Analyse Fonctionnelle Arbres ... [PDF]

Zitiervorschau

Chapitre : Fondamentaux et méthodes de la SDF

Plan 1. 2. 3. 4. 5. 6. 7. 8.

Analyse fonctionnelle Analyse Préliminaire des risques AMDEC Analyse de Zone Arbre de Défaillances Arbre d’Evènements Graphes de Markov Conclusions

1. Analyse fonctionnelle L’analyse fonctionnelle consiste à rechercher et à caractériser les fonctions offertes par un produit placé dans un système pour satisfaire les besoins de son utilisateur. • Les besoins peuvent être de natures objective ou subjective ; • Le système est l’ensemble des éléments formant un tout structuré satisfaisant plusieurs besoins cohérents. C’est un ensemble vaste où l’on trouve souvent tous les types de produits représentés (matériel, processus, service…) ; • Le mot produit est pris au sens large du terme, il peut s’agir d’un objet, d’un matériel, d’un service, d’un logiciel, d’un système, d’un processus voire même d’un patient ; • Les fonctions nécessaires à la satisfaction des besoins peuvent être de service ou d’estime ou encore des contraintes imposées par un client, un milieu environnant particulier ou par des règlements. a. Objectifs • Exprimer le juste besoin de l’utilisateur ; • Décrire la mission du produit ; • Déterminer les fonctions de service à satisfaire ; • Ordonner, caractériser, hiérarchiser les fonctions ; • Identifier les contraintes liées à l’environnement ; • Choisir les solutions techniques qui répondent le mieux au besoin. b. Analyse Fonctionnelle Externe et Interne

b.1 Analyse fonctionnelle externe Lorsque l’analyse fonctionnelle concerne l’usage d’un produit, c’est-à-dire les fonctions qu’il doit assurer pour satisfaire le besoin du client. Cette forme d’analyse est appelée analyse fonctionnelle externe ou expression fonctionnelle du besoin. Elle exprime le point de vue du client utilisateur et met en évidence les fonctions de service ou d’estime. Ses objectifs sont : • • • •

Identification des milieux extérieurs (sources de défaillances) ; Définition des fonctions de service à assurer et des événements redoutés associés ; Spécification des objectifs de SdF (FMDS) ; Définition des contraintes.

b.2 Analyse fonctionnelle interne Lorsque l’analyse porte sur le produit lui-même, pour : • • •

Améliorer son comportement ; Diminuer son coût ; Améliorer sa fiabilité ; etc ;

Le produit est considéré comme un assemblage de constituants dont chacun remplit certaines fonctions vis-à-vis des autres (l’analyse va porter sur l’intérieur du produit pour comprendre ses fonctionnalités internes). L’analyse est alors appelée analyse fonctionnelle interne. Elle exprime le point de vue du concepteur réalisateur du produit et met en évidence les fonctions techniques. c. Etapes et méthodes de l’Analyse Fonctionnelle c.1 Etapes de l’Analyse Fonctionnelle • Expression du besoin :

• Identification des fonctions de service :

• Identification des fonctions techniques :

• Ordonnancement :

• Caractérisation des fonctions :

c.2 Méthodes de l’Analyse Fonctionnelle : Il existe plusieurs méthodes d’analyse fonctionnelle, qui se différencient par : • La façon d’appréhender le système étudié ; • Leur mode de représentation. L’utilisation des méthodes dépend : • De la nature du système ; • Et du but de l’étude. Les méthodes d’Analyse Fonctionnelle les plus utilisées : • MISME (Méthode d’Inventaire Systématique du Milieu Environnant) : cette méthode considère l’ensemble des composants du système avec leurs interactions, ainsi que les milieux environnants. • SADT (System Analysis and Design Technique) : c’est une méthode d’analyse par niveaux successifs d’approche descriptive d’un ensemble, quel qu’il soit. On peut l’appliquer aussi bien à la gestion d’une entreprise qu’à un système automatisé. • BDF (Blocs Diagrammes Fonctionnels) : méthode de découpage fonctionnel du système.

2. Analyse Préliminaire des Risques (APR) Elle fournit l’ensemble des événements redoutés prévisionnels dans toutes les phases de vie du système (de la conception au début, en passant par la mise en service, l’exploitation et la maintenance). Son objectif est la mise en évidence et étude des dysfonctionnement susceptibles d’apparaitre : • •

Identifier les fonctions et éléments potentiellement à risque et les événements indésirables associés. Caractériser les événements indésirables en termes de scénarios d’apparition et de gravité.

L’APR peut s’effectuer dès la phase exploratoire : •

Dès que l’on connait les fonctions à remplir par le système ;

•

Dès que l’on connait les grands choix technologiques

Elle est effectuée en groupe de travail. a. Données d’entrée : • • •

Les fonctions à remplir par le système ; Comment le système va vivre, être utilisé (profil de mission/vie) La description et la délimitation du système (Arborescence Technique, Organisation Industrielle, Schéma d’architecture et des interfaces).

b. Gravité

c. Fréquence

d. Mesures de réduction des risques : Diminution de la probabilité d’apparition de l’événement indésirable : actions dans le domaine de la PREVENTION. Diminution de la gravité de l’événement indésirable : actions dans le domaine de la PROTECTION. Exemple :

e. Stratégie de traitement de l’événement indésirable : • •

Hiérarchiser : on choisit le juste nécessaire pour traiter les événements indésirables en fonction de l’expérience et du couple (gravité, probabilité). Définir le type de traitement : comment s’assurer que l’événement indésirable est maitrisé ? confirmation par tests.

f. Conseils sur la méthode ➢ Disposer de données d’entrée justes, complètes et précises ; ➢ Ne pas se laisser influencer, « il y’a peu de chances que cela se produise » par exemple ; ➢ Identifier et formaliser l’événement indésirable même si sa probabilité d’apparition est faible ; ➢ Bien préciser l’événement indésirable sinon le traitement est difficile. g. Cotation en gravité des événements indésirables : ➢ ➢ ➢ ➢

Doit être issue d’un consensus et de l’expérience ; Revoir/ revalider la cotation en fin d’APR ; Eviter de corréler gravité et probabilité (« ce n’est pas grave car peu probable ») Pas de conclusions hâtives (« cela ne peut pas être grave car le système n’est pas un organe de sécurité »)

h. Difficultés : ➢ Une APR peut être plus ou moins approfondie selon : o le niveau de décomposition ; o que l’analyse porte sur tout ou une partie des éléments du système.

➢ Ne pas se noyer dans les détails (difficulté pour remonter au niveau de l’effet système et donc à identifier l’événement indésirable) ➢ Ne pas hésiter à faire appel aux spécialistes (technologies ou matériaux peu ou non connus par le métier ou dans le domaine étudié). i. Les indicateurs

➢ Quelques indicateurs de fiabilité : o MTBF (Mean Time Between Failures) : soit le temps moyen qui sépare deux pannes consécutives. o MTTF (Mean Time To Failure) : est l’estimation de la durée moyenne s’écoulant entre la mise en service du système et la survenance de la première panne. o MUT (Mean Up Time) : est le temps moyen qui sépare une remise en service opérationnelle du système de la survenance de la panne suivante. o Taux de défaillance : λ(t) ➢ Quelques indicateurs de maintenabilité : o MTTR (Mean Time To Repair) : soit le temps moyen nécessaire pour réparer un composant ou un périphérique défectueux. o MDT (Mean Down Time) : soit la durée moyenne d’indisponibilité, c’est le temps moyen séparant la survenance d’une panne et la remise en état opérationnel du système. ➢ Indicateur de disponibilité : D(t) ➢ Indicateur de sécurité : Probabilité que l’événement x se produit P(x).

3. AMDEC (Analyse des Modes de Défaillance, de leurs Effets et leurs Criticité) a. Définition : cette méthode exhaustive examine les potentialités de dysfonctionnements de chacun des éléments composant le système, à un niveau de détail choisi à l’avance. Elle permet de quantifier la probabilité d’apparition de la défaillance et de classer ses effets par ordre de gravité ; la combinaison de ces deux estimations fournissant la criticité de l’élément retenu. A l’issu de cette phase, et pour les éléments les plus critiques, on procède à une fiabilisation ou bien à l’adjonction d’un dispositif de réduction du risque. b. Démarche AMDEC • Phase 1 : Analyse qualitative des dysfonctionnements : Identifier les mécanismes de défaillance de manière exhaustive pour chaque élément (ou fonction technique) du système : ➢ Modes de défaillance potentiels ou réels ➢ Causes possibles ; ➢ Effets sur le système et sur l’utilisateur ; ➢ Moyens de détection. • Phase 2 : Evaluation de la criticité : ➢ Affecter un niveau de criticité à chaque défaillance ➢ Déterminer les défaillances critiques (par rapport à un seuil prédéfini) suivant 2 ou 3 critères : Fréquence d’apparition de la défaillance (F), Gravité des effets de la défaillance (G) et probabilité de non-détection de la défaillance (D).

• Phase 3 : Proposition d’actions correctives ➢ Diminuer la criticité des défaillances en proposant des actions adaptées de conception, fabrication et exploitation. ➢ Recherche des actions à engager : prévention des défaillances, détection de la cause et réduction des effets. ➢ Evaluation prévisionnelle de la nouvelle criticité.

• Phase 4 : Synthèse de l’étude / décisions : effectuer un bilan, décider et lancer les actions à effectuer : ➢ Hiérarchisation des défaillances ; ➢ Liste des points critiques ; ➢ Choix des actions à engager ; ➢ Délais ; ➢ Responsables. 4. Analyse de Zone : En SdF, l’analyse de zone est concernée par trois sources de Modes Communs de Défaillance (MCD) ; liées à l’implantation physique des composants, aux liaisons électriques interéquipements et à la proximité topologique de redondance. Il faut analyser les risques liés : • A la disposition géographique des matériels ; • Aux conditions d’accès ; • Au repérage des éléments ; • Aux interactions physiques (émissions thermiques, bruit acoustique, nœuds de vibration…) ; • Aux fausses redondances ; • Aux incompatibilités. L’incidence des MCD est véritablement catastrophique en sûreté de fonctionnement, faussant les calculs prévisionnels de tous ses attributs, et en particulier ceux de la logistique associée. Cette analyse a comme avantage de mettre en évidence des problèmes non détectables par les analyses papier mais nécessite de disposer de maquettes de plus en plus représentatives des exemplaires définitifs, ainsi qu’un déplacement sur le terrain. 5. Arbre de Défaillances (AdD) L’analyse par arbre de défaillance est une méthode de type déductif, qui a été mise au point au début des années 1960. Elle est largement répandue dans les études de sûreté de fonctionnement car elle caractérise de façon très claire les liens de dépendance, du point de vue du dysfonctionnement, entre les différents constituants d’un système. Cette technique est capable de gérer des combinaisons complexes de défaillances. Elle est donc bien adaptée à l’étude des défaillances multiples, même si elle ne s’intéresse pas à l’impact que peut avoir l’ordre dans lequel les événements sont considérés. Les arbres de défaillances sont utilisés pour : • Quantifier la fiabilité, la disponibilité et la sécurité ; • Répartir (allouer) des événements indésirables et des objectifs aux différents acteurs de l’organisation industrielle ; • Aider au diagnostic ; • Aider aux analyses suite à l’incident. La méthode de l’arbre par défaillances part d’un événement indésirable et cherche à en connaitre les causes possibles. Son objectif est de déterminer les diverses combinaisons possibles d’événements qui entrainent la réalisation d’un événement indésirable donné. Le résultat est formé d’une représentation graphique des combinaisons au moyen d’une structure arborescente.

Un arbre de défaillances fournit alors une vue synthétique qui représente des interactions entre les composants d’un système du point de vue de la sûreté de fonctionnement. La tête de l’arbre de défaillance (qui, par analogie, correspond à la racine) représente la plupart du temps en événement unique mettant sérieusement en question la sécurité du système étudié. Afin de faciliter l’analyse, cet événement indésirable doit être précisément défini. L’arbre de défaillance lui-même est alors formé de niveaux successifs d’événements tels que chaque événement est généré à partir des événements du niveau inférieur par l’intermédiaire de divers opérateurs (ou portes) logiques. Ce processus déductif est poursuivi jusqu’à ce que l’on obtienne des événements dits de base : les feuilles de l’arbre. a. Opérateurs logiques : Les portes logiques utilisées sont essentiellement les portes ET et OU.

b. Evénements : Il existe toute une série de représentations possible des événements, qui ont chacune leur propre signification.

c. Exemple de construction

d. Analyse qualitative : le traitement qualitatif est indispensable pour l’exploitation des informations contenues dans l’arbre et pour la réalisation du traitement quantitatif Les coupes minimales ou les chemins critiques : • Plus petite combinaison d’événement entrainant l’événement indésirable ; • Peuvent être d’ordres différents : ➢ Ordre 1 : simple défaillance entrainant l’événement indésirable ; ➢ Ordre 2 : paire de défaillance qui, se produisent en même temps, entrainant l’événement indésirable. ➢ … e. Analyse quantitative : L’arbre de défaillance offre une aide non-négligeable à des analyses quantitatives de sûreté de fonctionnement, en termes de fiabilité. En effet, il est possible de pondérer les événements de l’arbre par des probabilités, afin d’obtenir par exemple la probabilité de l’événement indésirable principal en fonction des probabilités des événements de base.

VOIR EXEMPLE (Unité de production de vapeur)

6. Arbres d’Evénements (ou arbre des conséquences) L’arbre d’événements illustre graphiquement les conséquences potentielles d’un accident qui résulte d’un événement initiateur (une défaillance spécifique d’un équipement ou une erreur humaine). Une analyse par arbre d’événements (AAE) prend en compte la réaction des systèmes de sécurité et des opérateurs à l’événement initiateur lors de l’évaluation des conséquences potentielles de l’accident. Les résultats de l’AAE sont des séquences accidentelles ; c’est-à-dire un ensemble de défaillance ou d’erreurs qui conduisent à l’accident. Ces résultats décrivent les conséquences potentielles en termes de séquence d’événements (succès ou défaillance des fonctions de sécurité) qui font suite à un événement initiateur. Un AEE est bien adaptée pour étudier des procédés complexes qui ont plusieurs barrières de protection ou procédures d’urgence en place pour réagir à un événement initiateur spécifique. a. Objectifs de l’arbre d’événements Les arbres d’événements sont utilisés pour identifier les divers accidents qui peuvent se produire dans un système complexe. A la suite de l’identification des séquences d’accidents individuels, les combinaisons spécifiques de défaillance qui peuvent conduire à des accidents peuvent être déterminées à l’aide de l’arbre d’événements. Il permet : • De rechercher toutes les causes et les combinaisons de causes conduisant à l’événement indésirable de tête ; • De déterminer si chacune des caractéristiques de fiabilité du système est conforme à l’objectif prescrit ; • De vérifier les hypothèses faites au cours d’autres analyses à propos de l’indépendance des systèmes et de la non-prise en compte de certaines défaillances ; • D’identifier le ou les facteurs qui ont les conséquences les plus néfastes sur une caractéristique de fiabilité ainsi que les modifications nécessaires pour l’améliorer ; • D’identifier les événements communs ou les défaillances de cause commune. b. Définition de l’événement initiateur : il est généralement bon de sélectionner un événement initiateur qui peut effectivement conduire à une situation critique. Ceci suppose donc de connaitre, au moins de manière partielle, les principaux risques associés à l’installation considérée. Pour une analyse après accidents, ces risques sont connus. c. Identification des fonctions de sécurité : les fonctions de sécurité doivent être assurées par des barrières en réponse à l’événement initiateur. Elles ont en général pour objectif d’empêcher que l’événement initiateur soit à l’origine d’un accident majeur et peuvent être réalisées par des dispositifs automatiques ou bien des actions effectuées par des opérateurs conformément à des procédures. d. Construction de l’arbre : la construction de l’arbre consiste alors à partir de l’événement indésirable à envisager. L’événement initiateur est représenté schématiquement par un trait horizontal. Le moment où doit survenir la première fonction de sécurité est représenté par un nœud. La branche supérieure correspond généralement au succès de la fonction de sécurité et celle inférieure à la défaillance de cette fonction. La suite de la méthode consiste alors à examiner le développement de chaque branche de manière itérative en considérant systématiquement le fonctionnement ou la défaillance de la fonction de sécurité suivante. Cette démarche temporelle permet d’identifier des séquences d’évènements susceptibles de conduire ou non à un accident potentiel. Elle n’est cependant

généralement pas suffisante en vue de construire un arbre. Il est ainsi indispensable durant la construction de l’arbre d’observer les points suivants : • Si une fonction dépend d’autres fonctions, elle doit être considérée après ces fonctions, • Dans le même ordre d’idée, si l’échec d’une fonction implique automatiquement l’échec d’autres fonctions, le succès de ces dernières n’est pas à considérer. Ainsi, dans notre exemple, si la sonde de température est défaillante, il n’y a pas lieu d’étudier le fonctionnement de l’alarme ou le déclenchement automatique de l’inhibition de la réaction, • Si le succès d’une fonction agit sur le paramètre déclenchant d’autres fonctions ultérieures, le succès ou la défaillance de cette fonction ne doivent pas être envisagés dans le développement de cette branche. Ainsi, si l’opérateur parvient à rétablir le système de refroidissement avant que la température dans le réacteur ne dépasse T2, il n’y a pas lieu de considérer l’inhibition automatique de la réaction, • Si la défaillance d’un sous-système entraîne la défaillance commune de plusieurs systèmes assurant des fonctions de sécurité, ce sous-système doit être considéré avant ces systèmes. Ce cas de figure envisage ainsi les modes communs de défaillances. Elles se rapportent souvent à des pertes d’utilités (électricité, air comprimé...) ou des agressions externes majeures. e. Exploitation de l’arbre : La réalisation d’un arbre d’évènements permet en définitive de déterminer la probabilité d’occurrence des différentes conséquences à partir des séquences identifiées. Cette dernière ne peut être effectuée qu’à partir d’un arbre d’évènements préalablement réduit. La réduction de l’arbre concourt entre autres à éliminer les chemins non physiquement possibles ainsi qu’à identifier les modes communs de défaillances. Cette opération est nécessaire pour assurer l’indépendance des évènements intermédiaires présentés. La probabilité d’occurrence d’une conséquence suite à une séquence particulière peut alors être estimée, pour des évènements indépendants, comme le produit de la probabilité d’occurrence de l’événement initiateur et de la probabilité de défaillance ou de fonctionnement selon le cheminement des évènements intermédiaires. f. Exemple 1 : un réacteur dans laquelle s’opère une réaction exothermique5. Le maintien en température du système est assuré par un système de réfrigération (AICHE). Pour ce cas simple, il est aisé d’identifier le risque d’emballement de réaction. Cet emballement pourrait notamment résulter de la défaillance du système de refroidissement (produisant de la chaleur). Cet événement sera considéré comme événement initiateur pour la construction d’un arbre d’évènements. En réponse à la défaillance du système de refroidissement, les fonctions de sécurité suivantes ont été prévues : • • • •

Détecter la montée en température dans le réacteur ; Alarmer un opérateur de la montée en température ; Rétablir le fonctionnement du système de refroidissement ; Stopper la réaction.

Bien entendu, ces fonctions n’interviennent généralement pas simultanément. Il est particulièrement important de déterminer dans quel ordre elles vont intervenir suite à l’événement initiateur et donc d’identifier les seuils commandant leur mise en œuvre. Ces informations permettent ainsi de donner des indications quant au temps nécessaire pour la mise en place de ces mesures de sécurité. En conclusion de cette seconde étape, il est judicieux de

dresser un tableau chronologique des fonctions de sécurité faisant figurer entre autres les systèmes ou équipements prévus pour assurer ces fonctions.

Dans notre exemple, si l’alimentation électrique est commune à tous les systèmes considérés, il convient de considérer juste après l’événement initiateur une fonction du type « Maintien de l’alimentation électrique ». Nous considérerons ici que tous ces systèmes ont une alimentation distincte. De la même façon, la défaillance de la sonde de température dans le réacteur est supposée entraîner la défaillance commune du système d’alarme et d’inhibition de réaction. Elle a donc été considérée en premier lieu. Le respect de ces règles et l’élimination des branches physiquement impossibles conduisent à l’élaboration d’un arbre d’évènements réduit, semblable à celui présenté ci-dessous relativement au cas de figure pris en exemple.

La figure ci-dessous permet d’expliciter cette détermination des probabilités pour un arbre d’évènements réduit. Rappelons qu’un arbre des évènements ne doit pas être considéré comme un outil visant à déterminer la probabilité d’un événement avec exactitude mais comme un outil pour caractériser l’enchaînement des actions et des évènements pouvant conduire ou non à un accident.

g. Exemple 2 :

7.

Graphes de Markov :

Les graphes de Markov sont une représentation des systèmes permettant de rendre compte de leur comportement en tenant compte des dépendances entre leurs éléments constitutifs. L’approche est basée sur l’identification des différents états du système et l’analyse de la dynamique entre ces états. Les sommets du graphe correspondent aux différents états du système ; ils sont reliés par des arcs valués à l’aide de taux (ou de probabilités) de transition non nuls associés aux événements correspondant aux conditions de passage (les transitions) qui font évoluer le système d’un état à un autre. Les graphes de Markov sont couramment utilisés pour étudier la fiabilité des systèmes réparables. Le modèle associe une représentation graphique et son écriture matricielle (matrice de transition). Les traitements relèvent de calcul matriciel à partir de l’équation de Chapman Kolmogorov : •

A chaque instant t, la probabilité d’occupation d’un état du système ne dépend que de la distribution initiale (à t = 0) d’occupation des états et de la matrice de transition.

Les résultats sont quantitatifs : probabilités d’occupation d’états, fréquence d’événements, …, en régime transitoire ou permanent. Les graphes de Markov permettent :

• • •

Le recensement des états possibles du système ; pour un système à n composants à deux états possible (en et hors service) : p = 2n états possibles. La classification en états : panne, dégradé, bon fonctionnement ; La définition des transitions possibles entre états (défaillance ou réparation) ;

Donc pour résumer : • • • •

Chaque état du système est un sommet du graphe ; Chaque transition est symbolisée par une flèche orientée ; A chaque état Ei est associé une probabilité qui dépend du temps : Pi(t)= P[E(t)=Ei] ; A chaque transition est associé un taux de transition qui peut dépendre du temps.

a. Exemple d’un système en parallèle

b. Exemple d’un système en série

c. Calcul de la Disponibilité et de la Fiabilité : dans le cas où les deux composants sont montés en parallèles.

d. Calcul de la Disponibilité et de la Fiabilité : dans le cas où les deux composants sont montés en série.

e. Avantages : • • • • • • • 8. • • • • • • •

Prise en compte quantitative des dépendances fonctionnelles ; Evaluation de la fiabilité et de la disponibilité d’une majorité de systèmes réparables ou non ; Possibilité de couplage avec l’arbre de défaillances ; S’applique à des systèmes, des procédés, des processus ; Permet l’élaboration d’un modèle éventuellement analytique ; Possibilité de calculer facilement des ordres de grandeurs par application d’approximations ; S’appuie sur une théorie mathématique très développée. Conclusions Les analyses étudiées demandent rigueur et objectivité ; Il faut adapter les analyses aux moyens de l’entreprise et aux exigences des clients ; Ces méthodes permettent de garantir le bon fonctionnement des systèmes industriels et de maitriser les risques ; Ces méthodes apportent une réponse argumentée aux exigences contractuelles et réglementaires ; Elles favorisent la participation et la communication entre les équipes et les partenaires ; Elles sont un préliminaire indispensable aux études de sécurité, soutien logistique, coût global de possession… ; Elles permettent de donner confiance et satisfaction au client.