Docsity
Docsity

Prepare for your exams
Prepare for your exams

Study with the several resources on Docsity


Earn points to download
Earn points to download

Earn points by helping other students or get them with a premium plan


Guidelines and tips
Guidelines and tips

exercices corriges sureté de fonctionnement, Exercises of Informatics Engineering

exercices corriges sureté de fonctionnement et tolérance aux fautes

Typology: Exercises

2022/2023

Uploaded on 01/21/2023

samira-cherif
samira-cherif 🇹🇳

1 document

Partial preview of the text

Download exercices corriges sureté de fonctionnement and more Exercises Informatics Engineering in PDF only on Docsity!

Partie 1 : DEFINITIONS (selon norme VEI 191)

• la fiabilité : « aptitude d’une entité à accomplir une fonction requise, dans des conditions

données, pendant l’intervalle de temps ». La fiabilité d’un équipement ou d’un réseau électrique peut se mesurer par le nombre de pannes par an.

• la disponibilité : « aptitude d’une entité à être en état d’accomplir une fonction requise,

dans des conditions données, à un instant donné ».

La disponibilité peut par exemple se déterminer à partir du calcul du nombre d’heures d’absence de fourniture électrique par an en un point donné d’alimentation. Par exemple une disponibilité de 99% signifie que le REI est disponible 99% du temps, c’est à dire que chaque année il y a environ 80 heures de non-disponibilité de tension en raison de pannes ou d’opérations de maintenance.

• la maintenabilité : « aptitude d’une entité à être maintenue ou rétablie dans un état dans

lequel elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données avec des procédures et des moyens prescrits » ; par exemple, la maintenabilité peut être spécifiée par une durée moyenne de réparation.

• la sécurité : « aptitude d’une entité à éviter de faire apparaître, dans des conditions

données, des événements critiques ou catastrophiques pour les personnes et les équipements » (non quantifiable).

• les facteurs humains : « prise en compte de l’homme qui influe par son raisonnement,

ses comportements, ses actions, sur le bon fonctionnement d’une entité quelle qu’elle soit, pendant toute la période d’observation ».

Sûreté de fonctionnement

Disponibilité Sécurité

Fiabilité Maintenabilité

Figure 1 : FMDS

Partie 2 : Historique

Le tableau 1 ci-dessous présente un bref historique de la sureté de fonctionnement.

Période Accidents

Jusqu'aux années 30

Approche intuitive : renforcer l'élément le plus faible Premiers systèmes parallèles et redondants Approche statistique, taux de défaillance Premières estimation de probabilité d'accidents d'avion Pugsley : premier objectif de safety taux d'accident d'avion ≤ 10 ˉ5^ per flight hour

Explosion poudrière (1794) Accident chemin de fer (1842) Titanic (1912)...

Années 40

Analyse des missiles allemands V1 (Robert Lusser) Loi de Murphy "If anything can go wrong, it will" Quantication de la disponibilité

Années 50

Advisory Group on Reliability of Electronic Equipment (AGREE)

  • Réduction des couts de maintenance
  • Augmentation de la fiabilité
  • MTBF

Tcheliabinsk 40 (1957)

Années 60

Analyse des modes de défaillance et de leurs effets Programmes de recherche spatiaux Arbre de défaillance (missile Minuteman) Arbres des causes (Boeing - NASA) Livres sur la fiabilité (ex. Barlow and Proschan)

Torrey Canyon (1967)

Années 70

Analyse des risques Collecte de données REX

Années 80 à nos jours

Nouvelles techniques (simulation, réseaux de Pétri,..) Modélisation Ariane V (1996)

Tchernobyl (1986) DART (NASA, 2005) Vol Rio Janeiro.

Tableau 1 : Bref Historique

Partie 3 : ENTRAVES, ATTRIBUTS et METHODES (Taxonomie)

La sureté de fonctionnement manipule un certain nombre de concepts que nous précisons dans cette partie en donnant des définitions précises. La sureté de fonctionnement peut être vue comme étant composée des trois éléments suivants :

Attributs : points de vue pour évaluer la sureté de fonctionnement ; Entraves : évènements qui peuvent affecter la sureté de fonctionnement du système ; Moyens : moyens pour améliorer la sureté de fonctionnement.

3.1 / Entraves

Commençons par détailler les entraves qui peuvent affecter le système et dégrader la sureté de fonctionnement. Les entraves sont reparties en 3 notions : Les fautes, les erreurs et les défaillances

Les définitions sont récursives car la défaillance d'un composant est une faute pour le système qui le contient.

Définition Faute (Fault) : La cause de l'erreur est une faute (par exemple un court-circuit sur un composant, une perturbation électromagnétique ou une faute de d’développement logiciel).

Définition Erreur (Defect) : La cause de la défaillance est une erreur affectant une partie de l'état du système (par exemple, une variable erronée).

Définition Défaillance (Failure) : Une défaillance est la cessation de l'aptitude d'une entité à accomplir une fonction requise.

Définition Panne : La panne est l'inaptitude d'une entité à accomplir une mission. Une panne résulte toujours d'une défaillance.

Les défaillances dans un système peuvent avoir des effets différents. Certaines défaillances n'affectent pas directement les fonctions du système et ne nécessitent qu'une action corrective ; d'autres, en revanche, affectent la disponibilité ou la sécurité.

On utilise généralement une échelle de gravite des effets et on considère traditionnellement 4 catégories de défaillances.

Défaillance mineure : défaillance qui nuit au bon fonctionnement (minor) d'un système en causant un dommage négligeable au système ou a son environnement sans présenter de risque pour l'homme.

Défaillance significative : défaillance qui nuit au bon fonctionnement (major) sans causer de dommage notable ni présenter de risque important pour l'homme.

Défaillance critique : défaillance qui entraine la perte d'une (hasardeuse) (ou des) fonction(s) essentielle(s) du système et cause des dommages importants au système en ne présentant qu'un risque négligeable de mort ou de blessure.

Défaillance catastrophique : défaillance qui occasionne la perte d'une (catastrophique) (ou des) fonction(s) essentielle(s) du système en causant des dommages importants au système ou à son environnement et/ou entraine la mort ou des dommages corporels.

Définition Mode de défaillance (Failure mode) : Un mode de défaillance est l'effet par lequel une défaillance est observée. Plus, précisément, il s'agit d'un des états possibles d'une entité en panne pour une fonction requise donnée.

Classification des modes de défaillance : On classe généralement les modes de défaillance en 4 catégories :

  • Fonctionnement prématuré (ou intempestif) : Fonctionne alors que ce n'est pas prévu à cet instant
  • ne fonctionne pas au moment prévu
  • ne démarre pas lors de la sollicitation
  • ne s'arrête pas au moment prévu continue à fonctionner alors que ce n'est pas prévu défaillance en fonctionnement

Définition Système cohérent : Un système est dit cohérent si :

  • la panne de tous les composants entraine la panne du système,
  • le fonctionnement de tous les composants entraine le fonctionnement du système,
  • lorsque le système est en panne, aucune défaillance supplémentaire ne rétablit le fonctionnement du système,
  • lorsque le système est en fonctionnement, aucune réparation n'induit la panne du système. Nous ne considérons dans la suite que des systèmes cohérents.

3.2 / Attributs

Les attributs de la sûreté de fonctionnement sont parfois appelés FDMS pour Fiabilité, Disponibilité, Maintenabilité et Sécurité (RAMSS pour Reliability, Availability, Maintainability, Safety, Security).

La disponibilité est le fait d'être prêt au service.

Définition Disponibilité (Availability) : La disponibilité est l'aptitude d'une entité à être en état d'accomplir une fonction requise dans des conditions données, a un instant donné ou pendant un intervalle de temps donné, en supposant que la fourniture des moyens extérieurs nécessaires soit assurée. La fiabilité est la continuité de service.

Définition Fiabilité (Reliability) : La fiabilité est l'aptitude d'un dispositif à accomplir une fonction requise dans des conditions données pendant une durée donnée. La sécurité est l'aptitude à ne pas provoquer d'accidents catastrophiques.

Définition Sécurité innocuité (Safety) : La sécurité innocuité est l'aptitude d'une entité à éviter de faire apparaitre, dans des conditions données, des évènements critiques ou catastrophiques.

La maintenabilité est la capacité d'un système à revenir dans un état de fonctionnement correct après modifications et réparations.

Définition Maintenabilité (Maintainability) : Dans les conditions données d'utilisation, la maintenabilité est l'aptitude d'une entité à être maintenue ou rétablie, sur un intervalle de temps donné dans un état dans lequel elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données avec des procédures et des moyens prescrits.

D'autres attributs de sureté de fonctionnement ont été identifies comme par exemple la testabilité (le degré d'un composant ou d'un système à fournir des informations sur son état et ses performances), ou la diagnosticabilite (capacité d'un système à exhiber des symptômes pour des situations d'erreur) survivabilite (capacité d'un système à continuer sa mission après perturbation humaine ou environnementale) et ainsi de suite.

Les moyens

Les moyens sont des solutions éprouvées pour casser les enchainements Faute! Erreur! défaillance et donc améliorer la fiabilité du système.

  • La prévention de faute consiste à éviter des fautes qui auraient pu être introduites pendant le développement du système. Cela peut être accompli en utilisant des méthodologies de développement et de bonnes techniques d'implantation.
  • L’élimination de faute peut être divisée en 2 catégories : élimination pendant la phase de développement et élimination pendant la phase d'utilisation. Pendant la phase de développement, l'idée est d'utiliser des techniques de vérification avancées de façon a détecter les fautes et les enlever avant envoi à la production. Pendant l'utilisation, il faut tenir à jour les défaillances rencontrées et les retirer pendant les cycles de maintenance.
  • La prévision de faute consiste à anticiper les fautes (de manière qualitative ou probabiliste) et leur impact sur le système.
  • La tolérance aux fautes consiste à mettre en place des mécanismes qui maintiennent le service fourni par le système, même en présence de fautes. On accepte dans ce cas un fonctionnement dégrade. La tolérance aux fautes repose sur l'utilisation de mécanismes de redondance, l'idée est de réaliser la même fonction par des moyens différents.

On distingue plusieurs types de redondance :

  • Redondance homogène : on réplique plusieurs composants identiques
  • Redondance avec dissemblance : les sous-systèmes réalisent les mêmes fonctions mais sont différents (par exemple, plusieurs équipes de conception, matériel diffèrent).
  • Redondance froide : les composants sont actifs quand ceux déjà actifs tombent en panne.
  • Redondance chaude : les composants tournent en parallèle et politique de prise de main.
  • Redondance tiède : les composants sont idole avant de prendre la main. D'autres mécanismes existent comme les comparateurs ou les voteurs. L'idée est de récupérer plusieurs valeurs calculées par redondance et de déterminer quelle est la plus proche de la réalité.

3.3 / Méthodes d'analyse de sûreté de fonctionnement

Une analyse prévisionnelle de sureté de fonctionnement est un processus d'étude d'un système réel de façon à produire un modèle abstrait du système relatif à une caractéristique de sureté de fonctionnement (fiabilité, disponibilité, maintenabilité, sécurité). Les éléments de ce modèle seront des évènements susceptibles de se produire dans le système et son environnement, tels que par exemple :

  • des défaillances et des pannes des composants du système,
  • des évènements liées à l'environnement,
  • des erreurs humaines en phase d'exploitation. Le modèle permet ainsi de représenter toutes les défaillances et les pannes des composants du système qui compromettent une des caractéristiques de SdF. Afin d'aider l'analyste, plusieurs méthodes d'analyse ont été mises au point. Les principales sont : APD/APR Analyse Préliminaire des Dangers,(Risques) AMDE Analyse des Modes de Défaillances et de leurs Effets, MDS Méthode du Diagramme de Succès, MTV Méthode de la Table de Vérité, MAC Méthode de l'Arbre des Causes, MCPR Méthode des Combinaisons de Pannes Résumées, MACQ Méthode de l'Arbre des Conséquences, MDCC Méthode du Diagramme Causes-Conséquences, MEE Méthode de l'Espace des Etats. Nous ne verrons dans la suite que quelques-unes de ces méthodes.

Partie 4 : Etapes d’une analyse prévisionnelle de SDF

Figure 2 : Etapes d’une analyse prévisionnelle de SDF

Partie 5 : Approche inductive / déductive

5.1 / Approche inductive :

Le principe de ces méthodes consiste a partir d’une cause d’anomalie (défaillance, erreur humaine, agression externe,… etc ) et à déterminer les scenarios d’évènements qui en

résultent et/ou l’ensemble de ses conséquences possibles.

L’analyse inductive générale est définie comme un ensemble de procédures systématiques

permettant de traiter des données qualitatives.

Ces procédures étant essentiellement guidées par les objectifs de recherche. elle s’appuie

sur différentes stratégies utilisant prioritairement la lecture détaillée des données brutes pour faire émerger des catégories à partir des interprétations du chercheur qui s’appuie sur ces

données brutes.

L’analyse inductive se prête particulièrement bien à l’analyse de données portant sur des

objets de recherche à caractère exploratoire, pour lesquels le chercheur n’a pas accès à des catégories déjà existantes dans la littérature. (Mode de recherche inductif : Identique au sens de déroulement des dysfonctionnements).

5.2 / Approche déductive

Pour les méthodes déductives, la démarche est inversé puisque l’on part de l’évènement indésirable, la défaillance, et l’on recherche ensuite par une approche descendante toutes

les causes possibles.

Les méthodes d’analyse déductive ont pour finalité la recherche des combinaisons de

causes possibles d’un évènement redouté (Mode de recherche déductif : Inverse au sens de

déroulement des dysfonctionnements).

Il existe deux grands types de démarches d’investigation pour l’analyse des risques,

inductive et déductive.Les démarches inductives procèdent des causes vers les effets, et

celles déductives des effets vers les causes.

Figure 3 : Principe des démarches déductives et inductives.

Ce sens de raisonnement intervient dans l’analyse des risques lors de l’étape de recherche des scénarios d’accidents potentiels, sous la forme de deux questions possibles à se poser :

‒ Quels évènements peuvent produire un accident redouté (mode déductif)

‒ Quelles conséquences graves (accident) peuvent avoir un incident (pannes…) (mode inductif)

On peut classer les études de danger suivant le sens de la démarche mais elles associent souvent les deux modes de réflexion (inductive et déductive) considérés comme complémentaires, en faisant appel à plusieurs méthodes d’analyse.

Partie 6 : Analyse fonctionnelle des systèmes

6.1/ Méthode Analyse fonctionnelle (AF)

6.1.1/ Description méthode

Méthode utilisée pour définir les relations entre :

  • un système et les éléments de son milieu extérieur (AFE Analyse Fonctionnelle externe)
    • identification de la mission du système,
    • identification des phases du profil de mission,
    • identification des éléments du milieu extérieur,
    • identification des fonctions assurées par le système.
  • les différents constituants du système (AFI Analyse fonctionnelle interne)
    • une vue organique hiérarchisée,
    • une vue fonctionnelle représentant les flux qui transitent entre blocs et qui assurent localement les fonctions.

6.1.2 / Type de fonctions

On distingue 2 types de fonctions :

  • les fonctions de service qui sont assurées par le produit dans le cadre de sa mission. Elles sont identifiées par l'AF externe et sont de 2 natures : - les fonctions principales qui mettent en relation deux éléments du milieu extérieur à travers le produit - les fonctions contraintes qui correspondent à l'adaptation du produit à son environnement
  • les fonctions de conception qui résultent des choix technologiques effectués lors de la réalisation du produit. Elles sont identifiées par l'AF interne.

Exemple d’une analyse fonctionnelle

6.1.3 / Tableau d’Analyse fonctionnelle(TAF)

Le TAF regroupe les informations issues des AF E et AFI. Y figurent :

  • en ligne, les composants (blocs organiques de plus bas niveau hiérarchique) et les fonctions de conception,
  • en colonne, les fonctions de service et les fonctions de conception.

Le TAF permet d'étudier l'influence des fonctions de conception et des composants sur les fonctions de service.

6.2 / Méthode SADT

La méthode SADT‚ (Structured analysis and design technique) est une méthode d’analyse et de conception des systèmes importants et complexes en facilitant la communication entre spécialistes de disciplines différentes. SADT est une méthode graphique établie par Douglas T. ROSS (Softech) vers 1974.

Elle fournit des outils notamment pour :

  • concevoir d’une façon structurée des systèmes vastes ou complexes ;
  • communiquer des résultats de l’analyse et de la conception dans une notation claire et précise ;
  • contrôler l’exactitude, la cohérence et, de façon générale, la qualité de manière continue et systématique par des procédures particulières de critiques et d’approbations.

La méthode introduit les concepts suivants :

  • les fonctions qui échangent et transforment les données ;
  • les données manipulées par les fonctions.

La méthode SADT‚ met en œuvre deux représentations complémentaires :

  • les actigrammes, dans lesquels les fonctions transforment les données d’entrées en données de sortie, suivant les contraintes impose´ es pour cette transformation et en utilisant certains moyens ou supports de l’activité´ ;
  • les datagrammes, dans lesquels les donne´ es sont générées par des fonctions de génération, utilisées par des fonctions d’utilisation, sous la surveillance des activités de contrôle.

Contrôle

↓ Entrée → Actigramme → Sortie ou Datagramme

Activité support

Figure 4 – Boıte utilisée par SADT

Figure 5 – Diagramme type SADT‚ avec détail

SADT‚ définit une décomposition fonctionnelle hiérarchisée entre les différents niveaux de détail ; la décomposition a un niveau donne´ doit faire apparaıtre des fonctions ou des données qui sont a leur tour décomposées [approche descendante (top-down)].

Pour la validation, on doit s’assurer que les entrées d’une fonction d’un niveau donne´

doivent se retrouver dans sa décomposition, et celle-ci ne doit produire que les sorties de la fonction de niveau supérieur.

L’accent est porte´ tout d’abord sur l’analyse et la spécification du « quoi » (ce que le système doit faire) et ensuite sur les considérations sur le « Comment » (avec quels moyens

on réalise le « Quoi »). SADT‚ utilise un seul type de boıte rectangulaire dont chacun des 4

cotes possède une signification particulière (figure 4).

Un diagramme SADT‚ pour chaque niveau hiérarchique, est constitué de 3 à 6 boıtes pour

que la représentation soit suffisamment détaillée sans être trop complexe. La figure 5 représente l’enchaınement des boıtes avec leurs relations entre les entrées, les sorties et les

contrôles. Elle donne également un aperçu de la décomposition du bloc 1 à l’aide d’un diagramme de niveau hiérarchique inferieur.

Partie 7 : Analyse dysfonctionnelle des systèmes

L’analyse prévisionnelle des dysfonctionnements des systèmes consiste à identifier les conditions qui peuvent conduire à des défaillances et à prévoir leurs conséquences sur la

fiabilité, la maintenabilité, la disponibilité et la sécurité des systèmes en cours de conception ou déjà opérationnels.

Elle est réalisée à partir d’informations diverses dont le tri et l’analyse permettent de concevoir un mode le du système. Les informations nécessaires à l’analyse sont :

  • la description du système réel : structures physiques et fonctionnelles ;
  • les caractéristiques des composants du système et des interactions entre eux (modes de

défaillance et leurs conséquences…) ;

  • les relations entre le système et son environnement ;
  • la prise en compte des erreurs humaines en phase d’exploitation.

7.1/L’AMDE et l’AMDEC

7.1.1/ HISTORIQUE ET DOMAINE D’APPLICATIONS

L’analyse des Modes de Défaillance et de leurs Effets (AMDE) a été employée pour la première fois dans le domaine de l’industrie aéronautique durant les années 1960. Son utilisation s’est depuis largement répandue à d’autres secteurs d’activités telles que l’industrie chimique, pétrolière ou le nucléaire. De fait, elle est essentiellement adaptée à l’étude des défaillances de matériaux et d’équipements et peut s’appliquer aussi bien à des systèmes de technologies différentes (systèmes électriques, mécaniques, hydrauliques...) qu’à des systèmes alliant plusieurs techniques.

7.1.2/ PRINCIPES

L’analyse des Modes de Défaillance et de leurs Effets repose notamment sur les concepts de : Défaillance , soit la cessation de l’aptitude d’un élément ou d’un système à accomplir une fonction requise, Mode de défaillance , soit l’effet par lequel une défaillance est observée sur un élément du système, Cause de défaillance , soit les évènements qui conduisent aux modes de défaillances, Effet d’un mode de défaillance , soit les conséquences associées à la perte de l’aptitude d’un élément à remplir une fonction requise.

En pratique, il est souvent difficile de bien distinguer ces différentes notions. La maîtrise de ce vocabulaire est néanmoins primordiale pour une bonne utilisation de cet outil. Pour illustrer ces différents concepts, prenons l’exemple d’une pompe. Dans des conditions normales d’exploitation, la fonction de cette pompe est sera définie comme son aptitude à fournir un débit donné à sa sortie. Si le débit en sortie de pompe est nul, nettement inférieur ou supérieur à ce débit défini, la pompe sera dite « défaillante ». Si, en cours d’exploitation, la pompe s’arrête de façon non désirée, on assistera bien à une défaillance de la pompe. Le fait que la pompe s’arrête constitue donc un effet par lequel une défaillance est observée ; il s’agit d’un mode de défaillance. La coupure de courant qui a entraîné l’arrêt de la pompe sera alors définie comme une des causes de ce mode de défaillance. L’arrêt de l’approvisionnement du réacteur alimenté par cette pompe suivie d’une dégradation du

produit de synthèse constituera des conséquences de cette défaillance. L’AMDE est une méthode inductive d’analyse qui permet : d’évaluer les effets et la séquence d’évènements provoqués par chaque mode de défaillance des composants d’un système sur les diverses fonctions de ce système, Déterminer l’importance de chaque mode de défaillance sur le fonctionnement normal du système et en évaluer l’impact sur la fiabilité, la sécurité du système considéré, Hiérarchiser les modes de défaillances connus suivant la facilité que l’on a à les détecter et les traiter.

Lorsqu’il est nécessaire d’évaluer la criticité d’une défaillance (probabilité et gravité), l’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC) apparaît comme une suite logique à l’AMDE. L’AMDEC reprend en effet les principales étapes de l’AMDE et y ajoute une évaluation semi quantitative de la criticité. Cette dernière peut par exemple être réalisé sur la base des échelles proposées au chapitre 3.1.

7.1.3/ DEROULEMENT

De manière très schématique, une AMDEC se déroule sous la forme suivante : 1) Dans un premier temps, choisir un élément ou composant du système 2) Retenir un état de fonctionnement (fonctionnement normal, arrêt...) 3) Pour cet élément ou composant et pour cet état, retenir un premier mode de défaillance , 4) Identifier les causes de ce mode de défaillance ainsi que ces conséquences tant au niveau du voisinage du composant que sur tout le système, 5) Examiner les moyens permettant de détecter le mode de défaillance d’une part, et ceux prévus pour en prévenir l’occurrence ou en limiter les effets , 6) Procéder à l’évaluation de la criticité de ce mode de défaillance en terme de probabilité et de gravité, 7) Prévoir des mesures ou moyens supplémentaires si l’évaluation du risque en montre la nécessité, 8) Vérifier que le couple (P,G) peut être jugé comme acceptable, 9) Envisager un nouveau mode de défaillance et reprendre l’analyse au point 4), 10) Lorsque tous les modes de défaillances ont été examinés, envisager un nouvel état de fonctionnement et reprendre l’analyse au point 3) 11) Lorsque tous les états de fonctionnement ont été considérés, choisir un nouvel élément ou composant du système et reprendre l’analyse au point 2). Dans les faits, il est intéressant de se doter de tableaux tant en qualité de support pour mener la réflexion que pour la présentation des résultats.

Tableau 3 : Exemple d’un tableau de type AMDEC

A/ ÉQUIPEMENT (COLONNE 1)

Concrètement, il s’agit de passer en revue chaque équipement ou composant identifié lors de la description fonctionnelle. Il est généralement utile de repérer l’équipement considéré à partir des données fournies dans des diagrammes ou autres plans.

B/ FONCTIONS ET ETATS (COLONNE 2)

Pour chacun des équipements, il s’agit de lister ses fonctions et états de fonctionnements. Ces fonctions et états sont normalement identifiés au cours de la description fonctionnelle. Afin de mener l’analyse de la manière la plus complète possible, il est indispensable de

considérer l’ensemble des états susceptibles de survenir au cours de l’exploitation (ex. fonctionnement normal, arrêt, démarrage, stand-by...)

C/ MODES DE DEFAILLANCE (COLONNE 3)

Pour chaque équipement et en fonction de l’état de fonctionnement, le groupe de travail doit envisager de manière systématique les modes de défaillances possibles (Colonne 3). La définition des modes possibles de défaillance pour un équipement peut être réalisée à partir du retour d’expérience associé à l’exploitation d’équipements similaires, de tests ou essais... Par ailleurs, les modes de défaillance considérés devront tenir compte : Des utilisations du système, Des caractéristiques de l’équipement considéré, Du mode de fonctionnement, Des spécifications relatives au fonctionnement, Des délais fixés, De l’environnement.

Quel que soit le type d’équipement considéré, la liste suivante tirée de la norme CEI 60812:1985 : « Techniques d’analyse de la fiabilité des systèmes - Procédure d’analyse des modes de défaillance et de leurs effets (AMDE) » facilite l’identification des modes de défaillance par le groupe de travail.

Tableau 5 : Modes de défaillance généraux (extrait de la norme CEI 60812:1985)

De plus, cette même norme propose une liste guide de modes de défaillance génériques, qui permet d’aider le groupe de travail dans l’analyse. Cette liste est reprise ci-après. Elle présente une série de modes de défaillance générique pouvant s’appliquer en théorie à tous les cas de figure envisageables. Néanmoins, elle pourra être utilement complétée en vue de tenir compte des spécificités du système étudié.

Tableau 6 : Modes de défaillance génériques (extrait du tableau II de la norme CEI

60812:1985 )

D/ CAUSES DE DEFAILLANCE (COLONNE 4)

Pour chaque mode de défaillance, le groupe de travail doit ensuite identifier les causes potentielles conduisant à ce mode de défaillance. Un mode de défaillance peut résulter de plusieurs causes, qu’il convient donc d’inventorier et de numéroter pour plus de facilité. La liste présentée dans le Tableau 8 précédent permet également de préciser des causes de défaillance dans la mesure où ces causes peuvent parfois s’apparenter à des modes de défaillance. Par exemple, un mode de défaillance d’une vanne devant se fermer peut être « Ne se ferme pas » (mode de défaillance n°6). Une des causes de ce mode de défaillance peut être un blocage physique ou coincement (mode de défaillance n°2). Enfin, il convient de tenir compte des défaillances possibles sur les équipements adjacents du système. L’évaluation des effets d’une défaillance d’un élément peut effectivement conduire à l’occurrence d’un mode de défaillance sur un autre élément du système. Il est ainsi nécessaire de veiller à l’adéquation entre les effets de défaillance considérés au cours de l’analyse et les causes d’autres modes de défaillance envisagés.

E/ EFFETS DE LA DEFAILLANCE (COLONNES 5 ET 6)

De la même façon que le groupe de travail s’est attaché à identifier les causes potentielles de défaillance, il doit examiner les conséquences de cette défaillance, au niveau du composant lui-même tout d’abord (colonne 5) puis au niveau du système global (colonne 6).

F/ MOYENS DE DETECTION (COLONNE 7)

Pour le mode de défaillance envisagé, le groupe de travail examine et consigne ensuite les moyens prévus pour détecter ce mode de défaillance.

I/ DISPOSITIFS DE REMPLACEMENT (COLONNE 8)

Toutes les dispositions prises, par exemple au niveau de la conception de l’installation, en vue de prévenir ou atténuer l’effet du mode de défaillance doivent alors être examinées. Cette étape, dont les résultats sont consignés en colonne 8, vise d’une certaine façon à caractériser le comportement du système lorsqu’un de ces composants est affecté par un mode de défaillance.

J/ EVALUATION DE LA CRITICITE (COLONNES 9 ET 10)

Les colonnes 9 et 10 permettent de consigner les évaluations réalisées par le groupe de travail de la probabilité du mode de défaillance (P) et de la gravité associée à ses conséquences (G). Cette approche permet de mesurer l’influence des barrières de sécurité mises en place et de juger de la pertinence d’envisager de nouvelles barrières au regard du risque présenté. En pratique, il est parfois difficile de disposer de données précises et fiables pour procéder de manière fine à cette évaluation. On pourra alors se référer utilement à des échelles de cotations à plusieurs niveaux de probabilité et de gravité, semblable à celles présentées au paragraphe 3.3.3.1. Rappelons que les échelles de gravité et probabilité quels que soient les formats finalement retenus, doivent être présentés et acceptées en début d’analyse.

7.1.4 / LIMITES ET AVANTAGES

L’AMDEC s’avère très efficace lorsqu’elle est mise en œuvre pour l’analyse de défaillances simples d’éléments conduisant à la défaillance globale du système. De par son caractère systématique et sa maille d’étude généralement fine, elle constitue un outil précieux pour l’identification de défaillances potentielles et les moyens d’en limiter les effets ou d’en prévenir l’occurrence. Comme elle consiste à examiner chaque mode de défaillance, ses causes et ses effets pour les différents états de fonctionnement du système, l’AMDEC permet d’identifier les modes communs de défaillances pouvant affecter le système étudié. Les modes communs de défaillances correspondent à des événements qui de par leur nature ou la dépendance de certains composants provoquent simultanément des états de panne sur plusieurs composants du système. Les pertes d’utilités ou des agressions externes majeures constituent généralement des modes communs de défaillance. Dans le cas de systèmes particulièrement complexes comptant un grand nombre de composants, l’AMDEC peut être très difficile à mener et particulièrement fastidieuse compte tenu du volume important d’informations à traiter. Cette difficulté est décuplée lorsque le système considéré comporte de nombreux états de fonctionnement. Par ailleurs, l’AMDEC considère des défaillances simples et peut être utilement complété, selon les besoins de l’analyse, par des méthodes dédiées à l’étude de défaillances multiples comme l’analyse par arbre des défaillances par exemple.

7.2 / Analyse Préliminaire de Risques (APR)

7.2.1 / Notion de danger et de risque

  • DANGER : état ou situation comportant une potentialité de dommage pour l’homme, la société, l’environnement. Situation d’un système où sont présents des facteurs pouvant conduire à la réalisation d’un accident potentiel.
  • RISQUE : Mesure du niveau de danger (associé à une phase précise de la vie d’un système) caractérisant un accident potentiel (événement redouté). Cette mesure s’exprime par :
    • sa probabilité d’occurrence (ou sa fréquence),
    • sa gravité (importance de sa conséquence, dommage).

7.2.2 / Notion d’accident

• ACCIDENT : Événement causant des dommages corporels ou matériels.

Rupture de l’équilibre dans une situation donnée.

Il est le résultat d’au moins un des cinq éléments suivants :

  • méconnaissances des sources de danger,
  • inobservation ou inadéquation des règles,
  • dysfonctionnements techniques (panne, rupture…),
  • dysfonctionnements humains opératoires,
  • concours de circonstances qui fait survenir un ou plusieurs éléments (1 à 4 ci-dessus) ou combinaison d’événements.

7.2.3 / Notion de sécurité

• SECURITE : Aptitude d’un système à éviter de faire apparaître, dans des conditions

données, des événements critiques ou catastrophiques.

Ensemble des situations destinées à assurer la protection des personnes et des biens contre les

dangers, nuisances et gênes résultant de la création, du fonctionnement

(du dysfonctionnement), de l’arrêt et du démantèlement d’un dispositif technique ou d’une

installation.

La sécurité :

- s’applique à un système en mettant l’accent sur les problèmes d’interaction,

  • intègre les facteurs humains,
  • envisage toutes les circonstances pouvant conduire à une situation dangereuse,
  • s’attache à des combinaisons d’événements qui échappent à l’expérience.

7.2.4 / Méthodologie générale de recherche et d’analyse des risques

Cette méthodologie comporte 4 étapes :

1. Définir le sujet de l’étude (recherche du besoin fondamental), 2. Définir l’objet sur lequel porte l’étude (par les méthodes fonctionnelles), 3. Analyser les dangers et les risques (par les méthodes fonctionnelles et qualitatives utilisées en Sûreté de Fonctionnement), 4. Tirer les conclusions de l’étude selon le sujet défini.

7.2.5 / Définir le besoin fondamental de l’étude

Répondre à 3 questions et valider le besoin :

1 : pour qui? une autorité de sûreté, la hiérarchie, un groupe de travail, …

2 : sur quoi? une organisation, un système, un sous-système, une procédure, un essai, …

3 : dans quel but? Pourquoi cette action? identifier les risques, informer le demandeur, améliorer la sécurité du personnel, reconcevoir un système, valider une procédure…

Réaliser une APR/APD, c’est :

  • Rechercher les dangers d’un système,
  • Analyser les milieux extérieurs,
  • Analyser les phases de mission et d’utilisation,
  • Estimer le niveau des dangers (mesure du risque) en les classant par hiérarchisation,
  • Réduire leur probabilité (prévention) et réduire leur gravité (protection).

Remarque : si l’étude le nécessite, faire appel aux méthodes classiques de SdF pour rechercher les événements indésirables, leurs causes, leurs effets, leurs probabilités.

7.2.6 / Établir un tableau de criticité

Il est souhaitable que ce découpage soit en nombre pair pour éviter l’attirance du jugement pour la valeur médiane d’un découpage en 3 ou 5.

Niveau Gravité G Probabilité P 1 Blessures légères Improbables 2 Blessures graves Très rare 3 Blessures très graves Rare 4 Mort Probable

Tableau 7 : Tableau de criticité

Éléments dangereux

Événement causant une situation dangereuse

Situation dangereuse

Événement causant un accident potentiel

Accident potentiel

Conséquences Risque P G R

Mesures préventives

Bouteille d’azote

Choc sur la bouteille

Chute de la bouteille

Rupture du col sur obstacle

Déplacement t brutal de la bouteille

Chocs sur

trajectoire 1 1

1 à à

fixer la bouteille réserver un espace libre

Énerge électrique

Ouverture d’une armoire électrique

Manipulation d’organes de commande

Contact accidentel avec pièces sous tension

électrocution Atteintes corporelles + ou - graves

2 à à

Placer des écrans isolants Former et informer Eau de javel Avoir accès à la bouteille

Prendre la bouteille

Ouvrir la bouteille

Ingérer l’eau de javel

Atteintes corporelles + ou - graves

2 à à

Limiter les accès

Tableau 8 : Exemple de tableau d’APR

Exemple de carte de risques

Principe (organigramme)

7.3 / Hazards and Operability Study (HAZOP)

7.3.1 / Description de l'étude HAZOP

Une étude HAZOP ( Hazards and Operability Study ), exécutée par une équipe, est un processus détaillé d’identification des dangers et des problèmes d’exploitation. L’étude HAZOP s’attache à l’identification des déviations potentielles par rapport à l’intention de conception, à l’examen de leurs probabilités d’occurrence et des causes possibles et à l’évaluation de leurs conséquences.

7.3.2 / Objectifs et caractéristiques de l'étude HAZOP

Les principales caractéristiques d’une étude HAZOP sont entre autres :

 L’étude est un processus créatif. Elle consiste à utiliser une série de mots guides pour identifier des déviations potentielles par rapport à l’intention de conception et à employer ces déviations comme « déclencheurs » stimulant l’imagination des membres de l’équipe dans la recherche des causes de la déviation et dans l’évaluation des conséquences qu’elles peuvent engendrer.  L’étude se déroule sous la direction d’un chef d’étude qualifié et expérimenté. Celui-ci s’assure de mener un examen exhaustif du système en s’appuyant sur une pensée logique et analytique. De préférence, le chef d’étude est assisté par un scribe qui note les dangers et/ou les perturbations identifiés en vue de leur évaluation et de la recherche de solutions.  La qualité de l’étude repose sur les qualifications et l’expérience des spécialistes formant l’équipe. Ces spécialistes de diverses disciplines doivent faire preuve d’intuition et de perspicacité.  Il convient d’effectuer l’examen dans un climat de pensée positive et de franche discussion. Lorsqu’un phénomène est identifié, il est noté pour être ultérieurement évalué et résolu.  Les solutions aux problèmes ne constituent pas le principal objectif de l’étude HAZOP, mais elles peuvent, le cas échéant, être notées et transmises aux responsables de la conception.

Tableau 9 - Exemple d’analyse « Et-si? »/Liste de contrôle

- Transport de minerai par rail (exemple non complet)

Tableau 10 - Exemple de matrice de décision – Transport de minerai par rail

7.3.3 / Applications des études HAZOP

À l’origine, l’étude HAZOP était une technique développée pour les systèmes impliquant le traitement d’un milieu fluide ou autres flux de matière dans les industries de transformation, notamment l’industrie des procédés chimiques et pétroliers. Cependant, son domaine d’application n’a cessé de s’étendre au cours des dernières années, et la technique HAZOP s’applique aujourd’hui, par exemple :

 aux applications logicielles, y compris les systèmes électroniques programmables;  aux systèmes assurant le déplacement des personnes par différents modes, tels que le transport routier et le transport ferroviaire;  à l’examen de différentes séquences de fabrication et aux procédures d’exploitation;  à l’évaluation des procédures administratives dans différentes industries;  à l’évaluation de systèmes spécifiques, tels que les appareils médicaux.

L’étude HAZOP est particulièrement utile dans l’identification des faiblesses des systèmes nécessitant la circulation de matières, de personnes ou de données, nécessitant un certain nombre d’événements ou d’activités d’une séquence planifiée ou des procédures contrôlant cette séquence. L’étude HAZOP n’est pas seulement un outil précieux pour la conception et le développement de nouveaux systèmes. Elle peut être utilisée avec profit pour l’examen des dangers et des problèmes potentiels liés à différents états de l’exploitation d’un système donné (démarrage, attente, fonctionnement normal, arrêt normal, arrêt d’urgence, etc.). Elle peut également être employée dans le processus et les séquences de fabrication par lot et en régime instable, ainsi que dans les séquences continues. L’étude HAZOP peut être considérée comme une partie intégrante du processus global de bonne ingénierie et de la gestion du risque.

A / Relation avec d’autres outils d’analyse

L'étude HAZOP peut être utilisée en combinaison avec d’autres méthodes d’analyse de la sûreté de fonctionnement, telles que l’analyse des modes de défaillance, de leurs effets et criticité (AMDEC) et l’analyse par arbre de panne (AAP). De telles combinaisons peuvent être utilisées dans les situations exposées ci-dessous :

 L’étude HAZOP indique clairement que les qualités de fonctionnement d’une entité spécifique de l’équipement sont critiques et doivent être examinées en profondeur. Dans ce cas, il est avantageux de compléter l’étude HAZOP par une AMDEC de cette même entité.  À la suite de l’étude HAZOP des déviations par élément ou par caractéristique, il est possible d’analyser l’effet de déviations multiples ou de quantifier l’éventualité des défaillances en utilisant une AAP.

L’étude HAZOP est une approche centrée essentiellement sur le système, contrairement à l’AMDEC qui est centrée sur la composante. En effet, l’AMDEC part d’une défaillance possible d’une composante, pour étudier ensuite les conséquences de cette défaillance sur l’ensemble du système. L’étude est donc uniquement dans le sens cause à effet. Ce concept diffère de celui d’une étude HAZOP qui commence par identifier les déviations possibles par rapport à l’intention de conception et, à partir de là, procède dans deux directions, l’une pour chercher les causes possibles de la déviation et l’autre pour en déduire les conséquences.

B / Limites de l’étude HAZOP

Bien que les études HAZOP aient fait preuve d’une extrême utilité dans différents milieux, la technique a des limites dont il faut tenir compte dans le choix de son application :

 L’étude HAZOP est une technique d’identification des dangers qui examine méthodiquement les effets des déviations sur chaque partie. Parfois, un danger provient d’une interaction entre un certain nombre de parties du système. Ceci impose une étude plus détaillée du danger, faisant appel à des techniques telles que l’analyse par arbre d’événements ou l’analyse par arbre de panne.  Comme pour toute technique d’identification de dangers ou de problèmes d’exploitation, il n’y a aucune garantie que l’étude HAZOP identifie tous les dangers ou tous les problèmes d’exploitation. Par conséquent, il est préférable que l’étude d’un système complexe ne repose pas uniquement sur une étude HAZOP. En général, cette technique est utilisée en combinaison avec d’autres techniques appropriées au système étudié. Il est essentiel d’intégrer d’autres études pertinentes pour obtenir un système efficace de gestion des risques.  Un grand nombre de systèmes sont étroitement liés entre eux et une déviation dans l’un d’eux peut avoir une cause ailleurs. Une intervention locale appropriée peut ne pas cibler la cause réelle et ne pas empêcher un accident de se produire ultérieurement. Beaucoup d’accidents se sont produits à la suite de modifications locales mineures dont les effets par contrecoup ailleurs n’avaient pas été prévus. Bien qu’il soit possible de remédier à ce problème en reportant les implications des déviations d’une partie à une autre, ceci n’est souvent pas réalisé dans la pratique.  Le succès d’une étude HAZOP dépend en grande partie de la capacité et de l’expérience du chef d’étude, de la connaissance des membres de l’équipe ainsi que de leurs interactions.  L’étude HAZOP ne considère que les parties qui apparaissent sur les plans de conception. Les activités et les opérations qui n’y apparaissent pas ou qui ne sont pas mentionnés par les membres de l’équipe ne sont pas prises en compte.

7.3.4 / Principes de l'étude HAZOP

Le principe de la méthode HAZOP est l’utilisation de « mots guides » pour effectuer une recherche systématique des déviations par rapport à l’intention de conception. Pour faciliter l’examen, un système est divisé en parties (sous-systèmes, aussi appelés « nœuds ») de telle sorte que l’intention de conception puisse être définie de manière adéquate pour chacune d’elles. La taille de la partie choisie varie selon la complexité du système et la sévérité du danger. Elle est petite pour les systèmes complexes ou pour ceux qui présentent des dangers importants. Pour les systèmes simples ou pour ceux engendrant des faibles dangers, l’utilisation de grandes parties réduit le temps d’étude. L’intention de conception pour une partie d’un système est formulée sur la base des éléments qui possèdent les caractéristiques essentielles de la partie et en représentent les divisions naturelles. Le choix des éléments à examiner est, dans une certaine mesure, une décision subjective puisqu’il existe plusieurs combinaisons menant au but recherché. Les éléments du système peuvent être des étapes ou des phases discrètes d’une procédure, des signaux individuels et des entités d’un système de commande, un équipement ou des composantes d’un processus ou d’un système électronique, etc. La figure 11 illustre le déroulement d’une étude HAZOP.

Figure 6 - Déroulement d’une étude HAZOP

Il est important de bien identifier l’origine, la fonction et la sortie du nœud, par exemple selon les termes suivants :

 matériau d’entrée provenant d’une certaine source;  operation sur un matériau;  produit(s) de sortie transporté(s) vers une destination.

L’intention de conception d’un nœud contiendra donc les éléments suivants : matériaux, activités, sources et destinations, qui peuvent être considérés comme éléments du nœud. Il est aussi utile de définir les éléments en termes de caractéristiques quantitatives ou qualitatives. Par exemple, dans un système chimique, l’élément « matériau » peut être défini en termes de caractéristiques telles que la température, la pression et la composition. Pour l’activité « transport », des caractéristiques telles que la vitesse de déplacement ou le nombre de passagers peuvent être pertinentes. Pour les systèmes informatiques, les informations plutôt que les matériaux seront prises en considération dans chaque partie.

L’équipe HAZOP examine chaque élément (et, le cas échéant, sa caractéristique) pour y rechercher les déviations par rapport à l’intention de conception susceptibles d’entraîner des conséquences indésirables. Pour identifier ces déviations, elle emploie un système de questions dans lequel interviennent des « mots guides » prédéfinis. Le rôle d’un mot guide est de stimuler l’imagination, de focaliser l’étude et de soulever des idées et des discussions, de façon à augmenter les chances de réalisation d’une étude complète. Les principaux mots guides et leurs significations sont présentés dans le tableau 5.

Tableau 11 - Principaux mots guides avec leur signification générale

D’autres mots guides relatifs au temps, à un ordre ou à une séquence sont également définis dans le tableau 6.

Tableau 12 - Mots guides relatifs au temps ou une séquence