Niveau « avion S18 » - Application de la méthodologie de déclinaison d’exigences de Sûreté de

Chapitre 5 : Exemple illustratif de l’avion S18

3. Application de la méthodologie de déclinaison d’exigences de Sûreté de

3.1. Niveau « avion S18 »

Pour le cas d’étude, nous nous intéressons à la fonction de décélération au sol de l’avion S18. Les phases considérées sont les phases d’atterrissage, de décollage dans le cas d’interruption avant la vitesse V1 (l’avion commence son décollage, l’équipage découvre une anomalie avant la limite de vitesse V1, il décide alors d’interrompre le décollage : freinage d’urgence de l’avion) et la circulation sur les voies de roulage (mode taxi). Nous rappelons que les sous-systèmes qui interviennent pour la fonction de décélération sont les « inverseurs de poussée », les « aérofreins » et les « freins des roues » (revoir Figure V.1). Nous allons appliquer la méthode sur les aspects « décélération au sol » du système avion, pour identifier les exigences de sûreté et déterminer leur déclinaison au niveau des sous-systèmes.

Chapitre 5 Exemple illustratif de l’avion S18

125

3.1.1. Etape 1 : Analyse des défaillances du système

Donnée par la Figure V.4, l'application de l’AMDEC au niveau du système « Avion S18 » pour la fonction de décélération fait apparaître les modes de défaillance suivants :

 « perte de la capacité de décélération »,

 « décélération involontaire après V1 »,

 « perte partielle de la capacité de décélération »,

 « perte de la capacité de décélération automatique »,

 « décélération asymétrique ».

Il faut noter que le tableau AMDEC de la Figure V.4 n’est pas exhaustif. D’autres modes de défaillance peuvent être définis.

Dans ce tableau, nous avons examiné les différentes phases d'utilisation du système car les contraintes changent en fonction de ces phases. Cependant, la fréquence n’apparait pas, car elle n'est pas disponible au début de l'étude. Ainsi, les actions correctives agissent sur les causes et permettent de définir les fréquences associées qui conduisent à une criticité acceptable (criticité = fréquence x gravité) pour une gravité donnée, qui elle est connue.

Pour donner un exemple, nous pouvons identifier une exigence de sûreté au niveau système avion S18 : « la perte non-annoncée de la capacité de décélération doit avoir une

fréquence < 5.10-9_{/flt ». Cette exigence est liée à la cause système : « perte non-annoncée de} la capacité de décélération », qui va d’ailleurs être étudiée dans la deuxième étape de la

méthode.

Remarque : concernant les données quantitatives visibles dans les arbres qui vont suivre, une distinction d’unité sera à faire entre celle des objectifs : par heure de vol (/fh), et celle des probabilités : par vol (/flt). Sachant que l’on considère une durée moyenne des vols de 5h, il y aura équivalence entre, par exemple, un objectif de 10-9_{/fh et une probabilité de 5.10}-9_/flt.

3.1.2. Etape 2 : Analyses des causes des défaillances

L'arbre de défaillances de la Figure V.5 s’intéresse à la cause système : « perte non- annoncée de la capacité de décélération ».

Il est construit progressivement dans le but d'obtenir des feuilles qui représentent les modes de défaillance des sous-systèmes. Ainsi, d’après la figure, la perte non-annoncée de la capacité de décélération fait intervenir : la perte non-annoncée des inverseurs de poussée, la perte non-annoncée de tous les freins sur piste contaminée (par de l’eau, de la neige, de la glace…) et la perte non-annoncée de tous les freins.

Dans son arbre de défaillance, nous constatons que la cause système « perte non-

annoncée de la capacité de décélération » fait intervenir une autre cause système : « perte non-annoncée des freins des roues ». Il est effectivement possible qu'un arbre implique une

cause associée à un autre mode de défaillance du système. Mais cela implique que, pour les calculs de probabilité, nous devons respecter l'objectif de la cause, mais aussi ceux des autres causes survenant dans l'arbre.

126

Chapitre 5 Exemple illustratif de l’avion S18

127

Figure V.5 : Arbre de défaillance de la « perte non-annoncée de la capacité de décélération »

Remarque : l’arbre de la Figure V.5 ne fait pas intervenir la défaillance des aérofreins, car l’efficacité de ces derniers est bien plus faible que celle des freins ou des inverseurs de poussée (surtout à faible vitesse). Ils ne sont donc pas pris en compte dans la capacité de décélération. En revanche, ils sont à considérer pour des décélérations involontaires.

L’arbre de défaillance de la Figure V.6 s’intéresse à la cause système : « décélération involontaire après V1 ».

Figure V.6 : Arbre de défaillance de la « décélération involontaire après V1 »

D’après cet arbre, la décélération involontaire après V1 fait intervenir l’inversion de poussée, le déploiement des aérofreins et le freinage des roues, toutes ces actions de manière involontaire et après la vitesse V1.

3.1.3. Etape 3 : Analyses des défaillances des sous-systèmes

Pour cet exemple, nous ne présentons, dans la Figure V.7, que l’AMDEC du sous- système « freins des roues », avec l'étude de la fonction « freiner les roues sur le sol sans

dérapage ». Dans cette étude, nous retrouvons quelques modes de défaillance du sous-

système « freins des roues » présents dans les arbres de défaillance des Figure V.5 et Figure V.6, comme :

 « perte totale du freinage des roues »

128

Chapitre 5 Exemple illustratif de l’avion S18

129

Un exemple d’exigence de sûreté identifiée au niveau de ce sous-système de freins des roues est : « la perte non-annoncée de tous les freins doit avoir une fréquence < 5.10-7_{/flt »,}

liée au mode de défaillance « perte totale du freinage des roues ».

3.1.4. Etape 4 : Synthèse

La synthèse permet de montrer la déclinaison des exigences de sûreté au niveau système en exigences de sûreté sous-système. Nous donnons ici deux exemples de déclinaison qui correspondent respectivement aux deux arbres de défaillance créés (voir Figure V.5 et Figure V.6).

L'exigence de sûreté système « la perte non-annoncée de la capacité de décélération doit

avoir une fréquence <5.10-9_{/flt » est déclinée au niveau sous-systèmes en :}

 Pour les freins des roues :

o « la perte non-annoncée de tous les freins sur une piste contaminée doit avoir

une fréquence < 5.10-7_{/flt »}

o « la perte non-annoncée de tous les freins doit avoir une fréquence < 5.10-7_{/flt »}

 Pour les inverseurs de poussée :

o « la perte non-annoncée des inverseurs de poussée doit avoir une fréquence <

5.10-3_{/flt »}

L’exigence de sûreté système « la décélération involontaire après V1 doit avoir une

fréquence < 5.10-9_{/flt » est déclinée au niveau sous-systèmes en :}

 Pour les freins des roues :

o « le freinage involontaire des roues après V1 doit avoir une fréquence

< 5.10-9_{/flt »}

 Pour les inverseurs de poussée :

o « l’inversion involontaire de la poussée après V1 doit avoir une fréquence

< 5.10-9_{/flt »}

 Pour les aérofreins :

o « le déploiement involontaire des aérofreins après V1 doit avoir une fréquence

< 5.10-9_{/flt »}

Dans le document Intégration de la sûreté de fonctionnement dans les processus d'ingénierie système (Page 142-147)