Chapitre 7

Analyse par Arbre de panneAnalyse par Arbre de panneSources :• Clifton A Ericson II Hazard Analysis Techniques for System Safety• Clifton A. Ericson II, Hazard Analysis Techniques for System Safety,

John Wiley&Sons Inc., 2005

• Hammer Willie , Product Safety Management and Engineering, Prentice-Hall Inc.

• Norme CEI 1078, Technique d’analyse de la sûreté de fonctionnement – Méthode du diagramme de fiabilité, 1991

• Norme CEI 1025, Analyse par arbre de panne (AAP), 1990

I t d tiIntroduction

Présenter la vue d’ensemble de la techniquePrésenter la vue d ensemble de la technique d’analyse par arbre de panne (ADP)

ObjectifsObjectifsAvantages et désavantagesContexte d’utilisation

OrigineOrigine

L’analyse par arbre des pannes a étéL analyse par arbre des pannes a été

• Inventée et développée par H. Watson et Allison B. Mearn de Bell Laboratories à la demande l’armée de l’airMearn de Bell Laboratories à la demande l armée de l air des États-Unis pour déterminer les possibilités et les probabilités d’un lancement imprévu ou non autorisé d’un missile « Minuteman » ou d’autres armes nucléairesmissile « Minuteman » ou d autres armes nucléaires.

• Utisée par Dave Haasl de Boeing Co. pour mener une analyse quantitative de sécurité du système d’armementanalyse quantitative de sécurité du système d armement nucléaire « Minuteman »

Objectifs

ADP pendant la phase de conception du produit (approche proactive)

Évaluer le potentiel de défaillance du systèmeComprendre les cause probables des événements indésirablesAméliorer les faiblesses pouvant causer les événements indésirables

ADP pendant la phase d’opération du produit (approcheADP pendant la phase d opération du produit (approche réactive)

Identifier les causes d’accidents afin d’apporter des corrections visant à éviter les accidents dans le futurIdentifier les causes possibles d’anomalies ou pannes en temps réel afin d’atténuer les risques d’accidents

Description• Outil analytique

• Évaluation pour les systèmes complexes

• Identification des événements qui pourraient causer un état indésirable du système

• Support pour les études portant sur la sécurité, la fiabilité, la disponibilité et les accidents

• Identification des causes

• Technique déductive

• Évaluation des risques (qualitative : coupes minimales) (quantitative : probabilité)

• Modèle

• Visuel

• Présentation des relations « cause-effet »Présentation des relations « cause effet »

• Contenant des pannes, événements normaux et des chemins critiques

• Contenant des éléments de dangers et des erreurs humaines ainsi que l’environnement

• Méthodologie• Méthodologie

• Détaillée, structurée et rigoureuse

• Utilisation de l’algèbre de Boole, probabilité, fiabilité, logique

• Respect des lois scientifiques et des techniques de génie• Respect des lois scientifiques et des techniques de génie

Exemple

Système

ÉÉvénement indésirable : Absence de lumière

Modèle d’ ADPModèle d ADP

CoupesGroupes d’événements qui, lorsqu’ils se produisent sont (peuvent être) à l’origine de l’événement de têtede l événement de tête.

Symboles préférentiels

Défaillance primaire Défaillance secondaire Événement normalDéfaillance primaire Défaillance secondaire Événement normal

Porte OU Porte Et Porte Non Porte OU exclusif Porte Et prioritaire

Libellé de l’événement Condition Report

Structure

Événement de tête

Extrant

IntrantPorte

Événement de base-Défaillance du composant

T h i d’ l i d ti t déd tiTechniques d’analyse inductive et déductive

Logique :Logique :

• Raisonnement déductif :

• Prémisse Conclusion

Les chiens sont les animaux. Celui-ci est un hi Il t d i lchien. Il est donc un animal.

• Fausse prémisse Fausse conclusion

Les hommes sont les singes. Celui-ci est un homme. Il est donc un singe.

Logique :Logique :

• Raisonnement inductif :

C l i h théti• Conclusion hypothétique

Tous les corbeaux observés sont noirs. Donc, les corbeaux sont noirsles corbeaux sont noirs.

Analyse déductive :

• Objectif : vise à trouver la (les) cause(s) et les facteurs contributifs pour un danger identifié.

• Question à poser pour faire l’analyse

• Comment arrive-t-elle la panne?

• Quelles sont les causes de l’évènement?

Analyse inductive :a yse duct e

• Objectif : vise à postuler les hypothèses relatives aux causes possibles (sans preuve nécessaire)

• Question à poser pour faire l’analyse

• Quelles sont les conséquences de l’évènement?Quelles sont les conséquences de l évènement?

Niveau de détailAnalyse inductive vs Analyse déductive

Effet Système (haut)

Logique Logique

C C

Sous-système

Unité

Logique déductive

Logique inductive

Cause Cause Unité

Assemblage

CauseCause Composants

Du sommet à la base

De la base au sommet

Aperçu de l’arbre de panne

Événement de tête (indésirable)

Système

Arbre de panne

Résultats

Coupe minimale = A.B.C.Y

Probabilité = 1,7 x 10-5

Approche déductive

S1 S2 S4S3 Système

A B EC

DSous-système • Du général vers

spécifique

S2

A12 Unité• Analyse à partir

de l’événement de tête au(x)

A

A12Composant

cause(s) initiale(s)

T7

ADP pendant le cycle de vie du produit

Phase de design• ADP doit être utilisée dès le début du programme de développement• L’objectif est d’identifier les problèmes potentiels et de les corriger avant que les

coûts de modifications deviennent coûteuxcoûts de modifications deviennent coûteux• Effectuer les mises à jour au fur et à mesure que les travaux de design

progressent• Chaque nouvelle version contient de détails additionnels• l’ADP établie pendant la phase conceptuelle contenant seulement les niveauxl ADP établie pendant la phase conceptuelle contenant seulement les niveaux

supérieurs fournit quand même des informations utilesPhase d’opération

• ADP pendant le temps de service du produit est utile pour l’analyse des causes de problèmes

Design conceptuel

Design préliminaire

Design final Déploiement

problèmes• ADP permet d’identifier et d’éliminer les causes des problèmes

conceptuel préliminaire

ADP initiale ADP mise à jour

ADP mise à jour

ADP mise à jour

ADP opération

Source SAE ARP-4761

Exemple d’ADP

Crevaison du pneu

Pneu endommagé

Défaillance du pneu

Usure Coupé par débris sur route

Dommage infligé

Défaut de fabrication

Collision Sabotageaccidentée

Sabotage

Résumé

Estimationde risque

ADP

Données de design

Analyse de sécurité

Données de fiabilité

• Dessins• Croquis• Manuels• Emploi du temps• Diagramme

• Événements indésirables• Cause-effet• Modes de défaillances

• AMDEC• Modes de défaillance• Taux de défaillance• Prédictions

D é ll téDiagramme fonctionnel

• Données collectées• Jugements des experts

ADP est un technique d’estimation de risque

Procédure

Notions de basePrésentation des huit étapes de laPrésentation des huit étapes de la procédure

Procédure

Exemples

SAMPLE TOP EVENTS FOR FAULT TREES

1. Injury to_______2. Radiation injury _______3. inadvertent start of ___.4. (Equipment to be named) activated inadvertently.5. Accidental explosion of ______.6 Loss of control of6. Loss of control of _____7. Rupture of______.8. Damage to .___.9 Damage to from9. Damage to ____ from ____.10. Thermal damage to _____.11. Failure of __ to operate (stop) (close) (open).

12 R di ti d t12. Radiation damage to _____13. Loss of pressure in ______14. Over pressurization of___.15. Unscheduled release of ______16. Premature (Delayed) release of _____17 Collapse of17. Collapse of _____18. Overheating of ____19. Uncontrolled venting of _____ (toxic, flammable, or high

)pressure gas).20. (Operation to be named) inhibited by damage.

EXIGENCES CRITÈRES DU DESIGN

Événement de l’ADP

All doors should All doors shall Door opens while remain closed when the train is in motion.

remain closed when the train is in motion.

ptrain is in motion.

Upon station arrival, the doors should be operable

Doors shall be capable of opening only after train is

Door opens while improperly aligned with station

only after the train is stopped and all doors are properly

stopped and properly aligned in station, or for

platform.

aligned with the station platform.

emergency as noted below.

The train should stay The train shall not Train starts ymotionless while the doors are open.

be capable of moving with any door open.

with door open.

Initiation of a door close command should occur only when the door

Door areas shall be clear before door closing

Door close initiated when y

areas are clear.g

begins. occupied.

If door closure is prevented by an

An obstructed door shall reopen

Obstructed door fails toprevented by an

obstruction, the appropriate door should reopen to allow removal

door shall reopen to permit removal of the obstruction, and then

door fails to reopen.

reopen to allow removal of the obstruction before reclosing.

and then automatically reclose.

The train should be allowed to proceed only after all doors are

Doors shall be closed and locked before train is

Train enabled to proceed withonly after all doors are

known to be closed, locked, and free of residual obstruction.

before train is allowed to proceed.

proceed with door open or unlocked.

It should be possible to open the doors, when the train is stopped

Means shall be provided to permit opening doors

Doors cannot be opened forthe train is stopped

anywhere, for safe emergency train evacuation

opening doors anywhere for emergency evacuation

for emergency evacuation.

evacuation. evacuation.

Événement de tête Commentaire

Bateau coule Problème trop grand et vagueBateau coule Problème trop grand et vague

Système de communication ne fonctionne pas

approprié

Un moteur s’arrête appropriéUn moteur s arrête approprié

Les deux moteurs s’arrêtent en même temps

approprié

S tè d di ti iéSystème de direction ne fonctionne pas

approprié

Tous les passagers meurent Problème trop grand et vague

Procédure itérative

Effet Effet

Cause

Niveau 1

EffetEffet

Cause

Niveau 2

CauseCause

Niveau 3

Effet

Niveau 4Cause

Type d’évaluationType d évaluation

QualitativeGénération des coupesGénération des coupesValidation des coupesÉvaluation des coupes

QuantitativeApplication des données de défaillance à l’arbre des événementCalcul des probabilitéCalcul des probabilitéÉvaluation des mesures importantes

Estimation des risqueCCriticité, sévérité, sensitivité, probabilité

Méthodes d’évaluationMéthodes d évaluation

ManuellePossible pour les arbres simples et de petite taillePossible pour les arbres simples et de petite taille

À l’aide de l’ordinateurNécessaire pour les grandes arbres complexesDeux approches : analytique et simulation

MéthodesCalcul des coupesCalcul des coupes

Réduction à l’aide de l’algèbre de BooleAlgorithmes (MOCUS et..)Diagramme de décision binaire

CCalcul des probabilitésRéduction à l’aide de l’algèbre de BooleApproximation

Résumé

Définition du système

Définition de

1

28

Système(Design/Data)

Documentation/application

Modification

Définition de l’événement de tête

Établissement des limites3

7

Rapport

Validation Construction de l’arbre

46

Liste des

coupes

Rapport

Évaluation

Proba-bilités

5

Définitions

LibelléSymbolesSymbolesLogique

Événements de base

1. Événement de défaillance

É1. Événement de défaillance de base primaire (cercle)

2. Événement de défaillance de base secondaire (losange)

2. Événement normal

1. Événement décrivant l’état normal prévu du système

2. Opération ou fonction normalement prévu du système Ex: fournir la puissance au temps T1.

3. En général soit « ouvert » soit « fermé » dont la probabilité est 1 g pou 0

4. Symbole (maison)

Portes

Une porte est un opérateur logique combinant les intrants

Types :Types :

ET, OU, NON, ET prioritaire, OU exclusif

Autres (utilité limitée)

Une porte représente un état dont l’expansion est possible

ConditionsConditions

• S’attache à une porte

• Établissement d’une condition à satisfaire en l’occurrence de la porte

Reportp

Indication d’une branche spécifiquep q

Représenté par un triangle

Objectifs : un report indique

Début d’une nouvelle page

Branche semblable utilisée à plusieurs places dans l’arbre ’ ll it d i é (t f t i t )sans qu’elle soit dessinée (transfert interne)

Un module d’intrant provenant d’une autre analyse (transfert externe)

Présentation de l’ADP

Les arbres de panne peuvent être disposés it ti l t it h i t l t Sisoit verticalement soit horizontalement. Si on

choisit la disposition verticale, il convient que l’événement de tête est placé en haut de lal événement de tête est placé en haut de la page et les événements de base en bas. Dans le cas d’une présentation horizontale, p ,l’événement de tête peut être situé à gauche ou à droite de la page.

Présentation de l’ADP

Les symboles utilisés pour ces exemples comprennent :• une case comportant le libellé de l’événement;• un symbole logique utilisé pour représenter les

liaisons entre les événements (portes);liaisons entre les événements (portes);• une ligne d’entrée des portes;• un symbole de report différé (cause commune);un symbole de report différé (cause commune);• un symbole de report;• un symbole de fin d’information (par exemple

événement de base).

Symboles des événements de base

Résistor R88 reste ouvert Défaillance primaire

Défaillance inhérente du composant

Résistor R88 ne reste ouvert à cause de IEM

Défaillance secondaire Défaillance causée par une force externe

Ordinateur C2 ne fonctionne pas Défaillance secondaireDéfaillance qui nécessite une enquête plus

L i t f i

enquête plus approfondie

FonctionLa puissance est fournie au système au moment T = 150

Événement normalFonction normalement prévu

Symbole de Porte ET :y

A B C

0 0 0

1 0 0

0 1 0

1 1 1 P P1 1 1 PAPB

Arbre des pannes

• A et B sont tous les deux nécessaires à l’occurrence de C

• A et B doivent survenir simultanément

Arbre des pannes

P = PAPB 2 intrants

P = PAPBPC 3 intrants

et do e t su e s u ta é e t

A B C

Exemple de porte ETp p

Absence de lumière

Lampe

A

lumière

B

Interrupteur A coincé ouvert

Interrupteur B coincé ouvert

P = PA x PB

Coupe minimale : A,B

Porte ETPorte ET spécifie la relation causale entre l’intrant et l’extrant :

Les pannes à l’entrée représentent conjointementLes pannes à l entrée représentent conjointementla cause de la panne à la sortie

Symbole de Porte ou :y

A B C

0 0 0

1 0 1

0 1 1

1 1 1

PAPB=PA(1-PB)PAPB=(1-PA)PB

PAPB =PAPB

• Seul A ou B est nécessaire et suffisant à l’occurrence de C

1 1 1 PAPB PAPB

• A et B ensemble peuvent également causer C

P = P (1 P )+(1 P )P +P P = P + P P x P 2 intrantsP = PA(1-PB)+(1-PA)PB+PAPB= PA + PB - PA x PB 2 intrants

P = PA + PB + PC – (PA x PB + PA x PC + PB x PC) + PA x PB x PC 3 intrants

Exemple de porte ou

Lampe

p p

p

BA

Coupe minimale : A

B

P = PA + PB - PA x PB

Porte ouPorte OU laisse passer la relation causale entre l’intrant et l’extrant :

Les pannes à l’entrée sont de même nature que celle à la sortie;Les pannes à l entrée sont de même nature que celle à la sortie; seulement elles sont plus spécifiquement définies. Elles ne peuvent pas être la cause de la panne à la sortie

Symbole de Porte ou exclusif :y ou

A B C

0 0 0

1 0 1

0 1 1

1 1 0

PAPB=PA(1-PB)PAPB=(1-PA)PB

• Seul A ou B est nécessaire ou suffisant pour produire C

1 1 0

• Seul A ou B est nécessaire ou suffisant pour produire C

• Mais A et B ne peuvent survenir simultanément

• Utilisée pour deux intrants seulement (en cascade pour plusieursUtilisée pour deux intrants seulement (en cascade pour plusieurs intrants)

P = PA+PB-2(PAPB) 2 intrants

Symbole de Porte Et avec priorité :y p

A B C

0 0 0A avant B

C

1 0 0

0 1 0

1 1 1 PAPB

A avant B

A B1 1 1 PAPB

• Les deux intrants A et B sont requis à l’occurrence de C

• Mais A doit survenir avant B

O d d i ité d h à d it• Ordre de priorité de gauche à droite

P=PAPB / N! où N est nombre d’intrants et λA = λB

Symbole de Porte SiSymbole de Porte Si

• Les deux intrants C et Y1 sont requis à l’occurrence de D

• Y1 est la condition ou probabilitép

• Passage ouvert si la condition est satisfaite

P = P PP = PAPY

Symbole de Report

Symbole Fonction Description

y p

Report Même événement défini ailleurs dans ce même arbre de panne (internal transfert)

Report différé

Même événement défini ailleurs dans un autre arbre de panne (external transfert)

Report similaire

Branche de même structure à répéter (similar transfert)

Report (transfert)

AReport

Ordinateur X ne fonctionne

pasR

Conducteur P1 est défectueux

Ordinateur X ne fonctionne

pasB

Conducteur P1 est défectueux

C B C E

R

ReportC B

Report différé (external transfert)

Report (internal transfert) Report

similairetransfert)

Défaillance vs panne

• Défaillance (failure) : incapacité, défaut d’exécution, d’un composant de base. Ex : interrupteur ne se déclenche pas.

P (f lt) ét t i dé i bl it à déf ill d’• Panne (fault) : état indésirable suite à une défaillance d’un composant, d’un sous système ou du système. Ex : le manque de lumière est l’état indésirable suite à la défaillance de l’ampoule, à la perte de l’électricité ou à une mauvaise manœuvre de l’opérateurp p

• Défaillance primaire : défaillance au niveau le plus bas (inhérente) du composant

• Défaillance secondaire : défaillance causé par un autre composant• Défaillance secondaire : défaillance causé par un autre composant du système ou par un agent externe du système.

• Panne commandée : défaillance causée par une commande erronée (en temps ou manière)(en temps ou manière).

Défaillance vs panne

panne

Lampe

Lumière n’est pas allumée

panne

Interrupteur A

ordinateur

Lumière brûlée

A reste ouvert par commande de l’ordinateur

Batterie ne fonctionne pas

Ordinateur commande l’ouverture de A (faute dans logiciel)

Défaillance (primaire)(primaire)

Remarque :Toutes les défaillances sont des pannes. L’inverse n’est pas nécessairement vrai

Défaillance indépendante / dépendanteé a a ce dépe da te / dépe da te

Une défaillance indépendante est celle qui n’est pas causée directement ou indirectement par un autre événement ou composant

Une défaillance dépendante est :

Une défaillance qui est causé directement ou indirectement par un autre événement ou composant

Exemple : un composant du circuit électrique qui est court-p p q qcircuité, laisse passer une intensité excessive du courant impliquant la rupture de la résistance R4.

Défaillance primaire :é a a ce p a e

Mode de défaillance inhérente du composantÉlément de base élémentaireÉlément de base élémentaireÉlément dont la subdivision ne peut pas être faiteExemple : diode cesse de fonctionner à cause de défauts de son matériau constituant

Défaillance secondaire :

Défaillance d’un composant causée par une force externe duDéfaillance d un composant causée par une force externe du systèmeÉlément de base non élémentaireExemple : Circuit imprimé fonctionne mal à cause de l’IEMÉÉvénement dont la subdivision plus poussée n’a pas été faite (en général, parce que cela n’était pas jugé utile)

MOE, MOB et Module

MOE (Multiple Occurring Event) : événements id ti i t didentiques apparaissant dans les branches différentes

MOB (Multiple Occurrence ( pBranch) : branches identiques apparaissant à plusieurs places dans l’arbre

Module : une sous arbre indépendante ou une branche qui ne contient pas de MOE ou MOB d’ailleurs et qui n’est pas une MOB

Source : Clif Ericson

Coupes

• Coupe : est un groupe d’événement qui, lorsqu’ils se produisent sont (peuvent être) à l’origine de l’événement de p (p ) gtête. Il est également connu comme chemin de panne.

• Coupe minimale : est la plus petite des coupes dont tous les événements doivent se produire (dans le bon ordre) pour queévénements doivent se produire (dans le bon ordre) pour que l’événement de tête ait lieu. Si l’un de ces événements ne survient pas, l’événement de tête ne peut arriver.

O d d l b d’é é t d• Ordre de la coupe : nombre d’événement dans une coupe. Une coupe de premier ordre est nommé « single point failure » (dangereux)

• Chemin critique : coupe dont la probabilité de défaillance est la plus importante. Il est important de réduire cette probabilité afin d’améliorer la performance en sécurité dud améliorer la performance en sécurité du système.

Coupes:A : premier ordre (A )B D d d (B t D)B,D : second ordre (B et D)C,D : second ordre (C et D)

Construction

Règles et méthode de constructionRègles et méthode de construction

Technique de construction

• L’arbre de panne comprend les étages, les niveaux (supérieur, intermédiaire et de base) et les branches

• Développer chacune des branches de façon itérative et identifier toutes pp çles causes – effets événements et leurs relations

• Pour chacun des événements analysé :

• Identifier toutes les causes possibles de cet événement• Identifier toutes les causes possibles de cet événement (déduction)

• Étudier seulement l’événement voisin immédiat, pas plus loin

• Ne pas sauter les étages

• Posez-vous la question « qu’est ce qui est nécessaire et suffisant pour »

• Déterminer la logique et le type de porte

• Construire l’arbre avec ces événements et portes logiques

• Réviser continuellement toutes les étapes afin d’assurer qu’aucun événement soit répétép

• Une branche est complétée lorsque le niveau d’événement de base est atteint et que les limites établies sont atteintes

Effet Effet

CauseCause

I-N-SP-S-CS-S/C

EffetEffet

Cause

I-N-SP-S-C

Cause Cause

P S CS-S/C

Effet

I-N-SP-S-CS-S/C

Cause

Quoi et CommentQuoi et CommentQuoi et Comment

• Quelles sont les pannes/défaillances causant cet événement?

• Comment les pannes se sont combinées?

• Ne pas oublier : immédiate, nécessaire et suffisante

Quoi

• Contenu de chacun des intrants de l’événement.

Comment (type de portes logiques)

• ET : tous les intrants sont requisET : tous les intrants sont requis

• OU : un seul des intrants est requis à l’occurrence de l’événement

X

A B CQuoi?

Comment?

C

Recherche de la relation « Cause - Effet »

Effet

Possibilité logique

Les morceaux du puzzle

Cause potentiel

Produit final Mots clés :I S CI-S-CS-P-CÉtatFonction

Identification de la relation « cause - effet »

B D

C et D sont nécessaires immédiatement pour produire E

A

C

E

produire E

intrant extrant

Événement de têteE C et D causent E

A

C D

B

• Commencez par l’événement de tête E

• Suivez la direction de la flèche (vers l’aval)

intrant

Aintrant• Prenez un composant à la fois

direction du signal

Système en sériedirection du signal

A BPas d’extrant de B

direction de l’analyseDéfaillance de B

P d’ t t

Pas d’intrant à B

ou

Pas d’extrant

Conducteur brisé Pas d’extrant de A

Défaillance de A Pas d’intrant à ADéfaillance de A Pas d intrant à A

Exempledi ti d i lSystème en série-parallèle

A

direction du signal

B

C

OU

direction de l’analyseET

OU OU

Méthodologie pour le développement des portes l ilogiques

La construction à chaque porte comprend trois étapes :

• Étape 1 : Immédiate, Nécessaire et Suffisante (I-N-S) ?

• Étape 2 : Primaire, secondaire et commande (P-S-C)?

• Étape 3 : État du composant ou du système (S-C/S)?• Étape 3 : État du composant ou du système (S-C/S)?

Étape 1

• Lire attentivement le libellé de la porte• Lire attentivement le libellé de la porte

• Identifier les événements immédiats, nécessaires et suffisants pour causer l’événement extrant de la porte

• Immédiat : ne pas sauter les événements déjà considérés

• Nécessaire : inclure seulement les événements nécessaires

• Suffisant : inclure au minimum les événements nécessairesSuffisant : inclure au minimum les événements nécessaires

Étape 1

Intrant Extrant

• C et D sont immédiats à E

EffetEffet

C• C et D sont nécessaires à

l’occurrence de E

• C et D sont suffisants à la

CauseCause

C et D sont suffisants à la production de E

Étape 2Étape 2

Identifier les événements Primaire, secondaire et commande à l’entrée de la porte :

Panne/défaillance primaire : défectuosité inhérente du composant

Panne/défaillance secondaire : défaillance causée par une force externe

Panne de commande : état de fonctionnement commandé par une panne ou défaillance en aval

L’existence des trois intrants P-S-C en même temps implique une porte OUL existence des trois intrants P S C en même temps implique une porte OU

Spanne

P

S

C extrant

P : primaireS : secondaire

Commande

S : secondaireC : commande

Exemple : P – S- C

A: inhérent

Diode Résistor D

C: intrantC: intrantB: externe

Étape 2

Intrant ExtrantPas extrant de E

CSP

Le passage des Défaillance

de EDéfaillance de E à cause de chaleur

Pas intrant à E

C

p gpannes de commande indique la direction des

cause de chaleur

PS

C

direction des causes

C

Défaillance du conducteur

Défaillance d’intrant à E

S

C

Pas intrant de C

Pas intrant de D

Étape 3

Identifier l’état de l’événement.

• Une panne causée par une défaillance inhérente du composant est un SC (state of the component/état du composant). Un SC est généralement représenté par une porte OU.

Contact du relais ouvert

Relais reste ouvert (brisé) Relais énergisé par IEM cause l’ouverture du relais

• Une panne qui ne peut être causée par la défaillance du composant est un SS (system status/état du système). Type de porte dépende du design système. Commande exécutéeCommande exécutée

Présence de l’énergie Présence du signal

Isolation et Analyse d’un composanty p

SIsolation d’un composant

P

C E

Direction de l’analysePrimaire : regard vers l’intérieurSecondaire : regard vers l’extérieurCommande : regard en amontE d l

P

Extrant : regard en aval

Utilisation du diagramme fonctionnel

Diagramme bloc fonctionnel

Décomposition du système suivant l f ti

DocumentsCroquis

les fonctionsApplication des relations « cause-effet »Arbre est moins étendue et contient Croquisplusieurs niveauxDémarche structurée, rigoureuse, applicable pour la majorité des cas

Utilisation du type de composants du système

Identification du type des composants est souvent utile à yl’élaboration de l’ADP

Composant actif (initiateur) :Composant qui fournit ou couper de l’énergie force ouComposant qui fournit ou couper de l énergie, force ou puissance nécessaire à l’opération du système Ex: relais, pompe, source électrique etc..

Composant passif (facilitateur) :Composant qui permet la transmission de l’énergie, force et puissance etc..Ex : conducteur tuyauEx : conducteur, tuyau

Porte OU s’applique aux cas où plusieurs intrants se manifestent

Utilisation du type de composants du système

LumièreBatterie

Interrupteur Ainitiateur

F ilit tFacilitateur

Exemple de construction d’ADP

Lampe

BA

I-N-S

Panne de commande

Défaillance premièrepremière

Exemple

Lampe

BA

Porte analysée

État du système

Pannes (état du système)

Exemple

Lampe

BA

État du système

I-N-S

À développer

ExemplePas de lumière

LampeDéfaillance de

l’ampouleAmpoule ne reçoit

pas du courant

BA

Absence du courant

Circuit n’est pas fermé

À développer

Interrupteurs sont ouverts

Conducteur de retour coupé

Interrupteur A est ouvert

Opérateur ouvre Interrupteur A

Interrupteur B est ouvert

Opérateur ouvre Interrupteur B pinterrupteur A

pcoincé ouvert

pinterrupteur B

pcoincé ouvert

Exemple

Lampe

BA

Exemple

Lampe

BA

Mauvais exemple (approche non structurée)

approche de liste d’épicerie, manque de rigueur

Lampe

rigueurconclusion trop simpliste, manque plusieurs détails et événements tels que les passages du courant, erreurs h i tBA

Absence de lumière

humaines etc..

Ampoule brûlée

Interrupteur A est ouvert

Interrupteur B est ouvert

Batterie épuisé

Conducteur coupé

B C D EA

Démarche Itérative Construction des blocsMéthode d’analyse

Résumé

Lecture attentive du libellé de la porte

porte

Démarche Itérative

événements

Construction des blocsMéthode d analyse

p

Identification:1) Cause

2) logiqueS 2) logique

Définition exacte et descriptive des

portes

P

C E

S Isolation d’un composant

descriptive des événements

Est-ce que l’événement de

P

I-N-SP-S-CS-C/S

l événement de base est atteint

B h lété

o

N

•approche par fonctions•Étape par étape, pas de grand saut• libellé de transition

Branche complétée

Évaluation

Méthodes d’évaluation de l’ADPImportance des coupesImportance des coupesGénération de coupes et calcul de probabilités de l’ADP

Coupes : produit important de l’ADP

Coupe : est un groupe d’événement qui, lorsqu’ils se produisent sont (peuvent être) à l’origine de l’événement de tête. Il est également connu comme chemin de panne.également connu comme chemin de panne.

Coupes identifient les événements critiques et les point faibles du système (grandes probabilités, possibilité de contourner redondances, combinaisons difficiles à considérer), )

Coupes permettent le calcul de probabilités de l’ADP :

En général, plus le nombre d’événements contenus dans le coupe soit grand plus la probabilité du coupe soit faiblecoupe soit grand, plus la probabilité du coupe soit faible

Évaluation

Qualitative

• Coupes

Quantitative

• Coupes

• Probabilité

Évaluation qualitative

Non numériqueSubjectiveProcédure :

Génération des coupes minimales de l’ADPGénération des coupes minimales de l ADPÉvaluation qualitative de ces coupes minimales et analyse relative au design/problèmes

Importance de l’ordre des coupes :Plus son ordre soit faible, plus son danger qu’il représente soit grand (ex: l’ordre du coupe contenant un défaillance/erreur unique est 1)

Présence de composant important qui se trouve dans plusieurs coupesValeurs :Valeurs :

Identifications des combinaisons de causes originaires (root cause) qui sont difficiles à percevoirIdentifications des points faibles du designId tifi ti d ibilité d t t d d d dIdentification de possibilités de contournement de redondance des moyens de sécuritéIdentification de problèmes de cause commune (défaillance pouvant affecter tous les redondances))

Évaluation quantitative

Numérique : probabilité de l’occurrence des coupes et celle de l’événement de tête non désirableProcédure :

Avec les couples :Avec les couples : Génération de la liste des coupes minimalesCalcul de probabilités de l’ADP à partir de celles des coupes minimales

Sans couples :Calcul direct à l’aide de la réduction booléenne de l’ADP

Les données relatives aux composants telles que le taux de défaillance et le temps d’exposition sont requistemps d exposition sont requisEstimation probabillistiques des risques (ADP, couples, portes événements, chemin critique)ObjectiveP tt t l’é l ti tit ti d d é d l’ tt i t d l’ bj tif dPermettant l’évaluation quantitative du degré de l’atteint de l’objectif du design

Détermination de coupes minimales

Coupes :

C i i l t l l tit d d t t lCoupe minimale : est la plus petite des coupes dont tous les événements doivent se produire (dans le bon ordre) pour que l’événement de tête ait lieu. Si l’un de ces événements ne survient pas, l’événement de tête ne peut arriver.p , p

Super coupe : coupe qui contient des MOE

Coupe en double

Nécessité d’élimination des super coupes et des coupes en double :

Lois d’algèbre de Booleg

Fournir une valeur conservatrice de la probabilité de l’ADP

Détermination de coupes minimales

A

A B CA B A B C

A B

Coupes : Coupes minimales

A AA AA,B ---------- super coupeA,B,C ---------- super coupeA,B ---------- coupe en double, p

Méthodes pour déterminer de coupes minimales: Réduction de l’ADP

Il est souvent nécessaire de réduire pour simplification de l’ADPl’ADP

Réduction à l’aide de l’algèbre de BooleIl est nécessaire de réduire l’ADP pour la résolution de MOE et MOBMOE et MOB

Modification de l’équation Booléenne afin d’éliminer les MOE dans l’équationAbsolument nécessaire pour le calcul de probabilités de l’ADPde l’ADP

La logique fonctionnelle du système utilisée pour l’élaboration de l’ADP est perdue

Réduction de l’ADP

G1Formule équivalente en mathématique

G2G3

G1

A B C D E

A BC G4

D E

A B C D E

N t l f ti l i d l’ADP t d è l éd tiNote : les fonctions logiques de l’ADP sont perdues après la réduction

Réduction de l’ADP

G1Formule équivalente en mathématique

G2 G3

A XX

G1

A B A CA XX

B C

N tNote : Élimination des MOEles fonctions logiques de l’ADP sont perdues après la réduction

Réduction booléenne

a.a = aa+a=a

Formule équivalente en mathématiqueLogique

A

a + ab = aa(a+b) = a

A XX

G1

A XX

G1

A

( )

A B

A B

A

Réduction des MOE

G1

[1] AA XX

A B

A[1] A[2] A,B

[1] A

AA XX

G1

[1] A,A[2] A,B

[1] A

A B

Réduction des MOE

G1

A XX

A B

[1] A,A,B [1] A,B

A XX

G1

[1] A[2] A

[1] A[2] B

A B

[3] B[2] B

Méthode pour l’obtention des coupes minimales avec le diagramme MOCUSavec le diagramme MOCUS

• Réduction à partir du sommet

T t l

1. Inscription du non de l’événement de tête

2. Remplacement de G1 par ses intrants G2 t G3Toutes les coupes

Coupes minimales

G2 et G33. Remplacement de G2 par ses intrants 1

et 24. Remplacement de G3 par ses intrants 3

t 4et 45. Ces coupes ne sont pas toutes les

coupes minimales6. Élimination des coupes qui ne sont pas

d i i ldes coupes minimales

Exemple avec diagramme Mocus (de haut en bas)

G1 G2 G3 A G3 A C⇒ ⇒ ⇒G1 G2,G3 A,G3 A,C⇒ ⇒ ⇒A,G5 A,A,B A,B⇒ ⇒

G4,G3 B,G3 B,C⇒ ⇒

A,C

A,B

B,C

A C

B,G5 B,A,B A,B⇒ ⇒

C,G5 C,A,B A,B,C⇒ ⇒C,G3 C,C C⇒ ⇒

A,B

C

A,B,C

A,B

Coupes minimales

E l

Réduction à partir du fond vers le sommet

Exemple :

G5 = A,BG3 = C + G5 = C + A,BG4 = B + CG2 = A + G4 = A + B + CG1 = G2.G3

= (A + B + C) (C + A,B)= A,C ÷ A,A,B + B,C + B,A,B + C,C + C,A,B A,C + A,B + B,C + A,B + C + A,B,C

C C C C C= C + A,C + B,C + A,B + AB,C = C + A,B

Probabilité de défaillance :

TP 1 R 1 e−λ= − = −

Probabilité de défaillance :

Quand λ T< 0.001 P ≈ λT

où T est le temps d’exposition

Probabilité de la porte ET

P = PAPBPCPDPE PNP PAPBPCPDPE….PN

Probabilité de la porte OU

P = (∑1er terme) - (∑2e terme) + (∑3e terme)

- (∑4e terme) + (∑5e terme) - (∑6e terme)…

Erreur d’évaluation : Exemple

PG1=PG2.PG3=321.41x10-10

Mauvais résultat car il faut effectuer la réduction avant de calculer les probabilités

PG2 =PA+PB-PAPBPG3 =PA+PC-PAP

G1 G2 G3

=(15+4)x10-5 – 15x4x10-8

=18.94x10-5

=(15+2)x10-5 – 15x2x10-8

=16.97x10-5

λB = 1.5 x 10-3 , λC = 4 x 10-4 , λD = 2 x 10-4B , C , D

T=10-1

PA=1.5 x 10-3 x 10-1= 15 x10-5

PB=4 x 10-4 x 10-1= 4 x10-5

PC=2 x 10-4 x 10-1= 2 x10-5

Exemple (suite)

Bonne évaluation

P P P P P

négligeable

G1

G2A

Coupes minimales :AB,C

P =P P

PK =PA+PG2-PA.PG2

=15x10-5 + 8x10-10

=15x10-5

B C

G2A PG2 =PB.PC

=4x10-5x2x10-5

=8x10-10

λB = 1.5 x 10-3 , λC = 4 x 10-4 , λD = 2 x 10-4

B C

P 1 0 λT λTB , C , D

T=10-1

PA=1.5 x 10-3 x 10-1= 15 x10-5

PB=4 x 10-4 x 10-1= 4 x10-5

P = 1,0 − e-λT ≈ λT

PC=2 x 10-4 x 10-1= 2 x10-5

Exemple :

G1

A B C D EA B C D E

λ=1x10-6 λ=1x10-7 λ=1x10-7 λ=1x10-8 λ=1x10-9λ=1x10-6

T=2hPA=2x10-6

λ=1x10-7

T=2hPA=2x10-7

λ=1x10-7

T=2hPA=2x10-7

λ=1x10-8

T=2hPA=2x10-8

λ=1x10-9

T=2hPA=2x10-9

Coupes minimales :ABCDE

Exercices

7.1 Dessinez l’ADP des systèmes suivants :

a)

b)i. Un seul moteur est suffisant pour que le

b) système fonctionneii. Deux moteur doivent fonctionner pour que le

système fonctionne

c)

Tous les composants en série et au moins un moteur doivent fonctionner pour que le système fonctionne

7.2 Déterminez les coupes minimales et calculez la probabilité de l’événement de tête des ADP suivantes :la probabilité de l événement de tête des ADP suivantes :

a)

PA = PB = PC = 2 x 10-6

b)

P = P = P = 2 x 10-6PA = PB = PC = 2 x 10-6