liés par des portes logiques, c) une ou des défaillances de commande : de même, le recherche de leurs causes INS conduit à définir des événements intermédiaires liés par des portes logiques.

5.4. Recherche des causes, nécessaires et suffisantes des événements intermédiaires jusqu'à l’obtention des événements de base (4ème principe) L’application des principes précédents a permis d’obtenir, à partir de l’analyse des événements intermédiaires, des événements de base ou de nouveaux événements intermédiaires. On applique ces principes aux nouveaux événements intermédiaires jusqu'à ce que l’on n’obtienne plus des événements de base. L’ensemble de la démarche est représenté sur la figure 7.8.

ENIT 2A GI

164

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________ Application des règles à chaque événement intermédiaire

Définition de l’événement indésirable

Recherche des cause INS

Obtention des premiers événements intermédiaires liés par des portes logiques

Recherche des causes INS de chaque événement intermédiaire

Tous les événements intermédiaires sont des événements de base

Oui Obtention de l’arbre des causes

Non

Obtention de nouveaux événements intermédiaires liés part des portes logiques

Figure 7.8. : Représentation schématique de l’élaboration de l’Arbre des Causes.

5.5. Démarche itérative (5ème principe) Dans la pratique, il apparaît souvent nécessaire de revenir sur certaines caractéristiques de l’arbre que l’on est en train d’élaborer. Par exemple : - telle analyse d’événement amène à préciser la connaissance du système et à constater qu’il a oublié de prendre en compte certaines caractéristiques (états de fonctionnement, particularités de la maintenance, etc.). On est donc obligé de redéfinir certains événements intermédiaires, d’en rajouter d’autres. L’analyse peut aussi montrer la nécessité de préciser certains effets de défaillance et de réaliser des études complémentaires de fonctionnement. On sera parfois amené, dans l’attente de ces résultats d’étude, à faire un certain nombre d’hypothèses ; - il peut s’avérer nécessaire de préciser tel événement de base lié à un composant et d’analyser plus en détail tel composant particulier : ceci oblige une révision des limites fixées à l’analyse. Ainsi on doit pas hésiter à revenir sur certains événements de l’arbre, sur la structure de certaines branches de celui-ci..., l’élaboration de l’Arbre des Causes devenant une démarche itérative jusqu'à l’obtention de résultats satisfaisants. ___________________________________________________________________________ ENIT 2A GI

165

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

5.6. Autres règles Pour faciliter l’élaboration de l’Arbre des Causes, des règles ont été émises et développées ces dernières années. Retenons ici quatre d’entre elles : * « pas de miracle » (No Miracle Rule) On trouve que parfois que la défaillance d’un composant est arrêtée par l’existence miraculeuse et inattendue d’un défaillance d’un autre composant ! Dans ce cas le système est appelé « non cohérent », l’existence simultanée de deux défaillances conduisant à un fonctionnement du système. Dans l’analyse, bien évidemment, on supposera que le deuxième composant fonctionne normalement pendant l’existence de la première défaillance. * « compléter les portes » (Complète the Gate Rule) Afin d’être méthodique, il est conseillé de bien spécifier tous les événements d’entrée d’une porte logique avant d’entreprendre l’analyse détaillée de l’un d’entre eux. ∗ « pas de porte à porte » No Gate-to-Gate Rule » ∗ Une porte logique ne doit pas être connectée à une autre porte logique . Le « porte à porte » peut conduire à des confusions et révéler une compréhension insuffisante du système (risque d’avoir sauté des étapes du raisonnement déductif) ∗ « les causes sont antérieures aux conséquences ! » Rechercher les causes d’un événement revient à remonter dans le temps ; en effet, les causes d’un événement doivent être antérieures à l’existence de celui-ci. Cette règle permet d’éliminer certaines causes et branches de l’arbre, facilitant notamment la résolution des systèmes dits « bouclés ».

6. EXERCICE D’ILLUSTRATION : ELABORATION DE L’ARBRE DES CAUSES Afin d’illustrer les principes de la MAC, nous présentons un système simple (figure 7.9.) et un événement indésirable, qu’on analyse par cette méthode. On suppose que le fil AB traverse une zone où se trouvent des vapeurs inflammables ; on admet qu’une Analyse Préliminaire des Dangers a montré que l’événement critique à éviter est la surchauffe du fil AB. Cet événement est donc l’événement indésirable.

ENIT 2A GI

166

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________ B.P Batterie Fusible

Moteur Relais

Batterie

M

A

Fil

B

Figure 7.9.

6.1. Analyse par par Arbre Arbre des Causes L’événement indésirable est la « surchauffe du fil AB ». Il ne peut résulter que de la présence d’un courant élevé dans le 2 ème circuit, le 2 ème circuit étant évidemment maintenu fermé. L’existence d’un courant élevé dans le 2 ème circuit nécessite la présence d’un court-circuit du moteur ; par hypothèse ; c’est la seule source de courant élevé que l’on considère dans le cadre de cet exercice.

On en déduit l’Arbre des Causes suivant : Surchauffe du fil AB

Le 2¸me circuit est restˇ fermˇ

Court-circuit du moteur

Figure 7.10.

L’événement indésirable est ainsi engendré par deux événements ___________________________________________________________________________ ENIT 2A GI

167

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

intermédiaires au travers d’une porte ET. L’événement intermédiaire « court-circuit du moteur » est une défaillance du moteur tandis que l’autre événement intermédiaire peut être classé classé comme comme un défaut du du système. On commence commence par rechercher les causes du court-circuit du moteur : - défaillance première : c’est un court-circuit qui résulte d’une défaillance propre au moteur dont l’origine est, par exemple, le vieillissement. C’est un événement de base ; - défaillance seconde : il existe une cause externe. Ainsi par exemple, si le contact du relais reste collé, il en résulte un fonctionnement prolongé du moteur et, par suite, un court circuit du moteur dû à son échauffement ; - défaillance de commande : il n’existe pas de telle défaillance. On obtient l’Arbre des Causes suivants : Surchauffe du fil AB



Le contact du relais reste collˇ

Dˇfaillance premi¸re Figure 7.11.

On poursuit l’étude par l’élaboration de la branche gauche de l’arbre ; l’événement intermédiaire « le contact du relais reste collé », est un défaut du relais. On en cherche les causes : - défaillance première : le contact du relais reste collé par suite, par exemple, d’un défaut d’origine mécanique. C’est un événement de base ; - défaillance seconde : le contact du relais reste collé si un courant élevé traverse le contact, c’est-à-dire s’il existe un court-circuit du moteur ; - défaillance de commande : le contact du relais reste collé si le contact du ENIT 2A GI

168

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

bouton-poussoir (B.P) reste collé, On en déduit l’Arbre des Causes suivant : Surchauffe du fil AB





Le contact du B.P reste collˇ

Dˇfaillance premi¸re


Figure 7.12.

Dans l’Arbre des Causes ainsi élaboré, on constate une incohérence : le courtcircuit du moteur ne peut être à la fois la cause de l’événement « le contact du relais reste collé » et la conséquence de ce même événement (règle « les causes sont antérieures aux conséquences »). Il convient donc de supprimer le dernier événement intermédiaire « cour-circuit du moteur » de l’écriture de l’arbre. L’autre événement intermédiaire est un défaut du contact du B.P. : - défaillance première : c’est une défaillance d’origine mécanique, par exemple. C’est un événement de base ; - défaillance seconde : il n’en existe pas ; - défaillance de commande commande : le contact du B.P. reste collé si l’opérateur l’opérateur ne ___________________________________________________________________________ ENIT 2A GI

169

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

relâche pas le B.P. par suite d’une erreur humaine. On ne cherche pas à en développer les causes dans le cadre de cet exercice : c’est un événement de base. Il est important de noter ici que l’opérateur a été implicitement considéré comme un composant du système : ainsi « l’opérateur ne relâche pas le B.P. » est une défaillance seconde du contact du B.P. due au composant opérateur. Si l’opérateur n’avait pas été considéré comme un composant, l’erreur humaine aurait été une cause de la défaillance première du B.P. On obtient l’Arbre des Causes suivant :

ENIT 2A GI

170

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________ Surchauffe du fil AB





LÕopˇrateur ne relache pas le B.P




Figure 7.13.

La construction de la branche gauche de cet arbre est considérée comme terminée puisqu’on est remonté jusqu’aux événements de base. On cherche maintenant à développer la branche de droite de l’Arbre des Causes : le 2 ème circuit est resté fermé si le contact du relais est resté collé et si le fusible n’ouvre pas le circuit. ___________________________________________________________________________ ENIT 2A GI

171

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

On en déduit l’Arbre des Causes suivant : Surchauffe du fil AB








Le fusible nÕouvre pas le circuit



Figure 7.14.

Les deux événements intermédiaires obtenus sont des défauts de composants ; on considère d’abord « le fusible n’ouvre pas le circuit » : - défaillance première : un tel défaut, pour des raisons internes au fusible (au demeurant extrêmement improbable !), est un événement de base ; - défaillance seconde : il n’en existe pas ; - défaillance de commande : « l’opérateur a surdimensionné le fusible » en est une cause. De nouveau, ici, l’opérateur est considéré comme un composant. - Les causes de l’événement « le contact du relais reste collé » ont déjà été ENIT 2A GI

172

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

développées précédemment. On en déduit l’Arbre des Causes suivant : Surchauffe du fil AB









court-circuit du Le contact du B.P moteur reste collˇ






Figure 7.15 Elaboration d’un arbre de causes

Les deux événements intermédiaires « court-circuit du moteur » et « le contact du B.P. reste collé » ont déjà été précédemment développés. On en déduit l’Arbre des Causes suivant :

___________________________________________________________________________ ENIT 2A GI

173

Dr. K. Bourouni

Chapitre 7













court-circuit du Le contact du B.P moteur reste collˇ







Figure 7.16. Elaboration d’un arbre de Causes

Dans l’Arbre des Causes ainsi élaboré, on constate une incohérence du même type que celle précédemment constatée : » le contact du relais reste collé » ne peut être à la fois la cause du « court-circuit du moteur » et la conséquence de ce même événement ! Il convient donc de supprimer le dernier événement intermédiaire « le contact du relais reste collé », de l’écriture de l’arbre. On obtient finalement l’Arbre des Causes suivant :

ENIT 2A GI

174

Dr. K. Bourouni


Chapitre 7










court-circuit du Le contact du B.P Dˇfaillance moteur reste collˇ premi¸re








Figure 7.17 Elaboration d’un arbre de Causes

6.2. Commentaires L’élaboration de l’Arbre des Causes suscite des commentaires : un Arbre des Causes est un modèle des combinaisons entre les défaillances les plus envisageables et les plus probables. Généralement, on ne retient (consciemment ou inconsciemment, que les défauts les plus envisageables et les plus probables. Pour « le contact du relais reste collé », il n’a, par exemple, pas été envisagé de défaut de conception du relais tel que le contact du relais reste collé, par suite de l’existence d’un vernis déposé sur le contact, non encore séché au moment de l’essai de mise en service mais qui sécherait ensuite. Un tel défaut, exceptionnel, a déjà été constaté. Néanmoins dans ce cas, on ne ___________________________________________________________________________ ENIT 2A GI

175

Dr. K. Bourouni


Chapitre 7


___________________________________________________________________________

doit pas une grande erreur, la probabilité d’un tel défaut étant négligeable par rapport à la probabilité d’un blocage mécanique d’un relais. Généralement, on ne fera pas intervenir dans un Arbre des Causes des événements fortement improbables au regard des autres événements pris en compte. - Une AMDE effectuée préalablement à la construction de l’Arbre des Causes facilite beaucoup cette construction. C’est aussi un moyen très utile pour éviter des oublis dans la construction de l’Arbre des Causes. Dans le cadre de l’exemple présent, la construction de l’Arbre des Causes. Dans le cadre de l’exemple présent, la construction de l’Arbre des Causes a été effectuée sans l’aide d’une AMDE. Si on se reporte à l’AMDE élaborée au paragraphe (**), on constatera que le travail fait alors aurait grandement simplifié l’analyse des causes des événements : pour trouver les causes de l’événement « le contact du relais reste collé » il suffisait de se reporter à la colonne « causes possibles » du tableau AMDE.

7. COUPES MINIMALES ET IMPLICANTS PREMIERS 7.1. Définition des coupes minimales Une coupe est un ensemble d’événement entraînant l’événement indésirable ; l’expression « chemin » est parfois utilisée. On considère à titre d’exemple la figure 7.18. L’ensemble de défaillances, constitué par l’événement « A et B et C », entraîne l’événement T. L’événement « A et B et C » représente donc une coupe ; est-ce-que cette combinaison d’événements est la plus petite combinaison de défaillances entraînant l’événement T ? L’examen de l’arbre permet de mettre en évidence une combinaison d’événements plus petite « A et B » qui entraîne l’événement T. Est-ce la plus petite ? Il apparaît ainsi nécessaire d’introduire la notion de coupe minimale. Une coupe minimale est la plus petite combinaison entraînant l’événement indésirable ; ainsi, par définition, si un des événements d’une coupe minimale ne se produit pas, l’événement indésirable ne se réalise pas ; l’expression « chemin critique » est parfois utilisé. Un Arbre des Causes a un nombre fini de coupes minimales : une coupe minimale d’ordre 1 représente (si elle existe) les simples défaillances qui entraînent l’événement indésirable,

ENIT 2A GI

176

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________ T

E1

E2

E3

A

E4

C

C

B

B

A

T

E4

C

A

B

Figure 7. 18 : Exemple d’un Arbre des Causes et de son arbre réduit.

- une coupe minimale d’ordre 2 représente (si elle existe) les doubles défaillances qui, se produisant en même temps, entraînent l’événement indésirable..., Il est important de mettre en évidence les coupes minimales d’ordre minimal : ___________________________________________________________________________ ENIT 2A GI

177

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

elles représentent en effet les « maillons faibles » du système.

7.2. Recherche des coupes minimales La recherche des coupes minimales se fait à partir d’une transformation de l’Arbre des Causes en une expression booléenne. Un arbres des causes peut être interprété comme une représentation de relation booléennes entre les événements qui entraînent l’événement indésirable ; d’où l’importance de l’algèbre booléenne dans la recherche des coupes minimales. Cette algèbre est appliquée à la méthode des arbres des causes de la manière suivante : - à chaque événement de base est associée une variable booléenne ; - on associe à l’événement de sortie ET une variable booléenne égale au produit booléen des variables booléennes des événements d’entrée - on associe à l’événement de sortie d’une porte OU une variable booléenne égale à la somme booléenne des variables booléennes des événements d’entrée. Il faut noter que les autres portes logiques se prêtent beaucoup plus difficilement à l’utilisation de l’algèbre booléenne. En définitive, nous obtenons pour l’événement indésirable, une expression booléenne en fonction des variables booléennes associées à chaque événement de base. L’utilisation des lois de l’algèbre booléenne permet de mettre l’expression booléenne de l’événement indésirable sous la forme : F = C1 + C2 + ... + Ci + ... + C m

(7.1)

Où Ci est le produit de mi événements de base, 1

2

mi

C i = Bi .Bi • ... • Bi

(7.2)

L’expression F est réduite et les événements C i sont les coupes minimales ; la coupe Ci est dite d’ordre mi. Il faut noter que la recherche de l’expression réduite peut se faire selon divers algorithmes classiques (tableau de Karnaugh, Algorithme de Mac Cluskey ou de Tison). Dans l’exemple de la figure 7.18, calculons l’expression booléenne de l’événement T :

ENIT 2A GI

178

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

E3 = B + C E1 = A + (B + C) = A + B + C E4 = A.B E2 = C + (A.B) T = E1E2 = (A + B + C).(C + (A.B)) T= (A + B + C).C+(A + B + C).(A.B) T= A.C.B.C + C + A.B + C.A.B T= C + A.B Les coupes minimales sont C et A.B ; l’Arbre des Causes représentant les événements C et A.B est appelé « arbre réduit » Bien évidemment ces traitements peuvent être réalisés automatiquement pas des programmes informatiques de calcul.

7.3. Implicants premiers L’existence des coupes minimales et la validité des équations (6.1) et (6.2) nécessitent que le système possède une propriété appelée « cohérence ». D’une manière générale, un système est dit cohérent si : - la panne de tous les composants entraîne la panne du système - le fonctionnement de tous les composants entraîne le fonctionnement du système, - lorsque le système est en panne, aucune défaillance supplémentaire ne rétablit le fonctionnement du système, - lorsque le système est en fonctionnement, aucune réparation n’induit la panne du système. La plupart des systèmes possède ces propriétés qui peuvent être interprétées mathématiquement. Pour les systèmes non cohérents, des implicants sont définis comme étant des produits d’événements de base ou de leurs complémentaires. Des impliquants premiers sont des impliquants ne contenant aucun autre implicant. L’événement indésirable se met ainsi sous la forme : F = I1 + I2 + ...+ I i + .... + Iw

(7.3)

où chaque implicant premier I i se met sous la forme d’un produit d’événements de base ou de leurs complémentaires. ___________________________________________________________________________ ENIT 2A GI

179

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

8. EXERCICE D’ILLUSTRATION : DETERMINATION DES COUPES MINIMALES Effectuons la réduction de l’Arbre des Causes de l’événement « surchauffe du fil AB » conformément aux principes définis dans ce chapitre.

8.1. Réduction de l’arbre des Causes On désigne de la manière suivante les quatre événements de base de cet Arbre des Causes : A : « le contact du BP reste collé » Bp : « le contact du relais reste collé (défaillance première) », Cp : « court-circuit du moteur (défaillance première) », D : « le fusible n’ouvre pas le circuit », Dans un souci de simplification, chacun des événements A et D regroupe deux événements de base. Soit F l’événement indésirable : on utilise les lois de l’algèbre booléenne pour écrire la forme booléenne de chaque événement intermédiaire. L’événement final F s’écrit (Figure 7.19): F = (A + Bp + Cp).(A+Bp+Cp).D

ENIT 2A GI

180

Dr. K. Bourouni

Chapitre 7



A+ B p + C p

(A+ Bp + Cp) . D


Cp

A+ B p Le contact du relais reste collˇ

A


(A+ Bp + C p) Le contact du relais reste collˇ


Cp

Bp

D Le fusible nÕouvre pas le circuit

Bp A



court-circuit du Le contact du B.P Dˇfaillance moteur reste collˇ premi¸re







Figure 7.19 : Elaboration d’un arbre de Causes réduit

L’utilisation de la loi de l’idempotence (X.X=X) permet d’écrire : F = (A+Bp+Cp).D = A.D + Bp.D + Cp.D On obtient alors l’Arbre des Causes réduit suivant :

___________________________________________________________________________ ENIT 2A GI

181

Dr. K. Bourouni


Chapitre 7


___________________________________________________________________________

Surchauffe du fil AB

Le fusible nÕouvre pas le circuit A court-circuit du moteur


Dˇfaillance premi¸re LÕopˇrateur ne relache pas le B.P

court-circuit du moteur





Figure 7.20. Arbre des Causes réduit

Les trois coupes minimales conduisant à la surchauffe du fil sont les suivantes : - A.D : « le contact du B.P. reste collé » et « le fusible n’ouvre pas le circuit ». - Bp.D : « le contact du relais reste collé (défaillance première) » et « le fusible n’ouvre pas le circuit ». - Cp.D : « court-circuit du moteur (défaillance première) » et « le fusible n’ouvre pas le circuit ». Dans l’utilisation de cette méthode, l’importance de la réduction de l’Arbre des Causes obtenu en première analyse est évidente. Des raisonnements menés sur l’arbre non réduit peuvent se révéler faux ; ainsi, on risquerait de croire que la surchauffe du fil AB résulte de combinaison de trois événements : « le contact du B.P. reste collé », « le contact du relais reste collé » et « le fusible n’ouvre pas le circuit ». En réalité il n’en est rien ; l’élimination des dépendances entre événements, réalisée grâce à la technique de réduction booléenne de l’Arbre des Causes, montre que la surchauffe de fil AB résulte des combinaisons de seulement deux événements.

8.2.

ENIT 2A GI

Enregistrements

182

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

L’utilisation de la méthode de l’Arbre des Causes comme méthode d’analyse d’un système permet de recenser les combinaisons de défaillance conduisant à la surchauffe du fil AB et de les représenter graphiquement. Les trois coupes minimales conduisant à l’événement indésirable sont ensuite obtenues par réduction de l’Arbre des Causes. Dans le cadre de l’exercice d’illustration, on a ainsi montré qu’il existe trois doubles défaillances entraînant « la surchauffe du fil AB ». Rappelons que pour faciliter la construction de l’Arbre des Causes, il est utile de réaliser préalablement une AMDE : le cas présent illustre bien la nécessité de coupler les démarches inductive et déductive pour l’analyse d’un système.

9. ANALYSE QUANTITATIVE Dans ce paragraphe on va aborder le calcul de la probabilité de l’événement indésirable une fois les coupes minimales obtenues. P[f] = P [C1 + C2 + ... + C m]

(7.4)

L’application du théorème de Poincaré permet d’écrire : n

P[F] =

Σ i=1

m j Š 1

ΣΣ

P[Ci] Š

m j Š 1 k Š 1

P[C i C j] +

j = 2 i = 1

ΣΣΣ

m

P[Ci.C j.C k ] Š... + Š 1 P C 1.C 2...C m (7.5)

j = 3 k = 2 i = 1

En pratique, si les probabilités élémentaires mises en jeu sont faibles, il suffit de se contenter du premier terme de la formule qui donne une évaluation de P[F] : m

ΣP

P F ≈

Coupe min imale i

i= 1

(7.6)

Un encadrement de P[F] est : n

m j Š 1

n

Σ P[C i] Š Σ Σ P[C i.C j] ≤ P[F]≤ Σ P[C i] i =1

j = 2 i = 1

(7.7)

i= 1

L’erreur commise en utilisant le majorant comme évaluation de P[F] est ainsi connue. Notons que la somme des 2k premiers termes de P[F] est toujours un ___________________________________________________________________________ ENIT 2A GI

183

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

minorant de P[F] en employant ce « principe d’inclusion-exclusion ». Chaque coupe minimale s’exprime de la manière suivante : 1

2

mi

C i = Bi .Bi • ... • Bi

Le calcul de la probabilité de chaque coupe minimale ou des intersections de coupes minimales dépend des nombreuses caractéristiques des événements de base. On admet généralement l’indépendance entre les événements de base et la seule utilisation de portes logiques de type Ou et ET.

9.1. Système irréparable Les événements de base sont susceptibles d’apparaître à la suite de défaillances de composants : ils subissent ensuite puisque les composants sont irréparables. Admettons que l’événement F correspond à la disponibilité (ou fiabilité) du système. 9.1.1. Méthode directe

Remarquons immédiatement que le calcul est très simple pour un Arbre des Causes où les événements de base ne sont pas répétés. La représentation par Arbre des Causes est équivalente à une représentation par diagramme de succès. De manière analogue au traitement du diagramme de succès, la probabilité de l’événement indésirable est calculée en partant des probabilités des événements de base. On remonte alors dans l’Arbre des Causes en utilisant les formules de la figure 7.21. En règle général, les probabilités des événements de base correspondent à des indisponibilités de composants ; dans un souci de simplification de la présentation, on supposera que c’est toujours le cas.

ENIT 2A GI

184

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________ P[F] = a1 (t)a 2(t) P[F] = a1 (t)+a 2(t) Ša1(t) a2(t) F

P1

a1 (t)

F

P2

P1

P2

a2(t)

a1 (t)

a2 (t)

Figure 7.21 : Calcul associé aux portes OU et ET

En appliquant successivement les formules précédentes aux différents niveaux de l’Arbre des Causes, la probabilité de l’événement indésirable est obtenue. Notons que, lorsque les ai(t) sont très petits (ai(t)<<1), les calculs dans l’Arbre des Causes se font très simplement. En effet, dans le cas des portes Ou et ET, on a respectivement : P[F] ≈ a1( t ) + a2(t) P[F] = a1 (t) . a2 (t)

9.1.2. Méthodes des coupes minimales

Revenons au cas du calcul à ,partir des coupes minimales. La formule (9.3) permet le calcul de la probabilité de l’événement indésirable à partir des coupes minimales ; la formule (9.5) en donne un encadrement. Souvent, on peut se contenter de calculer les probabilités des coupes minimales et d’en faire la somme. La contribution de chaque coupe minimale à l’indisponibilité du système est alors : 1

2

m

P C i = P Bi ⋅B i ⋅ ... ⋅ Bi i =

mi

Π ai(t)

(7.8)

j = 1

A titre d’exemple, admettons que les événements de base correspondent à des défaillances à la sollicitation de composants en attente et à des défaillances en fonctionnement de composants disponibles à l’instant t = 0. Les taux de défaillance γ i et λk sont supposés constants. La probabilité d’occurrence d’une coupe minimale est de la forme : ___________________________________________________________________________ ENIT 2A GI

185

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________ mi

P C i =

Π γ jΠ 1 Š eŠ λ t

(7.9)

k

j = 1

k

10. DIAGRAMME DE SUCCES ET ARBRE DE CAUSES La Méthode de l’Arbre des Causes (MAC) permet de représenter les combinaisons de défaillance conduisant à la réalisation d’un événement indésirable. Il existe une correspondance entre les représentations que sont le diagramme de succès et l’Arbre des Causes. Exemple : - un diagramme série et une porte OU, - un diagramme parallèle et une porte ET

Dans un souci de simplification du tableau, les blocs des diagrammes de succès représentent ici des événements tels que « fonctionnement ». On peut considérer qu’il y a correspondance entre ces divers représentations. Néanmoins, il est important de rappeler que : - la MAC est une méthode qui procède par la recherche déductive des causes des événements à partir de l’événement indésirable - la MDS dérive d’une analyse fonctionnelle du système. Ces méthodes sont donc très différents dans leurs principes de recherche des combinaisons de défaillances et la correspondance entre celles-ci se limite aux moyens de représentations qui leur sont associés.

ENIT 2A GI

186

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________ Syst¸me

Diagramme de Succˇs

Diagramme de Succˇs

S

Composants en sˇrie

E

S E1

E2

E 2

E 1 S Composants en parall¸le

E1

E

S

E2

E 1

E 2

Tableau 7.6 : diagramme de succès et arbre des Causes

Il convient aussi de se souvenir que la MDS ne définit pas de principe très précis et rigoureux de recherche des combinaisons de défaillance, conduisant à la défaillance d’un système et que, historiquement, la MAC a été élaborée pour dépasser ces insuffisances ! il en reste pas moins que la MDS est intéressante pour les systèmes peu complexes - généralement irréparables - dont la modélisation est simple et qui ne nécessitent pas d’analyse détaillée des causes de défaillance, des cheminements des défaillances et de leurs combinaisons.

11. CONCLUSION La méthode de l’Arbre des Causes (MAC) est la méthode la plus couramment utilisée dans les analyses de fiabilité, de disponibilité ou de sécurité des systèmes : elle a pour objectif l e recensement de toute les causes , de tous les défauts (et leurs combinaisons) entraînant l’apparition d’un événement indésirable . Elle permet donc d’identifier les points faibles de la conception . Elle constitue également un moyen de représentation de la logique des défaillances . L’existence de nombreux et ___________________________________________________________________________ ENIT 2A GI

187

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________

performants programmes informatiques de calcul associés à cette méthode est aussi un élément favorisant son utilisation. Cependant, l’emploi de cette méthode se révèle difficile, voire impossible pour l’étude des systèmes élémentaires en interaction et fortement dépendants du temps; elle peut parfois demeurer un utile complément à d’autres méthodes plus adaptées. C’est enfin un bon instrument de dialogue pour des équipes pluridisciplinaires.

ENIT 2A GI

188

Dr. K. Bourouni

Chapitre 7


___________________________________________________________________________ 1 2 3 4 5 6 7 8 9

___________________________________________________________________________ ENIT 2A GI

189

Dr. K. Bourouni

Chapitre 8 Méthode de l’Espace des Etats ___________________________________________________________________________

Introduction Principe de la méthode Disponibilité des systèmes réparables Fiabilité des systèmes réparables Maintenabilité des systèmes réparables Conclusion

CHAPITRE 8 : METHODE DE L’ESPACE DES ETATS (MEE)

1. INTRODUCTION La MEE a été développée pour l’analyse de la Sûreté de Fonctionnement de systèmes réparables. Dan ce chapitre on étudiera comment évaluer la disponibilité, la fiabilité et la maintenabilité des systèmes modélisés par de tels processus. On traitera tout d’abord les systèmes simples réparables, ensuite le problème posé par les grands systèmes est abordé.

2. PRINCIPE DE LA METHODE Considérons un système constitué de n composants : chaque composant ayant un nombre fini d’états de fonctionnement et de panne; ce système est supposé réparable : les composants sont réparés après constatation de la panne. ___________________________________________________________________________

ENIT 2A GI

189

Dr. K. Bourouni


Il possède donc : 1. des États de Fonctionnement : * les états où la fonction du système est réalisée, des composants du système pouvant être en panne * l’état de bon fonctionnement est l’état où aucun composant n’est en panne 2. des États de panne : * Les états où la fonction du système n’est pas réalisée : un ou plusieurs composants du système étant en panne

L’analyse comportera trois parties : 1) Le recensement et le classement de tous les états du système en états de fonctionnement ou en états de panne. Si chaque composant a deux états (fonctionnement et panne) et si le système a n composants, le nombre maximal des états est 2 n. Au cours de la vie d’un système, des états de panne peuvent apparaître à la suite de l’existence de défaillances ou disparaître à la suite de réparations. 2) Le recensement de toutes les transitions possibles entre ces différents états et l’identification de toutes les causes de transition . 3) Le calcul des probabilités de se trouver dans les différents états au cours d’une période de vie du système, ou le calcul de caractéristiques de sûreté de fonctionnement (MTTF, MTBF, MTTR, etc.)

L’analyse qualitative peut être représentée par un graphe d’états construit de la manière illustrée sur la figure 8.1. - Chaque sommet est un état de système; - Chaque arc symbolise une transition entre deux sommets qu’il unit. A un arc est associé un taux de transition entre 2 états. Si la probabilité de passer (directement) de l’état i à l’état j entre les instants t et t + dt est aij dt alors aij est le taux de transition entre les état i et j. Lorsque les taux de transition sont constants, on parle de processus Markovien homogène . Dans ce cours, on ne traitera que ce type de cas. Exemples 8.1 : ___________________________________________________________________________

ENIT 2A GI

190

Dr. K. Bourouni


1) Prenons le cas d’un système constitué d’un seul composant ayant deux états (figure 8.1) : fonctionnement (état 1) et panne (état 2) λ Etat 2

Etat 1

µ Figure 8.1.: Graphe d’états d’un système à un composant

Le taux de transition entre l’état (1) et l’état (2) est le taux de défaillance ( λ); la transition entre l’état 2 et l’état 1 est le taux de réparation du composant ( µ). 2) Un système constitué de deux composants en redondance active possède 4 états (figure 8.2) : - état 1 : (symbolisé par 00) : les deux composants sont en fonctionnement, - état 2 : (symbolisé par 10) : le composant 1 est en panne, le composant 2 est en fonctionnement, - état 3 : (symbolisé par 01) : le composant 1 est en fonctionnement, le composant 2 est en panne - état 4 : (symbolisé par 11) : les deux composants sont en panne. Etat 2 10

λ1

λ2 µ1

Etat 1

µ2

00

11

λ2

Etat 4

λ1 µ1

µ2 01 Etat 3

Figure 8.2.: Graphe d’états d’un système à deux composants

La modélisation de la fiabilité du système nécessite de calculer la probabilité de ___________________________________________________________________________

ENIT 2A GI

191

Dr. K. Bourouni


se trouver dans un état de fonctionnement (états 1, 2,3) sans avoir transité par un état de panne du système (état 4). Dans ce but, les états de panne du système sont rendus «absorbants» en supprimant les transitions depuis les états de panne du système vers les états de fonctionnement . Le graphe modélisant la fiabilité du système devient le suivant (figure 8.3) : Etat 2 10

λ1

λ2 µ1

Etat 1

11 Etat 4

00

λ2 λ1 µ2 01 Etat 3 Figure 8.3. : Graphe d’états modélisant la fiabilité d’un système à deux composants

3. DISPONIBILITE DE SYSTEME REPARABLES La disponibilité des systèmes réparables de type Markovien est évaluée en écrivant les équations d’états du système et en les résolvant. Dans un deuxième temps, les méthodes permettant un calcul approché de cette disponibilité (avec des conditions de validité généralement rencontrées) sont développées. Nous supposons que : - Le système a p états; - Les états de fonctionnement du système sont numérotés de 1 à l; - Les états de panne sont numérotés l + 1 à p - aij est le taux de transition de l’état i vers l’état j

3.1. Équations d’état du système ___________________________________________________________________________

ENIT 2A GI

192

Dr. K. Bourouni


Évaluons la probabilité Q i(t+dt) pour que le système soit dans l’état i à l’instant t+dt : - si le système était dans l’état i à l’instant t; il est nécessairement resté dans cet état; la probabilité d’une telle «absence de transition» est :

Σ aij dt

1Š

j ≠ i

- si le système était dans un état j différent de i à l’instant t, la transition j → i a nécessairement eu lieu; la probabilité d’une telle transition est : a ji dt

D’où : Qi (t +dt) =P le système est dans l'état i àl'instan t t et y reste + Σ P le système est dans l' état j à l' instan t t et dans l' état i à l 'instan t t + dt j ≠ i

Finalement : Qi( t + d t ) = Qi(t). 1 Š

Σ aij dt + Σ Q j(t).a jidt j ≠ i

j ≠ i

Qi ( t + d t ) – Qi(t) = – Q i(t) Σ aij dt + Σ Q j (t) a ji dt j ≠ i

j ≠ i

dQ i(t) = – Q i(t) Σ aij dt + Σ Q j (t) a ji dt j ≠ i

j ≠ i

Posons : aii = Š

Σ aij

j ≠ i

dQi(t) p = Σ Q j (t) a ji ∀i =1, 2..., p dt j =1

(8.1)

Dans le cas d’un processus dit «homogène», les termes a ij sont constants et Qi(t) est différentiable. L’ensemble des équations différentiables (8.1) constitue les équations d’état du système.

Matriciellement, on obtient : ___________________________________________________________________________

ENIT 2A GI

193

Dr. K. Bourouni


dQ 1(t) dQ2(t) dQ p(t) , ,..., = Q1 (t), Q2 (t)..., Q p(t) A dt dt dt

(8.2)

3.2. Résolution Si on connaît la distribution initiale Qi(0), la résolution des équations (8.1) peut être effectuée par les méthodes de résolution explicite à l’aide de la transformation de Laplace, de discrétisation ou de calcul de valeurs propres de matrices A. La résolution d’un système linéaire d’équations différentielles du premier ordre est classique en analyse numérique et de nombreux programmes informatiques sont disponibles. La résolution des équations d’états par calcul des valeurs propres de la matrice conduit à une solution du système d’équations différentielles connues explicitement à l’aide d’une exponentielle de matrice. At

Q(t) = Q(0) e

Cette méthode est très peu employée car la précision risque d’être mauvaise lorsque le nombre d’états est assez grand. Par ailleurs, si le système a n composants, le nombre d’états à prendre en compte est de l’ordre de p = 2 n et la matrice A a pour dimension p x p. Il en résulte que les programmes informatiques développés ne peuvent traiter que des systèmes ayant un nombre assez limité d’états. Par ailleurs, il s’avère facile d’obtenir la probabilité asymptotique Qi(∞) d’être dans l’état i lorsque t tend vers l’infini : elle est généralement rapidement atteinte . Les équations (8.2) s’écrivent alors : p

Σ Q j(∞) a ji = 0 ∀i = 1, 2,..., p

(8.3)

=1

Remarquons que :

Σ Q j(∞) a ji j ≠ i

Q i(∞) = Š

aii

(8.4)

La résolution des équations (8.1) utilisant la transformée de Laplace ou des équation (8.3) conduit à :

___________________________________________________________________________

ENIT 2A GI

194

Dr. K. Bourouni


a11 . . . al,1 . . . a p,1

... a1,p – 1

0 0

al ,p – 1 .

1

a p,p – 1

0

a11 . ∆= . . a p.1

... a1.p – 1

1 . . . 1

Q i (∞) =

1 ∆

(8.5)

0

avec :

... a p.p – 1

La connaissance de Qi(t) permet d’en déduire la disponibilité du système : A (t) = P le système est dans un des états de fonctionnement l

A(t) =

Σ Qi(t) i= 1

La disponibilité asymptotique (lorsque t tend vers l’infini) en est déduite :

A (∞ ) =

1 ∆

a11 . . . al,1 al+1,1 . . . a p,1

...

a1,p – 1

1 1

al ,p – 1 al +1,p– 1 .

1 0

(8.6)

0 a p, p – 1

0

L’indisponibilité asymptotique s’obtient simplement en échangeant les «zéros» et les «uns» dans la dernière colonne du déterminant du numérateur : ___________________________________________________________________________

ENIT 2A GI

195

Dr. K. Bourouni


A (∞) = 1 – A (∞) =

1 ∆

a11 . . . al,1 al+1,1 . . . a p,1

...

a1,p – 1

0 0

al,p –1

0 1

al+1,p –1 .

(8.7)

1 a p, p – 1

1

Remarque : Ces valeurs ne dépendent pas des probabilités initiales Q i(0) et donc de l’état initial du système. Sous une forme plus concise, nous pouvons écrire : Qi (∞) =

CofacteurA A *

i, p

Où le numérateur est le cofacteur de l’élément a i,p de la matrice A et où A * est le déterminant de la matrice A* obtenue à partir de A en remplaçant chaque élément de la dernière colonne par 1. D’où : ∞

Σ A (∞) =

Cofacteur A

i,p

n =1

A *

Exemple 8.2 :

Considérons le graphe de la figure 8.2

___________________________________________________________________________

ENIT 2A GI

196

Dr. K. Bourouni


– ( λ1 +λ2 )

– µ1 +λ2

µ1

A (∞) =

λ1

λ2

0

0

0

µ2

0

– µ2 +λ1

0

0

µ2

µ1

1

– ( λ1 +λ2 )

λ1

λ2

1

0

1

µ1

A (∞) = =

– µ1 +λ2

µ2

0

– µ2 +λ1

1

0

µ2

µ1

1

λ 1 λ 2 λ 1 + µ 1 +λ 2 + µ2 λ 1 + µ1

λ 2 + µ2

λ 1 + µ1 +λ 2 + µ2

λ1 λ 2 λ 1 + µ1

λ2 + µ2

Par ailleurs, on montre facilement que : Q1(∞) = Q2(∞) = Q3(∞) =

µ1 µ 2 µ1 + λ 1

µ2 + λ 2 λ 1 µ2

µ1 + λ 1

µ2 + λ2

λ 2 µ1 µ1 + λ 1

Q4(∞) = A (∞) =

µ2 + λ2 λ1 λ2

µ1 + λ 1

µ2 + λ 2

Remarque : L’indisponibilité asymptotique du système est égale au produit des indisponibilités asymptotiques des deux composants. En régime stationnaire, le graphe d’état a une propriété intéressante qui peut faciliter le calcul de ces caractéristiques : c’est la conservation du flux . Soit ε un ensemble quelconque d’états de système. En régime stationnaire, la fréquence des transitions vers l’extérieur de ε est égale à la fréquence de transitions vers l’intérieur. ___________________________________________________________________________

ENIT 2A GI

197

Dr. K. Bourouni


Σ Σ Qi(∞) aij = Σ Σ Q j(∞) a ji i ∈ ε j ∉ ε

(8.8)

j ∉ ε i ∈ ε

Exemple 8.3. Considérons un système constitué de deux composants identiques en redondance passive, de taux de défaillance λ et de taux de réparation µ . Quand le premier tombe en panne; le second démarre (avec une probabilité supposée égale à 1) et la réparation du premier commence tout de suite. Lorsque les deux composants sont en panne, il y a deux réparateurs (figure 8.4). λ Etat 1

λ

Etat 2 10 01

00

11

µ

Etat 3

2µ

Figure 8.4. : Graphe d’états d’un système à deux composants

Q1 ∞ λ = µ Q2 ∞ ; Q2 ∞ λ = 2 µ Q3 ∞

D’où : Q3 ∞ =

λ

2

2µ

2

Q1(∞)

En tenant compte de : Q1 ∞ + Q2 ∞ + Q 3 ∞ = 1

On obtient : A = Q3 ∞ =

λ

2

2 µ2 + 2 µ λ + λ 2

___________________________________________________________________________

ENIT 2A GI

198

Dr. K. Bourouni


3.3. Durée moyenne et fréquence asymptotique d’occupation des états Considérons un état i et des transitions associées (figure 8.5) a ij

Etat j

Etat i a ik

Figure 8.5.: Transitions associées à un état i

Soit TS i la variable aléatoire de la durée d’occupation de l’état i. Calculons la densité de probabilité TS i(t) de TS i . La probabilité d’entrer dans l’état j est : P [ On ne quitte pas l’état i entre 0 et t et on quitte l’état i pour l’état j entre t et t + dt ] Soit : P

les transitions i → k (k ≠ j) n'ont pas lieu entre 0 et t et = exp – latransition i → j a lieu entre t et t + dt

Σ aik t

aij e –

aij t

d t = aij eaijt dt

k ≠ j

On déduit alors la densité de probabilité :

– aiit TS i( t ) = – aii e

La durée d’occupation d’un état est ainsi distribuée selon un loi exponentielle; la durée moyenne d’occupation d’un état i du graphe est donc : d i = Š

1 = aii

1

Σ aij

(8.9)

j ≠ i

La durée di est ainsi l’inverse de taux de départ de l’état i. Soit d’ i la durée moyenne d’occupation des autres états entre deux passages par l’état i: Qi(∞) =

d i '

d i +d i

___________________________________________________________________________

ENIT 2A GI

199

Dr. K. Bourouni


D’où : d ' i = d i

1 – Qi(∞) Qi(∞ )

Nous en déduisons la fréquence fr i asymptotique d’occupation d’un état i : r i =

r i =

1 '

d i +d i

Qi( ∞) = – aii Qi( ∞) d i

(8.10)

La fréquence fri est ainsi le produit de la probabilité asymptotique d’être dans l’état i par le taux de départ de l’état i. Nous pouvons également définir la fréquence asymptotique d’occupation d’un ensemble d’états du graphe comme la somme des fréquences asymptotiques d’occupation des différents états de l’ensemble, diminuée de la fréquence asymptotique des transitions entre états de l’ensemble. Exemple 8.4:

On considère 2 états i et j : r ij = fr i + fr j Š a ij Qi ∞ Š a ji Q j ∞

La fréquence asymptotique d’occupation des États i et j est égale à la fréquence moyenne d’occupation de tous les autres états (conservation de flux). r ij =

d ij =

1 1 Qi (∞) + Q j (∞) d ij d ij Qi (∞) +Q j (∞) fr ij

(8.11)

Ces considérations permettent d’obtenir très simplement les MTTR, MUT, ___________________________________________________________________________

ENIT 2A GI

200

Dr. K. Bourouni


MTBF du système. En effet : - le MTTR est la durée moyenne d’occupation de l’ensemble des états de panne - le MUT est la durée moyenne d’occupation des états de fonctionnement , - le MTBF se déduit des valeurs précédentes MTBF = MUT + MTTR Montrons tout l’intérêt de ces concepts en considérant le graphe de la disponibilité de la figure 8.2. La durée moyenne et la fréquence asymptotique d’occupation des différents états du graphe sont données dans le tableau suivant : Etat

di

fri

1

1 λ1 + λ2

2

1 µ1 + λ 2

3

1 µ2 + λ 1

4

1 µ1 + µ2

µ 1 µ2 λ 1 + λ 2 µ 1 + λ1

µ 2 + λ2

λ 1 µ2 µ1 +λ 2 µ 1 + λ1

µ2 + λ 2

λ 2 µ1 µ 2 + λ 1 µ 1 +λ1

µ2 +λ 2

λ 1 λ 2 µ1 +µ2 µ1 + λ1

µ2 + λ 2

Tableau 8.1.: Durée moyenne et fréquence asymptotique d’occupation des états du graphe de

la figure 8.2.

L’état 4 est l’état de panne : la durée moyenne d’occupation de cet état est donc la durée moyenne des réparation du système : MTTR =

1 µ 1 +µ2

La fréquence asymptotique d’occupation de l’état 4 est : r 4 = µ 1 +µ2

λ1 λ2 µ1 +λ 1

µ2 +λ 2

L’inverse de cette fréquence est la durée moyenne entre deux défaillances du ___________________________________________________________________________

ENIT 2A GI

201

Dr. K. Bourouni


système, c’est-à-dire le MTBF. D’où : µ1 +λ 1

MTBF =

µ2 +λ 2

µ 1 + µ2 λ 1 λ 2

La durée moyenne de fonctionnement après réparation (MUT) en est déduite : MUT = MTBF - MTTR MUT =

µ1 µ 2 + µ1 λ 2 + λ1 µ2 µ 1 +µ2 λ 1 λ 2

Les fréquences asymptotiques d’occupation de l’ensembles des états 1, 2 et 3 : r 1,2,3 = fr 1 + fr 2 +fr 3 – a12 Q1 – a13 Q1 – a21 Q2 – a31 Q 3 = λ1 + λ2 Q1 + λ1 + µ2 Q2 + λ 1 + µ1 Q3 – λ1 + λ2 Q 1 – µ2 Q 2 – µ1 Q3 = λ 1 Q 3 – µ2 Q 2 =

λ1 λ 2 µ1 + µ2 µ 1 +λ 1

µ2 +λ2

1 MTBF

Nous retrouvons r 1,2,3 = fr 4 =

La durée moyenne d’occupation des états de fonctionnement (MUT) en résulte : Q1 ∞ + Q2 ∞ + Q3 ∞ fr 1,2,3 µ1 µ 2 + λ 1 µ2 + λ 2 µ1 d 1,2,3 = λ 1 λ 2 µ1 + µ2

d 1,2,3 =

3.4. Coupes minimales d’événements et d’états Une coupe minimale représente les états de panne où les composants impliqués dans la coupe sont en panne et où les états des autres composants est quelconque (en fonctionnement ou en panne). Ainsi, la probabilité d’une coupe minimale est la probabilité de l’ensemble de ces états.

___________________________________________________________________________

ENIT 2A GI

202

Dr. K. Bourouni

Chapitre 8 Méthode de l’Espace des Etats ___________________________________________________________________________ Etats de fonctionnement Etats de Panne

j

i

k

Figure 8.6 : Graphe d’états

En général, un état de panne fait l’objet de réparation; le nombre maximal de transitions de réparations liées à un état de panne est égal au nombre de défaillance dans l’état. Considérons les États i, j, k : - état i : toute réparation conduit à un état de fonctionnement : un tel état sera appelé «coupe minimale d’état» - état j : une réparation conduit à un état de fonctionnement, tandis que l’autre réparation conduit à un état de panne. - état k : toute réparation conduit à un état de panne. Une coupe minimale d’état est donc un état pour lequel toute réparation d’un composant en panne conduit à un état de fonctionnement.

Les autres états de panne du graphe seront dénommés coupes non minimales d’états. → Les

États de panne associés à une coupe minimale comprennent la coupe minimale d’état et toutes les coupes non minimales d’états qui s’en déduisent par une défaillance supplémentaire. Ceci est illustré par la figure 8.7 représentant le graphe d’état d’un systèmesérie constitué par les composants A et B; les états 2 et 3 sont des coupes minimales d’états.

___________________________________________________________________________

ENIT 2A GI

203

Dr. K. Bourouni

Chapitre 8 Méthode de l’Espace des Etats ___________________________________________________________________________ Etats de fonctionnement

Etats de Panne Etat 2

A B

Coupe minimale

λΑ

λΒ µΑ

Etat 1

A

µΒ

A B

A B λΒ

Etat 4

λΑ µΑ

µΒ

A B

Coupe minimale

Etat 3

B

Figure 8.7 : Graphe d’états d’un système-série (composant A et B)

Pour les systèmes fiables, on pourra généralement faire l’approximation suivante : P C i ≈ P Coupe minimale d'état

(8.12)

Cette approximation s’avère intéressante pour les grands systèmes réparables (avec un nombre important de composants) afin de réduire le nombre d’états à considérer en ne tenant compte que des états les plus probables. Calculons maintenant la fréquence asymptotique d’occupation des états d’une coupe minimale C j : r C i =

Σ E p ∈ ε p(C j )

Q E p ∞

Σ µk

(8.13)

k

où ε p(C j) : ensemble des états de panne E p à la coupe minimale C j

k : ensemble des transitions de réparations associées à la coupe minimale d’état. D’où : ___________________________________________________________________________

ENIT 2A GI

204

Dr. K. Bourouni


r C i =

Σ µk Σ k

QE p ∞ =

Σ µk P C j k

E p ∈ ε p(C j)

Notons : M j =

Σ µk

(8.14)

k

M j est égal à la somme des taux de réparation qui partent de la coupe minimale d’état associée à C j. D’où : r C j = M j P C j

On en déduit une approximation au premier ordre de la fréquence asymptotique d’occupation des états de toutes les coupes minimales : m

r C 1+ C 2 +...+C m ≈

Σ M j P C j

(8.15)

j =1

Une telle formule permet de calculer le MTTR ou durée moyenne d’occupation de l’ensemble des états de panne à partir des probabilités des coupes minimales : m

Σ P C j j =1 m

MTTR ≈

(8.16)

Σ M j P C j j =1

Le taux de réparation équivalent est : m

Σ M j P C j µ≈

j =1 m

(8.17)

Σ P C j j = 1

De telles formules peuvent être intéressantes lorsque les composants sont indépendants et que les probabilités des coupes minimales se calculent aisément.

3.5. Séquence d’état ___________________________________________________________________________

ENIT 2A GI

205

Dr. K. Bourouni


Une approximation de la disponibilité asymptotique peut être obtenue par des λi

calculs très simples à la main pour les systèmes fiables dont les µ sont petits devant i 1. Définitions : Tout d’abord, nous définissons : - une séquence d’États comme une succession envisageable d’états (de fonctionnement ou de pannes) du graphe; de transitions existent entre ces différentes états. - une séquence indésirable d’états comme une séquence d’états menant de l’état de bon fonctionnement à un état de panne. - une séquence réduite et indésirable d’états comme une séquence indésirable menant de l’état initial de bon fonctionnement à un état de panne sans jamais passer deux fois par le même état. Dans le cas contraire, on parle de « séquences bouclée et indésirable d’états » λ

Pour un systèmes fiable dont les µi sont petits devant 1, la probabilité i asymptotique d’être dans l’état de bon fonctionnement est voisine de 1. En effet; on quitte rarement l’état 1 et; lorsqu’on la quitte; on revient rapidement dans l’état. Illustration : a23

a12

Etat 3

Etat 2

Etat 1 a1i

a2j

a2k

Figure 8.8 : Graphe d’états

a12 Q1 ∞ = – a22 Q2 ∞

D’où :

___________________________________________________________________________

ENIT 2A GI

206

Dr. K. Bourouni


a12 Q2 ∞ ≈ – a22

La probabilité asymptotique d’être dans l’état 3 est : a12

Q3 ∞ ≈ –

a23

– a22 – a33

De manière générale; on peut associer à chaque État (autre que l’état de bon fonctionnement) des séquences réduites d’états; parmi ces séquences; on considère celles qui correspondent aux chemins les plus directs de l’état initial à l’état considéré. On obtient ainsi l’indisponibilité du système à l’aide de la formule qui suit : (associéà la séquenceréduite Π taux detransition et indésirabled' états) Σ aii Π séquences ∞

A ∞ ≈

réduites et indésirables d'états

(8.18)

i ∈ tous lesétats de la séquenceréduite et indésirabled' états (sauf le premier)

Exemple 8.5 : Reconsidérons encore une fois la figure 8.2. Il existe un seul état de panne; l’état 4 et deux séquences réduites et indésirables d’États (figure 8.9 et figure 8.10). Etat 2 10

λ1

Etat 1

λ2

00

11

Etat 4

Figure 8.9 : Séquences réduite et indésirable d’états

La contribution de cette séquence est : λ1 λ2 µ 1 +λ2

µ1 +µ2

___________________________________________________________________________

ENIT 2A GI

207

Dr. K. Bourouni


Etat 1

00

11

λ2

Etat 4

λ1 01 Etat 3

Figure 8.10 : Séquences réduite et indésirable d’états

La contribution de cette séquence est λ 2 λ1 µ 2 +λ1

µ1 +µ2

Il en résulte que : A (∞) =

λ1 λ 2

1

µ1 +µ1

µ 1 +λ 2

+

1 µ 2 +λ 1

4. FIABILITE DE SYSTEMES REPARABLES 4.1. Équations d’états du système et résolution Nous cherchons à évaluer la probabilité Pi (t + dt) pour que le système soit dans l’état i à l’instant t+dt. Dans le graphe modélisant la fiabilité, les états de panne sont absorbants, c’està-dire : aij = 0 pour i > l et j ≤ l

Les équations d’état sont semblables à celles qui permettent de calculer la disponibilité : dPi (t) = dt

p

Σ Pi(t)a ji

i=1

∀i = 1,2,...,p

(8.19)

D’où : dP1 dP2 dP p (t), (t), ..., = P 1(t),P2(t), ..., P p(t) . A ' dt dt dt

La matrice A’ est également appelée matrice de taux de transition : ___________________________________________________________________________

ENIT 2A GI

208

Dr. K. Bourouni


- A’ est une matrice carrée de dimension p - l’élément aij est le taux de transition de l’état i vers l’état j i ≠ j pour i > l et j ≤ l, aij = 0 ∞

- l’élément : aii = Š Σ a ij j ≠ i

Soit A ' l la matrice déduite de A’ par la seule considération des l premières lignes et colonnes. A’l : matrice réduite des taux de transition : dP1 dP2 dPl (t), (t), ... , = P1(t), P1(t),...,Pl (t) . A ' l dt dt dt

(8.20)

La connaissance des P i(t) permet d’en déduire la fiabilité sur l’intervalle de temps [0,t] qui est égale à la somme des probabilités d’être dans les différents états de fonctionnement. l

R(t ) = Σ Pi(t) i =1

Le calcul de Pi (∞) ne présente pas beaucoup d’intérêt car Pi (∞ ) → 0 (le système est en état de panne quand t → ∞ ) ⇒ On caractérise autrement ces états : L’expression la plus utile est celle de la durée moyenne de fonctionnement avant la première défaillance (MTTF) ou temps moyen de fonctionnement avant l’absorption par un état de panne : MTTF =

∞

0

R(t).dt

Utilisons la transformation de Laplace : MTTF = lim L R(t ) = R(0) s→ 0 l

MTTF =

Σ Pi (0) i=1

L’équation matricielle (8.8) s’écrit d’après la transformation de Laplace : P(s)=P0 s I – A ' l

– 1

___________________________________________________________________________

ENIT 2A GI

209

Dr. K. Bourouni


avec P(s) = P1(s), P2(s), ... , Pl(s) P0 = P1(0) ; P2(0) ; ... ; Pl (0)

On obtient finalement :

MTTF =

0 P1 (0) . . . P1 (0) 1 a11 . . . a1l 1 . . . . . . . . . 1 al1 all

1 A ' l

(8.21)

Ainsi la MTTF; contrairement à la disponibilité asymptotique; dépend de l’état initial. * Relation entre le taux de défaillance asymptotique λ (∞) et la MTTF. dR(t) dt 1 λ (∞ ) = lim = MTTF t → ∞ R(t ) –

Reprenons l’exemple du système à deux composants de la figure 8.3. et supposons qu’à l’état initial le système est dans l’état 1 :

MTTF =

0

1

0

0

1

Š λ1 + λ2

λ1

λ2

1

λ1

λ2

1

µ1

Š µ1 + λ2

0

1

Š µ 1 + λ2

0

1

µ2

0

Š µ2 + λ1

1

0

Š µ2 + λ 1

Š λ1 + λ2

λ1

λ2

=

Š λ1 + λ2

λ1

λ2

µ1

Š µ1 + λ 2

0

µ1

Š µ 1 + λ2

0

µ2

0

Š µ 2 + λ1

µ2

0

Š µ2 + λ 1

___________________________________________________________________________

ENIT 2A GI

210

Dr. K. Bourouni


MTTF =

λ 1 λ 1 + µ 1 +λ 2 λ 2 + µ2 + λ 1 + µ1

λ 2 + µ2

λ 1 λ 2 λ 1 + µ1 + λ 2 + µ2

Une autre caractéristique intéressante de la fiabilité à calculer est la durée de fonctionnement après réparation (MUT). Le MUT est différent du MTTF car, en général, le système après réparation peut se trouver dans un état de fonctionnement où les composants ne sont pas forcément tous disponibles. Ainsi, après la remise en service du système, celui-ci peut se trouver dans l’un des états de fonctionnement, avec une probabilité Q AR i égale à la probabilité de l’état i après remise en service du système. p

Σ Q AR i =

Q j(∞ ) a ji

l=i+1 l

i = 1, 2, ... , l

p

Σ Σ

Q j(∞) a ji

(8.22)

i =1 j =l +1

Le MUT ne dépendra pas de l’état initial du système.

Exemple 8.6. Reprenons toujours l’exemple redondant : Q AR i =0 Q2 =

µ 2 Q4 ∞

=

µ2

µ2 Q4 ∞ + µ1 Q4 ∞ µ1 + µ2 µ 1 Q4 ∞ µ1 AR Q3 = = µ2 Q 4 ∞ +µ1 Q4 ∞ µ1 + µ2

D’où : ___________________________________________________________________________

ENIT 2A GI

211

Dr. K. Bourouni


MUT =

0

1

µ2

µ1

1

– λ 1 + λ2

λ1

λ2

1

µ1

1

µ2

– µ1 + λ2

0

0

– µ 2 + λ1

µ1 + µ2 –λ 1 λ2 λ 1 + µ1 + λ 2 + µ 2

MUT =

µ1 µ 2 + µ1 λ 2 + λ1 µ2 µ1 + µ 2 λ 1λ 2

4.2. Méthode des états de fonctionnement minimal Cette méthode permet de calculer une approximation de la fiabilité, généralement par des calculs simples à la main. Considérons deux types de fonctionnement : - Les états de fonctionnement minimal; ces états possèdent au moins une F transition vers les états de panne. Soit ε M l’ensemble de ces états. - Les états de fonctionnement non minimal : ces états ne possèdent aucune transition vers les états de panne. Désignons par ε F l’ensemble des états de fonctionnement et ε P l’ensemble des états de panne. Un composant critique, pour un état de fonctionnement minimal donné, est un composant dont la défaillance provoque la défaillance du système. Le calcul de fiabilité est généralement compliqué car la présence d’états absorbants crée des dépendances entre les composants.

La méthode se propose de calculer une approximation du taux de défaillance λ(t) du système: 1 le système a une défaillanceentre t et t + dt / le système P n'a pas eu de défaillancesur [0,t] ∆t → 0 ∆ t

λ(t) = lim

Pour que le système ait une défaillance entre t et t + dt; il est nécessaire qu’il occupe, à l’instant t, un état possédant au moins une transition vers les états de panne c’est-à-dire un état de fonctionnement minimal. D’où :

___________________________________________________________________________

ENIT 2A GI

212

Dr. K. Bourouni


Σ λ(t) =

λ i Pi(t)

F i ∈ ε M

Σ

Pi(t)

(8.23)

i ∈ εF p

Avec :

λi =

Σ

aij

j = l +1

Remarquons que λi représente la somme de taux de défaillance des composants critiques de l’état i. Cette formule n’est pas directement utilisable car on ne connaît pas les P i(t). Par contre il est plus facile de connaître les Q i(t) (pas d’état absorbant dans le graphe). On définit le pseudo-taux de défaillance :

Σ

λ iQ i(t)

F i ∈ ε M λ(t ) = l

Σ

Qi(t)

(8.24)

i ∈ εF

On montre que λ(t) est une bonne approximation de λ(t) . * Approximation pour les petites valeurs de t : lorsque t → 0 ; les réparations ont moins de moins d’importance et le système se comporte comme s’il n’était pas réparable. Dans ce cas (système non réparable), la fiabilité étant égale à la disponibilité; il en résulte que λ(t) est une bonne approximation de λ(t) . λ (t) ≈ λ(t)

t → 0 * Approximation pour les grandes valeurs de t

On montre que λ(t) est une bonne approximation de λ(t) dans les conditions suivantes: λi l

F <<1, ∀i ∈ ε M

Σ aij i =1

Cette condition exprime que pour tout état de fonctionnement minimal ; le taux ___________________________________________________________________________

ENIT 2A GI

213

Dr. K. Bourouni


de transition vers les états de Panne est petit devant la somme des taux de transition vers les autres états de fonctionnement. La connaissance de λ(t) permet de calculer une approximation de la fiabilité. R(t ) ≈ exp –

t 0

λ (u) du

1 MUT

Rappelons que λ ∞ =

Ainsi, les états de fonctionnement minimal jouent un rôle très important dans l’évaluation du taux de défaillance d’un système.

Exemple 8.7 : Considérons le graphe de la figure 8.3.

Il existe deux états de fonctionnement minimal (états 2 et 3): λ 1 λ 2 µ 1 +µ2 λ ∞ = λ 1 µ 2 + λ 2 µ1 + µ 1 µ2

Les conditions de validité s’écrivent : λ 2 <<µ1; λ1 <<µ2 . Nous vérifions facilement que : 1 MUT

λ∞ =

___________________________________________________________________________

ENIT 2A GI

214

Dr. K. Bourouni

Chapitre 8 Méthode de l’Espace des Etats ___________________________________________________________________________ Etat 2 10

λ1

λ2 µ1

Etat 1

00

11

Etat 4

λ2 λ1 µ2 01 Etat 3

4.3. Méthode des séquences des états Considérons des séquences d’état menant de l’état initial de bon fonctionnement à l’état de panne absorbant. Soit Sq une telle séquence où : p S q = E 1F , E F 2 , ..., E p F

E 1 = État de bon fonctionnement F S q = E 1F , E F 2 , ..., E p – 1 : États de fonctionnement p

E p : État de panne absorbant Remarque :

Le nombre de transitions jusqu’à l’état de panne absorbant est une variable aléatoire ; ⇒ On peut imaginer les séquences réduites d’états :

___________________________________________________________________________

ENIT 2A GI

215

Dr. K. Bourouni

Chapitre 8 Méthode de l’Espace des Etats ___________________________________________________________________________ Etats de Fonctionnement a12

Etats de Panne

a23

F E 2

F

F

E p Š 1

E 1

p

E p

a1i

Figure 8.11 : Exemple d’une séquence d’états.

∞

Σ

λ=

séquences réduites del'état 1 à l' étatde Panne absorbant

Π taux de transition de la séquenceréduite d'Etat (8.25) aii Π ι ∈ tous lesétats de

laséquenceréduite (sauf le premier et le dernier)

Π

∞

i,j ∈ S q p – 1

Σ

λ≈

aij

Π

séquences réduites i =2 del'état1à l' état dePanne absorbant

aii

(8.26)

Exemple 8.8. : Reprenons le graphe de la figure 8.3. Il existe deux séquences réduites de l’état 1 à l’état de Panne (figures 8.12 et 8.13). Etat 2

λ1

10

Etat 1 00

λ2

11

Etat 4

___________________________________________________________________________

ENIT 2A GI

216

Dr. K. Bourouni

Chapitre 8 Méthode de l’Espace des Etats ___________________________________________________________________________ Figure 8.12: Séquence réduite d’états

La contribution de cette séquence est :

Etat 1

λ1 λ 2 µ1 + λ 2 11 Etat 4

00

λ2

λ1 01 Etat 3 Figure 8.13: Séquence réduite d’états

La contribution de cette séquence est

λ1 λ 2 µ2 + λ 1

D’où : 1

1

λ = λ 1 λ2 + µ1 + λ 2 µ 2 + λ 2

Avec les conditions de validité : λ 2 << µ 1; λ1 << µ2

4.4. Coupe minimal d’événements et d’états Les coupes minimales étant C j ( j=1...m ) R(t ) = P C 1 +C 2 +...C m m

R(t ) = Σ P C j j =1

Une coupe minimale correspond à un ensemble d’états de Panne. Pour le calcul de la fiabilité, ces états sont absorbant : il n’existe pas ainsi de transitions des états de Panne vers les états de bon fonctionnement. Le taux de défaillance du système peut être évalué à partir des considérations sur les états de fonctionnement minimal.

___________________________________________________________________________

ENIT 2A GI

217

Dr. K. Bourouni

Chapitre 8 Méthode de l’Espace des Etats ___________________________________________________________________________ ∞

Σ λ (t ) =

λ i Pi(t)

F i ∈ ε M ∞

Σ

Pi(t)

i ∈ εF

Où λi(t) est la somme de taux de défaillance des composants critiques de l’état i. Une approximation souvent faite consiste à remplacer les Pi(t) par Qi(t). Qi(t) étant la probabilité d’être dans l’état i lors de calcul de la disponibilité Le calcul à partir des coupes minimales s’avère facile pour les systèmes fiables. Il est en effet alors possible d’effectuer un calcul de chaque coupe minimale ; le graphe d’états est construit à partir des seuls composants impliquées dans la coupe minimale. Ainsi : - un graphe d’état est élaboré pour chaque coupe minimale; - le graphe d’état est construit à partir des seules composants impliqués dans la coupe minimale - la probabilité de chaque coupe minimale est calculée en énumérant les séquences réduites menant de l’état de bon fonctionnement à l’état absorbant (formule 8.10). Exemple 8.9. Considérons un système constitué de trois composants et dont les coupes minimales sont A.B et A.C (figure 8.14). La figure 8.15 donne les graphes d’états construits sur les deux principaux états de panne associés aux coupes minimales.

___________________________________________________________________________

ENIT 2A GI

218

Dr. K. Bourouni

Chapitre 8 Méthode de l’Espace des Etats ___________________________________________________________________________ Evénement indésirable E

E1

E2

A

B

A

C

Coupe minimale : A.B et A.C Figure 8.14 : Arbre de Causes réduit relatif à l’événement indésirable E

ETATS DE FONCTIONNEMENT

ETATS DE PANNE

Etat 6

λ B

ABC

Etat 2

ABC λ A

λ A

λ C Etat7

µ A λ B

ABC

Etat 3

ABC

Etat 1 ABC

λ C

µ B

µC

λ A µC

λ C λ B

Etat5

Etat 8

ABC

Coupe minimale A.B état 6 + état 8 Coupe minimale A.C état 7 + état 8

ABC

Etat 3

ABC

µ B

A

λ A Figure 8.15 : Coupes minimales et graphe d’états pour la fiabilité ___________________________________________________________________________

ENIT 2A GI

219

Dr. K. Bourouni


Le taux de défaillance asymptotique du système est : λ s(∞ ) ≈ λ A

λ C µC

+ λ A

λ B µ B

+λ B

λ A µ A

+λC

λ A µ A

On retrouve : λ s(∞ ) ≈ λ A.B(∞ ) +λ A .C (∞ )

La comparaison des figure 8.14 et 8.15 fait clairement apparaître les transitions négligées. Cette méthode s’avère très facile à utiliser pour les grands systèmes qui ont fait l’objet d’une analyse par arbre des causes et pour lesquels des dépendances existent entre les composants, par exemple, au niveau des réparateurs. Elle permet de scinder les graphes d’états en autant de graphes d’états plus facilement calculables; il convient de ne pas oublier les conditions de validité.

___________________________________________________________________________

ENIT 2A GI

220

Dr. K. Bourouni

Chapitre 8 Méthode de l’Espace des Etats ___________________________________________________________________________ ETATS DE FONCTIONNEMENT ETATS DE PANNE Etat 2’

AB

λΒ

λΑ µΑ

AB Etat 6’

Etat 1’ AB

λΑ

λΒ µΒ

AB Etat 3’

λ A.B

∞ ≅ λ A

λ B µ B

+ λ B λ

A

µ A

Etat 2”

A C

λC

λΑ µΑ

Etat 1”

AC

A C Etat 8”

λC

λΑ µC

A C Etat 4”

λ A.C

∞ ≅ λ A

λ C µC

+ λC λ

A

µ A

Figure 8.16. : Graphes d’états construits sur les coupes minimales A.B et A.C

___________________________________________________________________________

ENIT 2A GI

221

Dr. K. Bourouni


5. MAINTENABILITE DES SYSTEMES REPARABLES Quand un système est réparable, il est important de connaître des caractéristiques relatives à sa maintenabilité telle que la durée moyenne d’occupation d’un état de panne et le taux de réparation du système. Il existe plusieurs stratégies possibles de réparation et de remise en service d’un système quand il tombe en panne : * on remet en service un des composants utiles pour rejoindre un des états de fonctionnement. Cependant, d’autres composants de ce système peuvent être en réparation. Dans ce cas, il est intéressant de connaître la durée moyenne d’occupation des états de fonctionnement après réparation (partielle) : c’est le MUT. Il ne dépend pas de l’état initial. Il est obtenu à partir du calcul de la durée moyenne d’occupation de l’ensemble constitué par les états de fonctionnement du graphe de disponibilité du système. Le calcul de la durée moyenne d’occupation des états de panne donnera le MTTR. Dans ce cas, le MTTR ne dépend pas de l’état initial. Il est obtenu à partir du calcul de la durée moyenne d’occupation de l’ensemble constitué par les états de panne. * on remet en service tous les composants en panne et on redémarre toujours de l’état de bon fonctionnement où tout est disponible ; on s’interdit ainsi de redémarrer avec des composants en réparation. La durée moyenne de fonctionnement jusqu’au premier état de panne du système est le MTTF du système; il est obtenu à partir du graphe de fiabilité du système et il dépend de l’état initial du système. On peut également définir la durée moyenne de réparation d’un état de panne donné. Ce MTTR dépend de l’état initial de panne et il sera calculé par une formule de type (8.21) dans laquelle on aura inversé les états de panne et de fonctionnement. Evaluons le taux de réparation du système. Considérons les états de panne minimale ; un état de panne minimal est un état de panne qui possède au moins une transition vers les états de fonctionnement dans le graphe d’état permettant de P l’ensemble de ces états. calculer la disponibilité. Soit ε M On rappelle que : 1 le système est réparéentre t et t + ∆t / P le système a étéen panne sur [0,t] ∆t → 0 ∆ t

µ (t) = lim

On en déduit : ___________________________________________________________________________

ENIT 2A GI

222

Dr. K. Bourouni


Σ µ (t) =

µ i Pi(t) ∞

P i ∈ ε M

Σ

où µ i =

Pi(t)

Σ

aij

(8.27)

j ≠ i j ∈ εF

P

i ∈ε

Par analogie avec l’approximation utilisée pour le taux de défaillance, considérions le pseudo-taux de réparation M(t) défini par :

Σ µ(t) =

µi Qi(t)

P i ∈ ε M

1–A(t)

(8.28)

On peut montrer que le pseudo-taux de réparation est une bonne approximation du taux de réparation du système. La définition du pseudo-taux de réparation est en réalité la suivante : 1 le système est réparéentre t et t + ∆t / P le système a été en panne au temps t ∆t → 0 ∆t

µ(t) = lim

La méthode des états de panne minimale est équivalente à la méthode des états de fonctionnement minimal. Il résulte de la définition de λ(t) et de µ(t) que A(t), λ(t) et µ(t) sont liés par la relation suivante : dA (t) =– λ(t) A(t) + µ(t) (1 – A(t)) dt

Pour le calcul de la disponibilité, le système est équivalent à un système à un composant de taux de défaillance λ(t) et de taux de réparation µ(t) . Le taux de réparation µ(t) peut être déduit de la connaissance de A(t) et de λ(t) : dA (t ) + λ A (t) dt µ(t) = 1–A(t)

Le plus souvent, on se contente de calculer la limite µ(∞) qui en pratique est atteinte très rapidement : µ(∞) =

λ(∞ ) A (∞) 1 – A (∞)

(8.29)

On retrouve évidemment la formule de A (∞) pour un composant : A (∞ ) =

µ(∞) λ(∞) + µ(∞)

___________________________________________________________________________

ENIT 2A GI

223

Dr. K. Bourouni


6. FIABILITE, DISPONIBILITE ET MAINTENABILITE DES SYSTEMES SIMPLES REPARABLES Dans ce paragraphe, nous présentons le calcul de mesures de Sûreté de Fonctionnement de système série et parallèle, c’est-à-dire de systèmes qui sont respectivement modélisés par des diagrammes série et parallèle dans le cadre de la méthode du Diagramme de Succès (MDS, voir Chapitre 6). Des calculs de disponibilité et de fiabilité en fonction du temps sont d’abord présentés; ensuite, des caractéristiques asymptotiques de la Sûreté de Fonctionnement sont calculées, généralement de manière approchée, par les diverses méthodes exposées précédemment. Tableau 8.2 : Disponibilité instantanée et asymptotique de systèmes simples réparables

constitués de composants identiques.

___________________________________________________________________________

ENIT 2A GI

224

Dr. K. Bourouni

Chapitre 8 Méthode de l’Espace des Etats ___________________________________________________________________________ Tableau 8.3. : Fiabilité de systèmes simples réparables constitués de composants identiques

6.1. Disponibilité et fiabilité en fonction du temps De tels calculs nécessitent la résolution des équations (8.1) et (8.20) généralement par l’utilisation de la transformation de Laplace. Nous nous contenterons ici de présenter la disponibilité et la fiabilité de quelques systèmes simples souvent rencontrés. Le tableau 8.2. donne la disponibilité instantanée et la disponibilité asymptotique de systèmes simples réparables constitués de composants identiques de taux de défaillance λ et de taux de réparation µ ; ces disponibilités sont données en fonction du nombre de réparateurs. La probabilité Q i(t) d’être dans l’état i s’écrit généralement : p

Qi(t) =

Σ b ij es t j

i =0

où les si sont des racines d’une équation de degré p+1 ; une de ces racines est nulle et les autres sont négatives. Il en résulte que la disponibilité comprend un terme constant et une somme d’exponentielles décroissantes avec le temps. Le tableau 8.3. présente la fiabilité de tels systèmes ainsi qu’une approximation de cette fiabilité pour λ << 10 µ.

6.2. Mesures associées à un système série Nous aborderons successivement le cas du système série à deux composants puis à n composants. Les principaux résultats sont résumés dans le tableau 8.4. ___________________________________________________________________________

ENIT 2A GI

225

Dr. K. Bourouni


6.2.1. Système série à deux composants Le graphe d’états relatif à la disponibilité est le même que celui de la figure 8.2. (figure 8.17). Etat 2 10

λ1

λ2 µ1

Etat 1

µ2

00

11

λ2

Etat 4

λ1 µ1

µ2 01 Etat 3

Figure 8.17. : Graphe d’états modélisant la disponibilité d’un système série à deux

composants.

6.2.2. Système série à n composants

Le graphe d’états relatif à la disponibilité du système est illustré sur la figure 8.18 . L’état de fonctionnement minimal est l’état 1 : les états de panne minimale sont les n états de panne. Calculons le pseudo-taux de défaillance λ s(t) : ∞

Σ λ s(t) =

λ i Qi(t) ∞

F i ∈ ε M

λi =

∞

Σ

Σ

aij

i ∈ εP

Q i(t)

i ∈ εF

D’où : ∞

λ s(t) =

Σ λi i =1

___________________________________________________________________________

ENIT 2A GI

226

Dr. K. Bourouni


λ1

C 1

Etat 1 de panne

C i

Etat i de panne

C n

Etat n de panne

µ1 λi Etat 1

0

µi λn µn

Etat 3 Figure 8.18. : Graphe d’états modélisant la disponibilité d’un système série à n composants

Faisons également le calcul du pseudo-taux de réparation : ∞

Σ µs(t) =

µi Qi(t) ∞

F i ∈ ε M

µi =

A s(t)

Σ

aij

i ∈ εF

Les composants étant indépendants : ∞

Π A j(t)

Pi(t) = 1 – A i(t)

j ≠ i ∞

Π A j(t)

Pi(t) = 1 – A i(t)

j ≠ i

D’où n

Σ µi µs(t) =

1 – A i(t)

i =1

Π A j(t) j ≠ i

A s(t)

Le pseudo-taux de réparation asymptotique est : n

Π µ j µs(∞) =

n

j = 1 n

Π

n

λ j + µ j –

j = 1

Σ λ j

Π µ j j = 1

j = 1

___________________________________________________________________________

ENIT 2A GI

227

Dr. K. Bourouni


Avec la condition : λi µi

<<1

∀i =1... n

D’où : n

Σ λi µs(∞) ≈

i =1 n λ

i

Σ µi

i=1

6.3. Mesures associées à un système parallèle 6.3.1. Système parallèle à deux composants Il est nécessaire de préciser le type de redondance (active ou passive) ainsi que la règle de maintenance. A titre d’exemple, nous considérons deux cas différents de maintenance : - 1er cas : on dispose de deux réparateurs et la réparation de chaque composant est entreprise après défaillance ; - 2ème cas : on ne dispose que d’un réparateur. Il existe une priorité de réparation au premier composant défaillant. a) Redondance active Lorsqu’on dispose de deux réparateurs, les graphes de disponibilité et de fiabilité sont respectivement représentés sur les figures 8.2 et 8.3. L’état 4 est l’état de panne. A s(∞) = Q4(∞) =

λ1 λ2 λ 1 + µ 1 λ 2 + µ2

λi

Généralement µ <<1 . D’où : i λ 1 λ2 A s(∞) ≈ µ 1 µ2

(8.30)

Cherchons les taux de défaillance et de réparation ( λs, µs) d’un composant équivalent aux deux composants en parallèle .

___________________________________________________________________________

ENIT 2A GI

228

Dr. K. Bourouni


Etant donné que : µs = µ1 + µ2 et A s(∞) =

λs λ s + µs

Nous en déduisons : λ1 λ2 λ s(∞ ) =

1

1 + µ1 µ2

λ λ 1+ 1 + 2 µ1

µ2

λi

Généralement µ <<1 . D’où : i λ s(∞ ) ≈ λ 1 λ2

1 µ1

+

1 µ2

Les deux composants en parallèle (redondance active) sont donc équivalents à un composant tel que :

λ s(∞ ) ≈ λ1 λ2

1 µ1

+

1 µ2

µs = µ 1 + µ 2

(8.31)

Supposons maintenant qu’on ne dispose que d’un seul réparateur. La politique de maintenance est alors la suivante : la priorité de réparation est au premier composant en panne. Il devient important de tenir compte de l’ordre chronologique d’apparition des pannes. Le graphe des états modélisant la disponibilité du système est représenté sur la figure 8.19 : état 1 : état de bon fonctionnement état 2 : le composant 1 est en panne, le composant 2 est en fonctionnement état 3 : le composant 1 est fonctionnement, le composant 2 est en panne état 4 : les deux composants sont en panne ; le composant 1 étant tombé en panne le premier état 5 : les deux composants sont en panne ; le composant 2 étant tombé en panne le premier.

___________________________________________________________________________

ENIT 2A GI

229

Dr. K. Bourouni

Chapitre 8 Méthode de l’Espace des Etats ___________________________________________________________________________ Etat 2 10

λ1

λ1 µ1 µ1 Etat 1

11

Etat 5

11

Etat 4

00

λ2

µ2 λ2

µ2 01 Etat 3

Figure 8.19. : Graphe d’états modélisant la disponibilité d’un système parallèle à deux

composants lorsqu’on ne dispose que d’un réparateur

Calculons une approximation de A s(∞) et λs(∞) par la méthode des séquences d’états. A s(∞) =

λ1 λ2 µ1 + λ 2 µ1

A s(∞) ≈ λ1 λ 2

+

1 µ21

λ2 λ1 µ 2 + λ 1 µ2

+

1 µ22

(8.32)

Si les composants sont identiques, cette indisponibilité asymptotique est donc le double de celle du système équivalent avec 2 réparateurs. Nous pouvons maintenant calculer le taux de réparation à l’aide de la méthode des états de panne minimale. ∞

Σ µ(t) =

µi Q i(t)

P i ∈ ε M 1

A (t)

Les états 4 et 5 sont des états de panne minimale. µ(t) =

µ 1 P4(t ) + µ2 P5(t)

A (t)

___________________________________________________________________________

ENIT 2A GI

230

Dr. K. Bourouni


µs(∞) =

µ 1 + µ2 µ 1 µ2 2

µ1 + µ2

2

(8.33)

Si les composants sont identiques, le taux de réparation asymptotique est donc la moitié de celui du système équivalent avec deux réparateurs. Par ailleurs, le calcul de λ s(∞) nécessite de rendre absorbants les états 4 et 5. On obtient le même graphe d’états que celui de la figure 8.3 ; bien évidemment, la politique de maintenance n’a pas d’effet. D’où :

λ s(∞ ) ≈ λ1 λ2

1 µ1

+

1

µ2

(8.34)

b) Redondance passive Lorsqu’on dispose de deux réparateurs, le graphe d’états modélisant la disponibilité disponibilité est le suivant (Figure 8.20) : état 1 : le composant 1 est en fonctionnement, le composant 2 est en attente à l’arrêt état 2 : le composant 1 est en panne, le composant 2 a démarré état 3 : le composant 1 est en fonctionnement, fonctionnement, le composant 2 est en panne panne état 4 : les deux composants sont en panne. Etat 2 10d

λ1 1 –

λ2 µ1

Etat 1

µ2 λ1

00a

11

Etat 4

λ1 µ1

µ2 01 Etat 3

Figure 8.20. : Graphe d’états modélisant la disponibilité d’un système parallèle à deux

composants en redondance passive (2 réparateurs). ___________________________________________________________________________

ENIT 2A GI

231

Dr. K. Bourouni


Le taux de défaillance à la sollicitation du composant 2 est γ . Nous obtenons une valeur approchée de A s(∞) par la méthode des séquences d’états :

A s(∞) ≈

λ1

+

µ1 + µ2

λ1 λ 2 1 –

µ1 µ1 + µ2

(8.35)

Le taux de réparation du système est facile à calculer : µs = µ1 + µ2

(8.36)

Le graphe d’états modélisant la fiabilité est obtenu en rendant absorbant l’état de la panne (état 4) : λ1 1 –

λ s(∞ ) ≈ λ1 γ +

λ2

µ1

(8.37)

Lorsqu’on dispose d’un seul réparateur, les résultats sont présentés dans le tableau 8.4. 6.3.2. Système parallèle à n composants Considérons un système possédant n composants en redondance active. Le graphe comporte n états de fonctionnement minimal, chacun d’eux étant caractérisé par le fait qu’un seul composant n’est pas en panne. Il existe un seul état de panne minimale. Nous admettons par ailleurs qu’il existe autant de réparateurs que nécessaire. Les composants étant indépendants : n

A s(t ) =

(t ) Π A i(t) i=1 n

A s(∞) =

λi

Π λ i + µi i =1

(8.38)

Le pseudo-taux de défaillance est donné par :

___________________________________________________________________________

ENIT 2A GI

232

Dr. K. Bourouni


Σ λ s(t) =

λ i Qi(t)

F i ∈ ε M ∞

Σ

Q i(t)

i ∈ εF

Les composants étant indépendants : ∞

(t ) Π 1 – ai(t)

Qi(t) =a i(t )

j ≠ i

D’où : n

(t ) Σ λi ai(t) Π 1 – ai(t) λ s(t) =

i =1

j ≠ i

1–

(t ) Π 1 – ai(t) j ≠ i

n

n

Σ λi Σ µi i =1

λ s(∞ ) =

i =1

n

n

Π

λ i + µi –

j = 1

Π λi

j = 1

Dans le cas où l’indisponibilité du système est petite devant 1, on obtient : n

λ s(∞ ) ≈

n

λi

Π λ + µ Σ µi i

i =1

i i =1

(8.39)

λi

Si µ <<1 i λ s(∞ ) ≈

n λ n i

Π µ i Σ µi i =1

i =1

Nous retrouvons la même expression par la méthode des séquences d’états. Le pseudo-taux de réparation est simple à calculer puisqu’il n’existe qu’un seul état de panne. n

µs =

Σ µi i =1

(8.40)

Les principaux résultats sont résumés dans le tableau 8.4. ___________________________________________________________________________

ENIT 2A GI

233

Dr. K. Bourouni


6.4. Mesures associées à un système parallèle m/n Supposons que la redondance est active, que les composants sont identiques et que l’on dispose de n réparateurs. Les états de fonctionnement minimal sont construits par m composants en fonctionnement et (n - m) composants en panne. Soit Sk(t) la probabilité pour que k composants fonctionnent à l’instant t : S k (t) =C nk ak (t) (1 – a(t)) n – k

.

D’où : m –1

Σ

A s(t ) =

Cnk ak (t) (1 – a(t)) t)) n – k

k =0 m –1

Σ

A s(∞) =

k =0

µk λn – k k C n n α+µ

(8.41)

λ

avec µ <<1 m –1

A s(∞) =

Σ k =0

λ n – k k C n µ

Les pseudo-taux de défaillance et de réparation : λ s(t) =

m λ S m (t) n

Σ

S k (t) (t )

k =m

µs(t) =

n – m + 1 µ S m – 1(t) (t ) m –1

Σ

S k (t)

k =0

D’où : λs(∞) =

m λ C nm µm λn – m n

Σ

k n –k C k nµ λ

k =m

µs(∞) =

n – m + 1 µ C nm – 1 µ m – 1 λn – m + 1 m –1

Σ

(8.42)

k n –k C k nµ λ

k =0

___________________________________________________________________________

ENIT 2A GI

234

Dr. K. Bourouni

Chapitre 8 Méthode de l’Espace des Etats ___________________________________________________________________________ Tableau 8.4. : Caractéristiques de sûreté de fonctionnement de quelques systèmes simples

réparables

___________________________________________________________________________

ENIT 2A GI

235

Dr. K. Bourouni


7. CONCLUSION La méthode de l’Espace des États permet d’évaluer la disponibilité, la fiabilité et la maintenabilité des systèmes réparables. Cette méthode se révèle très utile, et souvent irremplaçable pour l’évaluation des systèmes réparables. Lorsque les systèmes réparables sont modélisables par des processus markoviens, la méthode est facile à mettre en oeuvre, du moins pour les systèmes de petite taille. Pour les grands systèmes, elle peut être employée avec la méthode de l’Arbre des Causes; des approximations se révèlent nécessaire.

___________________________________________________________________________

ENIT 2A GI

236

Dr. K. Bourouni


___________________________________________________________________________

ENIT 2A GI

237

Dr. K. Bourouni


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

___________________________________________________________________________

ENIT 2A GI

238

Dr. K. Bourouni

Chapitre 9 Cours de Contrôle et Fiabilité _________________________________________________________________________________________

Introduction Elaboration de l’AMDE Présentation et analyse des résultats Exercice d’illustration l’AMDEC AMDE et Analyse des Défauts

CHAPITRE 9 : L’ANALYSE DES MODES DE DEFAILLANCE ET DE LEUR EFFETS (AMDE) ET DE LEUR CRITICITE (AMDEC) 1. INTRODUCTION La méthode de l’Analyse des Modes de Défaillance et de leurs Effets (AMDE) (FMEA : Failure Mode and Effects Analysis ) fut employée pour la première fois à partir des années 1960 dans le domaine de l’aéronautique pour l’analyse de la sécurité des avions. Depuis, l’utilisation de cette méthode s’est généralisée dans de très nombreux domaines industriels tel que l’aérospatial pour l’Analyse de sécurité des modules lunaires, centrales nucléaire, Chimie, Automobile, etc.

2. ÉLABORATION DE L’AMDE L’AMDE est une méthode inductive de système utilisée pour l ’étude systématique des causes et des effets des défaillances qui peuvent affecter les composants de ce système. _________________________________________________________________________________________ ENIT 2A GI

236

Dr. K. Bourouni

Chapitre 9 Analyse des Modes de Défaillances et de leurs Effets et de leur Criticité _________________________________________________________________________________________

L’AMDE permet : - d’évaluer les effets de chaque mode de défaillances des composants d’un système sur les différentes fonctions du système , - d’identifier les modes de défaillance ayant d’importants effets sur la disponibilité, la fiabilité, la maintenabilité ou la sécurité... de ce système On distingue quatre principales étapes pour réaliser une AMDE (figure 9.1) : 1. Définition du système, de ses fonctions et de ses composants. 2. Établissement des modes de défaillance - et de leurs causes - des composants 3. Étude des effets des modes de défaillance 4. Conclusions, recommandations. Une AMDE est réalisée pour un état donné de fonctionnement

Définition du système de ses fonctions et de ses composants 1

Identification des modes de défaillance des composants et de leurs causes

Etude des effets des modes de défaillances des composants

2

3

Conclusions Recommandations - bilan des défaillances - criticité (?) - procédure de détection/ de maintenance 4 Figure 9.1 : Étapes de l’élaboration de l’AMDE

_________________________________________________________________________________________

ENIT 2A GI

237

Dr. K. Bourouni


2.1. Définition du système, de ses fonctions et de ses composants Cette méthode nécessite une définition précise du système à étudier et de ses fonctions. Les divers états de fonctionnement du système doivent être établis. Il est également indispensable de définir : - les principales fonctions du système, - les limites fonctionnelles du système dans son ensemble ainsi que celles de ses composants, - les spécifications relatives au fonctionnement du système et de ses composants ainsi que celle relative à l’environnement dans lequel le système et ses composants sont installés. Il est particulièrement important de bien recenser et caractériser les divers états du système (en attente, en fonctionnement, en secours, en test, en maintenance...) : Ceux-ci peuvent en effet être très nombreux, notamment dans les systèmes redondants. Or une AMDE ne peut être généralement réalisées que pour un état bien défini du système ; le travail risque de devenir très lourd et sans réel objet si l’on effectue une AMDE pour chaque état. Ainsi, il est nécessaire de choisir judiciairement les états de fonctionnements du système particulièrement importants en vue d’une telle analyse ; ce choix pourra s’effectuer à l’aide d’une Analyse Préliminaire des Dangers (APD) Il faut également définir le niveau de décomposition du système en fonction des composants pour lesquels on dispose d’informations jugées suffisantes.

2.2. Élaboration des modes de défaillances des composants et de leurs causes On recense les modes de défaillance de chaque composant du système dans l’état de fonctionnement étudié pour le système (figure 9.2). On rappelle qu’un mode de défaillance d’un composant est défini comme l’effet par lequel une défaillance de ce composant est observée . Le recensement doit être aussi complet que possible, l’analyse qui suit étant essentiellement fondée sur cette liste ; ainsi, en première analyse, des modes de défaillance potentiels seront identifiés. Il est nécessaire en même temps d’établir les causes possibles de chaque mode de défaillance. Certes, il n’est pas toujours facile de distinguer entre “ modes de défaillance ” d’un composant et “ causes ” de défaillance ; c’est souvent un des premiers obstacles rencontrés dans l’analyse.

_________________________________________________________________________________________ ENIT 2A GI

238

Dr. K. Bourouni


Pour aider à cette distinction, on peut dire que les modes de défaillance sont les effets de causes de défaillance sur les fonctions du composant . Les modes de défaillance se définissent donc relativement aux effets sur le composant ou aux fonctions de celui-ci.

ANALYSE DE L’EXPÉRIENCE D’EXPLOITATION

ESSAIS DE FIABILITÉ TESTS...

FONCTIONS DU COMPOSANTS

PRISE EN COMPTE DE L’ETAT DE FONCTTIONNEME NT

DU SYSTEME

1ère LISTE DE MODES DE DÉFAILLANCE RETENUE POUR L’ANALYSE

RECENSEMENT DES MODES DE DÉFAILLANCE POTENTEILS DU COMPOSANT

CAUSES INTERNES ET EXTERNES DE DÉFAILLANCE DU COMPOSANT

MODES DE DÉFAILLANCE ET LEURS CAUSES RETENUES POUR L’ANALYSE

ANALYSE PRÉVISONNELLE DE LA SÛRETÉ DE FONCTIONNEMENT DU COMPOSANT

Figure 9.2 : Établissement des modes de défaillance d’un composant et de leurs causes

Il faut mentionner ici la difficulté, voire même l’impossibilité, de recenser toutes les causes possibles d’un mode de défaillance ; en effet, celles-ci peuvent être très nombreuses, très diverses et parfois à peine imaginable. Seule, une analyse très détaillée utilisant les autres méthodes classiques d’analyse (telles la Méthode de l’Arbre des Causes , la Méthode des Combinaisons des Pannes, etc.) permettrait de réaliser une modélisation en considérant le composant comme un système et ses constituants comme des composants. La recherche des modes de défaillance est guidée par les considérations suivantes : - si le composant a déjà été utilisé dans des installations, on s’aide du retour de l’expérience d’exploitation de ce composant, des éventuels essais ou tests auxquels ce composant a été soumis. - si le composant est de conception nouvelle, on se réfère à des composants dont la conception et les fonctions sont proches de ce dernier ou en définitive à une analyse de fiabilité de ce composant. Il existe une classification des principaux modes de défaillance utilisés, _________________________________________________________________________________________

ENIT 2A GI

239

Dr. K. Bourouni


susceptible d’aider à leur recensement : - fonctionnement prématuré (ou intempestif), - ne fonctionne pas au moment prévu, - ne s’arrête pas au moment prévu, - défaillance en fonctionnement. Pendant une analyse, on doit considérer au moins ces quatre éventuels modes de défaillance. On pourra également s’aider de la liste-guide de modes de défaillance génériques du tableau 9.1. Tableau 9.1. Liste guide de modes de défaillance générique

Modes de défaillance générique

1. Défaillance structurelle (rupture) 2. Blocage physique au coincement 3. Vibrations 4. Ne reste pas en position 5. Ne s’ouvre pas 6. Ne se ferme pas 7. Défaillance en position ouverte 8. Défaillance en position fermée 9. Fuite externe 10. Fuite interne 11. Dépasse la limite supérieure tolérée 12. Est en dessous de la limite inférieure tolérée 13. Fonctionnement intempestif 14. Fonctionnement intermittent 15. Fonctionnement irrégulier 16. Indication erronée 17. Écoulement réduit

18. Mise en marche erronée 19. Ne s’arrête pas 20. Ne démarre pas 21. Ne commute pas 22. Fonctionnement prématuré 23. Fonctionnement après le délai prévu (retard) 24. Entrée erronée (augmentation) 25. Entrée erronée (diminution) 26. Sortie erronée (augmentation) 27. Sortie erronée (diminution) 28. Perte de l’entrée 29. Perte de la sortie 30. court-circuit (électrique) 31. Circuit ouvert (électrique) 32. Fuite électrique 33. Autres conditions de défaillance exceptionnelles suivant les caractéristiques du système, les conditions de fonctionnement et les contraintes opérationnelles

_________________________________________________________________________________________ ENIT 2A GI

240

Dr. K. Bourouni


Les modes de défaillance sont définis pour un certain état de fonctionnement du composant et du système ; la considération d’un autre état de fonctionnement du système peut amener à modifier la précédente liste des modes de défaillance. Exemple 9.1: Considérons un système comprenant une vanne ouverte dans l’état de fonctionnement du système : l’ouverture de la vanne est normale dans cet état alors qu’elle peut devenir un mode de défaillance dans un autre état du système. Les modes de défaillance généralement considérés pour un groupe motopompe : - refus de démarrer, - refus de s’arrêter, - débit de la pompe inférieure au débit requis (défaillance de fonctionnement) - pression de refoulement de la pompe inférieure à la pression requise (défaillance en fonctionnement), - démarrage intempestif - fuite externe

Bien évidemment, ces modes de défaillance devront être adaptés à chaque étude particulière (on pourra rajouter ou enlever quelques modes de défaillance). Ce même exemple peut permettre de préciser les causes internes et externes (voir tableau 9.2). A travers cet exemple, il paraît évident qu’il faut définir les causes de défaillance de façon homogène par rapport à des parties du composant : on utilise donc une décomposition du composant en parties telles que partie mécanique, partie électronique (moteur), alimentation électrique, etc. Une modélisation du composant et des relations avec son environnement (alimentation électrique par exemple) est réalisée peu à peu. Des causes de défaillance peuvent se révéler en réalité des modes de défaillance.

_________________________________________________________________________________________

ENIT 2A GI

241

Dr. K. Bourouni


Tableau 9.2. : Modes de défaillance d’une moto-pompe

Modes de défaillance

Refus de démarrer

Causes internes

- Blocage mécanique

Causes externes

- Perte de l’alimentation électrique - erreur humaine (exemple : les opérateurs ont trop resserré les garnitures lors d’une précédente intervention)

Débit de la pompe - défaillance mécanique inférieur au débit requis - Vibrations

- perte de l’alimentation électrique - cavitation - perte de charge importante en amont Gardons l’exemple de la pompe. On aborde le problème de ses vibrations. Elles ont été classés ici comme causes internes. On a ainsi supposé que les vibrations anormales de certaine parties mécaniques de la pompe entraînaient sa défaillance en fonctionnement et étaient ainsi équivalentes à d’autres défaillances mécaniques (exemple : rupture brutale du rotor). Imaginons que ces vibrations anormales soient susceptibles d’avoir des effets importants sur la tuyauterie et des composants en aval de la pompe. Dans ce cas, les vibrations anormales de la pompe doivent être considérées comme mode de défaillance. Ainsi, les modes et les causes de défaillance ne peuvent être définis que dans le cadre d’une analyse itérative incluant la considération des effets.

2.3. Étude des effets des modes de défaillance des composants Les effets de chaque mode de défaillance sur les fonctions du système ainsi que sur chacun de ses composants sont systématiquement étudiés et évalués. Ces effets sont décrits de façon aussi complète que possible, en supposant l’existence d’un seul mode de défaillance, tous les autres composants étant en fonctionnement ou en état de fonctionner. Cette étape aide à mieux définir ou redéfinir les causes d’un mode de défaillance ; un mode de défaillance d’un composant peut en entraîner un autre. On identifie ainsi les défaillances secondes. _________________________________________________________________________________________ ENIT 2A GI

242

Dr. K. Bourouni


L’analyste ne doit pas perdre de vue les objectifs de l’étude ; ceci conduira par exemple, à limiter la considération de ces effets au système proprement dit, ou au contraire, à prendre en compte les effets sur les système environnants en interaction avec le système étudié. Il n’est pas toujours facile de choisir a priori la limite de considération de ces effets. Il est généralement nécessaire quand on réalise une AMDE d’un système élémentaire de mentionner les effets sur les autres systèmes élémentaires. On peut être amené à distinguer les effets sur le système étudié des autres effets sur les systèmes externes ou environnants ; cette distinction facilite l’utilisation éventuelle d’une méthode prolongeant l’AMDE comme la MCPR (Méthode des Combinaisons de Pannes Résumées). En outre, il est généralement important de mentionner, parmi les effets des modes de défaillance, ceux résultant de l’existence des systèmes d’alarme et de contrôle, ceci aidera l’analyste à identifier les modes de défaillance qui font l’objet d’une détection.

2.4. Conclusions, Recommandations Les étapes précédentes ayant été achevées, l’analyste est alors en mesure d’en tirer les conclusions en relation avec les objectifs de l’étude et d’émettre toutes les recommandations utiles. La démarche que cette méthode suit, aboutit à des résultats intéressants ? Citons notamment et de façon non limitative : - l’assurance que tous les modes de défaillance convenables et leurs effets sur le fonctionnement du système ont été pris en compte au niveau de la conception ; - l’identification des simples défaillances ; l’AMDE a surtout été utilisée dans ce but pour l’évaluation de la fiabilité du module lunaire LEM. Dans le domaine nucléaire, les systèmes de sûreté étant généralement conçus pour respecter le critère de simple défaillance (leurs fonctions ne doivent pas être affectées par la défaillance d’un composant), l’AMDE permet d’assurer que ce critère de conception est vérifié, - le recensement des modes de défaillance suivant l’ampleur de leurs effets sur les fonctions - l’identification des défaillances secondes, des besoins en redondance ; - l’établissement, pour chaque mode de défaillance, de procédures de détection (alarmes, tests périodiques...) ; on peut ainsi juger si ces procédures sont bien adaptées ; - l’établissement, pour chaque mode de défaillance, de procédures de maintenance ; la maintenabilité des systèmes est donc étudiée. _________________________________________________________________________________________

ENIT 2A GI

243

Dr. K. Bourouni


3. PRESENTATION DE L’ANALYSE ET DES RESULTATS L’analyse et ses résultats sont généralement présentés sous forme de tableaux à colonnes. Dans le domaine nucléaire, à Electricité de France, on utilise un tableau à neuf colonnes (tableau 9.3.) relativement peu différent des tableaux préconisés dans d’autres domaines industriels. On indique généralement, en tête du tableau AMDE, le nom du “ Projet ” du “ Système ” ainsi que les documents de référence de l’analyse. Puis les neuf colonnes sont remplies : - Identification du composant (repères, désignation, type, lieu) : il s’agit d’indiquer tous les renseignements permettant d’identifier et de localiser le composant à étudier dans le système de référence - Fonctions, états : il est nécessaire de recenser toutes les fonctions du composant ainsi que ses différentes états de fonctionnement en distinguant les états de fonctionnement d’un composant des états de fonctionnement du système. - Modes de défaillance : Ils sont recensés pour chaque composant dans les différents états de fonctionnement du composant et du système - Causes possibles d’une défaillance (causes internes et externes) : on définit des causes possibles de chaque mode de défaillance recensés dans la colonne précédente. Il est préférable de regrouper, d’une part, les causes internes au composant et, d’autre part, les causes externes au composant (et éventuellement au système)

_________________________________________________________________________________________ ENIT 2A GI

244

Dr. K. Bourouni

Chapitre 9 Analyse des Modes de Défaillances et de leurs Effets et de leur Criticité _________________________________________________________________________________________ Tableau 9.3.

E M È S T E S D Y S E E C L N A R L U S L I S A T F E F D F E E D S S R E U D E O L E M S D E T D E E S S T Y N L A A S N O A P M O C

Tableau AMDE utilisé à l’Electricité de France

E D : T E N C E N E M R U É C F O É D R

s n o i t a v r e s b O s s e n i c o a n s i s e e t s u d c e e q p é s u r n o F i n s o n i e e t y d c e o t M é d s e s l s r e e m n u r s è e t t s s x t e y s e f f E r e u m s è t s t s e y f f s e E l , s e s c e e l n n b a r i l l t s e s i a i n o f p é s ) s s d e e e n s s e u r e u n u a t a ’ x C C d ( e e e c d n a s l e l i d a o f é M d , s n o i t c t n s a o t F é

n t , : E i o n a n ) s t , o u T M a o s t e È i p e i c E J T f m r a l n i O S i t o è , g p i n R Y e c e s e p P S : d u R e y I d ( d t

_________________________________________________________________________________________

ENIT 2A GI

245

Dr. K. Bourouni


Cette recherche ne peut généralement prétendre, au moins dans un premier temps, à l’exhaustivité : en effet, certaines causes de défaillances (externes) sont, par exemple, des modes de défaillance d’autres composants et seront généralement découvertes plus tard dans l’analyse. - Effets sur le système : les effets de chaque mode de défaillance sur les composants, le système et leurs fonctions font ici l’objet d’un inventaire aussi complet que possible - Effets sur les systèmes externes : on indique les effets de chaque mode de défaillance sur les systèmes (et leurs composants) qui sont en étroite interaction avec le système étudié. Cette distinction s’avère intéressante, lorsqu’on réalise en parallèle de l’AMDE de plusieurs systèmes en interaction, ou lorsqu’on risque de prolonger cette analyse par l’utilisation de la MCPR. - Moyens de détection : on recense tous les moyens (systèmes procédures...) permettant de mettre en évidence le mode de défaillance étudié : citons les alarmes, les tests périodiques, les inspections... - Fréquences des inspections ou essais : on note ici la fréquence des inspections ou essais du composant étudié. - Observations : Cette dernière colonne est réservée aux remarques et observations, explicitant les autres rubriques du tableau. On l’utilise également pour mentionner des problèmes inhabituels, des effets particuliers, d’éventuelles analyses de doubles défaillances de cause commune. D’une manière générale, on peut faire figurer toutes les observations jugées nécessaires pour la compréhension de l’analyse. A titre d’exemple le tableau 9.4. présente le début d’une AMDE réellement effectuée sur une vanne d’un système de sûreté d’une centrale nucléaire.

_________________________________________________________________________________________ ENIT 2A GI

246

Dr. K. Bourouni


Tableau 9.4. : Tableau d’analyse des modes de défaillance et de leurs effets (exemple)

Identification Fonctions du composant Etats (repères, désignation, type, lieu)

Mode de défaillance

Causes possibles d’une défaillance (internesexternes)

Effet sur le système élémentaire

Repère : 031 VD

1. Vanne bloquée en position grande ouverture

* Défaut mécanique interne * Défaut du circuit pneumatique de commande * Manque d’air (SAR) * Manque de tension de commande 125 V (Voie A)

* Réglage du débit d’alimentation du GV n°1 par la MPS 021 PO impossible depuis la salle de commande

Fonction :

réglage du débit d’alimentation Désignation: du GV n°1 par Vanne de réglage du débit la MPS 021 PO Etats : vanne d’alimentation normalement du GV n°1 par la ouverte MPS 021 P0 Les signaux de démarrage de Type : Vanne l’ASG réglante confirment l’ouverture en grand de la Lieu : KA 0524 vanne

* En cas de RTE, de RTV ou de RTGV, l’isolement du GV n°1 est impossible depuis la salle de commande

Moyens de Actions de détection l’opérateur

� ��

Observatio ns

* l’opérateur devra venir positionner la vanne en local

* Les vannes réglantes associées aux MPS sont alimentées par * l’opérateur la même voie devra soir arrêter que la MPS; la MPS 021 PO les vannes soit venir fermer réglantes en local la vanne associées aux 051 VD TPS sont alimentées en voies A et B

4. EXERCICE D’ILLUSTRATION A titre d’illustration, nous analysons par l’AMDE un système élémentaire (figure 9.3) B.P

Batterie

Batterie

Moteur

Relais M

A

B

Figure 9.3. Exercice d’illustration

_________________________________________________________________________________________

ENIT 2A GI

247

Dr. K. Bourouni


4.1. Présentation de l’exercice : Le système représenté sur la figure ci-dessus permet à un opérateur de commander à distance le fonctionnement d’un moteur à courant continu ; pour cela l’opérateur appuie sur un bouton poussoir (B.P) provoquant ainsi l’excitation d’un relais, la fermeture du contact associé et l’alimentation électrique du moteur. Lorsque l’opérateur relâche le bouton-poussoir, le moteur s’arrête. Un fusible permet de protéger le circuit électrique contre tout court-circuit. On suppose que le fil AB traverse une zone où se trouvent des vapeurs inflammables : on admet qu’une Analyse Préliminaire des Dangers a montré que l’événement indésirable à éviter est le surchauffe du fil AB. Le système est conçu pour faire fonctionner le moteur électrique pendant un temps très court ; on admet ainsi qu’un fonctionnement prolongé de ce moteur peut entraîner sa destruction par suite d’un échauffement du moteur électrique et de l’apparition d’un court-circuit. On admet également qu’après l’apparition d’un courant élevé dans le circuit dû à un court-circuit, le contact du relais reste collé, même après la désexcitation du relais. Dans un souci de simplification, on ne tient pas compte des sources d’énergie et de leurs éventuelles défaillances. De même l’analyse ne porte que sur le bouton poussoir (B.P), le relais, le fusible et le moteur et on ne considère, pour ces composants, qu’un ou deux défaillances.

4.2 Réalisation de l’AMDE On représente ci-dessous les résultats de l’AMDE (tableau 9.5)

_________________________________________________________________________________________ ENIT 2A GI

248

Dr. K. Bourouni


Tableau 9.5. AMDE du système Composants

Bouton poussoir (B.P.)

Relais

Fusible

Moteur

Modes de défaillance - le B.P. est bloqué

Causes Possibles - défaillance première (mécanique) - le contact du B.P reste - défaillance collé première (mécanique) - l’opérateur ne relâche pas le B.P. (erreur humaine) - le contact du relais - défaillance reste ouvert première (mécanique)

Effets sur le système - perte de la fonction du système : le moteur ne tourne pas - le moteur tourne pendant un temps trop long : d’où un courtcircuit du moteur, puis l’apparition d’un courant élevé et la fusion du fusible - perte de la fonction du système : le moteur ne tourne pas - le moteur tourne pendant un - le contact du relais - défaillance temps trop long : d’où un courtreste collé première (mécanique) circuit du moteur, puis l’apparition d’un courant élevé et la fusion du - un courant élevé fusible traverse le contact - le fusible ne fond pas - défaillance - en cas de court-circuit, le fusible première n’ouvre pas le circuit - l’opérateur a surdimensionné le fusible (erreur humaine) - le moteur ne tourne - défaillance - perte de la fonction du système : le pas première moteur ne tourne pas - le B.P est bloqué - le contact du relais ouvert - court-circuit - le court-circuit du moteur entraîne - défaillance l’apparition d’un courant élevé puis première la fusion du fusible; le contact du - le moteur tourne relais reste collé pendant un temps trop long

Cette analyse permet de faire les commentaires suivants : - les modes de défaillance de ces composants sont faciles à déterminer, compte tenu du caractère connu des composants et de leur utilisation courante. - Les causes possibles de ces modes de défaillance sont plus difficile à déterminer. Il faut prendre soin de distinguer les causes internes au composant (défaillance première) et les causes externes au composant. Es causes externes peuvent être des modes de défaillance d’autres composants : elles ne seront donc pleinement déterminées que lorsque l’analyse des conséquence (ou effets) des modes de défaillance (et de leur combinaisons) de tous les composants aura été effectuée. C’est ainsi, par exemple, que les causes possibles (le B.P. est bloqué, le contact du relais reste ouvert) du mode de défaillance “ le moteur ne tourne pas ” ne sont répertoriées que si l’analyse des effets de modes de défaillance du bouton-poussoir et du relais a été préalablement effectuée. On notera l’existence des deux autres causes _________________________________________________________________________________________

ENIT 2A GI

249

Dr. K. Bourouni


de défaillance (le contact du B.P. reste collé - le contact du relais reste collé), qui, dans un souci de simplicité, n’ont pas été indiquées dans le tableau AMDE : en effet, ces deux causes de défaillance n’empêchent pas dans un premier temps, le moteur de tourner mais elles peuvent compromettre, dans un deuxième temps, le fonctionnement du moteur si ces défaillances sont passées inaperçue. - l’AMDE exige, pour chaque composant et pour chacun de ses modes de défaillance, l’étude des effets de ces modes de défaillance sur le système : c’est une précieuse aide à la connaissance du système et de ses défaillances. On peut constater que cette analyse qui se limite, au départ de l’étude, aux simples défaillances (c’est-àdire les modes de défaillance) conduit parfois à considérer des défaillances multiples dans le système. C’est aussi une méthode d’analyse utile pour découvrir et recenser des défaillances de cause commune : ainsi, dans cette analyse, il apparaît que le “ court-circuit du moteur ” entraîne la défaillance du relais (“ le contact du relais reste collé ”), mettant ainsi en évidence l’existence de défaillance en cascade. On ne constate pas dans la colonne “ effets sur le système ” l’apparition de l’événement indésirable “ surchauffe du fil AB ” ; ainsi aucun mode de défaillance n’entraîne directement la surchauffe du fil AB ; d’autres méthodes d’analyse doivent donc être utilisées. L’AMDE apparaît ainsi, dans cet exercice, comme une intéressante méthode préliminaire d’analyse.

5 ANALYSE DES MODES DE DEFAILLANCE, DE LEURS EFFETS ET DE LEUR CRITICITE (AMDEC) 5.1. Introduction Une extension naturelle de l’AMDE est “ l ’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité ” (AMDEC) (FMECA: Failure Mode, Effects and Critically Analysis) où l’on considère la probabilité d’occurrence de chaque mode de défaillance et la classe de gravité des effets de ces défaillance. Technique spécifique de la sûreté de fonctionnement, l'Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC) est avant tout une méthode d'analyse de systèmes (systèmes au sens large composé d'éléments fonctionnels ou physiques, matériels, logiciels, humains ...), s'appuyant sur un raisonnement inductif (causes conséquences), pour l'étude organisée des causes, des effets des défaillances et de leur criticité. L'AMDEC a été employée pour la première fois à partir des années 1960 dans le domaine de l'aéronautique pour l'analyse de la sécurité des avions. Ce type d’analyse _________________________________________________________________________________________ ENIT 2A GI

250

Dr. K. Bourouni


a été largement utilisé par la NASA notamment pour la conception du module lunaire LEM. La mise en œuvre s'est longtemps limitée à l'utilisation dans le cadre d'études de fiabilité sur du matériel. Bien qu'ayant subi de nombreuses critiques dues au coût et à la lourdeur de son application, elle reste néanmoins une des méthodes les plus répandues et l'une des plus efficaces. Elle est en effet de plus en plus utilisée en sécurité, maintenance et disponibilité non seulement sur le matériel, mais aussi sur le système, le fonctionnel et le logiciel.

Aussi est-elle maintenant largement recommandée au niveau international et systématiquement utilisée dans toutes les industries à risque, comme le nucléaire, le spatial et la chimie, dans le but de faire des analyses préventives de la sûreté de fonctionnement. Elle a été reprise dan de nombreux autres domaines, comme chez Toyota au Japon. Dans le ferroviaire, la méthode a été expérimentée sur le logiciel critique dans le cadre des projets SACEM de la RATP et MAGGALY de SEMALY. Une adaptation de cette méthode a donné naissance à la méthode AEEL ( Analyse des Effets des Erreurs du Logiciel) qui ressemble beaucoup à l'AMDEC. L’AMDEC considère la probabilité d’occurrence de chaque mode de défaillance et la classe de gravité des effets de ces défaillance ; on peut ainsi s’assurer que les modes de défaillance ayant d’importants effets ont des probabilité d’occurrence suffisamment faibles, grâce aux méthodes de conception, aux diverses vérifications (en usine, sur le site, ...), aux procédures de test, ect. Ainsi l’AMDEC peut être décrite comme une méthode comportant deux parties : - l’AMDE au sens strict - l’analyse de criticité, qui a pour but d’évaluer, pour chaque mode de défaillance, le couple probabilité-gravité . Pour juger de la “ gravité ” des divers modes de défaillance, on affecte aux effets (ou conséquences) de chaque mode de défaillance une classe de gravité (mineurs, significatifs, critiques ou catastrophiques). La criticité d’un mode de défaillance d’un composant est appréciée à l’aide du couple probabilité-gravité. Plus la probabilité est grande et plus les effets sont jugés graves, plus la criticité du mode de défaillance est importante et plus il devient nécessaire de prendre des mesures correctives. Le classement des modes de défaillance en fonction du couple probabilitégravité se fait parfois en utilisant un tableau tel que celui représenté ci-dessous (tableau 9.6) Bien évidemment, la définition des classes de gravité doit être adaptée à chaque _________________________________________________________________________________________

ENIT 2A GI

251

Dr. K. Bourouni


système étudié. Parfois, on propose même “ un nombre de criticité ” indiquant le nombre prévisible de défaillances pour un composant et un mode de défaillance critique particulier. Tableau 9.6. : Classe de gravité des défaillances

Probabilité

Très faible

faible

moyenne

forte

Gravité Classe I ou Effets mineurs Classe II ou Effets significatifs Classe III ou Effets critiques Classe IV ou Effets catastrophiques

5.2. Types d’AMDEC Selon les objectifs visés, plusieurs types d’AMDEC sont utilisés lors des phases successives de développement d’un produit : AMDEC produit, AMDEC processus, AMDEC machine…(voir tableau 9.7). On distingue également deux autres types d’AMDEC: - AMDEC Sécurité qui est presque équivalente à l'AMDEC machine mais la gravité des défaillances est ciblée sur l'opérateur au lieu du produit. - AMDEC Organisation : permet de valider l'organisation qui doit fournir un service.

_________________________________________________________________________________________ ENIT 2A GI

252

Dr. K. Bourouni


Tableau 9.7 : Différents types AMDEC

Types d’AMDEC AMDEC produit AMDEC processus AMDEC machine

Objectifs

Analyse de la conception d’un produit pour améliorer la qualité et la fiabilité de celui-ci. Analyse des opérations de production pour améliorer la qualité de fabrication du produit. Analyse de la conception et/ou de l’exploitation d’un moyen ou équipement de production pour améliorer la disponibilité et la sécurité de celui-ci.

5.3. L’AMDEC Machine L’AMDEC machine a pour but d’évaluer et de garantir la fiabilité, la maintenabilité, la disponibilité et la sécurité des machines par la maîtrise des défaillances. Elle a pour objectif final l’obtention, au meilleur coût, du rendement global maximum des machines de production et équipements industriels. Son rôle n’est pas de mettre en cause les fonctions de la machine mais plutôt d’analyser dans quelle mesure ces fonctions peuvent ne plus être assurées correctement. L’étude AMDEC machine vise à : - Réduire le nombre des défaillances : - Prévenir des pannes, - Fiabiliser la conception, - Améliorer la fabrication, le montage et l’installation, - Optimiser l’utilisation et la conduite, - Améliorer la surveillance et les tests, - Améliorer la maintenance préventive, - Détecter précoce des dégradations; - Réduire les temps d’indisponibilité après défaillance : - Prendre en compte la maintenabilité dès la conception, - Améliorer la testabilité, - Aider au diagnostic, - Améliorer la maintenance corrective; - Améliorer la sécurité. _________________________________________________________________________________________

ENIT 2A GI

253

Dr. K. Bourouni


5.3.1. Principe de base :

Il s’agit d’une analyse critique consistant à identifier de façon inductive et systématique les risque de dysfonctionnement des machines puis à en rechercher les origines et leurs conséquences. Elle permet de mettre en évidence les points critiques et de proposer des actions correctives adaptées. Ces actions peuvent concerner aussi bien la conception des machines étudiées que leur fabrication, leur utilisation ou leur maintenance. C’est essentiellement une méthode préventive. L’AMDEC est une méthode participative. Fondée sur la mise en commun des expériences diverses et des connaissances de chaque participant, elle trouve tout son efficacité dans sa pratique en groupe de travail pluridisciplinaire. La composition du groupe de travail entre d’ailleurs pour une large part dans le succès d’une étude AMDEC. Cette réflexion en commun est source de créativité. Elle favorise les échanges techniques entre les différentes équipes d’une entreprise. Elle permet l’évolution des connaissances et contribue même à la formation technique des participants. 5.3.2. Démarche de l’AMDEC machine :

Une étude AMDEC machine comporte 4 étapes successives, soit un total de 21 opérations (Figure 9.4)

_________________________________________________________________________________________ ENIT 2A GI

254

Dr. K. Bourouni


ETAPE 1 : INITIALISATION 1- Définition du système à étudier 2- Définition de la phase de fonctionnement 3- Définition des objectifs à atteindre 4- Constitution du groupe de travail 5- Etablissement du planning 6- Mise au point des supports de l’étude

ETAPE 2 : DECOMPOSITION FONCTIONNELLE 7-Découpage du système 8-Identification des fonctions des sous-ensembles 9-Identification des fonctions des éléments ETAPE 3 : ANALYSE AMDEC Phase 3a-Analyse des mécanismes de défaillance 10-Identification des modes de défaillance 11-Recherche des causes 12-Recherche des effets 13-Recensement des détections Phase 3b-Evaluation de la criticité 14-Estimation du temps d’intervention 15-Evaluation des critères de cotation 16-Calcul de la criticité Phase 3c-Proposition d’actions correctives 17-Recherche des actions correctives 18-Calcul de la nouvelle criticité

ETAPE 4 : SYNTHESE 19-Hièrachisation des défaillances 20-Liste des points critiques 21-Liste de recommandations Figure 9.4 : Déroulement de l’étude

La puissance d’une étude AMDEC réside autant dans son contenu que dans son exploitation. Une étude AMDEC resterait sans valeur si elle n’était pas suivie par la mise en place effective des actions correctives préconisées par le groupe, accompagnées d’un contrôle systématique. _________________________________________________________________________________________

ENIT 2A GI

255

Dr. K. Bourouni


Etape 1 : INITIALISATION Étape 1.1- But L’initialisation de l’AMDEC machine est une étape préliminaire à ne pas négliger. Elle consiste à poser clairement le problème, à définir le contenu et les limites de l’étude à mener et à réunir tous les documents et informations nécessaires à son bon déroulement. Etape 1.2-Démarche 1- Définir le système à étudier et ses limites matérielles. Dans cette opération, la documentation technique disponible sur le système doit être réunie, à savoir, selon le cas, les plans d’ensemble, les plans détaillés et la nomenclature des composants, le descriptif du processus de fabrication, les notices techniques de fonctionnement, les procédures d’utilisation et de maintenance. 2- Définir la phase de fonctionnement pour laquelle l’étude sera menée. Cette phase se caractérise en particulier par une mission à accomplir. 3- Définir les objectifs à atteindre qui peuvent être exprimés en termes d’amélioration de fiabilité, maintenabilité, disponibilité, sécurité ou maintenance du système. Les limites techniques de remise en question du système étudié peuvent être imposées ainsi que le champ possible des interventions à proposer. 4- Constituer un groupe de travail, de 5 à 8 personnes, qui doit être pluridisciplinaire, motivé et compétent. 5- Établir le planning et la durée des réunions qui doit être limitée à 2 ou 3 heures pour une meilleure efficacité. 6- Mettre au point les supports de l’étude : les grilles et la méthode de cotation de la criticité, les tableaux de saisie AMDEC machine et les feuilles de synthèse. Tableau 9.8 : Tableau AMDEC ANALYSE DES MODES DE DÉFAILLANCE DE LEURS EFFETS ET DE AMDEC LEUR CRITICITÉ MACHIN E Système: Phase de Date de page:…/… Sous-système: fonctionnement: l'analyse: Élément Fonction Mode de Cause Effet Détection TA F G D C Action défaillance

_________________________________________________________________________________________ ENIT 2A GI

256

Dr. K. Bourouni


Étape 2 : DÉCOMPOSITION FONCTIONNELLE Étape 2.1. But Il ne s’agit pas dans cette étape de faire l’analyse critique de l’adéquation des fonctions de la machine au besoin, mais seulement d’identifier clairement les éléments à étudier et les fonctions à assurer. C’est une étape indispensable car il est nécessaire de bien connaître les fonctions de la machine pour en analyser ensuite les risques de dysfonctionnement. Les relations entre l’analyse fonctionnelle et l’analyse AMDEC sont indiquées sur la figure 9.6.

Besoin utilisateur

Fonctions de service Fonctions techniques

Fonctions élémentaires

t n e m e n n o i t n c o n o B f

MACHINE

Arrêt machine Pertes économiques Sécurité, environnement

Sous-ensemble

Pertes ou dégradations des fonctions techniques et de services

Élément

e c n a l l i a f é D

PARTICIPATION DES ÉLÉMENTS AU BON FONCTIONNEMENT DE L’ENSEMBLE

Pertes ou dégradations des fonctions élémentaires

ENCHAÎNEMENT DES EFFETS DE LA DÉFAILLANCE

Figure 9.5. Relations entre analyse fonctionnelle et AMDEC

Étape 2.2- Démarche

7- Découper le système en blocs fonctionnels, sous une forme arborescente (Figure 9.6), selon autant de niveaux que nécessaire. Puis définir le niveau de l’étude et les éléments à traiter correspondants.

_________________________________________________________________________________________

ENIT 2A GI

257

Dr. K. Bourouni

Chapitre 9 Cours de Contrôle et Fiabilité _________________________________________________________________________________________ MACHINE M

UNITE

UNITE

UNIT E UNITE FONCTIONNELLE B

FONCTIONNELLE A

FONCTIONNELLE C

SOUS- SOUS -ENSEMBLE -ENSEMBLE BA

ORGANE BAA

SOUS- SOUS-ENSEMBLE BB SOUS -ENSEMBLE

ORGANE ORGANE BAB

ORGANE BBA

ORGANE BBB

ORGANE BBC BBC

Figure 9.6. Représentation arborescente d’une machine

8- Faire l’inventaire des milieux environnants des sous-ensembles auxquels appartiennent les éléments étudiés, dans la phase de fonctionnement retenue, pour identifier les fonctions principales et de contrainte. Le résultat de cette opération peut être présenté sous forme d’un digramme de contexte comme le montre le schéma ci-dessous. MILIEU MILIEU ENVIRONNANT 6

ENVIRONNANT 4

MILIEU ENVIRONNANT 2

FP

FC4 FC2


FC1

SOUS-

MILIEU FC3

ENSEMBLE

ENVIRONNANT 3

ü 

FP: fonction principale FC: fonction de contrainte


Figure 9.7. : Diagramme de contexte d’utilisation d’un sous-ensemble

_________________________________________________________________________________________ ENIT 2A GI

258

Dr. K. Bourouni


9- Identifier les fonctions de chaque élément du sous-ensemble sous-ensemble dans la phase de fonctionnement retenue. Là encore, on peut s’appuyer sur des représentations graphiques, comme les diagrammes fonctionnels (voir schéma ci-dessous.). Les fonctions de chaque élément seront introduites dans le tableau AMDEC (voir tableau 9.3.). MILIEU ENVIRONNANT 1

MILIEU ENVIRONNANT 2 ORGANE 1

ORGANE 4 MILIEU ENVIRONNANT 4

ORGANE 2

ORGANE 5 MILIEU ENVIRONNANT 5

ORGANE 3

SOUS-ENSEMBLE


Figure 9.8. Diagramme fonctionnel d’un sous-ensemble

Étape 3 : ANALYSE AMDEC Étape 3.1- But L’analyse AMDEC proprement dite consiste à identifier les dysfonctionnements potentiels ou déjà constatés de la machine, à mettre en évidence les points critiques et à proposer des actions correctives pour y remédier. Cette étape doit être menée élément par élément, au niveau de détail choisi. C’est le travail essentiel de l’étude où la synergie de groupe doit jouer à fond. Cette analyse comporte 3 phases successives successives : Phase 3a - Analyse des mécanismes de défaillance Phase 3a.1- But Cette phase consiste à examiner comment et pourquoi les fonctions de la machine risquent de ne pas être assurées correctement. Il s’agit d’une étude purement qualitative. On identifie les mécanismes de défaillances (voir Figure 9.10) _________________________________________________________________________________________

ENIT 2A GI

259

Dr. K. Bourouni


des éléments de la machine de manière exhaustive, pour la phase de fonctionnement considérée et au niveau d’analyse choisi. L’analyse des mécanismes de défaillance se base sur l’état actuel ou prévu de la machine au moment de l’étude.

Détections

EFFETS sur sur la disp dispon onib ibil ilit itéé du du moyen de de production

Détections

Conception

Fabrication

CAUSES de la défaillance Internes à l’élément

Exploitation

Externes à l’élément

MODE de la défaillance Dégradation de la fonction de l’élément Perte de la fonction de l’élément

EFFETS sur le fonc foncti tion onne neme ment nt et l’ét l’état at de la machine Dégradations fonctionnelles et matérielles de la machine

EFFETS sur sur la qual ualité ité du du pro produit duit fabriqué EFFETS sur sur le coût oût de de la la maintenance EFFETS sur la sécu sécuri rité té des des opé opérateu teurs et et de de l’environnement

Figure 9.9: Mécanisme de défaillance

Phase 3a.2-Démarche : 10- Identifier les modes de défaillance de l’élément en relation avec les fonctions à assurer, dans la phase de fonctionnement retenue. 11- Rechercher les causes possibles de défaillance, pour chaque mode de défaillance identifié. 12- Rechercher les effets sur le système et sur l’utilisateur, pour chaque combinaison cause - mode de défaillance. défaillance. 13- Rechercher les détections possibles, pour chaque combinaison cause - mode de défaillance. Phase 3b- Évaluation de la criticité Phase3b.1- But Cette phase consiste à évaluer la criticité des défaillances de chaque, à partir de plusieurs critères de cotation indépendants. _________________________________________________________ ___________________________ ____________________________________________________________ ________________________________ __ ENIT 2A GI

260

Dr. K. Bourouni


Pour chaque critère de cotation, on attribue un niveau (une note ou un indice.) Un niveau de criticité en est ensuite déduit, ce qui permet de hiérarchiser les défaillances et d’identifier les points critiques. Détection la plus probable

Causes Primaires de la défaillance

Mode ode de défaillance

Effe Effets ts les plu pluss graves de de la la défaillance

Niveau de fréquence F Nive iveau de de prob probab abil ilit itéé de de non-détection N

Niveau de Gravité G

Nive iveau de de Criticité C

Figure 9.10. : Principe d’évaluation de la criticité

Phase 3b.2. Démarche

14- Déterminer (à partir de l’historique de la machine) ou estimer le temps d’arrêt et les coûts d’intervention corrective (coût main d’œuvre direct, coût pièce de rechange, coût sous-traitance), pour chaque combinaison cause – mode – effet. 15- Évaluer le niveau atteint par les critères de fréquence, de gravité et probabilité de non-détection, pour chaque combinaison cause – mode – effet. Les critères de cotation sont fixés selon l’étude faite, on cite : - La fréquence d’apparition de la défaillance, - La gravité de la défaillance sur la qualité, sur la sécurité de l’utilisateur machine, sur le coût de l’intervention et sur l’indisponibilité de la machine. - La probabilité de non-détection de la défaillance. Pour effectuer cette évaluation, on utilise des grilles de cotation (ou barèmes)

_________________________________________________________________________________________

ENIT 2A GI

261

Dr. K. Bourouni


définies selon 3 ou plus fréquemment 4 ou même 5 niveaux. On s’appuie sur : - Les connaissances connaissances des membres du groupe sur les dysfonctionnements. - Les banques de données de fiabilité, historiques d’avaries, retours d’expérience, etc. 16- Calculer le niveau de criticité, pour chaque combinaison cause – mode – effet. Ce niveau est le produit des niveaux atteints par les critères de cotation indiqués dans l’opération précédente. C = F. G. N

Phase 3c- Proposition d’actions correctives Phase3c.1- But

Cette phase consiste à proposer des actions ou mesures amélioratives (Figure 9.11) destinées à faire chuter la criticité des défaillances, en agissant sur un ou plusieurs des critères de fréquence, de gravité et probabilité de non-détection. Ces actions peuvent concerner selon le cas le constructeur ou l’utilisateur de la machine. Actions de détection

Détection

Caus Causes es de la défaillance

Mode ode de défaillance

Actions de prévention

Effe Effets ts de de la défaillance

Actions de réduction

Figure 9.11. : Actions correctives

_________________________________________________________ ___________________________ ____________________________________________________________ ________________________________ __ ENIT 2A GI

262

Dr. K. Bourouni


Phase 3c.2- Démarche

17- Rechercher des actions correctives, pour chaque combinaison cause – mode – effet. Ces actions correctives sont des moyens, dispositifs, procédures ou documents permettant la diminution de la valeur de la criticité. Elles sont de 3 types : - Actions de prévention des défaillances, - Actions de détection préventive des défaillances, défaillances, - Action de réduction des effets. Plusieurs possibilités existent dans la recherche des actions selon les objectifs de l’étude : - On ne s’intéresse qu’aux défaillances critiques, critiques, - On s’intéresse à toutes les défaillances systématiquement, systématiquement, - On oriente l’action à engager selon le niveau de criticité obtenu. 18- Après proposition et analyse des mesures à engager, le groupe peut évaluer la nouvelle criticité pour juger de manière prévisionnelle de leur impact. En effet, la mise en place des actions correctives préconisées doit logiquement entraîner la réduction de la criticité de la défaillance étudiée. Le mécanisme de défaillance s’en trouve modifié, voire éliminé, par la mise en place des actions. Cependant, il convient de prendre garde au fait qu’une modification de la machine peut engendrer de nouveaux dysfonctionnements qu’il est nécessaire d’analyser. Étape 4 : SYNTHESE Phase 4.1.But

Cette étape consiste à effectuer un bilan de l’étude et à fournir les éléments permettant de définir et lancer, en toute connaissance de cause, les actions à effectuer. Ce bilan est essentiel pour tirer vraiment parti de l’analyse. Phase 4.2- Démarche 19- Hiérarchiser les défaillances selon les niveaux atteints par les critères de criticité, avant et après actions correctives. On peut classer les défaillances entre elles, selon leurs niveaux respectifs de fréquence de gravité de probabilité de non-détection ou encore selon leurs niveaux de criticité. On peut utiliser des représentations graphiques (histogrammes, des courbes ABC, etc.). 20- Effectuer la liste des points critiques de la machine. Cette liste permet de recenser les points faibles de la machine et les éléments les plus critiques critiques pour le bon fonctionnement du système. _________________________________________________________________________________________

ENIT 2A GI

263

Dr. K. Bourouni


21- Établir la liste ordonnée des actions proposées. Cette liste permet de recenser, voire de classer par ordre de priorité, les actions préconisées. Un plan d’action peut être établi et des responsables désignés.

6. AMDE ET ANALYSE DES DEFAUTS Dans certains cas, la lourdeur de l’approche de type AMDE basée sur l’analyse de tous les composants du système quelle que soit leur importance, est un handicap à son utilisation. Aussi, d’autres méthodes très semblables ont été développées, notamment pour les systèmes véhiculant des fluides. Une approche consiste à partir des hypothèses de défauts (ou de dérives) au niveau du système. Chaque défaut imaginé (exemple : absence de débit) fait l’objet d’une recherche de causes, suivie d’une recherche des effets ou conséquences sur toute l’installation. L’approche la plus utilisée est

6.1. L’Analyse de type “ HAZOP ” Elle est actuellement utilisée dans l’industrie chimique anglaise ; cette méthode appelée “ Hazard and Operability Study ” (HAZOP) a été initialement développée par la société “ Imperial Chemical Industries ” au début des années 1970. Cette méthode a été utilisée dans tout nouveau projet d’installation ou d’extension d’anciennes installations. HAZOP consiste pour un système (généralement thermo-hydraulique) à remplir un tableau produit ci-après. Ce tableau possède un certain nombre de “ mots-guides ” destinés à guider l’analyste : NONE : absence de débit, débit inversé, absence de courant... MORE OF : excès de température, de pression, de débit, de viscosité... LESS OF : baisse de température, de pression, de débit, de viscosité... PART OF : changement dans la composition du fluide MORE THAN : présence d’impuretés, d’autres phases... OTHER : en dehors du fonctionnement normal (démarrage, maintenance...) A chacune des étapes de l’étude et à l’aide de ces “ mots guides ”, on recense _________________________________________________________________________________________ ENIT 2A GI

264

Dr. K. Bourouni


toutes les causes possibles de défaillance et leurs effets (ou conséquences), en commençant par l’examen des paramètres importants de l’installation et de leurs possibles variations ; les causes de ces variations sont identifiées au niveau des défaillances envisageables de composants. On examine ensuite les effets de ces causes de défaillances. Tableau 9.7: Tableau lié à une analyse “HAZOP” Mots-guide

Déviation

Causes Possibles

Conséquences

Actions nécessaires

None

Pas d'écoulement

MORE

Plus de débit Plus de Pression Plus de température

LESS OF

Moins de débit Moins de température

PART OF

Concentration très élevée de l'eau ou de la vapeur

MORE THAN

Présence

d'acide

organique OTHER

Maintenance

Si, en première analyse, une défaillance est estimée importante par sa probabilité d’occurrence et ses effets, les actions requises pour réduire sa probabilité et/ou ses effets sont prévues et indiquées. La méthode “ HAZOP ” apparaît ainsi comme une adaptation particulière de l’AMDE aux circuits thermo-hydrauliques ; mais également comme une méthode de type “ causes-conséquences ” Les “ mots guides ”, utilisées comme référence, semblent être équivalents à des pertes de fonctions de sous-systèmes ou de systèmes. Une analyse, d’abord déductive, permet de recenser les modes de défaillances de composants susceptibles d’avoir des effets représentés par le “ mot-guide ” : une analyse purement inductive est ensuite effectuée sur ces composants afin de recenser tous les effets des modes de défaillance de ces composants. Cette méthode permet d’accéder rapidement aux composants dont les modes de défaillances peuvent avoir des effets à corriger. Contrairement à l’AMDE, cette méthode ne nécessite pas l’étude systématique des modes de défaillance de chaque _________________________________________________________________________________________

ENIT 2A GI

265

Dr. K. Bourouni


composant et de leurs effets ; l’analyse des systèmes s’en trouve apparemment simplifie. Cependant, l’emploi de cette méthode pose de nombreux problèmes ; ainsi, il est difficile d’affecter à chaque “ mot-guide ” une portion bien délimitée du système puis des causes de défaillances ; des erreurs peuvent alors être commises dans l’analyse.

7. CONCLUSION Bien que simple, la méthode s'accompagne d'une lourdeur certaine et la réalisation exige un travail souvent important et fastidieux. Une des difficultés est dans l'optimisation de l'effort entre le coût de l'analyse AMDEC (dépendant de la profondeur de l'analyse) et le coût de l'amélioration à apporter. La solution pour surmonter le volume des entités à étudier est de conduire des AMDEC fonctionnelles. Cette approche permet de détecter les fonctions les plus critiques et de limiter ensuite l'AMDEC " physique " aux composants qui réalisent tout ou partie de ces fonctions. La cohérence entre d'une part la gestion des AMDEC et des améliorations préconisées et d'autre part, les différentes versions du système est l'une des autres principales difficultés à résoudre. Aussi, la méthode n'est pas bien adaptée aux projets en temps réel car elle ne permet pas de bien appréhender l'aspect temporel des scénarios. Néanmoins l'AMDEC fournit : - une autre vision du système, - des supports de réflexion, de décision et d'amélioration, - des informations à gérer au niveau des études de sûreté de fonctionnement et des actions à entreprendre.

_________________________________________________________________________________________ ENIT 2A GI

266

Dr. K. Bourouni

Chapitre 10 Maintenance Basée sur la Fiabilité MBF ___________________________________________________________________________

Introduction Définition de la démarche MBF Les objectifs de la MBF La démarche MBF technique Les étapes de la MBF Conclusion

CHAPITRE 10 : LA MAINTENANCE BASEE SUR LA FIABILITE (MBF)

1. INTRODUCTION La maintenance a été considérée longtemps comme un mal nécessaire. Dans beaucoup de domaines industriels, cette vision est toujours présente. L’intérêt de la maintenance est traditionnellement basé sur le fait qu’une défaillance est mauvaise et qu’elle doit donc être prévenue à tout prix. Cette approche est utopique ; il est parfois techniquement impossible de pratiquer une technique préventive et souvent économiquement peu rentable en comparaison des bénéfices potentiels. Le problème est plutôt de trouver un minimum de maintenance sans porter préjudice à la performance de l’outil de production, à la qualité des produits fabriqué, à la sécurité des hommes et des équipements et à la protection de l’environnement. Par ailleurs, on constate que la maintenance est rarement abordée à la conception. Les performances en termes de Sûreté de Fonctionnement (notamment la ___________________________________________________________________________ ENIT 2A GI

263

Dr. K. Bourouni

Chapitre 10 Cours Contrôle et Fiabilité ___________________________________________________________________________

disponibilité, la fiabilité, la maintenanbilité et la logistique de la maintenance, norme ISO 9000-4) et de sécurité sont très rarement étudiées. Les fournisseurs de maintenance en réalisent quotidiennement leurs profits. La complexité des marchés, des produits, des process, associée à la récession économique que vit le monde depuis plus de deux décennies a poussé les industriels à optimiser leurs moyens de fabrication, à augmenter les performances des produits (y compris leur qualité) tout en optimisant les coûts de revient. La maintenance est une source de productivité. Cette affirmation nécessite, pour être vérifiée, d’une part que l’on doit prévoir et ajuster la maintenance en fonction des performances envisagées et des critères d’évaluation que se fixe l’entreprise ; d’autre part que ce travail doit être en permanence réajusté. En effet, un système technique se situe toujours dans un environnement en perpétuel changement. Il est par nature lui-même soumis à des évolutions de comportement (vieillissement). Pour atteindre cet objectif, il est donc indispensable de mettre en place des moyens organisationnels et techniques ainsi que des systèmes d’information ad hoc. C’est dans cette direction qu’évoluent les recommandations des référentiels d’assurance qualité actuelle (ISO, EAQF, QS, etc.). L’ambition de la MBF (Maintenance Basée sur la Fiabilité) est de guider la démarche industrielle dans cette voie. C’est à la fin des années 60 que des groupes d’études concernés par la maintenance des avions civils (maintenance steering group) ont proposé une démarche de maintenance adaptée : MSG (CEI95). Trois versions successives ont vu le jour et ont servi de base à l’élaboration de la maintenance des Boeing 747, DC10, CONCORDE et Airbus A340. Les évolutions lentes entre les trois versions successives de la MSG ont vu la diminution des révisions planifiées remplacées par un plus grand nombre d’actions de maintenance conditionnelle. Le poids important de la sécurité a conduit principalement à assurer la fiabilité inhérente à l’équipement en imposant l’exhaustivité des études dans un premier temps et à la prise en compte de l’approche économique dans un deuxième temps. Dans le domaine de la production électrique et en particulier d’origine nucléaire en France, cette méthode a été adaptée et a pris le nom d’ Optimisation de la Maintenance par la Fiabilité (OMF) (MER91, ZWI 92). La méthode originelle y est simplifiée, elle approche l’optimum pour des coûts réduits. La maintenance préventive est considérablement augmentée (70% des actions de maintenance) et une action est faite pour améliorer les matériels.

___________________________________________________________________________ ENIT 2A GI

264

Dr. K. Bourouni


2. DEFINITION DE LA DEMARCHE MBF La MBF est un outil permettant d’optimiser les actions de maintenance programmées. Les critères pris en compte sont généralement la sécurité, la disponibilité et le coût de maintenance. Lorsqu’il s’agit de produits fabriqués, la notion de qualité est, elle aussi, prise en compte. Par conséquent le terme fiabilité inclus dans l’acronyme « MBF » est bien trop restrictif, même s’il représente un des facteurs fondamentaux de la sûreté de fonctionnement. Le terme de « Maintenance Basée sur la Disponibilité » aurait été plus juste. La MBF s’inscrit dans le cadre d’un projet d’entreprise. Par conséquent, l’implication de la direction est primordiale. Les objectifs doivent être clairement identifiés et les enjeux correspondants évalués. La MBF est un outil fédérateur. Tous les acteurs sont concernés : - Le personnel de maintenance - La production - Le service après vente pour les retours clients - La qualité - Les services économiques - La direction

La MBF est dynamique, elle permet l’utilisation de l’expérience acquise durant toute la vie opérationnelle du produit ou du process et impose une évaluation des prévisions.

3. LES OBJECTIFS DE LA MBF La maintenance basée sur la fiabilité apparaît au premier abord comme principalement destinée à élaborer un programme de maintenance préventive optimisée, ayant pour but la sûreté des moyens de production, en tenant compte des aspects économiques. Cependant, elle a un but beaucoup plus ambitieux. En effet, le second aspect de l’application de la MBF dans les entreprises, principalement dans les PME, réside dans son utilisation comme vecteur principal d’amélioration de l’organisation de la maintenance, ceci malgré le manque de ressources générales observées. C’est la marche initiale nécessaire pour aller vers la certification de l’entreprise. Un troisième aspect lié à la conservation des données de maintenance et de production (base de données pour le retour d’expérience) est également un objectif non négligeable de cette méthode. ___________________________________________________________________________ ENIT 2A GI

265

Dr. K. Bourouni


Il est très important que le programme de maintenance préventive s’approche d’un niveau optimal afin de minimiser les risques de défaillance, tout en conservant une capacité de service maximale des moyens de production et en dégageant des facteurs de gains dans les entreprises. Cette optimisation doit donc s’appuyer sur une optimisation technique (obtention du Plan de Maintenance Technique (PMT)) suivi d’une évaluation économique tenant compte des contraintes organisationnelles et conduisant au Plan de Maintenance Optimisé (PMO). La mise

en œuvre de cette étape pourra conduire très souvent à une diminution des coûts de maintenance à performance égale. Le but de chacun est l’obtention d’un outil de production sûr de fonctionnement à un coût raisonnable. La MBF entre naturellement dans la partie « logistique de la maintenance » de la notion de Sûreté de Fonctionnement. C’est pourquoi la MBF s’appuie sur une méthodologie d’élaboration d’un programme de maintenance préventive pour les équipements en exploitation au moyen d’une approche logique, structurée, pragmatique, économique et sûre. Un certain nombre d’apports de la MBF peuvent être évoqués dès à présent, ils sont souvent difficiles à quantifier et sont évidemment fonction du type d’industrie et des moyens mis en œuvre pour mettre en place la MBF. Sur le plan technique, la MBF conduit à : - La détermination des sites et des équipements importants, - L’identification des équipements à maintenir en priorité, - La définition des fonctions et des défaillances associées aux équipements, - L’identification des défaillances principales avec leurs modes et causes de défaillances, - L’identification des causes de défaillances principales avec leurs effets et fréquence, - La définition des modifications à réaliser au niveau du process, - L’identification des tâches de maintenance préventives, - La définition du planning des actions préventives, - Une meilleure utilisation des appareils de contrôle, - La création d’une documentation plus homogène et plus compréhensible par tous, - Une augmentation de la durée de vie des équipements. La création d’un historique de maintenance pour chaque équipement critique et la mise en place d’un retour d’expérience pragmatique et efficace va permettre la validation du programme de maintenance planifié et donc une mise à jour ___________________________________________________________________________ ENIT 2A GI

266

Dr. K. Bourouni


périodique. On obtient également une bonne traçabilité des prises de décision. Donc la MBF a pour objectifs : - De définir et de justifier en conception les actions de maintenance programmée à mettre en place, - De redéfinir en exploitation les actions de maintenance programmée, - D’assurer et d’augmenter les performances de l’outil de production en matière de sûreté de fonctionnement, - De déterminer les recommandations relatives aux enjeux technicoéconomiques (investissement, rénovation, procédure, justification), L’application de cet outil provoque des effets positifs indirects : - Il permet une connaissance du système sur le plan statique et dynamique (comportement dans le temps), - Il permet de mieux appréhender l’environnement dans lequel le système évolue, - Il responsabilise le personnel, - Il assure une cohésion entre différentes entités de l’entreprise (production, maintenance, qualité, services économiques et direction) et amorce une nouvelle organisation dans un axe TPM (Total Productive Management), - Il agit sur la sécurité des biens et des personnes, - Il valide les modifications réalisées au fur et à mesure de la vie du produit ou du process.

4. LA DEMARCHE MBF TECHNIQUE La mise en place de la démarche doit se faire par une organisation en groupe de projets dans lesquels différents acteurs sont impliqués pour la mise en place de la méthode MBF. La direction présente les objectifs du projet, la politique qu’elle compte appliquer pour favoriser la participation de l’ensemble des services production, qualité et maintenance. Elle décide, dans chaque site, des priorités respectives entre productivité, qualité, sécurité et sûreté de fonctionnement (disponibilité avec maintenabilité, fiabilité et logistique de maintenance). Ces décisions sont nécessaires au bon déroulement et à la bonne fin du projet. Un certain nombre de groupes vont être crées. On en distingue trois de durée de vie très différente : le « MBF Groupe Management », le « MBF Groupe Pilote » et le « MBF Groupe Equipement » ___________________________________________________________________________ ENIT 2A GI

267

Dr. K. Bourouni

Chapitre 10 Cours Contrôle et Fiabilité ___________________________________________________________________________ Les Acteurs

Leurs Mission / Actions

Direction

Politique interne

&

Implication des Hommes dans le projet

Définition du cadre d’analyse

&

Validation des résultats

Pilote & Responsables Production

Qualité

Maintenance

MBF Groupe Management Pilote

Définition et Préparation & des analyses

et Resp. Maintenance

MBF Groupe

Confirmation des résultats

Pilote Pilote et Resp. Maintenance Opérateurs en :

Validation des analyses

Production qualité

&

Elaboration des résultats

MBF Groupe d’équipement

Figure 10.1. Les acteurs de la démarche MBF

Le «MBF Groupe Management » regroupe les responsables des services maintenance, production et qualité. Il est animé par un pilote, le chef de projet MBF, qui oriente les différentes réflexions. Il est le garant du respect de la méthode. Les travaux de ce groupe conduisent, dans le cadre de la politique interne définie en collaboration avec la direction, à la définition du cadre des analyses, au choix des personnes impliquées dans les autres groupes et à la validation des différents résultats obtenus par les autres acteurs. Le « MBF groupe pilote» constitue la cheville ouvrière de l’analyse. En suivant les directives du groupe management, il prépare dans le détail l’ensemble des analyses pour les faire valider par le groupe équipement puis pour les faire entériner par le groupe management. Il effectue donc la part la plus importante du travail lié à la MBF et ne fait appel aux deus autres groupes que pour des apports ciblés et ___________________________________________________________________________ ENIT 2A GI

268

Dr. K. Bourouni


ponctuels (l’objectif est de minimiser le temps d’occupation des opérateurs dans la démarche). Le «MBF Groupe équipement» est chargé du recueil des données sur le terrain. Il comprend les personnes venant des services production et maintenance qui connaissent le mieux l’équipement étudié. Après analyse de l’équipement par le groupe pilote, il valide et définit les actions de maintenance à entreprendre et élabore les actions préventives à mettre en place ainsi que leur répartition entre la production et la maintenance. L’identification précise des participants des différents groupes est assurée grâce à une fiche (Figure 10.2). Ceci favorise la responsabilisation de chacun et les discussions souhaitables pour l’élaboration de ce programme qui concerne toute l’entreprise. Chaque partie de la «Procédure MBF» est conçue par le «MBF Groupe Pilote», soumise ensuite à discussion avec les «MBF groupes équipement» et à la validation finale par le «MBF Groupe Management». Le nombre de participants par réunion doit être réduit (8 maximum) pour bien prendre compte tous les avis exprimés et favoriser une démarche constructive.

MBF

Maintenance Basée sur la Fiabilité

Entreprise :...................... Projet : ............... Site : ..............................................................

fiche de synthèse de l’étude par équipement

MBF Groupe

Equipement : ...............................................

Réunions

Personnes

Dates

Commentaires

Management

Pilote

Equipement

VALIDATION PAR GROUPE MANAGEMENT : ...............

DATE : .......................

Figure 10.2. Fiche 1 : Synthèse de l’étude MBF en cours

___________________________________________________________________________ ENIT 2A GI

269

Dr. K. Bourouni


5. LES ETAPES DE LA DEMARCHE MBF Les étapes d’une analyse MBF sont les suivantes : - Détermination des sites et équipements à étudier - Analyses des défaillances fonctionnelles : ∗ Préparation des feuilles AMDEC ∗ Validations des feuilles AMDEC - Etablissement du PMT (Plan de Maintenance Technique) ∗ Préparation des feuilles de taches ∗ Validation du programme de maintenance préventive - Optimisation et retour d’expérience ∗ Synthèse des relevés et rapports d’intervention ∗ Mise à jour.

5.1. Etape 1: Etude des sites de production Le choix du premier site à étudier est très important, c’est sur cette première expérience. Il est donc primordial de faire un choix judicieux. Ce choix est obtenu à travers la réalisation de la première étape de la démarche (figure 10.3). Cette étape, consiste en fait, à décomposer l’entreprise en différents sites de production puis à déterminer les moyens de production du site et de les classer en se basant sur la connaissance du personnel de l’entreprise et en utilisant la matrice de criticité SDQ (Figure 10.4). Cette matrice permet de définir les équipements les plus critiques en se basant sur des critères de Sécurité, Disponibilité et de Qualité. Les données sont recueillies sous forme de fiche dite fiche SDQ (Figure 10.5)

___________________________________________________________________________ ENIT 2A GI

270

Dr. K. Bourouni

Chapitre 10 Maintenance Basée sur la Fiabilité MBF ___________________________________________________________________________ étape 1

décomposition de l’entreprise en différents sites fonctionnels et géographiques

décomposition topo fonctionnelle des grandes fonctions de productions de chaque site

entreprise

Critères qualitatifs (direction, comptabilité, connaissances globales de la production

Classement / Limitation des sites à étudier (grandes fonctions de production)

Moyens de production de chaque site matrice de criticité (SDQ)

Classement / Limitation des moyens à étudier

Fiche 2 S-DQ

Figure 10.3. Etape 1 : le choix de l’équipement à étudier

sécurité S

qualité Q e l b a t p e c c a n I

r e l ô r t n o c A

e l b a e g i l g é N

Inacceptable

9 CCP/Q

8 CCP

6 CCP

A contrôler

7 CCQ

Négligeable

4 CCQ

10 CCS

é t i l i b i n D o p s i D

5 CSCP/Q 3 CSCP 2 CSCQ

1 CDT

Figure 10.4. Matrice de criticité SDQ pour les équipements

___________________________________________________________________________ ENIT 2A GI

271

Dr. K. Bourouni

Chapitre 10 Cours Contrôle et Fiabilité ___________________________________________________________________________ MBF Maintenance Basée sur la Fiabilité Décomposition des grandes fonctions de production SP

Site de Production

EQ

Equipements classés

Entreprise : ................... Projet : ........... Date : ...............

S D Q CR

VALIDATION PAR GROUPE MANAGEMENT : .................... .......

Remarques

DATE : ................

Figure 10.5. Fiche 2 : liste des grandes fonctions de production

Les critères pris en compte pour effectuer le classement des équipements sont : la sécurité (S), la disponibilité (D) et la qualité (Q) . L’expérience acquise par le personnel lors du fonctionnement des équipements et de leur utilisation dans l’entreprise peut favoriser le choix des sites d’étude. Chaque équipement est conventionnellement classifié selon une notion de chemin fonctionnel : - Chemin critique de sécurité (CCS) si S = 1, - Chemin critique de production (CCP) si D = 1, - Chemin critique de qualité (CCQ) si Q = 1, - Chemin sous-critique de qualité (CSCQ) si Q = 0, - Chemin à défaillance tolérée (CDT) si Q et D = -1. Par exemple, le groupe prendra en compte : 1. Pour le critère sécurité : − L’influence de la panne sur l’environnement de travail,

Les directives réglementaires, − Les préconisations et expériences malencontreuses. −

___________________________________________________________________________ ENIT 2A GI

272

Dr. K. Bourouni


2. Pour le critère disponibilité liée à la production et à la maintenance : − L’influences des arrêts − L’existence d’un équipement redondant, − L’influence sur les autres équipements,

Les fréquences de pannes, − Les temps d’arrêt dus aux pannes et aux remises en état. −

3. Pour le critère qualité : − Le pourcentage de pertes dues aux équipements − L’influence sur la qualité finale du produit.

La sécurité est mise à part ; tout équipement dont la défaillance pose un problème de sécurité doit être placé dans la case de criticité 10 (S = 1). Trois niveaux sont utilisés pour les critères qualité et disponibilité de l’équipement : - Inacceptable (D et/ou Q = 1 ) : Tous les efforts doivent être faits pour éviter que la défaillance de cet équipement ne se produise, - A contrôler (D et/ ou Q = 0) : Cette défaillance sera évitée en faisant des rondes d’inspection, - Négligeable (D et Q = -1) : La défaillance de cet équipement a des conséquences négligeables et elle ne se produit pas fréquemment. Pour l’exemple de la figure 10.4, le «MBF groupe management» a décidé de privilégier, au niveau de la criticité globale, la qualité du produit fabriqué par rapport à la disponibilité de l’équipement. Pour un choix inverse, il suffit d’inverser les cases de la matrice par rapport à sa première diagonale.

5.2. Etape 2. : Analyse des défaillances fonctionnelles Cette seconde étape comporte également plusieurs phases qui vont être suivies en utilisant les fiches 3, 4 et 5. C’est la phase la plus délicate. En effet, il faut veiller à ne pas oublier des paramètres importants pour la sûreté de fonctionnement de l’équipement étudié. Cette étape prend beaucoup de temps ; on admet que la définition des fonctions correspond à 30% du temps total d’une MBF. Pour chacun des équipements classés dans la fiche 2, jusqu’au niveau choisi par le groupe, on effectue alors une analyse des défaillances qui sont critiques pour l’équipement. ___________________________________________________________________________ ENIT 2A GI

273

Dr. K. Bourouni


On peut distinguer trois phases à cette étape : - L’analyse fonctionnelle de l’équipement ; - Les mises en évidences des équipements qui interviennent dans les défaillances critiques ; - L’étude AMDEC de ces équipements. On obtient alors la liste hiérarchisée des causes de défaillances des équipements qui conduisent à une défaillance fonctionnelle critique de l’équipement. étape 2 décomposition fonctionnelle des équipements

méthodes des intéracteurs

fonctions des moyens de production

modes de défaillance fonctionnels

moyens de détection

matrice de criticité (GF)

Classement / Limitation des défaillances fonctionnelles

Fiche 3 (E)

Figure 10.6. Analyse des défaillances fonctionnelles

5.2.1. Les méthodes de Analyse fonctionnelle de l’équipement Les méthodes d’analyse fonctionnelle sont nombreuses. Pour une utilisation dans un milieu industriel et pour des personnels proche du terrain, la méthode de

l’inventaire systématique du milieu environnant (conforme à la norme X50-153 (AFN92), dite méthode des interacteurs) paraît la plus facile à mettre en œuvre.

___________________________________________________________________________ ENIT 2A GI

274

Dr. K. Bourouni

Chapitre 10 Maintenance Basée sur la Fiabilité MBF ___________________________________________________________________________ FC1

ME 1

ME 1

objet à étudier FC2

ME 3 ME 5

FP2

FP1

FP = groupe verbal + MEi + MEj FC = groupe verbal + MEk

ME 4

Figure 10.7. Analyse fonctionnelle externe

élément extérieur 1 élément 1

Fk 1 élément 2 flux

élément 3

élément 4

élément extérieur 2

Fk : Fonction de conception ou Fonction interne à l’équipement

Figure 10.8 Analyse fonctionnelle interne .

Les buts de l’analyse fonctionnelle sont : - Fournir une description de chaque moyen de production, - Etablir une liste de toutes les fonctions et interfaces avec d’autres équipements et le milieu environnant qui leur sont directement rattachés, - Permettre l’identification de toutes les défaillances fonctionnelles potentielles. Cette analyse doit également définir clairement les fonctions cachées (fonctions en état de veille), ainsi que les défaillances fonctionnelles cachées qui peuvent avoir une influence critique sur la sécurité des équipements et sur certains paramètres économiques. Succinctement, cette méthode permet d’identifier la totalité des fonctions d’un système à partir des relations de celui–ci avec son environnement.

___________________________________________________________________________ ENIT 2A GI

275

Dr. K. Bourouni


Les trois phases de l’analyse sont : - L’analyse du besoin, - L’étude de l’environnement, - La détermination des fonctions de l’équipement. Ces différentes fonctions sont listées sur la fiche 3. On affecte à chaque fonction une mesure de l’efficacité de détection E de l’apparition de la défaillance : 1 s’il existe un moyen de détection et 0 sinon. MBF Maintenance Basée sur la Fiabilité Analyse des modes de défaillances fonctionnelles Fonctions de l’équipement F

DF

Entreprise : ................... Projet : ........... Site : ..................... .........Date : .............. Equipement : .........................................

Modes de défaillance fonctionnelle classés

Moyens de détection E

VALIDATION PAR GROUPE SYSTEME N° : .................... ............

Grille de criticité G F CR

DATE : ................

Figure 10.9. Fiche3 : analyse des modes de défaillance fonctionnelle

Les modes de défaillance fonctionnelles sont donc associés à chaque machine de production en spécifiant le mieux : - l’impact de la défaillance sur la sécurité, la production et la qualité, - la fréquence des défaillances, - les défaillances non détectées ou ayant peu de chances d’être détectées pendant l’exploitation, - les effets induits, par exemple : * influence sur la sécurité, * avec un effet significatif du point de vue économique. ___________________________________________________________________________ ENIT 2A GI

276

Dr. K. Bourouni


Dans le but de limiter l’étude à l’essentiel, la liste des modes de défaillance est hiérarchisée en utilisant plusieurs critères. En s’inspirant des éléments du logigramme de décision décrit au paragraphe suivant et en utilisant une grille de criticité faisant intervenir la fréquence (F) et la gravité (G) de chaque défaillance fonctionnelle, on définit une criticité globale de chaque défaillance fonctionnelle pour effectuer un classement simultané selon la sécurité (S) (1er critère), la non détection (ND) (2ème critère) et la criticité (CR = F x G) (3ème critère - Figure 10.10). Il est alors possible de décider de ne pas prendre en considération certaines défaillances. Pour le troisième critère (fréquence et gravité), quatre niveaux sont utilisés, les différentes classes sont à établir au niveau du «MBF groupe pilote» pour homogénéiser ce choix au niveau d’un site. On s’attache à déterminer un nombre pair de classes pour éviter le choix systématique intermédiaire.

E T I V A R G e s s a C 1

Frequence 1/jour

1

1/mois

2

1/semestre

3

1/(>semestre)

4

t u b e r t e . d o r p t ê r r A 2

t u b e r s s . d o r P t e r r A 3

e n u c u A 4

1 6 3 16

Figure 10.10. Matrice de criticité FG utilisée pour hiérarchiser les différentes défaillances fonctionnelles

5.2.2. Mises en évidences des composants et équipements qui interviennent dans les défaillances fonctionnelles critiques

En prenant les différentes fonctions dans l’ordre de la fiche 3, il est nécessaire maintenant de lier la défaillance fonctionnelle à la décomposition organique de l’équipement. On passe souvent par la création d’une arborescence représentant la décomposition topo-fonctionnelle de l’équipement en se limitant aux fonctions les plus critiques. ___________________________________________________________________________ ENIT 2A GI

277

Dr. K. Bourouni


étape 2 Suite décomposition organique des fonctions

méthodes des intéracteurs organes impliqués dans les défaillances fonctionnelles Fiche 4 Analyse AMDEC Causes, modes, effets des défaillances des équipements

Fiche 5 (M)

Figure 10.11. AMDEC des équipements

Le nombre de niveaux est fonction de la profondeur d’analyse que l’on veut atteindre ; cependant il est recommandé de ne pas dépasser 3 niveaux par zone fonctionnelle. On obtient ainsi une liste des éléments maintenables impliqués dans les défaillances fonctionnelles critiques. La fiche 4 (Figure 10.12) permet de réaliser cette liste. MBF Maintenance Basée sur la Fiabilité Analyse des modes de défaillances fonctionnelles Fonctions de l’équipement F

Sous-ensembles

Entreprise : ................... Projet : ........... Site : ............... ...............D ate : .............. Equipement

: .........................................

Eléments maintenables

Spécialités

SE

VALIDATION PAR GROUPE EQUIPEMENT N° : ............... ................ .

DATE : ................

Figure 10.12. Décomposition organique des zones fonctionnelles

___________________________________________________________________________ ENIT 2A GI

278

Dr. K. Bourouni


5.2.3. Etude AMDEC des équipements Pour chacun des équipements impliqués dans les défaillances fonctionnelle critiques, une AMDEC simplifiée est réalisée (Figure 10.14). Elle consiste à étudier et lister les différents modes, cause, effets de défaillances des équipements en utilisant

comme outils de communication au niveau du groupe des méthodologies généralement bien connues telles que les graphes de Pareto ou les diagrammes cause/effets MILIEU ENVIRONNEMENT

DOCUMENTATION

ORGANISATION

Sûreté de fonctionnement d’un système

HOMMES

ORGANISATION

Figure 10.13. Exemple de diagramme causes/effets pour étudier la sûreté de f onctionnement d’un système (source RATP France) Entreprise : ................... Projet : ...........

MBF Maintenance Basée sur la Fiabilité

Site : ..............................Date : .............. Equipement : ...................Fonction

Analyse des modes et causes de défaillances et leurs effets Modes de défaillance

Eléments EM

Ss ensemble :

MD

CD

Causes de la défaillance classées

VALIDATION PAR GROUPE SYSTEME N° : ................................

Effets de la défaillance

Criticité G F CR

DATE : ................

Figure 10.14. Fiche 5. : AMDEC des équipements de base

___________________________________________________________________________ ENIT 2A GI

279

Dr. K. Bourouni


La fiche 5 permet de recueillir les différents éléments d’analyse. Elle est préparée par le groupe pilote puis complétée par le groupe équipement. Il est important que les notions de mode, cause et effet soient prises à un même niveau d’analyse organique. En effet, pour des niveaux successifs, il est très probable qu’un même terme soit successivement interprété comme cause, mode et effet d’une défaillance. Pour chaque mode de défaillance, on peut trouver plusieurs causes de défaillance ainsi que plusieurs effets. Ces différentes notions ont été définies au chapitre 1. Rappelons que l’effet d’une défaillance est la concrétisation de la conséquence de la défaillance sur le client de l’équipement étudié. Cet effet peut être local ou agir sur son environnement (défaillances engendrées). En fonction de l’axe dans lequel est faite l’AMDEC, les effets peuvent être pris dans des domaines différents. La figure 10.15. donne quelques types d’effets pour les différentes composantes de la sûreté de fonctionnement d’un système. 1- Sans influence (négligeable) Pour la SECURITE

2 - Influence mineure sans blessure 3 - Influence moyenne avec blessure 4 - Influence importante risque de mort

1- Mineures Pour la FIABILITE

2 - Significatives 3 - Critiques 4 - Catastrophiques 1- Arrêt de fonctionnement < T Pour la DISPONIBILITE

1

2 - Arrêt de fonctionnement > T

1 et


2 et


3

1- MTTR < T 1 Pour la MAINTENABILITE

2 - MTTR > T 1 et T 2 et T 3

Figure 10.15. Quelques exemples d’effets de défaillances

C’est au niveau de l’effet que se mesure la gravité de la défaillance de l’équipement. On peut donc parler de criticité pour chaque triplet (cause-mode-effet) d’une défaillance en utilisant une matrice de criticité (voir chapitre 9). La figure 10.16. donne un exemple de niveaux de fréquence et de gravité pour ___________________________________________________________________________ ENIT 2A GI

280

Dr. K. Bourouni


un système donné en orientant la gravité sur un arrêt de production.

INDICE DE GRAVITE

CRITERE G

INDICE DE FREQUENCE

CRITERE F

1

Temps d’arrêt inférieur à 12 heures

1

Moins d’une fois par an

2

Temps d’arrêt inférieur à 24 heures

2

Moins d’une fois par mois

3

Temps d’arrêt inférieur à 1 semaine

3

Moins d’une fois par semaine

4

Temps d’arrêt supérieur à 1 semaine

4

Plus d’une fois par semaine

Figure 10.16. Exemple de niveaux de gravité / fréquence

A la fin de cette étape, nous disposons donc d’une liste hiérarchisée, volontairement limitée aux plus critiques, des modes et causes de défaillance dont nous voulons éviter ou diminuer les conséquences en mettant en place des actions de maintenance adaptées.

5.3. Etape 3 : Elaboration du Plan de Maintenance Technique La figure 10.17 donne les principales phases de cette étape. étape 3 logigramme de décision liste des tâches envisageables

intervenants, intervalles Fiche 6 Planification des tâches

PMT Fiche 7

Figure 10.17. Etape 3 : décisions de tâches de maintenance

___________________________________________________________________________ ENIT 2A GI

281

Dr. K. Bourouni


5.3.1. Le logigramme de décision : Les étapes précédentes nous ont permis de définir pour chaque cause de défaillance la valeur des critères E, S, D, Q et M (détectabilité, sécurité, disponibilité,

qualité et maintenabilité). Ils sont reportés sur la fiche de décision (fiche 6 - Figure 10.18). Entreprise : ................... Projet : ..................


Site : ..................... .........Date : .................... .. Equipement : ...................Fonction ..............

Décision / Tâches Critères S D Q M E

Ss ensemble : ..................................................

Eléments

Tâches proposées

Intervalle préventif

Spécifications

MD CD

VALIDATION PAR GROUPE MANAGEMENT : .................. ...................... ......

DATE : ................... .........

Figure 10.18. Fiche 6 : décisions / tâches

Le processus logique conduit à l’une des conséquences ou catégories d’effets suivants (en fonction des critères S, D, Q, M et E). - Impact sur la Sécurité (CCS) : Cette catégorie doit être abordée sachant qu’il doit être compris qu’une action est nécessaire afin d’assurer un fonctionnement sûr. Toutes les questions pour cette catégorie doivent être posées. Si, de cette analyse dans cette catégorie, il ne résulte aucune action (s) efficace (s), alors, une reprise de la conception est obligatoire. - Impact direct sur la Production (CCP) ou sur la Qualité (CCQ) : Une action (ou des actions) est souhaitable si elle réduit le risque de défaillance à un niveau acceptable. Si, au sein du processus logique, toutes les réponses sont «Non», et si les pénalités opérationnelles sont sévères, une reprise de la conception est souhaitable, autrement, aucune action de maintenance préventive n’est créée. ___________________________________________________________________________ ENIT 2A GI

282

Dr. K. Bourouni

Chapitre 10 Maintenance Basée sur la Fiabilité MBF ___________________________________________________________________________ une action de lubrification et/ou entretien prévient-elle la défaillance ?

oui

lubrification et/ou nettoyage

non oui

Une vérification visuelle régulière de l’état du système en fonctionnement prévient-elle la défaillance ?

Vérification régulière de l’état

non la remise en état régulière du système prévient-elle la défaillance ?

oui

remise en état régulière

oui

remplacement régulier

non le remplacement régulier de l’élément prévient-il la défaillance ? non oui

existe-il une tâche de maintenance conditionnelle ou prévisionnelle applicable, efficace et économique ?

la programmer

non est-il économiquement souhaitable d’attendre la défaillance ? (maintenance corrective)

oui

préparer la tâche

non est-il possible et souhaitable d’éliminer la défaillance en modifiant le système ?

oui

reconception

Figure 10.19. Logigramme de décision des tâches de maintenance

Dans le cas où la défaillance n’est pas détectée de manière évidente ( E = 1), le traitement précédent doit être modifié, une action de maintenance est obligatoire. Dans le cas où l’élément défaillant est sur un CSCP ou un CSCQ, alors il convient de faire intervenir la notion du coût de prévention par rapport au coût engendré par l’apparition de la défaillance. Une étude de la maintenabilité de l’élément est souhaitable (M=1). - Une action est applicable lorsqu’elle peut être mise en pratique, - Une action est efficace si elle permet de réduire le taux de défaillance et de maîtriser son évaluation, - Une action est économique si elle peut être réalisée dans des conditions économiques satisfaisantes. ___________________________________________________________________________ ENIT 2A GI

283

Dr. K. Bourouni


5.3.2. Création du plan de maintenance technique De façon simultanée, il convient de remplir tous les éléments qui constituent un plan de maintenance planifiée :

La nature de l’opération (procédure complète), − Le type de maintenance, − La période d’intervention, − Les consignes particulières (état de l’équipement, sécurité des hommes, confidentialité), − La qualification et le nombre des intervenants, − Leurs temps d’intervention, − Le temps d’indisponibilité pour la production, − La nature et le nombre de pièces de rechange ainsi que les paramètres de gestion, − La nature des outillages, − La référence et la position de la documentation technique nécessaire. −

De manière à établir une fréquence ou un intervalle concernant une action, il est nécessaire de s’assurer de la disponibilité et de la fiabilité des données opérationnelles susceptibles de suggérer un intervalle raisonnable. Le groupe MBF peut utiliser les éléments suivants : − des connaissances antérieures provenant d’autres équipements similaires, indiquant qu’une action de maintenance programmée s’est avérée efficace et acceptable du point de vue économique (activité efficiente), d’essais en provenance du fabricant/ fournisseur spécifiant − des données qu’une action de maintenance programmée sera efficace pour la partie de l’équipement en cours d’évaluation. Il reste à l’utilisateur à démontrer la justification économique de cette action. La fréquence / intervalle de l’action peut être aussi établie à priori par du personnel expérimenté utilisant un jugement d’expert, ainsi qu’en utilisant l’expérience d’exploitation, conjointement à des données précises (fiabilité, redondance, etc.). On obtient alors la liste des tâches de maintenance nécessaires pour obtenir le niveau de sûreté de fonctionnement choisi en utilisant la fiche 6 (Figure 10.18)

___________________________________________________________________________ ENIT 2A GI

284

Dr. K. Bourouni


5.3.3. Planning des tâches de maintenance

Ces résultats sont alors présentés sous forme de détails spécifiques personnalisés sur la fiche 7 (figure 10.20) afin de constituer le planning de maintenance. Le programme initial constitue la base d’un programme de maintenance évolutif et dynamique qui sera par la suite modifié par le retour. Entreprise : ................... Projet : ...........


Site : .................... ..........Date : .............. Equipement : ...................Fonction

Planification des tâches

Eléments

Ss ensemble : ..........................................

Tâches

Intervenants

Commentaires

VALIDATION PAR GROUPE MANAGEMENT : .................. ...................... ......

Date de la première intervention

DATE : ................... ................

Figure 10.20. Fiche 7 : actions de maintenance

5.4. Etape 4. : Optimisation du plan de maintenance, retour d’expérience : Le programme de maintenance initial est basé sur l’information disponible au moment de l’analyse. L’équipement nécessite un programme de maintenance dynamique ainsi q’une logistique de maintenance capable de recueillir et d’analyser les données d’exploitation tout au long de sa vie.

___________________________________________________________________________ ENIT 2A GI

285

Dr. K. Bourouni


L’expérience peut être utilisée afin d’améliorer le programme de maintenance en examinant l’efficacité de chaque action et en déterminant son coût par rapport au coût de la défaillance qu’elle évite.

étape 4

rapports d’intervention

mise en place d’une boucle améliorative

mise en place d’indicateurs études de fiabilité analyse des données

Base de connaissance de l’entreprise

Figure 10.21. Etape 4 : l’étape itérative de la MBF

Le retour d’expérience est constitué d’un recueil d’informations relatives au fonctionnement des différents équipements, que l’on peut stocker dans une base de données, dans quatre parties bien distinctes : - les données sur la fiabilité, - les événements, - l’historique des équipements, - les informations spécifiques détenues par le département Maintenance. On pourra s’aider du tableau 10.1. pour essayer de balayer complètement les tâches au cours de cette remise en cause du PMT. Le délai entre deux reprises est généralement de 6 mois.

___________________________________________________________________________ ENIT 2A GI

286

Dr. K. Bourouni

Chapitre 10 Maintenance Basée sur la Fiabilité MBF ___________________________________________________________________________ Tableau 10.1. : Tableau d’aide à la décision pour le retour d’expérience

défaillance sur CCS, CCP ou CCQ oui

défaillance vécue

oui

il existe un plan de maintenance oui

oui oui oui

oui non non

non oui non

non

oui

oui

non

oui

non

non non

non non

oui non

stratégie

maintenir ou optimiser le plan de maintenance élaborer un plan de maintenance simplifier le plan de maintenance évaluer l’intérêt du plan de maintenance revoir la criticité et supprimer le plan de maintenance revoir la criticité et maintenir une maintenance corrective supprimer le plan de maintenance confirmer la maintenance corrective existante

La prise en compte des rapports d’interventions des travaux de maintenance, et plus particulièrement des relevés de maintenance préventive (échange standard, surveillance préventive, révision, rénovation, reconstruction, inspection, contrôle, visite, test) est utile pour valider ou infirmer le programme de maintenance planifiée. Le détail des défaillances collectées permet de préparer des analyses de défaillance de système non encore traité ou d’optimiser ceux qui existent déjà. L’utilisation de base de données techniques génériques est recommandée dans le cas de la mise en place d’un outil de retour commun à plusieurs entreprises du même domaine. Dans le cas de la persistance d’une défaillance, un certain nombre de questions doivent être posées, par exemple : - Existe-il une tâche de maintenance préventive prévue ? - Si oui, est-elle bien adaptée ? * si oui, augmenter la fréquence, * si non, modifier la tâche - Si non, ajouter une action de maintenance préventive, si possible * simple à mettre en place * prenant en compte l’expérience des personnels et l’historique des défaillances * évolutive

___________________________________________________________________________ ENIT 2A GI

287

Dr. K. Bourouni


Figure 10.22. Mise en place d’une boucle améliorative et d’un retour d’expérience

La prise en compte des feuilles de suivi des opérateurs de production est à étudier si elles tiennent compte des arrêts et des actions préventives des opérateurs. La mise en place d’indicateurs adaptés (exemple TRS : voir cours de la gestion de la maintenance) ainsi mise en place (rapports trimestriels, semestriels, annuels). Ce système d’information peut également être utilisé pour mettre en place une aide au diagnostic à la disposition des opérateurs ou des techniciens de maintenance.

6. CONCLUSION L’approche simplifiée ou globale que propose la méthode MBF s’inscrit dans une démarche à court ou long terme pour une étude rapide d’un équipement qui pose problème ou pour une analyse sélective ou générale des équipements, des défaillances et des causes de défaillances rencontrées dans l’entreprise. Les résultats escomptés de l’analyse sont de quatre types : - connaître les fonctions utilisées, - avoir une meilleure connaissance des défaillances et des causes de défaillances, ___________________________________________________________________________ ENIT 2A GI

288

Dr. K. Bourouni

Fiabilité –Maintenabilité - Disponibilité

Recommend Documents