Chapitre 3 : Méthodologie de déclinaison d’exigences de sûreté
6. Cas d’étude
Afin d’illustrer la méthodologie de déclinaison d’exigences de sûreté de fonctionnement exposée dans ce chapitre, nous l’appliquons à un cas d’étude simple. Nous ne déclinerons qu’une seule exigence de sûreté système pour cet exemple. Un exemple plus complet sera présenté dans le chapitre 5.
6.1. Présentation de l’exemple
Le système étudié est celui d’un ascenseur, constitué d’une cabine mobile suspendue à un câble dans une cage. Un sous-système de contrôle du mouvement (incluant un treuil actionné par un moteur électrique) permet de mouvoir le câble rattaché à un contrepoids à l’autre extrémité. La cabine comporte une porte automatique qui actionne aussi l’ouverture de portes palières. Un ensemble de pupitres de commande, dont un est situé à l’intérieur de la cabine et les autres se trouvent près des portes palières, permet de gérer les demandes de mouvements de l’ascenseur. Un sous-système de ventilation garantie la qualité de l’air dans la cabine. Pour finir, quelques dispositifs de sécurité sont présents : un capteur de présence dans la zone de fermeture de la porte automatique, un interphone présent dans la cabine et des freins d’urgence sur le toit de la cabine.
Figure III.16 : Système ascenseur
6.2. Application de la méthodologie
Nous allons maintenant appliquer la méthodologie de déclinaison d’exigences de sûreté de fonctionnement à ce système « ascenseur ».
6.2.1. Etape 1 : Analyse des défaillances du système
La première étape consiste à procéder à une AMDEC au niveau du système « ascenseur ». Dans la présentation de cet exemple, nous ne montrons que le mode de
84
défaillance « descente non-maîtrisée » de la fonction « transporter les usagers » de l’ascenseur. La Figure III.17 présente alors le tableau AMDEC représentatif de cette étude.
Figure III.17 : AMDEC système « ascenseur » - fonction « transporter les usagers »
D’après ce tableau, nous pouvons identifier une exigence de sûreté au niveau système : « La descente non-maîtrisée liée à la chute de la cabine doit avoir une fréquence < 10-9/h ».
Cette exigence est liée à la cause système : « chute de la cabine », qui va être étudiée dans la deuxième étape de la méthode.
6.2.2. Etape 2 : Analyses des causes des défaillances
Pour la deuxième étape, nous devons analyser toutes les causes système identifiées lors de la première étape. Dans la présentation de cet exemple, nous ne considérons que la cause système « chute de la cabine » visible dans le tableau AMDEC de la Figure III.17. Nous construisons alors un arbre de défaillance partant de cette cause système et faisant intervenir les modes de défaillances des sous-systèmes, donné en Figure III.18.
Figure III.18 : Arbre de défaillance de la cause système « chute de la cabine »
Ainsi, d’après la figure, la chute de la cabine fait intervenir la défaillance du sous- système de contrôle du mouvement (commande de descente non-souhaitée), la défaillance du câble (rupture) et la défaillance des freins d’urgence (non-fonctionnement).
6.2.3. Etape 3 : Analyses des défaillances des sous-systèmes
La troisième étape de la méthodologie de déclinaison des exigences de sûreté veut que nous procédions à des AMDEC pour tous les sous-systèmes qui interviennent dans les arbres de défaillances de la seconde étape.
Les sous-systèmes qui interviennent dans l’arbre de la Figure III.18 sont : le sous- système de contrôle du mouvement, le câble et les freins d’urgence. La Figure III.19 donne
Chapitre 3 Méthodologie de déclinaison d’exigences de sûreté de fonctionnement
85
les résultats de l’AMDEC pour le sous-système de contrôle du mouvement. C’est l’unique tableau AMDEC sous-système que nous présentons dans ce mémoire.
Figure III.19 : AMDEC « sous-système de contrôle du mouvement »
D’après ce tableau, nous pouvons identifier une exigence de sûreté au niveau du sous- système de contrôle du mouvement : « La commande de descente non-souhaitée liée au mode
de commande bloqué dans l’état de descente doit avoir une fréquence < 10-7/h ». Cette
exigence est liée au mode de défaillance du sous-système de contrôle du mouvement : « commande de descente non-souhaitée ».
Des AMDEC pour le câble et les freins d’urgence permettraient d’identifier respectivement les exigences :
« La rupture du câble doit avoir une fréquence < 10-7/h », pour le câble.
« Le non-fonctionnement des freins d’urgence doit avoir une fréquence < 5.10-3/h »,
pour les freins d’urgence.
6.2.4. Etape 4 : Synthèse
Dans la quatrième étape, la synthèse permet de montrer la déclinaison des exigences de sûreté au niveau système en exigences de sûreté sous-système. Nous donnons ici l’exemple de déclinaison qui correspond à l’arbre de défaillance de la Figure III.18 et qui est synthétisé en Figure III.20.
Figure III.20 : Synthèse de la déclinaison des exigences du système « ascenseur »
L'exigence de sûreté système « La descente non-maîtrisée liée à la chute de la cabine doit avoir une fréquence < 10-9/h » est déclinée au niveau sous-systèmes en :
Pour le sous-système de contrôle du mouvement :
o « La commande de descente non-souhaité lié au mode de commande bloqué
dans l’état de descente doit avoir une fréquence < 10-7/h »
Pour le câble :
86
Pour les freins d’urgence :
o « Le non-fonctionnement des freins d’urgence doit avoir une fréquence <
5.10-3/h »
6.3. Utilisation de la formalisation UML
La formalisation UML, présentée au paragraphe 5.3, permet de poser les concepts manipulés dans la méthodologie de déclinaison, tout en présentant les relations entre ces concepts.
Nous donnons en Figure III.21, sur la base de l’exemple du système « ascenseur », un diagramme des objets qui instancient les classes du diagramme de la formalisation. Comme lors de l’étape 3 de l’application de la méthodologie de déclinaison d’exigences (présentée au paragraphe 6.2.3), nous nous sommes limités à un seul sous-système : celui du contrôle du mouvement.
Chapitre 3 Méthodologie de déclinaison d’exigences de sûreté de fonctionnement
87
Partant du système S1, l’ascenseur, nous avons étudié la fonction F1 : « transporter les
usagers ». Nous nous sommes intéressés à un mode de défaillance de cette fonction : le mode
MdD1 de « descente non-maîtrisée ». L’identification de son effet E1, « crash de la cabine
entrainant une mort possible de ces usagers », permet de définir une gravité G1, catastrophique. L’identification d’une cause C1, « chute de la cabine », n’est associée à
aucune fréquence connue. Ainsi, une action corrective AC1 qui agit sur la fréquence est définie : « faire en sorte que la fréquence soit < 10-9/h ». Cette action corrective est source de
l’exigence de sûreté Exigence1 : « la descente non-maîtrisée liée à la chute de la cabine doit
avoir une fréquence < 10-9/h », qui doit être satisfaite par le système S1, l’ascenseur.
La cause C1 est liée à une porte logique ET qui combine le mode de défaillance MdD4, « non-fonctionnement des freins d’urgence », avec l’événement Ev1, « descente de la cabine
non-contrôlée ». Cet événement Ev1 est lui-même lié à une autre porte logique OU qui
combine les modes de défaillance MdD3, « rupture du câble », et MdD2, « commande de
descente non-souhaitée ».
Ce dernier mode de défaillance MdD2 est lié à une fonction F2, « monter/descendre la
cabine », du système S2 de « contrôle du mouvement », sous-système du système S1.
L’analyse de ce mode de défaillance MdD2 a permis d’identifier une cause C2, « mode de
commande bloqué dans l’état de descente », et son effet E2 : « hors de contrôle, la cabine descend de manière non-maîtrisée, entrainant son crash possible ». La cause C2 n’est
associée à aucune fréquence connue, quant à l’effet E2, sa gravité G2, hasardeux, est déterminée. Sur cette base, une action corrective AC2 qui agit sur la fréquence est déterminée : « faire en sorte que la fréquence soit < 10-7/h ». Cette action corrective est
source de l’exigence de sûreté Exigence2 : « la commande de descente non-souhaitée liée au
mode de commande bloqué dans l’état de descente doit avoir une fréquence < 10-7/h », qui
doit être satisfaite par le système S2, sous-système de contrôle du mouvement.