Sûreté de fonctionnement

Notre approche nous autorise à n’étudier non seulement les réactions du conducteur mais aussi le comportement global de l’ensemble qu’il forme avec le véhicule. La notion de sûreté de fonctionnement (SDF) apparaît dès le début du 20eme siècle avec le développement du transport ferroviaire et de la dis-tribution d’énergie électrique. Plus tard, l’essor du transport aérien conduira les avionneurs à développer des méthodes d’évaluation de la sécurité des aéro-nefs. Aujourd’hui, les études de SDF sont intégrées à de nombreux domaines d’applications afin d’éviter au maximum les incidents liés à l’activité indus-trielle et humaine. Elle repose entre autres sur les notions (Zwingelstein, 1999) de fiabilité (probabilité de non-défaillance d’un équipement), de disponibilité (probabilité à un instant t d’un système de réaliser sa fonction) et de mainte-nabilité (aptitude d’un système à être maintenu en état). Une étude de SDF d’un dispositif comporte principalement (voir figure 11.3) :

– Une analyse organique et fonctionnelle. – Une analyse quantitative.

– Une analyse qualitative.

L’analyse organique et fonctionnelle repose sur une décomposition du système étudié afin d’identifier au mieux les défaillances (et leurs conséquences) des composants et de leurs fonctions. Le cahier des charges fonctionnel (CdCF) est un document essentiel à ce type d’analyse. Nous y retrouvons par exemple les méthodes FAST (Function Analysis System Technique) et SADT (Structure Analysis Design Technique).

Figure11.3 – Proposition d’organigramme global des différentes étapes d’une analyse de sûreté de fonctionnement proposée par Zwingelstein, 1999.

Les études de sûreté de fonctionnement des systèmes intègrent généralement une analyse prévisionnelle des risques. Il s’agit d’étudier les dysfonctionnements auxquels un système ou l’un de ses composants peut être sujet en se concentrant aussi bien sur les causes, le contexte y conduisant ainsi que sur les conséquences qui en découlent. Cette démarche requiert une connaissance fine du système en question dont la description est tant organique que fonctionnelle. Par ailleurs, il serait pernicieux pour une telle analyse de négliger les interactions entre ce système et l’environnement dans lequel il évolue. Deux catégories d’approches d’analyse prévisionnelle se distinguent. L’approche dite inductive a pour objec-tif d’étudier les conséquences des phénomènes à l’origine de la défaillance du système ou de l’un de ses composants. Selon l’approche inductive, le chemine-ment inverse est appliqué en identifiant la ou les raisons étant ou pouvant être à l’origine du dysfonctionnement (Zwingelstein, 1999, Aubry et Chatelet, 2008, Giraud, 2006).

Développée à l’origine pour l’industrie aéronautique, la méthode AMDE (Analyse des Modes de Défaillance et de leurs Effets) est une technique

d’ana-11.1. PERSPECTIVES 181 lyse prévisionnelle inductive largement utilisée en milieu industriel (nucléaire, transport). Le recours à une telle méthode requiert l’établissement d’une des-cription du système en sous-ensembles dont la caractérisation des modes de défaillances est connue. Une fois la recherche la plus exhaustive qui soit des modes de défaillances et de leurs causes immédiates achevée, l’évaluation des conséquences sur le système conduit à des actions correctives puis à une nou-velle itération de l’analyse (re-bouclage). La méthode AMDEC (Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité) confère à la méthode AMDE la notion de criticité des défaillances. Cette méthode fut mise au point pour le projet spatial Apollo lors de la conception du LEM (Lunar Excursion M odule). La criticité d’un risque, d’un dysfonctionnement rend compte à la fois de la gravité des conséquences engendrées ainsi que de sa probabilité d’oc-currence. Il est alors aisé de visualiser, au moyen d’une matrice de criticité (voir tableau 11.4), les zones d’acceptabilité et de refus du risque (dans une optique d’aide à la décision par exemple). Les méthodes AMDE et AMDEC présentent en particulier l’avantage de bénéficier d’un important retour d’expérience (de-puis les années 60) et de faire l’objet de normes.

Figure 11.4 – Exemple de matrice de criticité. La combinaison de la gravité d’un événement et de sa probabilité d’occurrence permettent aux concepteurs de visualiser aisément la criticité associée et donc de faciliter la prise de décision. En disposant de modèles de comportement quantitatif tel que celui présenté au cours de cette étude, il est alors possible d’établir ces matrices de criticité dès les phases amont de conception des véhicules en évaluant l’impact de cer-tains modes dégradés et selon différentes métriques. La figure 11.5 représente les variations maximales de position angulaire du volant suite à une perte d’as-sistance soudaine. Il est à noter que la confrontation expérimentale ne peut être écartée de telles études.

Enfin, le modèle adaptatif de conducteur offre une large palette de critères pour quantifier et comparer les effets de différents modes dégradés non pas sur le véhicule ou système considéré seule mais au niveau de l’interaction entre le véhicule et le conducteur. Que se soit en termes de variation de position du véhicule sur la voie ou de durée d’apprentissage du nouveau contexte, il est dorénavant possible de catégoriser au travers d’une métrique commune les effets de différents types d’évènements sur la performance des conducteurs.

Figure11.5 – Effet d’une augmentation soudaine et permanente de la raideur du système volant pour différents couples de raideur et viscosité musculaires. La variation relative maximale de l’angle volant diminue avec l’augmentation de la raideur et de la viscosité musculaires du conducteur. La connaissance de ces valeurs permet une première estimation des conséquences de la défaillance sur la tâche de conduite et donc sur la sécurité de l’automobiliste.