La Sûreté de Fonctionnement
Ce paragraphe présente une synthèse des définitions données dans [Laprie 96] et [Villemeur 88], références auxquelles le lecteur peut se rapporter pour des aspects plus détaillés ou complémentaires.
Quelques notions
La Sûreté de Fonctionnement (notée SdF) peut être définie, au sens large, comme la science des défaillances [Villemeur 88]. Elle inclut leur connaissance, leur évaluation, leur prévision, leur mesure et leur maîtrise. Elle représente l’aptitude d’une entité à satisfaire à une ou plusieurs fonctions requises dans des conditions données. Selon [Laprie 96], la SdF est la propriété d’un système permettant à ses utilisateurs de placer une confiance justifiée dans le service délivré. Au sens strict, la Sûreté de Fonctionnement est l’aptitude d’une entité à satisfaire une ou plusieurs fonctions requises dans des conditions données. Elle peut être caractérisée par les attributs suivants :
– La fiabilité : c’est l’aptitude d’une entité à accomplir une fonction requise, dans des conditions données, pendant une durée donnée. Elle est généralement mesurée par la probabilité qu’une entité accomplisse une fonction requise, dans les conditions données, pendant l’intervalle de temps [0, t].
– La disponibilité : c’est l’aptitude d’une entité à être en état d’accomplir une fonction requise dans des conditions données et à un instant donné. La disponibilité est généralement mesurée par la probabilité qu’une entité soit en état d’accomplir une fonction requise dans des conditions données et à un instant t donné.
– La maintenabilité : c’est l’aptitude d’une entité à être maintenue ou rétablie dans un état dans lequel elle peut accomplir une fonction requise, lorsque la maintenance est effectuée dans des conditions données avec des procédures et des moyens prescrits. Elle est généralement mesurée par la probabilité que la maintenance d’une entité accomplie dans des conditions données, avec des procédures et des moyens prescrits, soit achevée au temps t, sachant que l’entité est défaillante à l’instant t = 0.
– La sécurité : c’est l’aptitude d’une entité à éviter de faire apparaître, dans des conditions données, des événements critiques ou catastrophiques. La sécurité est généralement mesurée par la probabilité qu’une entité évite de faire apparaître, dans des conditions données, des événements critiques ou catastrophiques.
La Sûreté de Fonctionnement a pour objectif de spécifier, concevoir, réaliser et exploiter des systèmes où la faute est naturelle, prévue et tolérable [Laprie 96]. Une défaillance est la cessation de l’aptitude d’une entité à accomplir une fonction requise. La défaillance d’une entité résulte de causes qui peuvent dépendre des circonstances liées à la conception, la fabrication ou l’emploi et qui ont entraîné la défaillance. Enfin, le mode de défaillance est l’effet par lequel une défaillance est observée (définition de la Commission Electrotechnique Internationale). Une reconfiguration est l’action de modifier la structure d’un système qui a défailli, de telle sorte que les composants non-défaillants permettent de délivrer un service acceptable, bien que dégradé.
Les principales méthodes d’analyse de la Sûreté de Fonctionnement sont les suivantes :
– L’Analyse Fonctionnelle
– L’Analyse Préliminaires des Risques (APR)
– L’Analyse des Modes de défaillances, de leurs Effets et de leurs Criticités (AMDEC)
– L’Arbre de Défaillance (AdD)
– Le Diagramme de Fiabilité (DdF) .
Nous détaillerons par la suite les deux méthodes qui concernent notre travail, à savoir l’analyse préliminaire des risques et la méthode des arbres de défaillances. Par ailleurs, il existe des ateliers logiciels destinés à analyser quantitativement et qualitativement l’effet d’une défaillance sur le comportement du système. Ils permettent de générer les modèles utilisés en Sûreté de Fonctionnement comme les AMDEC, AdD, DdF.
Quelques méthodes
L’Analyse Préliminaire des Risques
L’analyse préliminaire des risques a été utilisée pour la première fois aux Etats-Unis au début des années soixante. Depuis, cette approche a conquis nombre de secteurs industriels tels que l’industrie aéronautique, chimique, nucléaire ou automobile.
Cette méthode a pour objectifs :
– d’identifier les dangers d’un système et de définir ses causes,
– d’évaluer la gravité et les conséquences liées aux situations dangereuses et aux accidents potentiels.
A l’issue de cette étude, des actions correctives sont mises en œuvre afin de permettre la maîtrise ou la suppression des situations dangereuses et des accidents potentiels décelés. Il est recommandé de réaliser l’analyse préliminaire des risques dès les premières phases de conception. Cette étude sera ensuite complétée et enrichie à mesure de l’avancement dans le cycle de vie et ce, jusqu’à la fin de vie du système. L’APR est en général une étude préliminaire nécessitant la réalisation d’études complémentaires de sûreté de fonctionnement telle que la méthode des arbres des défaillances utile à la détermination des causes des événements indésirables décelés lors de l’analyse préliminaire.
La méthode des Arbres de Défaillances
L’analyse par Arbre de Défaillance est une analyse déductive qui permet de représenter graphiquement les combinaisons d’événements élémentaires qui conduisent à la réalisation d’un événement redouté. L’Arbre de Défaillance, dont la racine correspond à l’événement redouté pour lequel on cherche à évaluer la probabilité d’occurrence, est formé de niveaux successifs tels que chaque événement soit généré à partir des événements du niveau inférieur par l’intermédiaire d’opérateurs logiques (ET, OU, …). La décomposition s’arrête au niveau des événements élémentaires, caractérisés par le fait qu’ils sont indépendants entre eux ou que leurs probabilités peuvent être estimées ou qu’on ne désire pas les décomposer en éléments plus simples.
Un Arbre de Défaillance caractérise de façon claire les liens de dépendance, du point de vue du dysfonctionnement, entre les composants d’un système. L’analyse par Arbre de Défaillance peut être uniquement qualitative, par recherche systématique des combinaisons minimales de défaillances entraînant l’apparition de l’événement redouté (coupes minimales), afin d’identifier les chemins les plus critiques, et donc d’identifier les points faibles du système. Elle peut aussi être d’ordre quantitative ; dans ce cas, on assigne à chaque événement de base une probabilité d’occurrence pour effectuer le calcul de celle de l’événement redouté. L’analyse par Arbre de Défaillance est largement répandue et utilisée dans les études de sûreté de fonctionnement car elle caractérise de façon claire les liens de dépendance, du point de vue du dysfonctionnement, entre les composants d’un système. En dépit de la simplicité d’utilisation de cette technique, elle souffre néanmoins de l’existence d’hypothèses implicites dont la vérification a posteriori est rarement effectuée par les praticiens. Par exemple, il est supposé que toute modification de l’ordre dans lequel les événements sont considérés n’a pas d’impact sur le scénario redouté (y compris sa probabilité d’occurrence). Or, comme nous allons le voir par la suite, cette notion d’ordre dans les événements de défaillance joue un rôle primordial dans les systèmes mécatroniques. Avant de développer ce point, nous présenterons tout d’abord ces systèmes et leurs spécificités.
Exemples de systèmes mécatroniques
Système d’antiblocage des roues (ABS)
Le freinage a connu ces dernières années d’importantes évolutions. La plus spectaculaire concerne sans aucun doute l’antiblocage des roues : l’ABS (Anti-lock Braking System), un système qui a fait son apparition en 1952 sur les avions puis, dès 1978, sur les voitures. L’ABS est désormais devenu incontournable sur la quasi-totalité des véhicules produits, au grand bénéfice de la sécurité active [Kassaagi 01].
Le fonctionnement de l’ABS repose sur un calculateur électronique qui analyse en permanence la vitesse du véhicule et sa variation, ainsi que celle des quatre roues (capteurs embarqués). Lorsqu’il détecte un blocage d’une ou plusieurs roues (glissement de 100%), le système réagit en ordonnant au système de freinage de diminuer son action sur la ou les roues désignées. Cette action est rendue possible par l’utilisation d’électrovalves (ou électrovannes du bloc hydraulique). Une pompe électrique remet de la pression dès que la roue a repris sa vitesse (cette opération peut s’effectuer jusqu’à 12 fois par seconde). Grâce à un temps de réaction très court, le système peut maintenir chaque roue à la limite du blocage, permettant ainsi une décélération optimale (glissement autour de 15%) et empêchant le dérapage du véhicule. En général, le déclenchement de l’ABS est accompagné de vibrations dans la pédale de frein dues au relâchement et à la mise en pression successifs dans le circuit de freinage.
Lors d’un freinage d’urgence, ce système évite donc aux roues du véhicule de se bloquer, de sorte que celui ci « roule » et « ne glisse pas ». Il reste ainsi dirigeable par le conducteur, lui permettant de réaliser un évitement par déport latéral tout en bénéficiant d’une décélération maximale. Lors d’un freinage sur une surface sèche ou mouillée, la distance d’arrêt avec un ABS est légèrement inférieure à celle qu’on aurait obtenu avec les freins conventionnels. En revanche, le freinage avec ABS sur une surface meuble (gravier, neige, …) a pour effet de rallonger relativement les distances d’arrêt : les pneus tournent, demeurent sur le dessus de la surface et, par conséquent, « flottent » sur celle-ci (avec un train conventionnel, le pneu s’enfonce dans le sol, créant un effet « chasse-neige » qui accentue le ralentissement).
|
Table des matières
Introduction générale
Objectif de la thèse et contribution
Plan du manuscrit
Chapitre 1. Sûreté de Fonctionnement des systèmes mécatroniques : concepts, méthodes et limites
I Introduction
II La Sûreté de Fonctionnement
II.A Quelques notions
II.B Quelques méthodes
III Les systèmes mécatroniques
III.A Définition
III.B Exemples de systèmes mécatroniques
III.C L’aspect dynamique hybride des systèmes mécatroniques
IV La Sûreté de Fonctionnement des systèmes mécatroniques
IV.A Limites des méthodes classiques
IV.B La fiabilité des systèmes dynamiques hybrides
IV.C Les méthodes de modélisation
IV.D Les méthodes d’analyse
V Un tour d’horizon
V.A Travaux de J. L. Chabot
V.B Méthode des graphes de flux dynamiques
V.C Travaux de G. Moncelet
VI Synthèse
Chapitre 2. Modélisation hybride et logique
I Introduction
II Aspect hybride
II.A Approches de modélisation de l’aspect hybride avec les RdP
II.B Les RdP associés à des équations différentielles
II.C Les réseaux de Petri Predicats-Transitions Différentiels et Stochastiques (RdP PTDS)
II.D Discussion sur le modèle hybride
III Aspect logique et accessibilité
III.A Introduction
III.B Logique Linéaire
III.C Traduction des réseaux de Petri en logique Linéaire
III.D Construction de l’arbre de preuve canonique
III.E Graphe de précédence
III.F Séquent caractéristique d’un seul ordre partiel
III.G Exemple avec conflit
III.H Apport de la logique Linéaire
Chapitre 3. Extraction des scénarios redoutés à partir d’un modèle RdP
I Introduction
II Scénarios redoutés
II.A Définition
II.B Formalisation en RdP et en logique Linéaire
III Accessibilité entre deux marquages : deux approches duales
III.A Accessibilité avant
III.B Accessibilité arrière
IV Raisonnement dans un contexte inconnu
IV.A Raisonnement avant
IV.B Raisonnement arrière
V Méthode de recherche de scénarios redoutés
V.A Principe
V.B Les différentes étapes
V.C Exemple d’application de la méthode
V.D La recherche des scénarios est un processus itératif
VI Algorithme pour la recherche de scénarios
VI.A Enrichissement du marquage
VI.B Structures de données
VI.C Quelques procédures
VI.D Algorithme
VI.E Application sur un cas d’étude
VII Conclusion
Chapitre 4 : Application
I Introduction
II Le conjoncteur disjoncteur électromécanique
II.A Présentation du système
II.B Modélisation du conjoncteur-disjoncteur
II.C Application de la méthode de recherche de scénarios
III Le système de régulation des réservoirs
III.A Présentation
III.B Modélisation
III.C Application de la méthode de recherche de scénarios
IV Conclusion
Conclusion générale
Bibliographie