chap7 arbre de panne
Post on 23-Jun-2015
744 Views
Preview:
TRANSCRIPT
Chapitre 7
Analyse par Arbre de panneAnalyse par Arbre de panneSources :• Clifton A Ericson II Hazard Analysis Techniques for System Safety• Clifton A. Ericson II, Hazard Analysis Techniques for System Safety,
John Wiley&Sons Inc., 2005
• Hammer Willie , Product Safety Management and Engineering, Prentice-Hall Inc.
• Norme CEI 1078, Technique d’analyse de la sûreté de fonctionnement – Méthode du diagramme de fiabilité, 1991
• Norme CEI 1025, Analyse par arbre de panne (AAP), 1990
I t d tiIntroduction
Présenter la vue d’ensemble de la techniquePrésenter la vue d ensemble de la technique d’analyse par arbre de panne (ADP)
ObjectifsObjectifsAvantages et désavantagesContexte d’utilisation
OrigineOrigine
L’analyse par arbre des pannes a étéL analyse par arbre des pannes a été
• Inventée et développée par H. Watson et Allison B. Mearn de Bell Laboratories à la demande l’armée de l’airMearn de Bell Laboratories à la demande l armée de l air des États-Unis pour déterminer les possibilités et les probabilités d’un lancement imprévu ou non autorisé d’un missile « Minuteman » ou d’autres armes nucléairesmissile « Minuteman » ou d autres armes nucléaires.
• Utisée par Dave Haasl de Boeing Co. pour mener une analyse quantitative de sécurité du système d’armementanalyse quantitative de sécurité du système d armement nucléaire « Minuteman »
Objectifs
ADP pendant la phase de conception du produit (approche proactive)
Évaluer le potentiel de défaillance du systèmeComprendre les cause probables des événements indésirablesAméliorer les faiblesses pouvant causer les événements indésirables
ADP pendant la phase d’opération du produit (approcheADP pendant la phase d opération du produit (approche réactive)
Identifier les causes d’accidents afin d’apporter des corrections visant à éviter les accidents dans le futurIdentifier les causes possibles d’anomalies ou pannes en temps réel afin d’atténuer les risques d’accidents
Description• Outil analytique
• Évaluation pour les systèmes complexes
• Identification des événements qui pourraient causer un état indésirable du système
• Support pour les études portant sur la sécurité, la fiabilité, la disponibilité et les accidents
• Identification des causes
• Technique déductive
• Évaluation des risques (qualitative : coupes minimales) (quantitative : probabilité)
• Modèle
• Visuel
• Présentation des relations « cause-effet »Présentation des relations « cause effet »
• Contenant des pannes, événements normaux et des chemins critiques
• Contenant des éléments de dangers et des erreurs humaines ainsi que l’environnement
• Méthodologie• Méthodologie
• Détaillée, structurée et rigoureuse
• Utilisation de l’algèbre de Boole, probabilité, fiabilité, logique
• Respect des lois scientifiques et des techniques de génie• Respect des lois scientifiques et des techniques de génie
Exemple
Système
ÉÉvénement indésirable : Absence de lumière
Modèle d’ ADPModèle d ADP
CoupesGroupes d’événements qui, lorsqu’ils se produisent sont (peuvent être) à l’origine de l’événement de têtede l événement de tête.
Symboles préférentiels
Défaillance primaire Défaillance secondaire Événement normalDéfaillance primaire Défaillance secondaire Événement normal
Porte OU Porte Et Porte Non Porte OU exclusif Porte Et prioritaire
Libellé de l’événement Condition Report
Structure
Événement de tête
Extrant
IntrantPorte
Événement de base-Défaillance du composant
T h i d’ l i d ti t déd tiTechniques d’analyse inductive et déductive
Logique :Logique :
• Raisonnement déductif :
• Prémisse Conclusion
Les chiens sont les animaux. Celui-ci est un hi Il t d i lchien. Il est donc un animal.
• Fausse prémisse Fausse conclusion
Les hommes sont les singes. Celui-ci est un homme. Il est donc un singe.
Logique :Logique :
• Raisonnement inductif :
C l i h théti• Conclusion hypothétique
Tous les corbeaux observés sont noirs. Donc, les corbeaux sont noirsles corbeaux sont noirs.
Analyse déductive :
• Objectif : vise à trouver la (les) cause(s) et les facteurs contributifs pour un danger identifié.
• Question à poser pour faire l’analyse
• Comment arrive-t-elle la panne?
• Quelles sont les causes de l’évènement?
Analyse inductive :a yse duct e
• Objectif : vise à postuler les hypothèses relatives aux causes possibles (sans preuve nécessaire)
• Question à poser pour faire l’analyse
• Quelles sont les conséquences de l’évènement?Quelles sont les conséquences de l évènement?
Niveau de détailAnalyse inductive vs Analyse déductive
Effet Système (haut)
Logique Logique
C C
Sous-système
Unité
Logique déductive
Logique inductive
Cause Cause Unité
Assemblage
CauseCause Composants
Du sommet à la base
De la base au sommet
Aperçu de l’arbre de panne
Événement de tête (indésirable)
Système
Arbre de panne
Résultats
Coupe minimale = A.B.C.Y
Probabilité = 1,7 x 10-5
Approche déductive
S1 S2 S4S3 Système
A B EC
DSous-système • Du général vers
spécifique
S2
A12 Unité• Analyse à partir
de l’événement de tête au(x)
A
A12Composant
cause(s) initiale(s)
T7
ADP pendant le cycle de vie du produit
Phase de design• ADP doit être utilisée dès le début du programme de développement• L’objectif est d’identifier les problèmes potentiels et de les corriger avant que les
coûts de modifications deviennent coûteuxcoûts de modifications deviennent coûteux• Effectuer les mises à jour au fur et à mesure que les travaux de design
progressent• Chaque nouvelle version contient de détails additionnels• l’ADP établie pendant la phase conceptuelle contenant seulement les niveauxl ADP établie pendant la phase conceptuelle contenant seulement les niveaux
supérieurs fournit quand même des informations utilesPhase d’opération
• ADP pendant le temps de service du produit est utile pour l’analyse des causes de problèmes
Design conceptuel
Design préliminaire
Design final Déploiement
problèmes• ADP permet d’identifier et d’éliminer les causes des problèmes
conceptuel préliminaire
ADP initiale ADP mise à jour
ADP mise à jour
ADP mise à jour
ADP opération
Source SAE ARP-4761
Exemple d’ADP
Crevaison du pneu
Pneu endommagé
Défaillance du pneu
Usure Coupé par débris sur route
Dommage infligé
Défaut de fabrication
Collision Sabotageaccidentée
Sabotage
Résumé
Estimationde risque
ADP
Données de design
Analyse de sécurité
Données de fiabilité
• Dessins• Croquis• Manuels• Emploi du temps• Diagramme
• Événements indésirables• Cause-effet• Modes de défaillances
• AMDEC• Modes de défaillance• Taux de défaillance• Prédictions
D é ll téDiagramme fonctionnel
• Données collectées• Jugements des experts
ADP est un technique d’estimation de risque
Procédure
Notions de basePrésentation des huit étapes de laPrésentation des huit étapes de la procédure
Procédure
Exemples
SAMPLE TOP EVENTS FOR FAULT TREES
1. Injury to_______2. Radiation injury _______3. inadvertent start of ___.4. (Equipment to be named) activated inadvertently.5. Accidental explosion of ______.6 Loss of control of6. Loss of control of _____7. Rupture of______.8. Damage to .___.9 Damage to from9. Damage to ____ from ____.10. Thermal damage to _____.11. Failure of __ to operate (stop) (close) (open).
12 R di ti d t12. Radiation damage to _____13. Loss of pressure in ______14. Over pressurization of___.15. Unscheduled release of ______16. Premature (Delayed) release of _____17 Collapse of17. Collapse of _____18. Overheating of ____19. Uncontrolled venting of _____ (toxic, flammable, or high
)pressure gas).20. (Operation to be named) inhibited by damage.
EXIGENCES CRITÈRES DU DESIGN
Événement de l’ADP
All doors should All doors shall Door opens while remain closed when the train is in motion.
remain closed when the train is in motion.
ptrain is in motion.
Upon station arrival, the doors should be operable
Doors shall be capable of opening only after train is
Door opens while improperly aligned with station
only after the train is stopped and all doors are properly
stopped and properly aligned in station, or for
platform.
aligned with the station platform.
emergency as noted below.
The train should stay The train shall not Train starts ymotionless while the doors are open.
be capable of moving with any door open.
with door open.
Initiation of a door close command should occur only when the door
Door areas shall be clear before door closing
Door close initiated when y
areas are clear.g
begins. occupied.
If door closure is prevented by an
An obstructed door shall reopen
Obstructed door fails toprevented by an
obstruction, the appropriate door should reopen to allow removal
door shall reopen to permit removal of the obstruction, and then
door fails to reopen.
reopen to allow removal of the obstruction before reclosing.
and then automatically reclose.
The train should be allowed to proceed only after all doors are
Doors shall be closed and locked before train is
Train enabled to proceed withonly after all doors are
known to be closed, locked, and free of residual obstruction.
before train is allowed to proceed.
proceed with door open or unlocked.
It should be possible to open the doors, when the train is stopped
Means shall be provided to permit opening doors
Doors cannot be opened forthe train is stopped
anywhere, for safe emergency train evacuation
opening doors anywhere for emergency evacuation
for emergency evacuation.
evacuation. evacuation.
Événement de tête Commentaire
Bateau coule Problème trop grand et vagueBateau coule Problème trop grand et vague
Système de communication ne fonctionne pas
approprié
Un moteur s’arrête appropriéUn moteur s arrête approprié
Les deux moteurs s’arrêtent en même temps
approprié
S tè d di ti iéSystème de direction ne fonctionne pas
approprié
Tous les passagers meurent Problème trop grand et vague
Procédure itérative
Effet Effet
Cause
Niveau 1
EffetEffet
Cause
Niveau 2
CauseCause
Niveau 3
Effet
Niveau 4Cause
Type d’évaluationType d évaluation
QualitativeGénération des coupesGénération des coupesValidation des coupesÉvaluation des coupes
QuantitativeApplication des données de défaillance à l’arbre des événementCalcul des probabilitéCalcul des probabilitéÉvaluation des mesures importantes
Estimation des risqueCCriticité, sévérité, sensitivité, probabilité
Méthodes d’évaluationMéthodes d évaluation
ManuellePossible pour les arbres simples et de petite taillePossible pour les arbres simples et de petite taille
À l’aide de l’ordinateurNécessaire pour les grandes arbres complexesDeux approches : analytique et simulation
MéthodesCalcul des coupesCalcul des coupes
Réduction à l’aide de l’algèbre de BooleAlgorithmes (MOCUS et..)Diagramme de décision binaire
CCalcul des probabilitésRéduction à l’aide de l’algèbre de BooleApproximation
Résumé
Définition du système
Définition de
1
28
Système(Design/Data)
Documentation/application
Modification
Définition de l’événement de tête
Établissement des limites3
7
Rapport
Validation Construction de l’arbre
46
Liste des
coupes
Rapport
Évaluation
Proba-bilités
5
Définitions
LibelléSymbolesSymbolesLogique
Événements de base
1. Événement de défaillance
É1. Événement de défaillance de base primaire (cercle)
2. Événement de défaillance de base secondaire (losange)
2. Événement normal
1. Événement décrivant l’état normal prévu du système
2. Opération ou fonction normalement prévu du système Ex: fournir la puissance au temps T1.
3. En général soit « ouvert » soit « fermé » dont la probabilité est 1 g pou 0
4. Symbole (maison)
Portes
Une porte est un opérateur logique combinant les intrants
Types :Types :
ET, OU, NON, ET prioritaire, OU exclusif
Autres (utilité limitée)
Une porte représente un état dont l’expansion est possible
ConditionsConditions
• S’attache à une porte
• Établissement d’une condition à satisfaire en l’occurrence de la porte
Reportp
Indication d’une branche spécifiquep q
Représenté par un triangle
Objectifs : un report indique
Début d’une nouvelle page
Branche semblable utilisée à plusieurs places dans l’arbre ’ ll it d i é (t f t i t )sans qu’elle soit dessinée (transfert interne)
Un module d’intrant provenant d’une autre analyse (transfert externe)
Présentation de l’ADP
Les arbres de panne peuvent être disposés it ti l t it h i t l t Sisoit verticalement soit horizontalement. Si on
choisit la disposition verticale, il convient que l’événement de tête est placé en haut de lal événement de tête est placé en haut de la page et les événements de base en bas. Dans le cas d’une présentation horizontale, p ,l’événement de tête peut être situé à gauche ou à droite de la page.
Présentation de l’ADP
Les symboles utilisés pour ces exemples comprennent :• une case comportant le libellé de l’événement;• un symbole logique utilisé pour représenter les
liaisons entre les événements (portes);liaisons entre les événements (portes);• une ligne d’entrée des portes;• un symbole de report différé (cause commune);un symbole de report différé (cause commune);• un symbole de report;• un symbole de fin d’information (par exemple
événement de base).
Symboles des événements de base
Résistor R88 reste ouvert Défaillance primaire
Défaillance inhérente du composant
Résistor R88 ne reste ouvert à cause de IEM
Défaillance secondaire Défaillance causée par une force externe
Ordinateur C2 ne fonctionne pas Défaillance secondaireDéfaillance qui nécessite une enquête plus
L i t f i
enquête plus approfondie
FonctionLa puissance est fournie au système au moment T = 150
Événement normalFonction normalement prévu
Symbole de Porte ET :y
A B C
0 0 0
1 0 0
0 1 0
1 1 1 P P1 1 1 PAPB
Arbre des pannes
• A et B sont tous les deux nécessaires à l’occurrence de C
• A et B doivent survenir simultanément
Arbre des pannes
P = PAPB 2 intrants
P = PAPBPC 3 intrants
et do e t su e s u ta é e t
A B C
Exemple de porte ETp p
Absence de lumière
Lampe
A
lumière
B
Interrupteur A coincé ouvert
Interrupteur B coincé ouvert
P = PA x PB
Coupe minimale : A,B
Porte ETPorte ET spécifie la relation causale entre l’intrant et l’extrant :
Les pannes à l’entrée représentent conjointementLes pannes à l entrée représentent conjointementla cause de la panne à la sortie
Symbole de Porte ou :y
A B C
0 0 0
1 0 1
0 1 1
1 1 1
PAPB=PA(1-PB)PAPB=(1-PA)PB
PAPB =PAPB
• Seul A ou B est nécessaire et suffisant à l’occurrence de C
1 1 1 PAPB PAPB
• A et B ensemble peuvent également causer C
P = P (1 P )+(1 P )P +P P = P + P P x P 2 intrantsP = PA(1-PB)+(1-PA)PB+PAPB= PA + PB - PA x PB 2 intrants
P = PA + PB + PC – (PA x PB + PA x PC + PB x PC) + PA x PB x PC 3 intrants
Exemple de porte ou
Lampe
p p
p
BA
Coupe minimale : A
B
P = PA + PB - PA x PB
Porte ouPorte OU laisse passer la relation causale entre l’intrant et l’extrant :
Les pannes à l’entrée sont de même nature que celle à la sortie;Les pannes à l entrée sont de même nature que celle à la sortie; seulement elles sont plus spécifiquement définies. Elles ne peuvent pas être la cause de la panne à la sortie
Symbole de Porte ou exclusif :y ou
A B C
0 0 0
1 0 1
0 1 1
1 1 0
PAPB=PA(1-PB)PAPB=(1-PA)PB
• Seul A ou B est nécessaire ou suffisant pour produire C
1 1 0
• Seul A ou B est nécessaire ou suffisant pour produire C
• Mais A et B ne peuvent survenir simultanément
• Utilisée pour deux intrants seulement (en cascade pour plusieursUtilisée pour deux intrants seulement (en cascade pour plusieurs intrants)
P = PA+PB-2(PAPB) 2 intrants
Symbole de Porte Et avec priorité :y p
A B C
0 0 0A avant B
C
1 0 0
0 1 0
1 1 1 PAPB
A avant B
A B1 1 1 PAPB
• Les deux intrants A et B sont requis à l’occurrence de C
• Mais A doit survenir avant B
O d d i ité d h à d it• Ordre de priorité de gauche à droite
P=PAPB / N! où N est nombre d’intrants et λA = λB
Symbole de Porte SiSymbole de Porte Si
• Les deux intrants C et Y1 sont requis à l’occurrence de D
• Y1 est la condition ou probabilitép
• Passage ouvert si la condition est satisfaite
P = P PP = PAPY
Symbole de Report
Symbole Fonction Description
y p
Report Même événement défini ailleurs dans ce même arbre de panne (internal transfert)
Report différé
Même événement défini ailleurs dans un autre arbre de panne (external transfert)
Report similaire
Branche de même structure à répéter (similar transfert)
Report (transfert)
AReport
Ordinateur X ne fonctionne
pasR
Conducteur P1 est défectueux
Ordinateur X ne fonctionne
pasB
Conducteur P1 est défectueux
C B C E
R
ReportC B
Report différé (external transfert)
Report (internal transfert) Report
similairetransfert)
Défaillance vs panne
• Défaillance (failure) : incapacité, défaut d’exécution, d’un composant de base. Ex : interrupteur ne se déclenche pas.
P (f lt) ét t i dé i bl it à déf ill d’• Panne (fault) : état indésirable suite à une défaillance d’un composant, d’un sous système ou du système. Ex : le manque de lumière est l’état indésirable suite à la défaillance de l’ampoule, à la perte de l’électricité ou à une mauvaise manœuvre de l’opérateurp p
• Défaillance primaire : défaillance au niveau le plus bas (inhérente) du composant
• Défaillance secondaire : défaillance causé par un autre composant• Défaillance secondaire : défaillance causé par un autre composant du système ou par un agent externe du système.
• Panne commandée : défaillance causée par une commande erronée (en temps ou manière)(en temps ou manière).
Défaillance vs panne
panne
Lampe
Lumière n’est pas allumée
panne
Interrupteur A
ordinateur
Lumière brûlée
A reste ouvert par commande de l’ordinateur
Batterie ne fonctionne pas
Ordinateur commande l’ouverture de A (faute dans logiciel)
Défaillance (primaire)(primaire)
Remarque :Toutes les défaillances sont des pannes. L’inverse n’est pas nécessairement vrai
Défaillance indépendante / dépendanteé a a ce dépe da te / dépe da te
Une défaillance indépendante est celle qui n’est pas causée directement ou indirectement par un autre événement ou composant
Une défaillance dépendante est :
Une défaillance qui est causé directement ou indirectement par un autre événement ou composant
Exemple : un composant du circuit électrique qui est court-p p q qcircuité, laisse passer une intensité excessive du courant impliquant la rupture de la résistance R4.
Défaillance primaire :é a a ce p a e
Mode de défaillance inhérente du composantÉlément de base élémentaireÉlément de base élémentaireÉlément dont la subdivision ne peut pas être faiteExemple : diode cesse de fonctionner à cause de défauts de son matériau constituant
Défaillance secondaire :
Défaillance d’un composant causée par une force externe duDéfaillance d un composant causée par une force externe du systèmeÉlément de base non élémentaireExemple : Circuit imprimé fonctionne mal à cause de l’IEMÉÉvénement dont la subdivision plus poussée n’a pas été faite (en général, parce que cela n’était pas jugé utile)
MOE, MOB et Module
MOE (Multiple Occurring Event) : événements id ti i t didentiques apparaissant dans les branches différentes
MOB (Multiple Occurrence ( pBranch) : branches identiques apparaissant à plusieurs places dans l’arbre
Module : une sous arbre indépendante ou une branche qui ne contient pas de MOE ou MOB d’ailleurs et qui n’est pas une MOB
Source : Clif Ericson
Coupes
• Coupe : est un groupe d’événement qui, lorsqu’ils se produisent sont (peuvent être) à l’origine de l’événement de p (p ) gtête. Il est également connu comme chemin de panne.
• Coupe minimale : est la plus petite des coupes dont tous les événements doivent se produire (dans le bon ordre) pour queévénements doivent se produire (dans le bon ordre) pour que l’événement de tête ait lieu. Si l’un de ces événements ne survient pas, l’événement de tête ne peut arriver.
O d d l b d’é é t d• Ordre de la coupe : nombre d’événement dans une coupe. Une coupe de premier ordre est nommé « single point failure » (dangereux)
• Chemin critique : coupe dont la probabilité de défaillance est la plus importante. Il est important de réduire cette probabilité afin d’améliorer la performance en sécurité dud améliorer la performance en sécurité du système.
Coupes:A : premier ordre (A )B D d d (B t D)B,D : second ordre (B et D)C,D : second ordre (C et D)
Construction
Règles et méthode de constructionRègles et méthode de construction
Technique de construction
• L’arbre de panne comprend les étages, les niveaux (supérieur, intermédiaire et de base) et les branches
• Développer chacune des branches de façon itérative et identifier toutes pp çles causes – effets événements et leurs relations
• Pour chacun des événements analysé :
• Identifier toutes les causes possibles de cet événement• Identifier toutes les causes possibles de cet événement (déduction)
• Étudier seulement l’événement voisin immédiat, pas plus loin
• Ne pas sauter les étages
• Posez-vous la question « qu’est ce qui est nécessaire et suffisant pour »
• Déterminer la logique et le type de porte
• Construire l’arbre avec ces événements et portes logiques
• Réviser continuellement toutes les étapes afin d’assurer qu’aucun événement soit répétép
• Une branche est complétée lorsque le niveau d’événement de base est atteint et que les limites établies sont atteintes
Effet Effet
CauseCause
I-N-SP-S-CS-S/C
EffetEffet
Cause
I-N-SP-S-C
Cause Cause
P S CS-S/C
Effet
I-N-SP-S-CS-S/C
Cause
Quoi et CommentQuoi et CommentQuoi et Comment
• Quelles sont les pannes/défaillances causant cet événement?
• Comment les pannes se sont combinées?
• Ne pas oublier : immédiate, nécessaire et suffisante
Quoi
• Contenu de chacun des intrants de l’événement.
Comment (type de portes logiques)
• ET : tous les intrants sont requisET : tous les intrants sont requis
• OU : un seul des intrants est requis à l’occurrence de l’événement
X
A B CQuoi?
Comment?
C
Recherche de la relation « Cause - Effet »
Effet
Possibilité logique
Les morceaux du puzzle
Cause potentiel
Produit final Mots clés :I S CI-S-CS-P-CÉtatFonction
Identification de la relation « cause - effet »
B D
C et D sont nécessaires immédiatement pour produire E
A
C
E
produire E
intrant extrant
Événement de têteE C et D causent E
A
C D
B
• Commencez par l’événement de tête E
• Suivez la direction de la flèche (vers l’aval)
intrant
Aintrant• Prenez un composant à la fois
direction du signal
Système en sériedirection du signal
A BPas d’extrant de B
direction de l’analyseDéfaillance de B
P d’ t t
Pas d’intrant à B
ou
Pas d’extrant
Conducteur brisé Pas d’extrant de A
Défaillance de A Pas d’intrant à ADéfaillance de A Pas d intrant à A
Exempledi ti d i lSystème en série-parallèle
A
direction du signal
B
C
OU
direction de l’analyseET
OU OU
Méthodologie pour le développement des portes l ilogiques
La construction à chaque porte comprend trois étapes :
• Étape 1 : Immédiate, Nécessaire et Suffisante (I-N-S) ?
• Étape 2 : Primaire, secondaire et commande (P-S-C)?
• Étape 3 : État du composant ou du système (S-C/S)?• Étape 3 : État du composant ou du système (S-C/S)?
Étape 1
• Lire attentivement le libellé de la porte• Lire attentivement le libellé de la porte
• Identifier les événements immédiats, nécessaires et suffisants pour causer l’événement extrant de la porte
• Immédiat : ne pas sauter les événements déjà considérés
• Nécessaire : inclure seulement les événements nécessaires
• Suffisant : inclure au minimum les événements nécessairesSuffisant : inclure au minimum les événements nécessaires
Étape 1
Intrant Extrant
• C et D sont immédiats à E
EffetEffet
C• C et D sont nécessaires à
l’occurrence de E
• C et D sont suffisants à la
CauseCause
C et D sont suffisants à la production de E
Étape 2Étape 2
Identifier les événements Primaire, secondaire et commande à l’entrée de la porte :
Panne/défaillance primaire : défectuosité inhérente du composant
Panne/défaillance secondaire : défaillance causée par une force externe
Panne de commande : état de fonctionnement commandé par une panne ou défaillance en aval
L’existence des trois intrants P-S-C en même temps implique une porte OUL existence des trois intrants P S C en même temps implique une porte OU
Spanne
P
S
C extrant
P : primaireS : secondaire
Commande
S : secondaireC : commande
Exemple : P – S- C
A: inhérent
Diode Résistor D
C: intrantC: intrantB: externe
Étape 2
Intrant ExtrantPas extrant de E
CSP
Le passage des Défaillance
de EDéfaillance de E à cause de chaleur
Pas intrant à E
C
p gpannes de commande indique la direction des
cause de chaleur
PS
C
direction des causes
C
Défaillance du conducteur
Défaillance d’intrant à E
S
C
Pas intrant de C
Pas intrant de D
Étape 3
Identifier l’état de l’événement.
• Une panne causée par une défaillance inhérente du composant est un SC (state of the component/état du composant). Un SC est généralement représenté par une porte OU.
Contact du relais ouvert
Relais reste ouvert (brisé) Relais énergisé par IEM cause l’ouverture du relais
• Une panne qui ne peut être causée par la défaillance du composant est un SS (system status/état du système). Type de porte dépende du design système. Commande exécutéeCommande exécutée
Présence de l’énergie Présence du signal
Isolation et Analyse d’un composanty p
SIsolation d’un composant
P
C E
Direction de l’analysePrimaire : regard vers l’intérieurSecondaire : regard vers l’extérieurCommande : regard en amontE d l
P
Extrant : regard en aval
Utilisation du diagramme fonctionnel
Diagramme bloc fonctionnel
Décomposition du système suivant l f ti
DocumentsCroquis
les fonctionsApplication des relations « cause-effet »Arbre est moins étendue et contient Croquisplusieurs niveauxDémarche structurée, rigoureuse, applicable pour la majorité des cas
Utilisation du type de composants du système
Identification du type des composants est souvent utile à yl’élaboration de l’ADP
Composant actif (initiateur) :Composant qui fournit ou couper de l’énergie force ouComposant qui fournit ou couper de l énergie, force ou puissance nécessaire à l’opération du système Ex: relais, pompe, source électrique etc..
Composant passif (facilitateur) :Composant qui permet la transmission de l’énergie, force et puissance etc..Ex : conducteur tuyauEx : conducteur, tuyau
Porte OU s’applique aux cas où plusieurs intrants se manifestent
Utilisation du type de composants du système
LumièreBatterie
Interrupteur Ainitiateur
F ilit tFacilitateur
Exemple de construction d’ADP
Lampe
BA
I-N-S
Panne de commande
Défaillance premièrepremière
Exemple
Lampe
BA
Porte analysée
État du système
Pannes (état du système)
Exemple
Lampe
BA
État du système
I-N-S
À développer
ExemplePas de lumière
LampeDéfaillance de
l’ampouleAmpoule ne reçoit
pas du courant
BA
Absence du courant
Circuit n’est pas fermé
À développer
Interrupteurs sont ouverts
Conducteur de retour coupé
Interrupteur A est ouvert
Opérateur ouvre Interrupteur A
Interrupteur B est ouvert
Opérateur ouvre Interrupteur B pinterrupteur A
pcoincé ouvert
pinterrupteur B
pcoincé ouvert
Exemple
Lampe
BA
Exemple
Lampe
BA
Mauvais exemple (approche non structurée)
approche de liste d’épicerie, manque de rigueur
Lampe
rigueurconclusion trop simpliste, manque plusieurs détails et événements tels que les passages du courant, erreurs h i tBA
Absence de lumière
humaines etc..
Ampoule brûlée
Interrupteur A est ouvert
Interrupteur B est ouvert
Batterie épuisé
Conducteur coupé
B C D EA
Démarche Itérative Construction des blocsMéthode d’analyse
Résumé
Lecture attentive du libellé de la porte
porte
Démarche Itérative
événements
Construction des blocsMéthode d analyse
p
Identification:1) Cause
2) logiqueS 2) logique
Définition exacte et descriptive des
portes
P
C E
S Isolation d’un composant
descriptive des événements
Est-ce que l’événement de
P
I-N-SP-S-CS-C/S
l événement de base est atteint
B h lété
o
N
•approche par fonctions•Étape par étape, pas de grand saut• libellé de transition
Branche complétée
Évaluation
Méthodes d’évaluation de l’ADPImportance des coupesImportance des coupesGénération de coupes et calcul de probabilités de l’ADP
Coupes : produit important de l’ADP
Coupe : est un groupe d’événement qui, lorsqu’ils se produisent sont (peuvent être) à l’origine de l’événement de tête. Il est également connu comme chemin de panne.également connu comme chemin de panne.
Coupes identifient les événements critiques et les point faibles du système (grandes probabilités, possibilité de contourner redondances, combinaisons difficiles à considérer), )
Coupes permettent le calcul de probabilités de l’ADP :
En général, plus le nombre d’événements contenus dans le coupe soit grand plus la probabilité du coupe soit faiblecoupe soit grand, plus la probabilité du coupe soit faible
Évaluation
Qualitative
• Coupes
Quantitative
• Coupes
• Probabilité
Évaluation qualitative
Non numériqueSubjectiveProcédure :
Génération des coupes minimales de l’ADPGénération des coupes minimales de l ADPÉvaluation qualitative de ces coupes minimales et analyse relative au design/problèmes
Importance de l’ordre des coupes :Plus son ordre soit faible, plus son danger qu’il représente soit grand (ex: l’ordre du coupe contenant un défaillance/erreur unique est 1)
Présence de composant important qui se trouve dans plusieurs coupesValeurs :Valeurs :
Identifications des combinaisons de causes originaires (root cause) qui sont difficiles à percevoirIdentifications des points faibles du designId tifi ti d ibilité d t t d d d dIdentification de possibilités de contournement de redondance des moyens de sécuritéIdentification de problèmes de cause commune (défaillance pouvant affecter tous les redondances))
Évaluation quantitative
Numérique : probabilité de l’occurrence des coupes et celle de l’événement de tête non désirableProcédure :
Avec les couples :Avec les couples : Génération de la liste des coupes minimalesCalcul de probabilités de l’ADP à partir de celles des coupes minimales
Sans couples :Calcul direct à l’aide de la réduction booléenne de l’ADP
Les données relatives aux composants telles que le taux de défaillance et le temps d’exposition sont requistemps d exposition sont requisEstimation probabillistiques des risques (ADP, couples, portes événements, chemin critique)ObjectiveP tt t l’é l ti tit ti d d é d l’ tt i t d l’ bj tif dPermettant l’évaluation quantitative du degré de l’atteint de l’objectif du design
Détermination de coupes minimales
Coupes :
C i i l t l l tit d d t t lCoupe minimale : est la plus petite des coupes dont tous les événements doivent se produire (dans le bon ordre) pour que l’événement de tête ait lieu. Si l’un de ces événements ne survient pas, l’événement de tête ne peut arriver.p , p
Super coupe : coupe qui contient des MOE
Coupe en double
Nécessité d’élimination des super coupes et des coupes en double :
Lois d’algèbre de Booleg
Fournir une valeur conservatrice de la probabilité de l’ADP
Détermination de coupes minimales
A
A B CA B A B C
A B
Coupes : Coupes minimales
A AA AA,B ---------- super coupeA,B,C ---------- super coupeA,B ---------- coupe en double, p
Méthodes pour déterminer de coupes minimales: Réduction de l’ADP
Il est souvent nécessaire de réduire pour simplification de l’ADPl’ADP
Réduction à l’aide de l’algèbre de BooleIl est nécessaire de réduire l’ADP pour la résolution de MOE et MOBMOE et MOB
Modification de l’équation Booléenne afin d’éliminer les MOE dans l’équationAbsolument nécessaire pour le calcul de probabilités de l’ADPde l’ADP
La logique fonctionnelle du système utilisée pour l’élaboration de l’ADP est perdue
Réduction de l’ADP
G1Formule équivalente en mathématique
G2G3
G1
A B C D E
A BC G4
D E
A B C D E
N t l f ti l i d l’ADP t d è l éd tiNote : les fonctions logiques de l’ADP sont perdues après la réduction
Réduction de l’ADP
G1Formule équivalente en mathématique
G2 G3
A XX
G1
A B A CA XX
B C
N tNote : Élimination des MOEles fonctions logiques de l’ADP sont perdues après la réduction
Réduction booléenne
a.a = aa+a=a
Formule équivalente en mathématiqueLogique
A
a + ab = aa(a+b) = a
A XX
G1
A XX
G1
A
( )
A B
A B
A
Réduction des MOE
G1
[1] AA XX
A B
A[1] A[2] A,B
[1] A
AA XX
G1
[1] A,A[2] A,B
[1] A
A B
Réduction des MOE
G1
A XX
A B
[1] A,A,B [1] A,B
A XX
G1
[1] A[2] A
[1] A[2] B
A B
[3] B[2] B
Méthode pour l’obtention des coupes minimales avec le diagramme MOCUSavec le diagramme MOCUS
• Réduction à partir du sommet
T t l
1. Inscription du non de l’événement de tête
2. Remplacement de G1 par ses intrants G2 t G3Toutes les coupes
Coupes minimales
G2 et G33. Remplacement de G2 par ses intrants 1
et 24. Remplacement de G3 par ses intrants 3
t 4et 45. Ces coupes ne sont pas toutes les
coupes minimales6. Élimination des coupes qui ne sont pas
d i i ldes coupes minimales
Exemple avec diagramme Mocus (de haut en bas)
G1 G2 G3 A G3 A C⇒ ⇒ ⇒G1 G2,G3 A,G3 A,C⇒ ⇒ ⇒A,G5 A,A,B A,B⇒ ⇒
G4,G3 B,G3 B,C⇒ ⇒
A,C
A,B
B,C
A C
B,G5 B,A,B A,B⇒ ⇒
C,G5 C,A,B A,B,C⇒ ⇒C,G3 C,C C⇒ ⇒
A,B
C
A,B,C
A,B
Coupes minimales
E l
Réduction à partir du fond vers le sommet
Exemple :
G5 = A,BG3 = C + G5 = C + A,BG4 = B + CG2 = A + G4 = A + B + CG1 = G2.G3
= (A + B + C) (C + A,B)= A,C ÷ A,A,B + B,C + B,A,B + C,C + C,A,B A,C + A,B + B,C + A,B + C + A,B,C
C C C C C= C + A,C + B,C + A,B + AB,C = C + A,B
Probabilité de défaillance :
TP 1 R 1 e−λ= − = −
Probabilité de défaillance :
Quand λ T< 0.001 P ≈ λT
où T est le temps d’exposition
Probabilité de la porte ET
P = PAPBPCPDPE PNP PAPBPCPDPE….PN
Probabilité de la porte OU
P = (∑1er terme) - (∑2e terme) + (∑3e terme)
- (∑4e terme) + (∑5e terme) - (∑6e terme)…
Erreur d’évaluation : Exemple
PG1=PG2.PG3=321.41x10-10
Mauvais résultat car il faut effectuer la réduction avant de calculer les probabilités
PG2 =PA+PB-PAPBPG3 =PA+PC-PAP
G1 G2 G3
=(15+4)x10-5 – 15x4x10-8
=18.94x10-5
=(15+2)x10-5 – 15x2x10-8
=16.97x10-5
λB = 1.5 x 10-3 , λC = 4 x 10-4 , λD = 2 x 10-4B , C , D
T=10-1
PA=1.5 x 10-3 x 10-1= 15 x10-5
PB=4 x 10-4 x 10-1= 4 x10-5
PC=2 x 10-4 x 10-1= 2 x10-5
Exemple (suite)
Bonne évaluation
P P P P P
négligeable
G1
G2A
Coupes minimales :AB,C
P =P P
PK =PA+PG2-PA.PG2
=15x10-5 + 8x10-10
=15x10-5
B C
G2A PG2 =PB.PC
=4x10-5x2x10-5
=8x10-10
λB = 1.5 x 10-3 , λC = 4 x 10-4 , λD = 2 x 10-4
B C
P 1 0 λT λTB , C , D
T=10-1
PA=1.5 x 10-3 x 10-1= 15 x10-5
PB=4 x 10-4 x 10-1= 4 x10-5
P = 1,0 − e-λT ≈ λT
PC=2 x 10-4 x 10-1= 2 x10-5
Exemple :
G1
A B C D EA B C D E
λ=1x10-6 λ=1x10-7 λ=1x10-7 λ=1x10-8 λ=1x10-9λ=1x10-6
T=2hPA=2x10-6
λ=1x10-7
T=2hPA=2x10-7
λ=1x10-7
T=2hPA=2x10-7
λ=1x10-8
T=2hPA=2x10-8
λ=1x10-9
T=2hPA=2x10-9
Coupes minimales :ABCDE
Exercices
7.1 Dessinez l’ADP des systèmes suivants :
a)
b)i. Un seul moteur est suffisant pour que le
b) système fonctionneii. Deux moteur doivent fonctionner pour que le
système fonctionne
c)
Tous les composants en série et au moins un moteur doivent fonctionner pour que le système fonctionne
7.2 Déterminez les coupes minimales et calculez la probabilité de l’événement de tête des ADP suivantes :la probabilité de l événement de tête des ADP suivantes :
a)
PA = PB = PC = 2 x 10-6
b)
P = P = P = 2 x 10-6PA = PB = PC = 2 x 10-6
top related