LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
La Sûreté de Fonctionnement
« Outils et méthodes de la SdF »
MFQ Midi-Pyrénées
15 Septembre 2004
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Avant-propos
Cette présentation est réalisée dans le cadre du GETSDF Midi Pyrénées – Groupe d’Échange Thématique Sûreté de Fonctionnement
Environ 350 « adhérents »
Président: François LECERF (LGM)
Secrétaire: Julien PEDRAZA (Sinters)
Organisation de présentations thématiques (toutes les 6 semaines) et une journée atelier (une par an)
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
La Sûreté de Fonctionnement
• Contexte et Enjeux de la SdF
• Dimensionnement de la SdF
• Les outils de la SdF et leurs Articulations
Som
mai
re
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
?
?
Qu’est ce que la Sûreté de Fonctionnement ?C
onte
xte
& E
nje
ux
de
la S
dF
Pour une télévisionPour une usinePour un avionPour un boîtier dans un avion
Pour une télévisionPour une usinePour un avionPour un boîtier dans un avion
Pour un hommePour une « organisation »
Pour un hommePour une « organisation »
???
?
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Qu’est ce que la Sûreté de fonctionnement ?C
onte
xte
& E
nje
ux
de
la S
dF
Les problématiques rencontrées par chaque client sont très variées :
DGA qui commande un système d’arme
PSA qui fabrique un nouveau véhicule
AIRBUS qui construit un avion
THOMSON qui fabrique des téléviseurs
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Définition de la Sûreté de Fonctionnement
Fiabilité ReliabilityDisponibilité AvailabilityMaintenabilité MaintainabilitySécurité Safety
(FMDS) (RAMS)
La SdF =
Ensemble d’aptitudes d’un produit qui lui permettent de disposer des performances fonctionnelles spécifiées, au moment voulu, pendant la durée de vie prévue et sans dommages pour lui-même et son environnement
(CEI 191)Ensembles des propriétés qui décrivent la disponibilité et lesfacteurs qui la conditionnent : fiabilité, maintenabilité, logistique de maintenance, en intégrant la sécurité des biens et des personnes.
Con
text
e &
En
jeu
x d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Bref HistoriqueDéveloppement du transport aérien dans années 30 : Premier recueil d’informations statistiques des incidents (panne moteur).Les années 40 :
• Premier modèle de fiabilité prévisionnelle en Allemagne avec les missiles V1 (VON BRAUN) :– Amélioration de la fiabilité et de la qualité aux USA– Matériel plus résistant, Contrôle pour améliorer la vie utile, Premières utilisations de méthode probabilistes pour
le dimensionnement.• 1949 « Loi de Murphy » « Si un ennui a la moindre chance de se produire, dites vous qu’il se
produira. »Les années 50 :
• Naissance de la fiabilité en tant que science de l’ingénieur aux USA dans le domaine de l’électronique
• Début de la prise en compte des erreurs commises par l’opérateur humain.• Premières études et estimations qualitatives des performances humaines (orientation militaire).• 1955, le Centre d’Etude National des Télécommunications débutent ses premiers travaux de
fiabilité.Les années 60 : Début des méthodes classiques.
• 1961, introduction du concept d’arbre des causes par Watson des «Bell Telephone Laboratories »,• Création de la méthode de l’Analyse des Modes de Défaillances et de leurs Effets (AMDE),• Introduction de la méthode des Combinaisons de Pannes pour les programmes Concorde et Airbus.• Objectifs de sécurité probabiliste dans la conception des avions,• Approche déterministe et conservative de la conception des centrales nucléaires.• Quelques dates :
– 1962 : Reconnaissance du terme de fiabilité par l’académie des sciences,– 1965 : introduction de la notion de maintenabilité.
Depuis les années 70 : Grand essor de l’industrie nucléaire :• 1975 : Première étude complète d’une installation nucléaire Scénarios d’un grand nombre
d’incidents,• 1983 : Guide d’analyses probabilistes des centrales nucléaires Prise en compte des aspects humains.• Les années 80 sont l’ère de la généralisation des études de risques.
Con
text
e &
En
jeu
x d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Historiquement, pas de contraintes majeures : il fallait surtout que ça marche…
Maintenant :
Contraintes de coût de MCO,
Contraintes de sécurité des biens et des personnes,
Contraintes de disponibilité.
Con
text
e &
En
jeu
x d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Développement d’un nouvel avion
Pour pouvoir circuler dans le trafic aérien international, un avion doit faire l ’objet d’une certification auprès de la EASA et de la FAA
Démonstration de tenue d’objectifs de sécurité quantifiés
Démonstration d’une disponibilité opérationnelle maximale (argument commercial)C
onte
xte
& E
nje
ux
de
la S
dF
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Con
text
e &
En
jeu
x d
e la
Sd
F Nouveau véhicule PSA
Il n’existe pas à proprement parler de normes imposant des objectifs de sécurité et de fiabilité
==> c’est le marché qui impose ses règles
Si le véhicule n’est pas assez fiable ou pas assez sûr, mauvaise image de marque
Contraintes de coût majeures
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Con
text
e &
En
jeu
x d
e la
Sd
FObjet des analyses Sûreté de Fonctionnement : la maîtrise des risques
La discipline de la SdF naît de 2 notions complémentaires mais souvent contradictoires :
la sécurité :• risque de destruction, d’atteinte à l’homme ou à l’environnement,
«risque technologique»,• risque d’appropriation (données, savoir-faire, produit…),• risque d’utilisation frauduleuse (logiciel …).
la disponibilité :• risque d’interruption de service (installation, chaîne, équipement
…),• risque de non rentabilité (produit non fiable, non maintenable, ou
ne répondant pas au besoin – non qualité).
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Sûreté de Fonctionnement
Réussite Technique de la mission
Sécurité du système et de son environnement
Atteinte de l’objectif technique pour lequel le système a été réalisé
Disponibilité
Fiabilité Maintenabilité Sécurité
Non occurrence d’événement à conséquence catastrophique ou grave sur des éléments du système ou sur son environnement dans les trois cas possibles :-Mission technique réussie,-Mission technique dégradée,-Mission échouée.
Optimisation
La SdF englobe les concepts de la Fiabilité, la Maintenabilité, la Disponibilité, et la Sécurité lui permettant la réalisation de ses deux missions principales :
garantie du niveau de sécurité,garantie du niveau de disponibilité.
Con
text
e &
En
jeu
x d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
La Sûreté de Fonctionnement
• Contexte et enjeux de la SdF
• Dimensionnement de la SdF
• Fiabilité
• Maintenabilité
• Disponibilité
• Sécurité
• Les outils de la SdF et leurs Articulations
Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Fiabilité
Aptitude à la non défaillance (continuité de service)
« Ma voiture me permettra d ’accomplir le trajet prévu dans les délais prévus, compte tenu des conditions de circulation (elle n ’aura jamais de pannes pendant le trajet) »
Ex. Moyen de production: « La machine ne doit pas interrompre la production par ses défaillances »
« Ma voiture me permettra d ’accomplir le trajet prévu dans les délais prévus, compte tenu des conditions de circulation (elle n ’aura jamais de pannes pendant le trajet) »
Ex. Moyen de production: « La machine ne doit pas interrompre la production par ses défaillances »
Dim
ensi
onn
emen
t d
e la
Sd
FCaractéristique d ’un système exprimée par la probabilité qu ’il accomplisse une fonction requise, dans des conditions données, pendant une durée donnée.
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Fiabilité – exigencesQuantitative
• MTBF : Mean Time Between Failure (en heure)– La voiture a en moyenne une panne tous les 10 000 km– L’avion a en moyenne une panne toutes les 15 heures de
vol
• Taux de défaillance : en nombre de panne par heures– La voiture a « x » pannes par km– L’avion a « y » pannes par heure de vol
Qualitative• Utiliser telle technologie
Exigence de conception• Limiter le facteur de charge du composant (exemple
processeur sur PC)
Tâche à réaliser• Estimer la fiabilité en se basant sur un recueil de fiabilité
Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
MTBUR : Mean Time Between Unscheduled Repair C’est la moyenne des temps entre deux déposes non programmées (dues à une défaillance). MTBR : Mean Time Between Repair C’est la moyenne des temps entre deux déposes (dues à une défaillance ou pour fin de potentiel).
MTBUR : Mean Time Between Unscheduled Repair C’est la moyenne des temps entre deux déposes non programmées (dues à une défaillance). MTBR : Mean Time Between Repair C’est la moyenne des temps entre deux déposes (dues à une défaillance ou pour fin de potentiel).
MTBF : Mean Time Between Failure ou Moyenne des Temps de Bon Fonctionnement
MTTF : Mean Time To Failure : durée moyenne du fonctionnement d'un système avant sa première défaillance
Dim
ensi
onn
emen
t d
e la
Sd
F
Et aussi
Taux de défaillance en fonctionnement : mentfonctionnedecumuléeDurée
mentfonctionneenesdéfaillancdeNb
___
____ , (perte en cours)
Taux de défaillance à l’arrêt : arrêtlàcumuléeDurée
arrêtlàesdéfaillancdeNb
'___
'____ ,
Taux de défaillance à la sollicitation : ionssollicitatcumuléNb
ionsollicitatlaàesdéfaillancdeNb
__
_____ ,(absence à la sollicitation)
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Différence entre MTBF et MTTF :
• Le MTBF représente la moyenne des temps de bon fonctionnement d'un système entre le moment où une panne vient d'être réparée et l'apparition de la panne suivante.
• Le MTTF représente la moyenne des temps de bon fonctionnement d'un système jusqu'à l'apparition de sa première défaillance.
==> dans le cas d'un système non réparable.
Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
La fiabilité est envisagée différemment suivant son origine :
la fiabilité opérationnelle (ou fiabilité estimée ou observée)
la fiabilité prévisionnelle (ou fiabilité prédite)
la fiabilité extrapolée,
Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Fiabilité
Les estimations de fiabilité :Résultats d’essais de fiabilité
Retour d’expérience
Les calculs
Les recueils de données• RDF 93 / RDF 2000• MIL HDBK 217 F (part count & part stress)• RADC TR 67 108• NPRD 95 ( vérin, batterie, hydraulique et pneumatique,
composants mécaniques, …)
Dim
ensi
onn
emen
t d
e la
Sd
F
T0 t
r
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
D u r é e d e v ie u t i le
0
t
Fiabilité
Si le composant, ou le système de composants électronique, fonctionne à t0, la fiabilité pour une mission à durée donnée t est indépendante de t0 : le dispositif ne se souvient pas de son passé !
Dim
ensi
onn
emen
t d
e la
Sd
F
Taux de défaillance
0,00E+00
5,00E-04
1,00E-03
1,50E-03
0 100 200 300 400 500
lw
lexp
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
MTBF = 1 /
Dim
ensi
onn
emen
t d
e la
Sd
F
Et pour constant !!Et pour constant !!
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Maintenabilité
Aptitude à la réparation (facile à réparer)
« Lorsque je dois conduire ma voiture chez le garagiste (pour entretien programmé ou réparation), la durée d’immobilisation et le coût doivent être les plus faibles possible »
Ex. Moyen de production: « La maintenance préventive doit être compatible avec la marche de l ’installation. L’installation doit pouvoir être remise en marche dans les délais les plus courts en cas de panne. »
« Lorsque je dois conduire ma voiture chez le garagiste (pour entretien programmé ou réparation), la durée d’immobilisation et le coût doivent être les plus faibles possible »
Ex. Moyen de production: « La maintenance préventive doit être compatible avec la marche de l ’installation. L’installation doit pouvoir être remise en marche dans les délais les plus courts en cas de panne. »
Dim
ensi
onn
emen
t d
e la
Sd
FDans les conditions données d’utilisation pour lesquelles il a été conçu, aptitude d’un système à être maintenu ou rétabli dans un état dans lequel il peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données, avec des procédures et des moyens prescrits.
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
i
iiMTTR
iMTTRD
imen
sion
nem
ent
de
la S
dF
M(t)-1dt
-dM
(t))(t
Maintenabilité
Probabilité qu’une entité E soit remis en état de fonctionnement sur l’intervalle [0, t].
M(t) = P [E réparé sur [0, t] ]
MTTR : Mean Time To Repair ou Temps Moyen de Réparation
et
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Maintenabilité
Les estimations de maintenabilité
Considérer tous les temps de maintenance :
• Temps de localisation (directement dépendant de la testabilité)
• Temps d’accès (optimisé par les choix de conception)
• Temps d’échange
• Temps de VBF et remise en route du système
Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
MaintenabilitéD
imen
sion
nem
ent
de
la S
dF
LES NIVEAUX DE MAINTENANCE
On distingue cinq niveaux :- premier degré :
nettoyage, graissage, pleins, échange de fusibles et de voyants,personnel : les utilisateurs
- second degré :
réparation par échange d’unités interchangeablespersonnel : les utilisateurs
- troisième degré :
réparation des unités interchangeables envoyées par les utilisateurs en échangeant des sous-ensembles,
- quatrième degré :
réparation de sous-ensembles à partir de composants. Travaux de mécanique, d’hydraulique ou autres spécialités,équipes mobiles de techniciens,équipes pour les travaux lourds,laboratoire et équipes d’étalonnage des instruments,supervision générale de la maintenance,achats.
- cinquième degré :
l’industrie ou ateliers niveau industriel.
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Maintenabilité / Testabilité
Il manque l’aspect localisation
« Lorsque je démarre ma voiture, je désire être prévenu si une panne risque de « griller » le moteur. La capacité à trouver le plus rapidement la panne et sans ambiguïté permet de récupérer la voiture le plus rapidement possible »
« Lorsque je démarre ma voiture, je désire être prévenu si une panne risque de « griller » le moteur. La capacité à trouver le plus rapidement la panne et sans ambiguïté permet de récupérer la voiture le plus rapidement possible »
Dim
ensi
onn
emen
t d
e la
Sd
F"La testabilité d'un dispositif est l'aptitude qu'il soit déclaré bon ou mauvais, dans des limites de temps spécifiées, selon des procédures et dans des conditions données."
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
FONCTION/ PHASE
EQT MODE DE DEFAILL.
PROB.10-6
CAUSE EFFET LOCAL
EFFET SYSTEME
MODE DE DETECT
TYPE DE
DETEC
SYMPT.
Alimentation carburant
Distributeur ne commute plus d'un
réservoir à l'autre
5 Electro aimant HS
Pas de sélection de
réservoir
capacité de roulage limité par manque de carburant
Opérateur ON LINE
pas de changt de réservoir à
l'écran Surveillance
incendie Calculateur 1 perte carte
E/S 20 plus de
signal sortie plus de
détection d'incendie
Interne ON LINE
Message pupitre 125
Surveillance incendie
Détecteur Plus de fonction
50 plus de signal
transmis vers cal 2
plus de détection d'incendie
Interne ON LINE
Message pupitre 125
"
"
"
"
"
"
"
Externe OFF LINE
Pas de tension sur sortie sur stimul.
Test Capteur perte du capteur
2 Plus de remontée vitesse
moteur vers le système
Alarme 25 " Moteur en
panne" remontée à l'opérateur
Opérateur ON LINE
Fausse alarme
Maintenabilité / TestabilitéD
imen
sion
nem
ent
de
la S
dF
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
CALCUL DE PERFORMANCE : TAUX DE DETECTION
LE TAUX DE DETECTION POUR CHAQUE TYPE OU MODE DE TEST SE CALCULE PAR :
PROBA DES MODES DETECTES __________________________________________
PROBA TOTALES
ATTENTION: IL EST TRES IMPORTANT, DANS LES SOMMES, DE NE PAS COMPTER PLUSIEURS FOIS LE MEME MODE DE DEFAILLANCE LORSQU'IL
EST DETECTE PAR PLUSIEURS MODES DE TEST.
Maintenabilité / TestabilitéD
imen
sion
nem
ent
de
la S
dF
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
....... MODESDE DEF
PROBA MODE DEDETECT .
TYPE SYMPT . ONLINE
OFFLINE
OPERAT EXT ....
1 A OPER ON LINE A A
2 B
3 C INT ON LINE C
4 D EXT OFF LINE D D
5 E OPER OFF LINE E E
CALCUL DE PERFORMANCE : TAUX DE DETECTION
CONSTRUIRE A PARTIR DE L’ AMDE UN TABLEAU VENTILANT LES PROBABILITES
OCCURENCE DE CHAQUE MODE DE PANNE PAR TYPE ET MODE DE DETECTION SOUHAITE.
AMDE TABLEAU DE DETECTION
Maintenabilité / TestabilitéD
imen
sion
nem
ent
de
la S
dF
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
CALCUL DE PERFORMANCE : TAUX DE LOCALISATION
3) CALCULER LA PRECISION DE LOCALISATION POUR AVOIR UNE AMBIGUITE A N ELEMENTS
PROBA( DANS LA COLONNE A N ELEMENTS)
PAMB (N)= ___________________________________________________
PROBA DETECTEES
4) PRECISION DE LOCALISATION A N RECHANGES
PAMB (I)
Maintenabilité / TestabilitéD
imen
sion
nem
ent
de
la S
dF
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
....... SYMPT. MODES DEDEF
EQT PROBA LOCAL. A 1
ELEMENT
LOCAL. A 2
ELEMENTS
....
S1 1 V A A
S1 2 W B B
S2 3 X C C
S2 4 X D D
S3 5 Y E E
CALCUL DE PERFORMANCE : TAUX DE LOCALISATION
1) INVERSER LE TABLEAU AMDE EN LE TRIANT PAR SYMPTOME DE DETECTION (PUIS SELON LE TYPE ET LE MODE DE DETECTION SOUHAITE)
2) CONSTRUIRE UN TABLEAU DE LOCALISATION POUR CHAQUE MODE DE DEFAILLANCE
TABLEAU DELOCALISATIONAMDE
Maintenabilité / TestabilitéD
imen
sion
nem
ent
de
la S
dF
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Maintenabilité – Exigences
Quantitative• MTTR :
– Le temps d’échange de la carte VGA du PC est de 15mn
Qualitative• Opération réalisable par un seul maintenancier
Exigence de conception• Utiliser des vis papillons pour une roue de vélo
Tâche à réaliser• Analyse les alternatives de conceptions,
estimer le MTTR (temps gamme)
Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Testabilité – Exigences
Quantitative• Taux de couverture
– Les Built In Test doivent couvrir 95% des pannes
• Taux de localisation– 80% des pannes ont une ambiguïté à 1 LRU, 90% à 2
LRU, 95% à 3 LRU
Qualitative• Détection des pannes majeures ou catastrophiques
Exigence de conception• Tester les entrées tout ou rien à chaque mise sous tension
Tâche à réaliser• Réaliser une étude de testabilité portant sur le taux de
couverture et de localisation.
Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Disponibilité
Aptitude à l’emploi (être prêt à fonctionner)
« Ma voiture est « prête » lorsque je veux l ’utiliser (elle n ’est pas chez mon garagiste, elle est en état de marche) »
Ex. Moyen de production: « La machine doit être en état de travailler lorsque j ’ai besoin d ’elle. »
« Ma voiture est « prête » lorsque je veux l ’utiliser (elle n ’est pas chez mon garagiste, elle est en état de marche) »
Ex. Moyen de production: « La machine doit être en état de travailler lorsque j ’ai besoin d ’elle. »
Dim
ensi
onn
emen
t d
e la
Sd
FAptitude d’un système à remplir ou à être en état de remplir une fonction requise, à un instant donné.
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
La Disponibilité Intrinsèque :• Se calcule uniquement à partir des mesures de fiabilité
et de maintenabilité
La Disponibilité Opérationnelle :• Intègre des paramètres liés à l’organisation de la
maintenance (temps d’attente logistique, maintenance préventive, ...) et au profil d’emploi du système
MTTRA i
MTBF
MTBF
A oTemps de bon fonctionnement
Temps total d'utilisationMUT
MUT
+MDT
MTBF : Mean Time Between FailureMTTR : Mean Time To RepairMUT : Mean Up TimeMDT : Mean Down Time
1ère
défaillance2ème
défaillance
MTBF
MDT MUT
MTTF
0 t
Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Disponibilité
MTTF MTBF
MTTR
1
0
On en déduit la disponibilité : MTBF - MTTR
MTBFA =
Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Disponibilité – Exigences
Quantitative• % de temps HS
– Le téléphone est non accessible 10mn / an
• Disponibilité intrinsèque / opérationnelle
Qualitative• Réalisation des maintenances préventives en temps
masqué
Exigence de conception• Utiliser des vis papillons pour une roue de vélo
Tâche à réaliser• Estimer la disponibilité en prenant en compte la fiabilité,
la maintenance et les temps logistiques
Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Sécurité
Aptitude à la non agression (peu dangereux)
« Ma voiture ne portera pas atteinte à l ’intégrité de ses occupants et de son environnement et les protégera des agressions »
Ex. Moyen de production: « La machine ne doit pas agresser le personnel ou les visiteurs »
« Ma voiture ne portera pas atteinte à l ’intégrité de ses occupants et de son environnement et les protégera des agressions »
Ex. Moyen de production: « La machine ne doit pas agresser le personnel ou les visiteurs »
Dim
ensi
onn
emen
t d
e la
Sd
F
Aptitude d’un système à éviter de faire apparaître, dans des conditions données, des événements critiques ou catastrophiques.
Aptitude d’un système à éviter de faire apparaître, dans des conditions données, des événements critiques ou catastrophiques.
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Sécurité – Dimensionnement
Probabilité d’occurrence• Qu’est ce qu’une probabilité ?
Fréquence par unité de temps
La probabilité tend vers la fréquence
Exemple aéronautique française :Probabilités 10-5 /heure 10-7 /heure 10-9 /heure
Effets fréquent oupeu fréquent
rareextrêmement
rareextrêmementimprobable
MineursSignificatifsCritiquesCatastrophiques
Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Qu’est ce qu’une probabilité?
Probabilité
1
Temps à la défaillance
F(t) : croissante / max = 1
f(t) : intégrale = 1
0
Probabilité comprise entre 0 et 1Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Sécurité – Exigences
Quantitative
Qualitative
Exigence de conception
Tâche à réaliser
Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Sécurité – Exigences
Quantitative• Risque de tir intempestif : 1 sur 1 000 000 par an• Risque de crash : 1 sur 1 000 000 000
Qualitative• Pas de panne simple:
– La simple panne d’un calculateur avion n’entraîne pas de crash
Exigences de conception• Il est interdit d’utiliser un relais dans une chaîne de tir
sur hélicoptère• Mettre deux roues soniques sur la turbine
Tâche à réaliser• Mener une démarche de SdF avec une APR et des arbres
de défaillances…
Dim
ensi
onn
emen
t d
e la
Sd
F
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Synthèse
Fiabilité : MTBF
Maintenabilité : MTTR Testabilité : Taux de couverture et taux de localisation
Disponibilité : MTBF / (MTBF + MTTR)
Sécurité : probabilité d’occurrence
Dim
ensi
onn
emen
t d
e la
Sd
F
En connaissez-vous d ’autres ?En connaissez-vous d ’autres ?
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
La Sûreté de Fonctionnement
• Contexte et enjeux de la SdF
• Dimensionnement de la SdF
• Les outils de la SdF et leurs Articulations
La méthode AMDEC
Présentation des méthodes AMDEC
Processus de réalisation d’une AMDEC
Exploitation d’une AMDEC
Structurer une AMDEC pour répondre aux objectifs
Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
s
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Les Outils de la SdF et leurs articulationsAnalyse Fonctionnelle Externe
Analyse Préliminaire de Risques
Traitement del'objectif fiabilité
Évaluation duTaux Prévisionnel
d'Incidents
Traitement de l'objectif sécurité
Analyse FonctionnelleInterne
AMDEC
Arbres deDéfaillances
ModélisationOU
Allocation et spécificationd'objectifs vers les
fournisseurs interneset externes
Analyse des dossiersjustificatifs
Intégration desrésultats
Rédaction du dossierde synthèse
Traitement de l'objectif immobilisation véhicule
Etablissement et suivi d’actions correctives
Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
s
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
sLes Outils de la SdF et leurs articulations
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Objectifs :Identifier et hiérarchiser les événements redoutés liés à un système afin de déterminer les risques à étudier plus en détail.
Ce que l’on obtient : Listes des événements redoutés classés par gravité.
Liste d’actions de maîtrise des risques.
L’APRL
es o
uti
ls d
e la
Sd
F e
t le
urs
ar
ticu
lati
ons
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Principes de la méthodeMéthode inductive
Événement initiateur
scénarios de dysfonctionnement conséquences et événement redouté
2 approches complémentaires Une approche fonctionnelle : conséquences des défaillances des
fonctions du système Une approche agression (comment être exhaustif dans la prédiction des
risques ?) :– conséquences des agressions du système (approche énergétique /
événementielle) vers l’extérieur (éléments potentiellement dangereux)– conséquences des agressions du milieu extérieur (climat, pollutions, animaux,
… ) sur le système (éléments sensibles)
L’APRL
es o
uti
ls d
e la
Sd
F e
t le
urs
ar
ticu
lati
ons
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Approche fonctionnelleRecherche des conséquences des événements initiateurs suivants :
• Perte (ou arrêt) de la fonction
• Dégradation de la fonction
• Absence de la fonction à la sollicitation
• Fonctionnement intempestif
SYSTEME
Élément 1
Élément2
Élément 3
Défaillance d’une fonctiondu système
MILIEUEXTERIEUR
INTERFACE
Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
s
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Approche agressionAgressions du système vers l’extérieur
• Identification des éléments du système potentiellement dangereux : composants possédant une énergie latente capable d ’être libérée de manière incontrôlée (ressort, accumulateur, condensateur, réservoir sous pression, ...)
SYSTEME
Élément potentiellement
dangereux
Agression système vers milieu extérieur
MILIEUEXTERIEUR
INTERFACE
Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
s
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Approche agressionAgressions du milieu extérieur sur les éléments
sensibles du système• L ’agression peut provenir de l ’environnement
externe (ambiant, route, ...) ou des autres systèmes interfacés (alimentation électrique, ...)
SYSTEME
ÉlémentSensible
Agression environnement
sur système
MILIEUEXTERIEUR
INTERFACE
Environnement
Agression interface sur
système
Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
s
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Typed ’approche
Événementinitiateur
Conséquenceset scénario
Événementredouté Risqu
e
Actions de maîtrise
des risques
Risqueréévalu
éFonctionnelle(Fonction système)
Fonction
Danger(Système vers Extérieur)
Agression(Extérieur vers système)
Élémentpotentiellement
dangereux
Élémentsensible
Mode dedéfaillance
Agressionsystème
Agressionextérieure
Cheminemententre
l ’événementinitiateur
etl ’événement
redouté
Gêne,Coût,
Risquecorporel
Couple(F,G)
Mise neœuvre
d ’actionssi risque
inacceptable
Couple(F ’,G ’)
Analyse Préliminaire des Risques
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Bloc diagrammesL
es o
uti
ls d
e la
Sd
F e
t le
urs
ar
ticu
lati
ons
Cette analyse consiste à établir les relations entre les solutions envisageables et l’expression fonctionnelle du besoin formalisée par les fonctions de service.
Un ensemble de fonctions mais également comme un ensemble technologique d’éléments matériels. Principe de base :- Respecter la formulation fonctionnelle (recenser les fonctions de conception, les caractériser, les hiérarchiser...)
Objectifs :- Construire un système conforme au besoin fonctionnel- Acquérir la connaissance parfaite du système (décomposition fonctionnelle du système)- Avoir une vision globale et hiérarchisée du système.
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
CommandeEnregistrement
1.
CPU
4.
Wat
chdo
gE
ntré
e/S
orti
eEntrée/Sortie
5.
Con
nect
ique
Interface
6.
Alimentation 12V5V3.
Liaison
2.
7.
Ordre
Défaut
RX
TX
12V
5V +12V -12V
Calculateur
Boîtier enregistrement
Emetteur /
Récepteur distant
Mise en œuvre :Le BDF (Bloc Diagramme Fonctionnel) est une représentation graphique schématique qui met en évidence :- les sous-fonctions (ou sous-systèmes) constituant le système,- les milieux extérieurs identifiés,- les interactions entre les sous-fonctions (ou sous-systèmes) et le milieu extérieur (cheminement des FP et FC),- les interactions entre les sous-fonctions elles-mêmes (contacts réels ou virtuels) L'élaboration des BDF suit les règles suivantes :- faire un BDF pour chaque phase de vie du système,- positionner les sous-fonctions ou sous-systèmes,- disposer à la périphérie les éléments du milieu extérieur,- r représenter les flux ou les relations entre sous-systèmes d'une part, entre sous-systèmes et milieux extérieurs d'autre part,- toute fonction de service doit être supportée par un contact entre deux constituants. Exemple:
Bloc diagrammesL
es o
uti
ls d
e la
Sd
F e
t le
urs
ar
ticu
lati
ons
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Objectifs :Identifier l’ensemble des modes de défaillance d’un système, en rechercher les effets, en identifier les causes et évaluer les conséquences et les risques liés à ces défaillances
Ce que l’on obtient :Connaissances exhaustives des défaillances potentielles du produit étudié
Synthèse des actions correctives
L’AMDECL
es o
uti
ls d
e la
Sd
F e
t le
urs
ar
ticu
lati
ons
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
- Référence ou LCN- Désignation- Quantité- Fiabilité
Equipement
- Modes de défaillance- Probabilité d’apparition- Effets locaux- Effets système
Défaillance
- Gravité- Criticité- Mesure de réduction du risque
Sécurité
- Symptômes- Détection- Localisation
Testabilité
LGM Consultants
L’AMDECL
es o
uti
ls d
e la
Sd
F e
t le
urs
ar
ticu
lati
ons
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Tableau d’AMDEC
N° de Ligne
SRU MTTR ORGANE
LAMBDA SRU
% SRU
LAMBDA FT
Mode de Défaillance
FT fonctionnelle % mode LAMBDA
mode
Effet Organe Effet Système Symptôme
PBIT CBIT IBIT MNT OP LAMBDA détecté
Système
LAMBDA Sans Effet
Remarques
Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
s
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Les arbres de défaillances
Objectifs :Méthode permettant à partir d'une représentation graphique de traduire les mécanismes de dysfonctionnement qui conduisent à un événement redouté et de les quantifier.
Ce que l’on obtient :Représentation arborescente des combinaisons de causes conduisant à l’événement redouté (sommet)
Liste des scénarios possibles (coupes) et de leur probabilité d’apparition
Probabilité de réalisation de l’événement redouté Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
s
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Principes de la méthode Méthode déductive et itérative
• On part d’un ER sommet pour rechercher l’ensemble des événements conduisant à sa réalisation
• Les relations causes/effets entre ces événements (ou causes) sont représentées à l’aide d’une structure de type arbre logique (portes logiques ET, OU, …)
Les arbres de défaillanceL
es o
uti
ls d
e la
Sd
F e
t le
urs
ar
ticu
lati
ons
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
ER
E1
E2
A E3
E4
E
B C A D
Événement redouté sommet
Événement intermédiaire
Porte OU Porte ET
Événement de base
Les arbres de défaillancesL
es o
uti
ls d
e la
Sd
F e
t le
urs
ar
ticu
lati
ons
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Les arbres de défaillances
ER : E.R.01 : Perte de communication entre deux BO lors de l’envoi d’un message critique durant une mission
Objectif : Pmax < 10-7 / Heure
d’exposition aux risques
Type Analyse : Qualitative & Quantitative
Description de l’Evénement Redouté Modes de défaillances
système Phase de vie Scénario et circonstances Délais apparition
ER La perte du signal à destination de l’écouteur
En mission Cette défaillance entraîne une perte de la fonction écoute du BO
Instantanné lors de l’envoi d’un message critique
La perte du signal en provenance du micro
En mission Cette défaillance entraîne une perte de la fonction émission du BO.
Instantanné lors de l’envoi d’un message critique
Dispositifs de maîtrise des risques Type Description Phase de vie Test de Bon Fonctionnement
Avant chaque départ de mission un échange entre les servants du char est effectué afin de vérifier le bon fonctionnement de la chaîne de communication.
Avant départ en mission
Commentaires La perte du BO est vraiment critique lorsque le BO est hors service lors d’un échange critique entre les servants du char. L’événement redouté prend en compte la perte de communication grâce à l’écoute locale et grâce au réseau interphonie. Lors d’une défaillance sur un des modes de communication, l’événement redouté est atteint, si et seulement si, le deuxième mode de communication est défaillant.
Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
s
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Les arbres de défaillances
Perte de la communication d'1BO pendant l'envoi d'un
message critique durant unemission d'une heure
G1
Perte de la communicationentre 2 BO pendant l'envoi
d'un message critiquedurant une mission d'une
heure
ER.01
Perte du signal à destination del'écouteur durant une mission
d'une heure
G101
Perte du signal en provenance dumicro durant une mission d'une
heure
G102
Perte de l'alimentation d'un BOdurant une mission d'une heure
G3
Perte de l'alimentation d'un BOdurant une mission d'une heure
G3
Perte de l'émission sur la voielocale
G100
Perte émission voies locale etinterphonie
G201
Perte réception voies locale etinterphonie
G200
Perte de la réception sur la voielocale
G120
Perte de l'émission sur la voieinterphonie
G5
Perte de la réception sur la voieinterphonie
G6
Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
s
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Les arbres de défaillances
Ordre de la coupe
Taux de défaillanceN° de
l'événementDescription de l'événement
1 9,78E-08 E007 Perte du V+1 7,78E-08 E033 Perte du réglage volume1 7,30E-08 E008 Perte du V-1 7,30E-08 E009 Perte du VCC1 4,52E-08 E001 Perte du micro1 2,20E-08 E005 Perte du connecteur FLEX Broches alimentation1 2,06E-08 E004 Perte du connecteur interphonie Broches alimentation1 1,67E-08 E011 Saturation du signal Mélange1 1,23E-08 E012 Dégradation du signal Mélange1 1,05E-08 E042 Perte du signal Ecouteur BF1 1,05E-08 E039 Perte du signal Retour écouteur BF1 7,00E-09 E038 Saturation du signal retour écouteur BF1 3,50E-09 E040 Saturation du signal Ecouteur BF1 2,81E-09 E003 Dégradation du réglage volume1 2,66E-09 E002 Saturation du signal provenant du micro1 1,83E-09 E006 Perte du connecteur Toron broches alimentation
Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
s
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Les arbres de défaillances
Ordre de la coupe
Probabilité de la coupe
Contribution de la coupe
Contribution cumulée
N° de l'événement
Description de l'événement
1 9,78E-08 20,50% 20,50% E007 Perte du V+1 7,78E-08 16,30% 36,80% E033 Perte du réglage volume1 7,30E-08 15,30% 52,10% E008 Perte du V-1 7,30E-08 15,30% 67,39% E009 Perte du VCC1 4,52E-08 9,47% 76,87% E001 Perte du micro1 2,20E-08 4,61% 81,48% E005 Perte du connecteur FLEX Broches alimentation1 2,06E-08 4,32% 85,79% E004 Perte du connecteur interphonie Broches alimentation1 1,67E-08 3,50% 89,29% E011 Saturation du signal Mélange1 1,23E-08 2,58% 91,87% E012 Dégradation du signal Mélange2 6,28E-15 < 0,00% < 0,00% E020 Perte du connecteur interphonie Broche réception voie locale
E028 Perte du réseau interphonie du au BOE2 4,60E-15 < 0,00% < 0,00% E019 Perte du connecteur FLEX Broches émission voie locale
E028 Perte du réseau interphonie du au BOE2 4,29E-15 < 0,00% < 0,00% E010 Perte du signal Mélange
E028 Perte du réseau interphonie du au BOE2 4,29E-15 < 0,00% < 0,00% E021 Perte du connecteur FLEX Broche réception voie locale
E028 Perte du réseau interphonie du au BOE2 2,80E-15 < 0,00% < 0,00% E018 Perte du connecteur interphonie Broche émission voie locale
E028 Perte du réseau interphonie du au BOE
Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
s
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Les arbres de défaillances
Les points clés
Définition de l’E.R.Définition, contexte,
Analyse fonctionnelle
Réalisation de l’arbre / événement de base
Réalisation simultanée
Analyse des coupes
Coupes simples, couples doubles avec logiciel, coupes doubles avec panne cachée
Perte de la communication d'1BO pendant l'envoi d'un
message critique durant unemission d'une heure
G1
Perte de la communicationentre 2 BO pendant l 'envo i
d'un message critiquedurant une mission d 'une
heure
ER.01
Perte du s ignal à des tination del'écouteur durant une m iss ion
d'une heure
G101
Perte du s ignal en provenance dumic ro durant une miss ion d'une
heure
G102
Perte de l 'al imentation d'un BOdurant une miss ion d'une heure
G3
Perte de l 'al imentation d'un BOdurant une miss ion d'une heure
G3
Perte de l 'émiss ion sur la voielocale
G100
Perte émiss ion voies locale etinterphonie
G201
Perte réception voies locale etinterphonie
G200
Perte de la réception sur la voielocale
G120
Perte de l 'émiss ion sur la voieinterphonie
G5
Perte de la réception sur la voieinterphonie
G6
Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
s
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Les
ou
tils
de
la S
dF
et
leu
rs
arti
cula
tion
s
Si objectif atteint : RAS
Si objectif non atteint, il faut mener une analyse afin de ramener la probabilité d'occurrence à une valeur acceptable
Les arbres de défaillances
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
Les arbres de défaillances
Modification de l'architecture du système
Elimination des coupes minimales
Fiabilisation des éléments de bases
Ajout de mesures de sécurité
Réduction du taux d'exposition au risque (lié à la stratégie de maintenance)L
es o
uti
ls d
e la
Sd
F e
t le
urs
ar
ticu
lati
ons
LGM ToulouseLGM ToulouseOutils & Méthodes de la SdFOutils & Méthodes de la SdF15 septembre 200415 septembre 2004
vous remercie de votre attention