• Aucun résultat trouvé

Annexe 1 : La sûreté de fonctionnement

2. Méthodes d’analyse de la sûreté de fonctionnement

Les méthodes d’analyse de la sûreté de fonctionnement utilisent pour la plus part une décomposition des grands systèmes en sous-systèmes ou composants individuels dont les caractéristiques sont supposées connues.

L’évaluation de la sûreté de fonctionnement d’un système consiste à analyser les défaillances des composants pour estimer leurs conséquences sur le service rendu par le système. Les

Prévision des fautes Fautes Intégrité Sécurité confidentialité Maintenabilité Sécurité innocuité Disponibilité Fiabilité Sûreté de fonctionnement Attributs Entraves Défaillances Erreurs

Prévention des fautes

Méthodes

Elimination des fautes Tolérance aux fautes

principales méthodes utilisées lors d’une analyse de la sûreté de fonctionnement sont décrites ci-dessous.

2.1. Analyse préliminaire de risques

L’Analyse Préliminaire des Risques (APR) est une extension de l’Analyse Préliminaire des Dangers (APD) qui a été utilisée pour la première fois aux Etats-Unis, au début des années soixante [VIL 88]. Depuis, cette utilisation s’est généralisée à de nombreux domaines tels que l’aéronautique, chimique, nucléaire et automobile.

Cette méthode a pour objectifs :

1) d’identifier les dangers d’un système et de définir ses causes,

2) d’évaluer la gravité des conséquences liées aux situations dangereuses et les accidents potentiels.

L’APR permet de déduire tous les moyens, toutes les actions correctrices permettant d’éliminer ou de maîtriser les situations dangereuses et les accidents potentiels. Il est recommandé de commencer l’APR dès les premières phases de la conception. Cette analyse sera vérifiée, complétée au fur et à mesure de l’avancement dans la réalisation de système. L’APR permet de mettre en évidence les événements redoutés critiques qui devront être analysés en détail dans la suite de l’étude de sûreté de fonctionnement, en particulier par la méthode des arbres de défaillances qui sera décrite par la suite.

2.2. L’analyse des modes de défaillances, de leurs effets et de leur criticité

L’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC) est une extension naturelle de l’Analyse des Modes de Défaillance et de leurs Effets (AMDE) utilisée pour la première fois à partir des années soixante pour l’analyse de la sécurité des avions [VIL 88]. L’AMDEC considère la probabilité d’occurrence de chaque mode de défaillance et la classe de gravité de ces défaillances, mais aussi les classes correspondantes de probabilités d’occurrence plus que les probabilités elles-mêmes. On peut ainsi s’assurer que les modes de défaillance ayant d’importants effets ont des probabilités d’occurrence suffisamment faibles, grâce aux méthodes de conception, aux diverses vérifications et aux procédures de test.

2.3. Arbres des causes

La méthode a pour objectifs [VIL 88] la détermination des diverses combinaisons possibles d’événements qui entraînent la réalisation d’un événement indésirable unique, la représentation graphique de ces combinaisons sous forme d’une structure arborescente.

Un arbre des causes est composé de portes et d’événements. Les événements sont combinés par les portes classiques (ET, OU) ou des portes étendues (m sur n…).

L’analyse par arbre des causes est une analyse déductive qui permet de représenter graphiquement les combinaisons d’événements qui conduisent à la réalisation de l’événement redouté.

L’analyse par arbre des causes doit rechercher, à partir d’un événement indésirable (ou redouté), les défaillances de composants dont la combinaison entraîne l’apparition de l’événement indésirable.

Deux aspects d’analyse peuvent être élaborés :

 l’aspect qualitatif en déterminant l’ensemble des coupes minimales (la coupe minimale est la combinaison d’événements de base entraînant l’événement redouté),

 l’aspect quantitatif permettant la détermination par un calcul la probabilité d’apparition de l’événement redouté ou indésirable.

L’analyse par arbre des causes est largement utilisée dans les études de sûreté de fonctionnement car elle caractérise de façon claire les liens de dépendance, du point de vue dysfonctionnement, entre les composants d’un système. Bien que cette méthode soit efficace, elle présente des limites. L’une de ces limites est que l’ordre d’occurrence des événements menant vers l’état redouté n’est pas pris en compte.

2.4. Diagrammes de fiabilité

Un diagramme de fiabilité permet le calcul de disponibilité ou la fiabilité du système modélisé, mais avec les mêmes restrictions qu’un Arbre des causes. Tous les chemins entre l’entrée et la sortie décrivent les conditions pour que la fonction soit accomplie. On suppose que les composants n’ont que deux états de fonctionnement (fonctionnement correct ou panne).

2.5. Analyse de Markov

La méthode de graphes de Markov est utilisée pour analyser et évaluer la sûreté de fonctionnement des systèmes réparables. La construction d’un graphe de Markov consiste à identifier les différents états du système (défaillants ou non défaillants) et chercher comment passer d’un état à un autre lors d'un dysfonctionnement ou d’une réparation. A chaque transition, de l’état Ei vers l’état Ej, est associé un taux de transition τij défini de telle sorte que τij.dt est égal à la probabilité de passer de Ei vers Ej entre deux instants très proches t et t+dt sachant que l’on est en Ei à l’instant de temps t.

Les états sont classés en deux catégories :

 Des états de fonctionnement : ce sont les états où la fonction du système est réalisée, des composants du système pouvant être en panne, l’état du bon fonctionnement est l’état où aucun composant n’est en panne,

 Des états de panne : ce sont des états où la fonction du système n’est plus réalisée, un ou plusieurs composants du système étant en panne.

Le processus d’analyse comprend trois parties :

 Le recensement et le classement de tous les états du système en états de bon fonctionnement ou états de panne.

 Le recensement de toutes les transitions possibles entre ces différents états et l’identification de toutes les causes de ces transitions.

 Le calcul des probabilités de se trouver dans les différents états au cours d’une période de vie de système ou le calcul des caractéristiques de sûreté de fonctionnement.

La modélisation avec les graphes de Markov permet de prendre en compte les dépendances temporelles et stochastiques plus largement que les méthodes classiques. En dépit de leur simplicité conceptuelle et leur aptitude à pallier certains handicaps des méthodes classiques,

les graphes de Markov souffrent de l’explosion du nombre des états [MON 98], car le processus de modélisation implique l’énumération de tous les états possibles et de toutes les transitions entre ces états.

Documents relatifs