12. Système
• Système : ensemble d’entités (personne, logiciel,
matériel, processus), interagissant entre eux et avec leur
environnement, pour satisfaire des fonctions requises
Mai 2013www.cleodit.fr
12
14. Exigence
Une exigence est un énoncé :
• qui peut être rédigé dans un langage naturel ou dans un langage
mathématique
• qui traduit des besoins et/ou des contraintes (comme des contraintes
techniques, des contraintes de coûts, des contraintes de délais, ou
d’autres types de contrainte)
• qui caractérise un élément du système à réaliser à l’aide d’un identifiant
unique
[Association Française d’Ingénierie Système]
Exemple de référentiel d’exigences : une norme, un cahier des charges…
Mai 2013www.cleodit.fr
14
Besoin ≠ Moyen
Explicite ou Implicite
15. Evénement redouté
(événement indésirable)
• Evénement redouté : événement dont la survenue n’est
pas souhaitée en regard des exigences
• Accident, si la gravité est importante
• Incident, si la gravité est peu importante
Mai 2013www.cleodit.fr
15
16. Gravité
• Gravité : importance des conséquences d’un événement
redouté
• Conséquences humaines, économiques, environnementa-
les…
• Echelle quantitative
• Echelle qualitative :
Mai 2013www.cleodit.fr
16
Niveau
gravité
Conséquences
Critique
(IV)
Plusieurs personnes avec des
blessures graves ou irréversibles
Majeur
(III)
Une personne avec des blessures
graves ou irréversibles
Dommages de coût élevé sur le
système ou son environnement
Mineur
(II)
Blessures légères et réversibles
Dommages de coût limité sur le
système ou son environnement
17. Vraisemblance
• Vraisemblance : possibilité d’occurrence d’un événement
redouté
• Echelle qualitative : peu probable / probable / très
probable, courte durée d’exposition / longue durée
d’exposition…
• Echelle quantitative : probabilité ou fréquence sur une
période donnée
Mai 2013www.cleodit.fr
17
18. Risque
• Risque : combinaison de la vraisemblance d’un
événement redouté et de sa gravité
Mai 2013www.cleodit.fr
18
20. Sûreté
de fonctionnement
• Sûreté de fonctionnement : ensemble d’attributs qui
traduisent les aptitudes d’un système à satisfaire une
fonction requise dans un contexte donné
• i.e. dans des conditions données
• dans un environnement donné
• à un instant donné ou pendant un intervalle de temps
donné…
Mai 2013www.cleodit.fr
20
21. Attributs FDMS / RAMS
Mai 2013www.cleodit.fr
21
Sûreté de
fonctionnement
Disponibilité
Maintenabilité
Fiabilité
Sûreté
(Sécurité-Innocuité)
Aptitude à satisfaire
la fonction à un
instant donné,
en supposant que la
fourniture des
moyens est assurée
Aptitude à satisfaire
la fonction
sans provoquer
d’événement redouté
Aptitude à être réparée
dans un intervalle de temps donné
Aptitude à satisfaire la fonction
pendant une durée donnée
23. Niveau de sûreté
• Niveau de sûreté : ensemble requis d’exigences qualitatives
et quantitatives de sûreté de fonctionnement
• Les exigences portent sur un des attributs FDMS retenus
Mai 2013www.cleodit.fr
23
24. Niveau de sûreté
pour l’attribut S
Mai 2013www.cleodit.fr
24
SIL (Safety Integrity Level)
Exigence
qualitative S
Exigence
qualitative S
Exigence
quantitative
S
25. Défaillance
• Défaillance : cessation de l’aptitude d’une entité à
satisfaire une fonction requise
• Une défaillance ne doit pas avoir pour conséquence un
événement redouté
Mai 2013www.cleodit.fr
25
26. Types de défaillance
• Défaillance aléatoire : défaillance d’une entité dont la cause est
aléatoire
• Défaillance systématique : défaillance liée de manière
déterministe à une cause
• Défaillance primaire : défaillance d'une entité dont la cause
n'est pas une défaillance d'une autre entité
• Défaillance secondaire : défaillance d'une entité dont la cause
est une défaillance d'une autre entité et pour laquelle cette
entité n’est pas dimensionnée
• Défaillance de commande : défaillance d'une entité dont la
cause est une défaillance d'une autre entité et pour laquelle
cette entité est dimensionnée
Mai 2013www.cleodit.fr
26
matérielle
27. Exemples de défaillance
• Défaillance systématique
• Défaillance aléatoire
• Défaillance primaire
• Défaillance secondaire
• Défaillance de commande
Mai 2013www.cleodit.fr
27
28. Mode de défaillance
• Mode de défaillance : état observable d’une entité
défaillante pour une fonction requise
• La liste des modes de défaillance doit être établie de
manière exhaustive
• Les modes de défaillance doivent être indépendants
Mai 2013www.cleodit.fr
28
29. Modes de défaillance
d’une fonction
• Fonctionnement prématuré ou intempestif
• Non fonctionnement ou fonctionnement retardé
• Fonctionnement interrompu ou intermittent
• Fonctionnement continu
• Fonctionnement dégradé
Mai 2013www.cleodit.fr
29
Légende :
Fonctionnement attendu
Fonctionnement observé
33. Grandeurs caractéristiques
Fiabilité
Mai 2013www.cleodit.fr
33
Paramètre Définition Symbole Dimension
Fiabilité Probabilité que la première défaillance
du système survienne après l’instant t
R(t)
Taux
(instantané)
de
défaillance
A = Le système est non défaillant sur la
durée [0,t]
B = Le système est défaillant sur la
durée [t,t+Δt]
λ(t) Défaillances
/ TempsDt®0
lim
P(B A)
Dt
aléatoire
34. Grandeurs caractéristiques
Courbe en baignoire
Mai 2013www.cleodit.fr
34
Jeunesse Maturité Vieillesse
λ(t)
λ
Temps
(déverminage, rodage) (usure)
Durée de vie
Taux de défaillance constant
35. Lois de fiabilité
• Loi exponentielle pour λ(t) constant uniquement
• R(t) = e-λt
• Loi de Weibull pour λ(t) constant ou variable
(trois paramètres)
Mai 2013www.cleodit.fr
35
36. Calculs de fiabilité
• La fiabilité prévisionnelle des composants élémentaires est donnée
par les recueils de fiabilité (cf. annexe)
• On construit un modèle de fiabilité du système
• Arbre de défaillances
• BDF (Bloc Diagramme Fiabilité)
• Graphes de Markov
• Réseaux de Pétri
• On utilise des outils (cf. annexe) pour l’estimation de la fiabilité du
système
Mai 2013www.cleodit.fr
36
Attention aux unités,
qui diffèrent d’un
recueil à l’autre
Modèle série :
R(t) < min(Ri(t))
λ(t) = Σλi(t) constant
Modèle parallèle :
R(t) > max(Ri(t))
λ(t) non constant
37. Grandeurs caractéristiques
Fiabilité (MTTF, MTBF, MUT, MDT)
Mai 2013www.cleodit.fr
37
Paramètre Définition Symbole Dimension
Mean Time To
Failure
Durée moyenne de fonctionnement
avant la première défaillance
(espérance mathématique)
MTTF Temps
Mean Down
Time
Durée moyenne de non
fonctionnement avant maintenance
corrective
MDT Temps
Mean Up
Time
Durée moyenne de fonctionnement
après maintenance corrective
MUT Temps
Mean Time
Between
Failure
Durée moyenne de fonctionnement
entre défaillances consécutives
(pour les systèmes réparables)
MTBF Temps
39. Grandeurs caractéristiques
Fiabilité (MTTF, MTBF, MUT, MDT)
Mai 2013www.cleodit.fr
39
• Si le taux de défaillance est constant et égal à λ
• MTBF = MTTF = 1/λ
• R(MTTF) = e-1 < 0,37
40. Grandeurs caractéristiques
Maintenabilité
Mai 2013www.cleodit.fr
40
Paramètre Définition Symbole Dimension
Maintenabilit
é
Probabilité qu’un système (réparable)
connaisse une défaillance à l’instant t
= 0 et soit réparé sur la durée [0,t]
(pour les systèmes réparables)
M(t)
Taux
(instantané de
réparation) A = Le système n’est pas réparé sur la
durée [0,t]
B = Le système est réparé sur la durée
[t,t+Δt]
μ(t) Réparation
s/ TempsDt®0
lim
P(B A)
Dt
aléatoire
44. Exemples d’exigences
• Exemple d’exigence de fiabilité : le MTBF du système
doit être de 50 000 heures
• Exemple d’exigence de disponibilité : le système doit
démarrer en moins de 1 seconde
• Exemple d’exigence de maintenabilité : le MTTR du
système doit être de 24 heures
• Exemple d’exigence de sûreté : le THR du système doit
être de 10-9 par heure
Mai 2013www.cleodit.fr
44
45. MAÎTRISE DES RISQUES
Etablissement du contexte
Appréciation du risque
Traitement du risque
Acceptation du risque
Mai 2013www.cleodit.fr
45
46. Processus de
management du risque
Mai 2013www.cleodit.fr
46
Etablissement du contexte
Evaluation du risque
Traitement du risque
Communicationdurisque
Surveillanceetréexamendurisque
Identification du risque
Estimation du risque
Analyse du risque
Appréciation du risque
47. Etablissement
du contexte
• Objectifs
• Quelles sont les exigences applicables au projet ?
• Quels attributs doivent être suivis en regard de ces
exigences ?
• Quel est le niveau d’analyse souhaité ?
• Périmètre
• Quelles phases du cycle de vie du système doivent être
analysées ?
• Quelles fonctions doivent être analysées ?
Mai 2013www.cleodit.fr
47
48. Méthodes
d’analyse de risque
Mai 2013www.cleodit.fr
48
Méthodes déductives
Conclusion
Quelles sont les
causes nécessaires et
suffisantes ?
Méthodes inductives
Condition
Quelles sont les
conséquences ?
49. Estimation du risque
(Criticité)
• Détermination de la vraisemblance
• Détermination de la gravité
• Détermination de la possibilité de détecter et éliminer le
risque avant qu’il n’impacte le système
• Indice de criticité / Risk Priority Number (RPN) :
Vraisemblance x Gravité x Détection
Mai 2013www.cleodit.fr
49
50. Evaluation du risque
• Principe ALARP
• « As Low as Reasonably Practicable » / « Aussi faible que
raisonnablement possible »
• Royaume-Uni
• Principe GAMAB ou GAME
• « Globalement Au Moins Aussi Bon » ou « Globalement Au
Moins Equivalent »
• France
• Matrice de criticité
Mai 2013www.cleodit.fr
50
51. Matrice de criticité
Mai 2013www.cleodit.fr
51
Vraisemblance
x Gravité
Insignifiant Marginal Critique Catastrophique
Fréquent Indésirable Inacceptable Inacceptable Inacceptable
Probable Acceptable Indésirable Inacceptable Inacceptable
Occasionnel Acceptable Indésirable Indésirable Inacceptable
Rare Négligeable Acceptable Indésirable Indésirable
Improbable Négligeable Négligeable Acceptable Acceptable
Invraisemblable Négligeable Négligeable Négligeable Négligeable
Inacceptable
Indésirable
Acceptable
Négligeable
Doit faire l’objet d’une réduction de risque
Acceptable ssi la réduction de risque est impossible (irréalisable, coût
disproportionné…) et avec l’accord de la société d’exploitation
Acceptable moyennant un contrôle approprié
et avec l’accord de la société d’exploitation
Acceptable sans condition
52. Risque acceptable
• Risque acceptable : risque identifié que l’on s’autorise à
ne pas traiter
Mai 2013www.cleodit.fr
52
53. Traitement du risque
• Action en réduction du risque : action de traitement du
risque permettant de passer d’un risque inacceptable à un
risque acceptable
• Action de prévention
• Action de protection
• Barrière de sûreté : entité
réalisant l’action en réduction
Mai 2013www.cleodit.fr
53
Vraisemblance
Gravité
Action
de protection
Action
de prévention
54. Risque résiduel
• Risque résiduel : risque subsistant après le traitement du
risque
Mai 2013www.cleodit.fr
54
Risque
acceptable
Risque
non
identifié
Risque
résiduel
55. Pièges à éviter / Biais
• Problème de technique
• Problème de méthodologie
• Pression : délai, indépendance
• Biais cognitifs : biais de disponibilité, biais de
confirmation, biais d’ancrage, biais de représentativité
Mai 2013www.cleodit.fr
55
57. Analyse fonctionnelle
• Démarche qui consiste à identifier et caractériser les
fonctions du système
• Etape préliminaire indispensable à l’analyse de risque
pour la compréhension du système et de son
environnement
Mai 2013www.cleodit.fr
57
58. Analyse fonctionnelle
externe
• Démarche qui consiste à traduire un besoin en fonctions
attendues du système
• A ce stade, le système est une boite noire
Mai 2013www.cleodit.fr
58
59. • Méthode d’Inventaire Systématique du Milieu
Environnant
Mai 2013www.cleodit.fr
59
Méthode MISME
AF externe
60. Représentation MISME
Mai 2013www.cleodit.fr
60
Système
dans une
phase
donnée
Elément E1
de
l’environne
ment
Elément E2
de
l’environne
ment
Elément E4
de
l’environne
ment
Elément E3
de
l’environne
ment
F1
F2F3
F1 : fonction d’interaction entre E3 et E4
F2 : fonction d’adaptation du système à l’environnement
F3 : fonction d’adaptation de l’environnement au système
61. Analyse fonctionnelle
interne
• Démarche qui consiste à décrire les fonctions techniques
du système qui réalisent les fonctions identifiées lors de
l’AFE
Mai 2013www.cleodit.fr
61
62. Méthode SADT
AF interne
Mai 2013www.cleodit.fr
62
Structured Analysis and Design Technique
Actigramme SADT d’une fonction
Fonction
63. Méthode SADT
AF interne descendante
Mai 2013www.cleodit.fr
63
A0
Du général :
Fonction technique globale
Au particulier :
Fonctions techniques
détaillées
A1
A2
A3
A11
A12
A-0
A0
A1 A3
64. Tableau
d’AF
• Synoptique des analyses fonctionnelles externe et interne
• Lien entre les fonctions issues de l’AF externe et les
fonctions techniques les réalisant issues de l’AF interne
• Lien entre les fonctions issues de l’AF externe et les
moyens/équipements supportant leur réalisation issus de
l’AF interne
Mai 2013www.cleodit.fr
64
E1 E2 E3 E4
F1 F11 X
F12 X
F13 F131 X
F132 X
…
65. ANALYSE
DYSFONCTIONNELLE
Analyse Préliminaires des Risques / Dangers
Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité
Etude de danger et d’exploitabilité
Arbre de défaillances
Mai 2013www.cleodit.fr
65
66. APR/APD
• Analyse Préliminaire des Risques / Dangers
• Méthode déductive : on part des événements redoutés
pour en déterminer les causes (fonction concernée, phase
du cycle de vie, événement initiateur…)
• Les événements considérés sont indépendants
Mai 2013www.cleodit.fr
66
67. Tableau d’APR/APD
• 1) Identification unique du scenario
• 2) Evénement redouté issue d’une liste générique sectorielle ou d’une liste basée sur le REX
• 3) Situation préalable à l’accident potentiel, basée sur le REX
• 4) Evénement redouté initiateur ou cause rendant effective la situation dangereuse
• 5) Fonction (issue de l’AF) à laquelle on peut associer une défaillance et qui est à l’origine
de l’événement initiateur
• 6) Evénement complémentaire transformant la situation dangereuse en accident potentiel
(indépendant de l’événement initiateur et dont une autre fonction est à l’origine)
• 7) Phase d’utilisation
• 8) Conséquences du scenario
• 9) Criticité du risque
• 10) Actions en réduction de risque
• 11) Remarques ou commentaires éventuels concernant le scenario ou la méthodologie
Mai 2013www.cleodit.fr
67
N°
Accident
potentiel
Situation
dangereuse
Evénement
causant une
situation
dangereuse
Entité
dangereuse
Evénement
causant un
accident
potentiel
Phase Effets Criticité
Traitement
du risque
Remarques /
Commentaires
1 2 3 4 5 6 7 8 9 10 11
68. AMDE(C)
• Analyse des Modes de Défaillance, de leurs Effets (et de
leur Criticité)
• Méthode inductive
• Analyse des défaillances simples uniquement
• Les combinaisons de défaillances font l’objet d’analyses
séparées
Mai 2013www.cleodit.fr
68
69. Tableau d’AMDE(C)
• 1) Identifiant unique du scenario
• 2) Fonction analysée (issue de l’AF)
• 3) Mode de défaillance
• 4) Cause du mode de défaillance
• 5) Conséquence au niveau analysé du système
• 6) Conséquence au niveau « suivant » du système ou sur le système global
(ex. événement redouté)
• 7) Gravité / Vraisemblance / Criticité
• 8) Barrières de sûreté existantes
• 9) Conséquence en tenant compte des barrières
• 10) Gravité / Vraisemblance / Criticité en tenant compte des barrières
• 11) Exigences pour la réduction du risque
• 12) Remarques ou commentaires éventuels concernant le scenario ou la méthodologie
Mai 2013www.cleodit.fr
69
N°
Entité /
Fonction
Mode de
défaillance
Cause de la
défaillance
Effet local Effet global G V C
Traitement
du risque
Effet résiduel G' V' C'
Exigences de
sûreté
Remarques /
Commentaires
1 2 3 4 5 6 7 7 7 8 9 10 10 10 11 12
70. HAZOP
• HAZard and OPerability Studies : étude de danger et
d’exploitabilité
• Etudie l’influence des déviations de divers paramètres
régissant le système par rapport à leurs valeurs nominales
de fonctionnement
Mai 2013www.cleodit.fr
70
Non Plus Moins
Aussi bien
que
Une partie
de
Inverse Autre que Tôt/avant Tard/après
71. Arbre de défaillances
Mai 2013www.cleodit.fr
71
Evénement redouté parent
résultant de la combinaison de
tous les événements redoutés fils
Porte logique ET
Porte logique OU
Evénement redouté parent
résultant d’un au moins des
événements redoutés fils
Evénement redouté de base
non décomposable
Evénement redouté
non décomposé
72. Arbre de défaillances
Mai 2013www.cleodit.fr
72
• Les événements fils
doivent être les
événements immédiats,
nécessaires et suffisants
• A chaque étape, les
défaillances primaires,
secondaires et de
commande doivent être
considérées
• Tous les événements
doivent être indépendants
73. Arbre de défaillances
Mai 2013www.cleodit.fr
73
• Les événements fils
doivent être les
événements immédiats,
nécessaires et suffisants
• A chaque étape, les
défaillances primaires,
secondaires et de
commande doivent être
considérées
• Tous les événements
doivent être indépendants
75. Bibliographie
• IMdR – Groupe de travail Management, Méthodes,
Outils, Standards (M2OS) – Fiches méthodes – 2010
• http://www.imdr.fr/submitted/document_site/Fiches_pedago_7_20100910_Fr_222.pdf
• Laprie, Jean-Claude – Dependability: Basic Concepts and
Terminology – Springer-Verlag – 1992
• Leveson, Nancy – Safeware : System safety and
computers. Addison Wesley – 1995
• Villemeur, Alain – Sûreté de fonctionnement des
systèmes industriels – Editions Eyrolles – 1988
Mai 2013www.cleodit.fr
75
76. Normes
• ISO/IEC 60050-191 – Vocabulaire électrotechnique
international – Sûreté de fonctionnement et qualité de
service – 1990
• ISO/IEC 60812 – Techniques d’analyses de la fiabilité du
système – Procédure d’analyse des modes de défaillance
et de leurs effets (AMDE) – 2006
• ISO/IEC 61882 – Etudes de danger et d’exploitabilité
(HAZOP) – 2001
• ISO/IEC 61025 – Analyse par arbre de panne – 2006
Mai 2013www.cleodit.fr
76
77. Recueils de fiabilité
• MIL-HDBK-217 (électronique)
• RDF 93 (électronique)
• UTE-C 80180 / RDF 2000 / IEC 62380 (électronique)
• FIDES (électronique)
• NPRD-95 (Non electronic Parts Reliability Data,
mécanique/électromécanique)
• OREDA (Offshore Reliability Data)
• EIREDA (European Industry Reliability Data bank)
Mai 2013www.cleodit.fr
77
78. Outils
• Dia (SADT)
• Open Office Classeur (AMDEC)
• ARALIA Workshop SimTree (arbre de défaillances)
• ITEM Toolkit (fiabilité prévisionnelle)
• RAM Commander (fiabilité prévisionnelle)
Mai 2013www.cleodit.fr
78
79. CONDITIONS DE LICENCE ET
DROITS D’UTILISATION
Licence
Crédits images
Mai 2013www.cleodit.fr
79
80. Licence
• Cette œuvre de CleodIT est mise à disposition selon les
termes de la licenceCreative Commons Attribution – Pas
d’Utilisation Commerciale – Partage dans les Mêmes
Conditions 3.0 France
Mai 2013www.cleodit.fr
80
81. Crédit images
• Les images contenues en page 3 de cette présentation sont
la propriété de Christian F. Burprich
• Ces images sont proposées sous licence Creative
Commons CC BY-NC-SA 3.0
• Les images originales ont été colorisées
Mai 2013www.cleodit.fr
81
82. Crédit images Clip Art
• Les images Clip Art contenues dans cette présentation sont la propriété de
Microsoft Corporation
• Vous pouvez copier et utiliser ces éléments multimédias dans vos projets et
documents
• Vous n’êtes pas autorisé à
• vendre, concéder sous licence ou distribuer des copies des éléments multimédias en tant
que tels ou en tant que produit si la valeur principale du produit est constituée par les
éléments multimédias
• concéder à vos clients des droits les autorisant à concéder sous licence ou distribuer les
éléments multimédias
• concéder sous licence ou distribuer à des fins commerciales des éléments multimédias
incluant des représentations d’individus, de gouvernements, de logos, de marques
commerciales ou d’emblèmes, ou utiliser ces types d’images d’une façon impliquant la
promotion ou l’association à votre produit, entité ou activité
• Ou créer des oeuvres obscènes ou diffamatoires à l’aide des éléments multimédias
• Pour plus d’informations, visitez le site www.microsoft.com/permission (en
anglais)
Mai 2013www.cleodit.fr
82