Chap7 Arbre de Panne

Chapitre 7

Analyse par Arbre de panne Sources : • • • •

Clifton A. A Ericson II II, Hazard Analysis Techniques for System Safety Safety, John Wiley&Sons Inc., 2005 Hammer Willie , Product Safety Management and Engineering, Prentice-Hall Inc. Norme CEI 1078, Technique d’analyse de la sûreté de fonctionnement – Méthode du diagramme de fiabilité, 1991 Norme CEI 1025, Analyse par arbre de panne (AAP), 1990

I t d ti Introduction Présenter la vue d’ensemble d ensemble de la technique d’analyse par arbre de panne (ADP) ¾ Objectifs ¾ Avantages et désavantages ¾ Contexte d’utilisation

Origine L’analyse L analyse par arbre des pannes a été • Inventée et développée par H. Watson et Allison B. Mearn de Bell Laboratories à la demande l’armée l armée de l’air l air des États-Unis pour déterminer les possibilités et les probabilités d’un lancement imprévu ou non autorisé d’un missile « Minuteman » ou d’autres d autres armes nucléaires. nucléaires • Utisée par Dave Haasl de Boeing Co. pour mener une analyse quantitative de sécurité du système d’armement d armement nucléaire « Minuteman »

Objectifs ‰ ADP pendant la phase de conception du produit (approche proactive) ¾ Évaluer le potentiel de défaillance du système ¾ Comprendre les cause probables des événements indésirables ¾ Améliorer les faiblesses pouvant causer les événements indésirables ‰ ADP pendant la phase d’opération d opération du produit (approche réactive) ¾ Identifier les causes d’accidents afin d’apporter des corrections visant à éviter les accidents dans le futur ¾ Identifier les causes possibles d’anomalies ou pannes en temps réel afin d’atténuer les risques d’accidents

•

•

•

Outil analytique

Description

•

Évaluation pour les systèmes complexes

•

Identification des événements qui pourraient causer un état indésirable du système

•

Support pour les études portant sur la sécurité, la fiabilité, la disponibilité et les accidents

•

Identification des causes

•

Technique déductive

•

Évaluation des risques (qualitative : coupes minimales) (quantitative : probabilité)

Modèle •

Visuel

•

Présentation des relations « cause cause-effet effet »

•

Contenant des pannes, événements normaux et des chemins critiques

•

Contenant des éléments de dangers et des erreurs humaines ainsi que l’environnement

Méthodologie •

Détaillée, structurée et rigoureuse

•

Utilisation de l’algèbre de Boole, probabilité, fiabilité, logique

•

Respect des lois scientifiques et des techniques de génie

Exemple Système Événement indésirable :

Absence de lumière

Modèle d’ d ADP

Coupes Groupes d’événements qui, lorsqu’ils se produisent sont (peuvent être) à l’origine de l’événement l événement de tête tête.

Symboles préférentiels

Défaillance primaire Défaillance secondaire Événement normal

Porte OU

Porte Et

Libellé de l’événement

Porte Non

Porte OU exclusif

Condition

Porte Et prioritaire

Report

Structure Événement de tête Extrant

Porte Intrant

Événement de base-Défaillance du composant

T h i Techniques d’analyse d’ l inductive i d ti ett déductive déd ti Logique : • Raisonnement déductif : • Prémisse

Conclusion

Les chiens sont les animaux. Celui-ci est un chien. hi Il estt d donc un animal. i l • Fausse prémisse

Fausse conclusion

Les hommes sont les singes. Celui-ci est un homme. Il est donc un singe.

Logique : • Raisonnement inductif : • Conclusion C l i h hypothétique théti Tous les corbeaux observés sont noirs. Donc, les corbeaux sont noirs noirs.

Analyse déductive : • Objectif : vise à trouver la (les) cause(s) et les facteurs contributifs pour un danger identifié. • Question à poser pour faire l’analyse • Comment arrive-t-elle la panne? • Quelles sont les causes de l’évènement? Analyse a yse inductive duct e : • Objectif : vise à postuler les hypothèses relatives aux causes possibles (sans preuve nécessaire) • Question à poser pour faire l’analyse • Quelles sont les conséquences de l’évènement? l évènement?

Analyse inductive vs Analyse déductive

Système (haut)

Effet Logique déductive

C Cause

Niveau de détail

Logique inductive

C Cause

Sous-système Unité Assemblage

Cause Du sommet à la base

Cause De la base au sommet

Composants

Aperçu de l’arbre de panne Système Événement de tête (indésirable)

Arbre de panne

Résultats Coupe minimale = A.B.C.Y Probabilité = 1,7 x 10-5

Approche déductive S1

S2

A

B

S3

S2

C

S4

E

Système

Sous-système

•

Du général vers spécifique

•

Analyse à partir de l’événement de tête au(x) cause(s) initiale(s)

D

A

Unité

A12

A12

T7

Composant

ADP pendant le cycle de vie du produit Phase de design • • • • •

ADP doit être utilisée dès le début du programme de développement L’objectif est d’identifier les problèmes potentiels et de les corriger avant que les coûts de modifications deviennent coûteux Effectuer les mises à jour au fur et à mesure que les travaux de design progressent Chaque nouvelle version contient de détails additionnels ll’ADP ADP établie pendant la phase conceptuelle contenant seulement les niveaux supérieurs fournit quand même des informations utiles

Phase d’opération • •

ADP pendant le temps de service du produit est utile pour l’analyse des causes de problèmes ADP permet d’identifier et d’éliminer les causes des problèmes Design conceptuel ADP initiale

Design préliminaire ADP mise à jour

Design final ADP mise à jour

Déploiement

ADP mise à jour

ADP opération

Source SAE ARP-4761

Exemple d’ADP Crevaison du pneu

Défaillance du pneu

Défaut de fabrication

Pneu endommagé

Usure

Coupé par débris sur route

Dommage infligé

Collision accidentée

Sabotage

Résumé Estimation de risque ADP

Données de design • • • • •

Analyse de sécurité

Dessins Croquis Manuels Emploi du temps Diagramme fonctionnel

• • •

Événements indésirables Cause-effet Modes de défaillances

Données de fiabilité • • • • • •

AMDEC Modes de défaillance Taux de défaillance Prédictions D Données é collectées ll té Jugements des experts

ADP est un technique d’estimation de risque

Procédure ¾ Notions de base ¾ Présentation des huit étapes de la procédure

Procédure

Exemples SAMPLE TOP EVENTS FOR FAULT TREES

1. Injury to_______ 2. Radiation injury _______ 3. inadvertent start of ___. 4. (Equipment to be named) activated inadvertently. 5. Accidental explosion of ______. 6 Loss of control of _____ 6. 7. Rupture of______. 8. Damage to .___. 9 Damage to ____ from ____. 9. 10. Thermal damage to _____. 11. Failure of __ to operate (stop) (close) (open).

12. R 12 Radiation di ti d damage tto _____ 13. Loss of pressure in ______ 14. Over pressurization of___. 15. Unscheduled release of ______ 16. Premature (Delayed) release of _____ 17 Collapse of _____ 17. 18. Overheating of ____ 19. Uncontrolled venting of _____ (toxic, flammable, or high pressure gas). ) 20. (Operation to be named) inhibited by damage.

EXIGENCES

CRITÈRES DU DESIGN

Événement de l’ADP

All doors should remain closed when the train is in motion.

p while All doors shall Door opens remain closed train is in motion. when the train is in motion.

Upon station arrival, the doors should be operable only after the train is stopped and all doors are properly aligned with the station platform.

Doors shall be capable of opening only after train is stopped and properly aligned in station, or for emergency as noted below.

Door opens while improperly aligned with station platform.

The train should stayy motionless while the doors are open.

The train shall not Train starts be capable of with door moving with any open. door open.

Initiation of a door close command should occur onlyy when the door areas are clear.

Door areas shall be clear before door closing g begins.

If door closure is prevented by an obstruction, the appropriate door should reopen to allow removal of the obstruction before reclosing.

An obstructed Obstructed door shall reopen door fails to to permit removal reopen. of the obstruction, and then automatically reclose.

Door close initiated when occupied.

The train should be allowed to proceed only after all doors are known to be closed, locked, and free of residual obstruction.

Doors shall be closed and locked before train is allowed to proceed.

Train enabled to proceed with door open or unlocked.

It should be possible to open the doors, when the train is stopped anywhere, for safe emergency train evacuation evacuation.

Means shall be provided to permit opening doors anywhere for emergency evacuation evacuation.

Doors cannot be opened for emergency evacuation.

Événement de tête

Commentaire

Bateau coule

Problème trop grand et vague

Système de communication ne fonctionne pas

approprié

Un moteur s’arrête s arrête

approprié

Les deux moteurs s’arrêtent en même temps

approprié

Système S tè d de di direction ti ne fonctionne pas

approprié ié

Tous les passagers meurent

Problème trop grand et vague

Procédure itérative

Effet

Niveau 1

Effet Cause

Cause

Effet

Cause

Niveau 2 Effet Cause

Niveau 3 Effet

Niveau 4 Cause

Type d d’évaluation évaluation ‰ Qualitative ¾ Génération des coupes ¾ Validation des coupes ¾ Évaluation des coupes ‰ Quantitative ¾ Application des données de défaillance à l’arbre des événement ¾ Calcul des probabilité ¾ Évaluation des mesures importantes ‰ Estimation des risque ¾ Criticité, C sévérité, sensitivité, probabilité

Méthodes d d’évaluation évaluation ‰ Manuelle ¾ Possible pour les arbres simples et de petite taille ‰ À l’aide de l’ordinateur ¾ Nécessaire pour les grandes arbres complexes ¾ Deux approches : analytique et simulation ‰ Méthodes ¾ Calcul des coupes ƒ Réduction à l’aide de l’algèbre de Boole ƒ Algorithmes (MOCUS et..) ƒ Diagramme de décision binaire ¾ Calcul C des probabilités ƒ Réduction à l’aide de l’algèbre de Boole ƒ Approximation

Résumé 1 Définition du système

8

Définition de l’événement de tête

Documentation/application

7 Modification

2

Système

3

(Design/Data)

Établissement des limites

6

4

Validation

Construction de l’arbre Rapport Liste des coupes Probabilités

Évaluation

5

Définitions ¾ Libellé ¾ Symboles ¾ Logique

Événements de base 1. Événement de défaillance 1. Événement É de défaillance de base primaire (cercle) 2. Événement de défaillance de base secondaire (losange) 2. Événement normal 1. Événement décrivant l’état normal prévu du système 2. Opération ou fonction normalement prévu du système Ex: fournir la puissance au temps T1. 3. En g général soit « ouvert » soit « fermé » dont la p probabilité est 1 ou 0 4. Symbole (maison)

Portes ¾ Une porte est un opérateur logique combinant les intrants ¾ Types : ™ ET, OU, NON, ET prioritaire, OU exclusif ™ Autres (utilité limitée) ¾ Une porte représente un état dont l’expansion est possible

Conditions •

S’attache à une porte

•

Établissement d’une condition à satisfaire en l’occurrence de la porte

Report p ¾ Indication d’une branche spécifique p q ¾ Représenté par un triangle ¾ Objectifs : un report indique ™ Début d’une nouvelle page ™ Branche semblable utilisée à plusieurs places dans l’arbre sans qu’elle ’ ll soit it d dessinée i é (t (transfert f t iinterne) t ) ™ Un module d’intrant provenant d’une autre analyse (transfert externe)

Présentation de l’ADP Les arbres de panne peuvent être disposés soit it verticalement ti l t soit it h horizontalement. i t l t Si on choisit la disposition verticale, il convient que ll’événement événement de tête est placé en haut de la page et les événements de base en bas. Dans le cas d’une p présentation horizontale,, l’événement de tête peut être situé à gauche ou à droite de la page.

Présentation de l’ADP Les symboles utilisés pour ces exemples comprennent : • une case comportant le libellé de l’événement; • un symbole logique utilisé pour représenter les liaisons entre les événements (portes); • une ligne d’entrée des portes; • un symbole de report différé (cause commune); • un symbole de report; • un symbole de fin d’information (par exemple événement de base).

Symboles des événements de base Résistor R88 reste ouvert

Résistor R88 ne reste ouvert à cause de IEM

Ordinateur C2 ne fonctionne pas

La puissance L i estt ffournie i au système au moment T = 150

Défaillance primaire

Défaillance inhérente du composant

Défaillance secondaire

Défaillance causée par une force externe

Défaillance qui Défaillance secondaire nécessite une enquête plus approfondie

Événement normal

Fonction normalement prévu

Symbole y de Porte ET

:

A

B

C

0

0

0

1

0

0

0

1

0

1

1

1

PAPB

Arbre des pannes •

A et B sont tous les deux nécessaires à l’occurrence de C

•

A et B do doivent e t su survenir e ssimultanément u ta é e t

P = PAPB

2 intrants

P = PAPBPC

3 intrants

Exemple p de p porte ET Absence de lumière Lampe

A

B

Interrupteur A coincé ouvert

Coupe minimale : A,B

P = PA x PB

Interrupteur B coincé ouvert

Porte ET ‰ Porte ET spécifie la relation causale entre l’intrant et l’extrant : ¾ Les pannes à l’entrée l entrée représentent conjointement la cause de la panne à la sortie

Symbole y de Porte ou

:

A

B

C

0

0

0

1

0

1

0

1

1

1

1

1

PAPB=PA(1-PB) PAPB=(1-PA)PB PAPB =P PAPB

•

Seul A ou B est nécessaire et suffisant à l’occurrence de C

•

A et B ensemble peuvent également causer C

P = PA(1-P (1 PB)+(1-P )+(1 PA)PB+PAPB= PA + PB - PA x PB

2 intrants

P = PA + PB + PC – (PA x PB + PA x PC + PB x PC) + PA x PB x PC

3 intrants

Exemple p de p porte ou

Lampe p

A

B

Coupe minimale : A B

P = PA + PB - PA x PB

Porte ou ‰ Porte OU laisse passer la relation causale entre l’intrant et l’extrant : Les pannes à l’entrée l entrée sont de même nature que celle à la sortie; seulement elles sont plus spécifiquement définies. Elles ne peuvent pas être la cause de la panne à la sortie

Symbole y de Porte ou exclusif : A

B

C

0

0

0

1

0

1

0

1

1

1

1

0

PAPB=PA(1-PB) PAPB=(1-PA)PB

•

Seul A ou B est nécessaire ou suffisant pour produire C

•

Mais A et B ne peuvent survenir simultanément

•

Utilisée pour deux intrants seulement (en cascade pour plusieurs intrants) P = PA+PB-2(PAPB)

2 intrants

Symbole y de Porte Et avec p priorité : C A avant B

A

B

A

B

C

0

0

0

1

0

0

0

1

0

1

1

1

•

Les deux intrants A et B sont requis à l’occurrence de C

•

Mais A doit survenir avant B

•

O d de Ordre d priorité i ité d de gauche h àd droite it P=PAPB / N!

où N est nombre d’intrants et λA = λB

PAPB

Symbole de Porte Si

•

Les deux intrants C et Y1 sont requis à l’occurrence de D

•

Y1 est la condition ou probabilité p

•

Passage ouvert si la condition est satisfaite

P = PAPY

Symbole y de Report p

Symbole Fonction Report Report différé Report similaire

Description Même événement défini ailleurs dans ce même arbre de panne (internal transfert) Même événement défini ailleurs dans un autre arbre de panne (external transfert) Branche de même structure à répéter (similar transfert)

Report (transfert) A

Report

R

Ordinateur X ne fonctionne pas

B

Ordinateur X ne fonctionne pas

Conducteur P1 est défectueux

R Conducteur P1 est défectueux

C

B

Report différé (external transfert)

Report (internal transfert)

C

E

Report similaire

Défaillance vs panne •

Défaillance (failure) : incapacité, défaut d’exécution, d’un composant de base. Ex : interrupteur ne se déclenche pas.

•

Panne (f P (fault) lt) : état ét t indésirable i dé i bl suite it à une déf défaillance ill d’ d’un composant, d’un sous système ou du système. Ex : le manque de lumière est l’état indésirable suite à la défaillance de l’ampoule, à la perte de l’électricité ou à une mauvaise manœuvre de l’opérateur p p

•

Défaillance primaire : défaillance au niveau le plus bas (inhérente) du composant

•

Défaillance secondaire : défaillance causé par un autre composant du système ou par un agent externe du système.

•

Panne commandée : défaillance causée par une commande erronée (en temps ou manière) manière).

Défaillance vs panne

Lumière n’est pas allumée

panne

Lampe

Interrupteur A

Lumière brûlée

A reste ouvert par commande de l’ordinateur

ordinateur

Défaillance (primaire)

Batterie ne fonctionne pas

Ordinateur commande l’ouverture de A (faute dans logiciel)

Remarque :Toutes les défaillances sont des pannes. L’inverse n’est pas nécessairement vrai

Défaillance é a a ce indépendante dépe da te / dépe dépendante da te ¾ Une défaillance indépendante est celle qui n’est pas causée directement ou indirectement par un autre événement ou composant ¾ Une défaillance dépendante est : ƒ

Une défaillance qui est causé directement ou indirectement par un autre événement ou composant

ƒ

Exemple p : un composant p du circuit électrique q q qui est courtcircuité, laisse passer une intensité excessive du courant impliquant la rupture de la résistance R4.

Défaillance é a a ce p primaire a e: ¾ ¾ ¾ ¾

Mode de défaillance inhérente du composant Élément de base élémentaire Élément dont la subdivision ne peut pas être faite Exemple : diode cesse de fonctionner à cause de défauts de son matériau constituant

Défaillance secondaire : ¾ Défaillance d’un d un composant causée par une force externe du système ¾ Élément de base non élémentaire ¾ Exemple : Circuit imprimé fonctionne mal à cause de l’IEM ¾ Événement É dont la subdivision plus poussée n’a pas été faite (en général, parce que cela n’était pas jugé utile)

MOE, MOB et Module MOE (Multiple Occurring Event) : événements id ti identiques apparaissant i td dans les branches différentes MOB ((Multiple p Occurrence Branch) : branches identiques apparaissant à plusieurs places dans l’arbre Module : une sous arbre indépendante ou une branche qui ne contient pas de MOE ou MOB d’ailleurs et qui n’est pas une MOB Source : Clif Ericson

Coupes •

Coupe : est un groupe d’événement qui, lorsqu’ils se produisent sont (p p (peuvent être)) à l’origine g de l’événement de tête. Il est également connu comme chemin de panne.

•

Coupe minimale : est la plus petite des coupes dont tous les événements doivent se produire (dans le bon ordre) pour que l’événement de tête ait lieu. Si l’un de ces événements ne survient pas, l’événement de tête ne peut arriver.

•

Ordre O d de d lla coupe : nombre b d’é d’événement é td dans une coupe. Une coupe de premier ordre est nommé « single point failure » (dangereux)

• Chemin critique : coupe dont la probabilité de défaillance est la plus importante. Il est important de réduire cette probabilité afin d’améliorer d améliorer la performance en sécurité du système.

Coupes: A : premier ordre BD B,D : second d ordre d C,D : second ordre

(A ) (B ett D) (C et D)

Construction ¾

Règles et méthode de construction

Technique de construction •

L’arbre de panne comprend les étages, les niveaux (supérieur, intermédiaire et de base) et les branches

•

Développer pp chacune des branches de façon ç itérative et identifier toutes les causes – effets événements et leurs relations

•

Pour chacun des événements analysé :

•

•

Identifier toutes les causes possibles de cet événement (déduction)

•

Étudier seulement l’événement voisin immédiat, pas plus loin

•

Ne pas sauter les étages

•

Posez-vous la question « qu’est ce qui est nécessaire et suffisant pour »

•

Déterminer la logique et le type de porte

Construire l’arbre avec ces événements et portes logiques

•

Réviser continuellement toutes les étapes afin d’assurer qu’aucun événement soit répété p

•

Une branche est complétée lorsque le niveau d’événement de base est atteint et que les limites établies sont atteintes Effet

Effet

I-N-S P-S-C S-S/C

Cause Cause

Effet

Effet

Cause

I-N-S P-S-C P SC S-S/C Cause

I-N-S P-S-C S-S/C

Effet

Cause

Quoi et Comment Quoi et Comment •

Quelles sont les pannes/défaillances causant cet événement?

•

Comment les pannes se sont combinées?

•

Ne pas oublier : immédiate, nécessaire et suffisante

Quoi •

Contenu de chacun des intrants de l’événement.

Comment (type de portes logiques) •

ET : tous les intrants sont requis

•

OU : un seul des intrants est requis à l’occurrence de l’événement X Comment? Quoi? A

B

C

Recherche de la relation « Cause - Effet » Les morceaux du puzzle

Effet Possibilité logique Cause potentiel

Mots clés : ISC I-S-C S-P-C État Fonction

Produit final

Identification de la relation « cause - effet »

B intrant

C et D sont nécessaires immédiatement pour produire E

D E

A

extrant

C E

C et D causent E

C

D

A

B

intrant

A intrant

Événement de tête

•

Commencez par l’événement de tête E

•

Suivez la direction de la flèche (vers l’aval)

•

Prenez un composant à la fois

Système en série direction du signal Pas d’extrant de B

B

A

ou Défaillance de B

Pas d’intrant à B

direction de l’analyse

P d’extrant Pas d’ t t

Conducteur brisé

Pas d’extrant de A

Défaillance de A

Pas d’intrant d intrant à A

Exemple di ti d direction du signal i l

Système en série-parallèle

A C OU

B direction de l’analyse

ET

OU

OU

Méthodologie pour le développement des portes l i logiques La construction à chaque porte comprend trois étapes : •

Étape 1 : Immédiate, Nécessaire et Suffisante (I-N-S) ?

•

Étape 2 : Primaire, secondaire et commande (P-S-C)?

•

Étape 3 : État du composant ou du système (S-C/S)?

Étape 1 •

Lire attentivement le libellé de la porte

•

Identifier les événements immédiats, nécessaires et suffisants pour causer l’événement extrant de la porte •

Immédiat : ne pas sauter les événements déjà considérés

•

Nécessaire : inclure seulement les événements nécessaires

•

Suffisant : inclure au minimum les événements nécessaires

Étape 1 Extrant

Intrant

Effet C Cause

Effet

Cause

•

C et D sont immédiats à E

•

C et D sont nécessaires à l’occurrence de E

•

C et D sont suffisants à la production de E

Étape 2 ‰ Identifier les événements Primaire, secondaire et commande à l’entrée de la porte : ¾ Panne/défaillance primaire : défectuosité inhérente du composant ¾ Panne/défaillance secondaire : défaillance causée par une force externe ¾ Panne de commande : état de fonctionnement commandé par une panne ou défaillance en aval ‰ L L’existence existence des trois intrants P-S-C P S C en même temps implique une porte OU

panne

S C

P

extrant Commande

P : primaire S : secondaire C : commande

Exemple : P – S- C A: inhérent Diode

Résistor

C: intrant B: externe

D

Étape 2

P

S

Défaillance de E

Extrant

Intrant

Pas extrant de E

C

Défaillance de E à cause de chaleur

P Défaillance du conducteur

Pas intrant àE

passage g des Le p pannes de commande indique la direction des causes

C

S

Défaillance d’intrant à E

C Pas intrant de C

C Pas intrant de D

Étape 3 Identifier l’état de l’événement. •

Une panne causée par une défaillance inhérente du composant est un SC (state of the component/état du composant). Un SC est généralement représenté par une porte OU. Contact du relais ouvert

Relais reste ouvert (brisé)

•

Relais énergisé par

IEM cause l’ouverture du relais

Une panne qui ne peut être causée par la défaillance du composant est un SS (system status/état du système). Type de porte dépende du design système. Commande exécutée

Présence de l’énergie

Présence du signal

Isolation et Analyse y d’un composant p

S

Isolation d’un composant

C

E P

Direction de l’analyse ƒ Primaire : ƒ Secondaire : ƒ Commande : ƒ Extrant E :

regard vers l’intérieur regard vers l’extérieur regard en amont regard d en avall

Utilisation du diagramme fonctionnel Diagramme bloc fonctionnel

ƒ ƒ Documents Croquis

ƒ ƒ

Décomposition du système suivant l ffonctions les ti Application des relations « causeeffet » Arbre est moins étendue et contient plusieurs niveaux Démarche structurée, rigoureuse, applicable pour la majorité des cas

Utilisation du type de composants du système ‰ Identification du type y des composants est souvent utile à l’élaboration de l’ADP ¾ Composant actif (initiateur) : ƒ Composant qui fournit ou couper de l’énergie l énergie, force ou puissance nécessaire à l’opération du système ƒ Ex: relais, pompe, source électrique etc.. ¾ Composant passif (facilitateur) : ƒ Composant qui permet la transmission de l’énergie, force et puissance etc.. ƒ Ex : conducteur, conducteur tuyau ‰ Porte OU s’applique aux cas où plusieurs intrants se manifestent

Utilisation du type de composants du système Batterie

initiateur

Lumière

Interrupteur A

F ilit t Facilitateur

Exemple de construction d’ADP

Lampe

A

B

I-N-S

Panne de commande

Défaillance première

Exemple Lampe

Porte analysée A

B

État du système

Pannes (état du système)

Exemple Lampe

A

B

État du système

I-N-S

À développer

Exemple

Pas de lumière

Défaillance de l’ampoule

Lampe

Ampoule ne reçoit pas du courant

A Absence du courant

À développer

Circuit n’est pas fermé

Interrupteurs sont ouverts

Interrupteur A est ouvert

Opérateur p ouvre interrupteur A

Interrupteur p A coincé ouvert

Conducteur de retour coupé

Interrupteur B est ouvert

Opérateur p ouvre interrupteur B

Interrupteur p B coincé ouvert

B

Exemple Lampe

A

B

Exemple Lampe

A

B

Mauvais exemple (approche non structurée) ¾ approche de liste d’épicerie, manque de rigueur ¾ conclusion trop simpliste, manque plusieurs détails et événements tels que les passages du courant, erreurs h humaines i etc.. t

Lampe

A

B

Absence de lumière

Ampoule brûlée

Interrupteur A est ouvert

Interrupteur B est ouvert

Batterie épuisé

Conducteur coupé

A

B

C

D

E

Résumé Méthode d d’analyse analyse

Démarche Itérative porte Lecture attentive du libellé de la p porte

Construction des blocs

événements

Identification: 1) Cause S C

2) logique

Isolation d’un composant E

Définition exacte et descriptive des événements

P I-N-S P-S-C S-C/S •approche par fonctions •Étape par étape, pas de grand saut • libellé de transition

N

Est-ce que ll’événement événement de base est atteint

o B Branche h complétée lété

portes

Évaluation ¾ Méthodes d’évaluation de l’ADP ¾ Importance des coupes ¾ Génération de coupes et calcul de probabilités de l’ADP

Coupes : produit important de l’ADP ‰ Coupe : est un groupe d’événement qui, lorsqu’ils se produisent sont (peuvent être) à l’origine de l’événement de tête. Il est également connu comme chemin de panne. ‰ Coupes identifient les événements critiques et les point faibles du système (grandes probabilités, possibilité de contourner redondances,, combinaisons difficiles à considérer)) ‰ Coupes permettent le calcul de probabilités de l’ADP : ¾ En général, plus le nombre d’événements contenus dans le coupe soit grand, grand plus la probabilité du coupe soit faible

Évaluation Qualitative •

Coupes

Quantitative •

Coupes

•

Probabilité

Évaluation qualitative ‰ Non numérique ‰ Subjective ‰ Procédure : ¾ Génération des coupes minimales de l’ADP l ADP ¾ Évaluation qualitative de ces coupes minimales et analyse relative au design/problèmes ‰ Importance de l’ordre des coupes : ¾ Plus son ordre soit faible, plus son danger qu’il représente soit grand (ex: l’ordre du coupe contenant un défaillance/erreur unique est 1) ‰ Présence de composant important qui se trouve dans plusieurs coupes ‰ Valeurs : ¾ Identifications des combinaisons de causes originaires (root cause) qui sont difficiles à percevoir ¾ Identifications des points faibles du design ¾ Identification Id tifi ti de d possibilités ibilité d de contournement t td de redondance d d d des moyens de sécurité ¾ Identification de problèmes de cause commune (défaillance pouvant affecter tous les redondances))

Évaluation quantitative ‰ Numérique : probabilité de l’occurrence des coupes et celle de l’événement de tête non désirable ‰ Procédure : ¾ Avec les couples : ƒ Génération de la liste des coupes minimales ƒ Calcul de probabilités de l’ADP à partir de celles des coupes minimales ¾ Sans couples : ƒ Calcul direct à l’aide de la réduction booléenne de l’ADP ‰ Les données relatives aux composants telles que le taux de défaillance et le temps d’exposition d exposition sont requis ‰ Estimation probabillistiques des risques (ADP, couples, portes événements, chemin critique) ‰ Objective ‰ Permettant P tt t l’évaluation l’é l ti quantitative tit ti d du d degré éd de l’l’atteint tt i t de d l’l’objectif bj tif d du design

Détermination de coupes minimales ‰ Coupes : ¾ C Coupe minimale i i l : estt la l plus l petite tit des d coupes dont d t ttous les l événements doivent se produire (dans le bon ordre) pour que l’événement de tête ait lieu. Si l’un de ces événements ne survient p pas,, l’événement de tête ne p peut arriver. ¾ Super coupe : coupe qui contient des MOE ¾ Coupe en double ‰ Nécessité d’élimination des super coupes et des coupes en double : ¾ Lois d’algèbre g de Boole ¾ Fournir une valeur conservatrice de la probabilité de l’ADP

Détermination de coupes minimales

A

A

B

A

B

Coupes : A A,B A,B,C A,B ,

C

A

B

Coupes minimales A ---------- super coupe ---------- super coupe ---------- coupe p en double

Méthodes pour déterminer de coupes minimales: Réduction de l’ADP ‰ Il est souvent nécessaire de réduire pour simplification de l’ADP ¾ Réduction à l’aide de l’algèbre de Boole ‰ Il est nécessaire de réduire l’ADP pour la résolution de MOE et MOB ¾ Modification de l’équation Booléenne afin d’éliminer les MOE dans l’équation ¾ Absolument nécessaire pour le calcul de probabilités de l’ADP ‰ La logique fonctionnelle du système utilisée pour l’élaboration de l’ADP est perdue

Réduction de l’ADP Formule équivalente en mathématique

G1

G1 G3

G2

A

C

B

A

B

C

D

E

G4

D

E

N t : les Note l ffonctions ti logiques l i de d l’ADP sontt perdues d après è lla réduction éd ti

Réduction de l’ADP Formule équivalente en mathématique

G1

G1 G3

G2

A A

B

A

XX

C

B

C

N t : Note ƒ Élimination des MOE ƒ les fonctions logiques de l’ADP sont perdues après la réduction

Réduction booléenne a.a = a a+a=a

Formule équivalente en mathématique

Logique

A

a + ab = a a(a+b) ( )=a G1 G1

A A

XX

XX

A A

A

B

B

Réduction des MOE G1

A

[1] A [2] A,B

XX

A

[1] A

A

B

G1

A

[1] A,A [2] A,B

XX

A

B

[1] A

A

Réduction des MOE G1

A

XX

A

[1] A,A,B

[1] A,B

[1] A [2] A [3] B

[1] A [2] B

B

G1

A

XX

A

B

Méthode pour l’obtention des coupes minimales avec le diagramme MOCUS •

Réduction à partir du sommet

T t les Toutes l coupes Coupes minimales

1. Inscription du non de l’événement de tête 2. Remplacement de G1 par ses intrants G2 ett G3 3. Remplacement de G2 par ses intrants 1 et 2 4. Remplacement de G3 par ses intrants 3 ett 4 5. Ces coupes ne sont pas toutes les coupes minimales 6. Élimination des coupes qui ne sont pas d coupes minimales des i i l

Exemple avec diagramme Mocus (de haut en bas)

G1 ⇒ G2,G3 G2 G3 ⇒ A A,G3 G3 ⇒ A A,C C

A,G5 ⇒ A,A,B ⇒ A,B G4,G3 ⇒ B,G3 ⇒ B, C B,G5 ⇒ B,A,B ⇒ A,B C, G3 ⇒ C, C ⇒ C C,G5 ⇒ C,A,B ⇒ A,B,C

A,C A,B B,C A A,B C A,B,C

C A,B Coupes minimales

Réduction à partir du fond vers le sommet E Exemple l :

G5 = A,B G3 = C + G5 = C + A,B G4 = B + C G2 = A + G4 = A + B + C G1 = G2.G3 = (A + B + C) (C + A,B) = A,C ÷ A,A,B + B,C + B,A,B + C,C + C,A,B A,C + A,B + B,C + A,B + C + A,B,C = C + A,C C + B,C C + A,B + AB,C C = C + A,B

Probabilité de défaillance :

P = 1 − R = 1 − e−λT où T est le temps d’exposition

Quand λ T< 0.001

P ≈ λT

Probabilité de la porte ET P = PAPBPCPDPE….P PN Probabilité de la porte OU P = (∑1er terme) - (∑2e terme) + (∑3e terme) - (∑4e terme) + (∑5e terme) - (∑6e terme)…

Erreur d’évaluation : Exemple Mauvais résultat car il faut effectuer la réduction avant de calculer les probabilités PG1=PG2.PG3=321.41x10-10

PG2 =PA+PB-PAPB

PG3 =PA+PC-PAP

=(15+4)x10-5 – 15x4x10-8

=(15+2)x10-5 – 15x2x10-8

=18.94x10-5

=16.97x10-5

λB = 1.5 x 10-3 , λC = 4 x 10-4 , λD = 2 x 10-4 T=10-1

PA=1.5 x 10-3 x 10-1= 15 x10-5 PB=4 x 10-4 x 10-1= 4 x10-5 PC=2 x 10-4 x 10-1= 2 x10-5

Exemple (suite) Bonne évaluation négligeable

Coupes minimales : A B,C

PK =P PA+P PG2-P PA.P PG2

G1

=15x10-5 + 8x10-10 =15x10-5 PG2 =PB.P PC

G2

A

=4x10-5x2x10-5 =8x10-10 C

B

λB = 1.5 x 10-3 , λC = 4 x 10-4 , λD = 2 x 10-4

λT ≈ λT P=1 1,0 0 − e-λT

T=10-1

PA=1.5 x 10-3 x 10-1= 15 x10-5 PB=4 x 10-4 x 10-1= 4 x10-5 PC=2 x 10-4 x 10-1= 2 x10-5

Exemple : G1

A

λ=1x10-6 T=2h PA=2x10-6

B

λ=1x10-7 T=2h PA=2x10-7

C

λ=1x10-7 T=2h PA=2x10-7

D

λ=1x10-8 T=2h PA=2x10-8

E

λ=1x10-9 T=2h PA=2x10-9

Coupes minimales : A B C D E

Exercices

7.1

Dessinez l’ADP des systèmes suivants : a) b)

i. Un seul moteur est suffisant pour que le système fonctionne ii. Deux moteur doivent fonctionner pour que le système fonctionne

c)

Tous les composants en série et au moins un moteur doivent fonctionner pour que le système fonctionne

7.2

Déterminez les coupes minimales et calculez la probabilité de l’événement l événement de tête des ADP suivantes : a)

PA = PB = PC = 2 x 10-6

b)

PA = PB = PC = 2 x 10-6