Arbres de Defaillances [PDF]

Zitiervorschau

ARBRES DE DEFAILLANCES

SOMMAIRE INTRODUCTION SYMBOLES DE L’ARBRE DE DÉFAILLANCES (AdD) ETAPES DE CONSTRUCTION DE L’ AdD EXEMPLE DE CONSTRUCTION D’UN AdD COUPES MINIMALES EVALUATION PROBABILISTE DES AdD ARBRE DE DEFAILLANCES ET COUPES MINIMALES D’UN SYSTEME DE DETECTION D’INCENDIE ARBRE DE DEFAILLANCES DE RIDEAUX D’EAU (DISPOSITIFS DE SECURITE VIS-A-VIS DES REJETS ACCIDENTELS DE GAZ ET VAPEURS TOXIQUES)

INTRODUCTION

ARBRE DE DÉFAILLANCES (AdD) : une des méthodes les plus utilisées dans le domaine de gestion des risques des systèmes Méthode AdD : inventée par Watson en 1962 dans Les laboratoires de la « Bell Telephone Company »

Trois phases de développement de la méthode AdD :

- Début des années 1960 : AdD = outil de représentation des défaillances des systèmes mais avec absence de techniques et algorithmes spécifiques pour son traitement - 1965 : établissement des règles de base pour la construction des AdD par HASL - 1970 : présentation par FUSSELL et VESELY d’un outil d’évaluation quantitative des AdD et de détermination des coupes minimales

Méthode AdD = Technique purement déductive : elle part des conséquences d’un événement indésirable pour aboutir à ses causes initiatrices

Méthode AdD : utilisée dès les premières étapes d’analyse de la sûreté de fonctionnement des systèmes

Trois étapes dans la mise en œuvre de la méthode AdD : construction de l’AdD, analyse qualitative et analyse quantitative

Construction d’un AdD : doit être exhaustive ⇒ représenter toutes les causes significatives de la défaillance du système

Technique de construction d’un AdD : basé sur un travail en groupe et une collaboration de spécialistes dans différents domaines

SYMBOLES DE L’ARBRE DE DÉFAILLANCES

SYMBOLES GRAPHIQUES DES OPÉRATEURS Symbole graphique A

Nom

Signification

OU

La sortie A est générée si au moins une des entrées B1, …, Bn existe

ET

La sortie A est générée si toutes les entrées B1, …, Bn existent

OU exclusif

La sortie A est générée si une entrée et une seule Bi (i = 1 à n) existe

ET Prioritaire ou séquentiel

La sortie A est générée si toutes les entrées B1, …, Bn existent avec un ordre d’apparition donné

Voteur k/n

La sortie A est générée si k entrées parmi les n entrées existent

B1 Bn A

B1 Bn A Bn

B1 A

B1

Bn A

k/n

B1

Bn

SYMBOLES GRAPHIQUES DES ÉVÉNEMENTS ET DES TRIANGLES DE TRANSFERT Symbole graphique

Signification Rectangle Evénement-sommet ou intermédiaire Cercle Evénement de base élémentaire Losange Evénement de base non élémentaire

a

a

Transfert identique La partie de l’arbre qui devrait suivre n’est pas indiquée car identique à la partie repérée par le symbole « a » Identification du transfert Signale un sous-arbre identique qui n’est pas repris par ailleurs

ETAPES DE CONSTRUCTION DE L’ARBRE DE DÉFAILLANCES

Nécessité d’une connaissance approfondie du système étudié :

Définition précise des liens logiques existant entre les différents composants de ce système et de leurs modes de défaillance

Définition de l’événement indésirable (événement-sommet), identifié à partir d’une Analyse Préliminaire des Risques (APR)

Décomposition de l’événement indésirable en événements intermédiaires

Développement des événements intermédiaires jusqu’à l’obtention d’événements de base dont la décomposition est impossible ou jugée inutile

Collecte de données sur les probabilités des événements de base

ANALYSE PRÉLIMINAIRE

Décomposition physique du système basée sur :

- des critères de technologie (exemple : un microprocesseur qui commande un circuit électrique sera pris en compte à part)

- des critères de maintenance (exemple : lorsqu’une partie du système est remplacée systématiquement suite à une panne)

Identification des composants

« Composants » = dispositifs représentés au dernier niveau de décomposition du système dans le cadre de la construction de l’AdD

Définition des modes de défaillance des composants - Mode de défaillance = manifestation extérieure de la défaillance

- Définir pour chaque composant les modes de défaillance possibles (étude AMDEC)

Reconstitution du système par les composants

Reconstituer le système en mode fonctionnel, en remontant les niveaux de décomposition (analyse fonctionnelle)

SPÉCIFICATIONS

Phases = différents modes de fonctionnement d’un système (exemple : existence de trois phases pour un avion en vol: le décollage, le vol en altitude et l’atterrissage)

Conditions aux limites : représentent les interactions du système avec son environnement

Conditions initiales : hypothèses faites concernant le début de la phase étudiée du système

CONSTRUCTION DE L’AdD

Définition de l’événement indésirable (événement-sommet , événement redouté ou événement-top) sans ambiguïté et de façon cohérente avec les spécifications précédentes

Décomposition des événements : décomposition de l’événement indésirable en ses événements-causes immédiats et décomposition de ces derniers en leurs événements-causes, ...

Fin de la construction de l’AdD lorsque tous les événementscauses non décomposés sont des modes de défaillance des composants ou de l’environnement

EXEMPLE DE CONSTRUCTION D’UN AdD

PRÉSENTATION DU SYSTÈME

V2 V1 1

P0

2 V3 3

Système hydraulique destiné au transport de l’eau du point (1) aux lieux de consommation (2) et (3)

Constitution du système : Vannes V1, V2 et V3 - Pompe centrifuge P0 Conduites adjacentes aux composants hydrauliques

ANALYSE PRÉLIMINAIRE

Décomposition physique du système hydraulique

20 - Niveau 1 de décomposition

10 30

• Bloc 10 = Vanne V1 + Pompe P0 + Conduites adjacentes

• Bloc 20 = Vanne V2 + Deux conduites adjacentes

• Bloc 30 = Vanne V3 + Deux conduites adjacentes

- Niveau 2 de décomposition des blocs Conduite 11 Vanne V1 Conduite 13 Pompe P0 Conduite 15 11

BLOC 10

12

13

14

15

Conduite 21 Vanne V2 Conduite 23 BLOC 20

21

22

23

Conduite 31 Vanne V3 Conduite 33 BLOC 30

31

32

33

- Décomposition globale du système hydraulique 20 10 30

11

12

13

14

15

21

22

23

31

32

33

Identification des composants Vannes 12 (V1), 22 (V2) et 32 (V3) – Pompe 14 (P0) – Conduites 11, 13, 15, 21, 23, 31, 33 Définition des modes de défaillance (MD) des composants Conduites (12, 22, 32) MD1 : bouchage MD2 : fuite MD3 : rupture ou éclatement

Vannes (12, 22, 32) MD1 : bloquée ouverte MD2 : bloquée fermée MD3 : fermeture intempestive MD4 : ouverture intempestive

Pompe P0 (14) MD1 : hors service

Reconstitution du système en mode fonctionnel

1

11

12

13

14

21

22

23

2

31

32

33

3

15

SPÉCIFICATIONS Phase : en fonctionnement normal

Conditions aux limites - Disponibilité d’eau au point 1 - Aucune autre interaction ne sera considérée en ce qui concerne l’environnement (ex : rupture d’une conduite due à une cause externe)

Hypothèse spécifique : les conduites ne seront pas prises en compte dans cette étude

Conditions initiales : le système fonctionne normalement au début de la phase de fonctionnement à 100 % du débit

CONSTRUCTION DE L’AdD

Définition de l’événement indésirable : « Arrêt total du débit en sorite » (l’événement « non-démarrage » serait en désaccord avec les spécifications définies précédemment)

Construction de l’AdD : partir de l’événement indésirable et rechercher les événements intermédiaires puis de base, ainsi que les combinaisons de ces événements par les opérateurs logiques

- Arbre de défaillance du système hydraulique -

Arrêt total de débit en sortie

Pas de débit par le point 2

Fermeture intempestive de V2

Pas de débit par le point 3

Pas de débit à l’entrée de V2

1

Pas de débit à l’entrée de V3

Fermeture intempestive de V3

a

2

a

Pompe hors service

Fermeture intempestive de V1

3

4

COUPES MINIMALES

INTRODUCTION Hypothèse : AdD cohérent, c’est-à-dire il contient uniquement des opérateurs logiques ET et OU

Coupe = sous-ensemble d’événements dont l’existence simultanée entraîne l’occurrence de l’événement-sommet, et cela indépendamment de l’occurrence ou non-occurrence des autres événements de l’AdD

Coupe minimale = coupe qui ne contient aucune autre coupe

MÉTHODE MOCUS DE RECHERCHE DES COUPES MINIMALES MOCUS (Method of Obtaining CUt Sets) : méthode descendante ⇒ partir de l’événement-sommet et décomposer progressivement jusqu’aux événements de base Principe de la méthode MOCUS : - Initialiser une matrice B par l’opérateur-sommet et le décomposer en ses entrées - Si une entrée est un opérateur, il sera décomposé dans l’étape suivante, et ainsi de suite jusqu’à ce que tous les éléments de la matrice B soient des événements de base - Chaque ligne de la matrice B obtenue lors de la dernière étape représente une coupe - Détermination des coupes minimales de l’AdD par réduction des coupes

Remplacement de l’opérateur OU par un vecteur colonne S

E1 E2 . . .

E1 E2……. En

En

Remplacement de l’opérateur ET par un vecteur ligne avec un signe « multiplié logique » entre les événements à l’entrée de l’opérateur S

E1. E2. …..….. En E1 E2….. En

Exemple : application de la méthode MOCUS à l’arbre de défaillance du système hydraulique Notations : G1 = événement-sommet - Gi (i ≥ 2) = événements intermédiaires 1, 2, 3 et 4 = événements de base G1 Arrêt total de débit en sortie

G2

G3

Pas de débit par le point 2

Pas de débit par le point 3

G4 Fermeture intempestive de V2

G5

Pas de débit à l’entrée de V2

1

Pas de débit à l’entrée de V3

Fermeture intempestive de V3

a

2

a

Pompe hors service

Fermeture intempestive de V1

3

4

B2 = G2 . G3

B1 = G1

B3 =

B5 =

1 G4

.G = 3

1. 2

1 .2

3

1 .3 1 .4

1.

4

G4 . G3

1.

1 . G3 G4 . G3

=

G4 . G3

2

B4 =

G5

1 . 2 =

G4 . G3

B6 =

1 . G5 G4 . G3

1 . 2

1. 2

1 . 3

1. 3

1 . 4 =

1. 4 3 .G

3 4

. G3

3

4 . G3

1 . 2

1 . 2

1 . 3

1 . 3

1 . 4

1 . 4 3 . 2

B7 =

2 3 .

G5

4 . G3

=

3 . G5 4 .G 3

1 . 2 1 . 3

1 . 2 1 . 3

B8 =

1 . 4

1 . 4 3 . 2 3 . 3 3 . 4 4 . 2 4 . G5

B9 =

3 . 2 3 . 3 3 . 4 4 . 2 4 . 3 4 . 4

Tous les éléments de la matrice B9 sont des événements de base

Chaque ligne de la matrice B9 correspond à une coupe

Réduction des coupes ⇒ obtention des coupes minimales

3 coupes minimales C1 = {3}

C2 = {4}

C3 = {1, 2}

EVALUATION PROBABILISTE DES AdD

INTRODUCTION

Evaluation probabiliste d’un AdD : calcul de la probabilité de l’événement-sommet à partir des probabilités des événements de base Evaluation directe pour un AdD ne possédant pas d’événements répétés

Calcul des probabilités en commençant par les opérateurs reliant les événements de base, puis ceux entre les événements intermédiaires jusqu’à ce qu’on arrive à l’événement-sommet

Existence d’événements répétés dans un AdD : passage par les coupes minimales de l’AdD

METHODE DIRECTE

Utilisée quand l’AdD ne contient pas d’événements répétés

Commencer par les opérateurs reliant les événements de base et remonter l’AdD en calculant, au fur et à mesure, les probabilités des événements intermédiaires

Résultat des calculs = probabilité de l’événement-sommet

Hypothèse : événements indépendants

- Opérateur ET A et B deux événements d’entrées indépendants - E événement de sortie de l’opérateur ET

- Equation logique : E = A ∩ B - Probabilité de l’événement E : P(E) = P(A) P(B)

- Opérateur OU A et B deux événements d’entrées indépendants - E événement de sortie de l’opérateur OU - Equation logique : E = A ∪ B - Probabilité de l’événement E : P(E) = P(A) + P(B) – P(A) P(B)

MÉTHODE DES COUPES MINIMALES K = {K1, K2, …, Kk} : ensemble des coupes minimales obtenues à partir de la construction de l’AdD

L’événement-sommet se produit quand l’une des coupes minimales Ki de l’ensemble K survient

PS = P{K1 ∪ K2 ∪ … ∪ Kk}

Cas où les probabilités des événements de base qi sont très faibles, seul le premier terme du membre de droite du développement de Poincaré est retenu : k

PS = P{K1 ∪ K 2 ∪ ... ∪ K k } ≈ ∑ P ( K i ) i =1

ARBRE DE DEFAILLANCES ET COUPES MINIMALES D’UN SYSTEME DE DETECTION D’INCENDIE

PRESENTATION DU SYSTÈME DE DETECTION D’INCENDIE circuit air comprimé à pression constante Source courant continu

PS

DC

TEMP FP1 TEMP FP2

Pressostat

TEMP FP3

opérateur

MS

TEMP FP4

SD1

SD2

SD3 Principe de fonctionnement Détection de chaleur

Voteur 2/3

Relais SR

Arrêt process Alarme Incendie Activation des extincteurs

Détection de fumée Déclenchement manuel

Relais principal

Arrêt process Alarme Incendie Activation des extincteurs

Système de détection d’incendie : utilisé dans un atelier de production dont les portes sont fermées

système de détection de chaleur

système d’alarme à commande manuelle

système de détection de fumée

Système de détection de chaleur - Quatre détecteurs de chaleur FP1, FP2, FP3 et FP4 composés de cellules fusibles à 72°C - Relié à un circuit sous pression - En cas de dépassement de 72°C, les fusibles fondent et la pression dans le circuit baisse et déclenche le pressostat qui actionne le relais principal SR - Le pressostat nécessite la présence de la source de tension DC

Système de détection de fumée - Trois détecteurs de fumée SD1, SD2 et SD3 reliés à un système de vote VE en 2/3 - Si au moins deux détecteurs sont activés, le système de vote actionne le relais principal SR - Le système de détection de fumée nécessite aussi la présence de la source de tension DC Système d’alarme à commande manuelle - Il est sous la responsabilité d’un opérateur toujours présent dans l’atelier - En cas d’urgence il peut déclencher le relais à commande manuelle MS qui active le pressostat et donc le relais principal SR

Objectif : tracé de l’arbre de défaillance du système de détection d’incendie

- Evénement-sommet : « pas de signal en sortie du relais principal SR en cas d’incendie »

- Calcul de la probabilité d’occurrence de l’événement-sommet

- Établissement de la liste des coupes minimales du système pour cet événement

- Calcul des facteurs d’importance des différents composants du système

- Proposition des améliorations du système pour augmenter sa fiabilité

ETUDE DU SYSTÈME DE DETECTION D’INCENDIE

- Principe de fonctionnement DETECTION DE CHALEUR DETECTION DE FUMEE

DECLENCHEMENT MANUEL

3 systèmes placés en parallèle

RELAIS PRINCIPAL

- ARRET PROCESS - ALARME INCENDIE - ACTIVATION EXTINCTEURS

- Schéma du circuit Circuit fermé d’air comprimé à pression constante Bâche air comprimé PS FP1

Batterie DC SD1 SD2 SD3 3 détecteurs de fumée dont au moins 2 doivent fonctionner

FP2 FP3

VU

Voteur 2/3

Relais SR

4 détecteurs de chaleur en redondance active

MS

FP4

Arrêt Process Alarme incendie

Système de déclenchement manuel

- 1er système de détection 4 détecteurs de chaleur FP1, FP2, FP3 et FP4 placés en série pour avoir une redondance active En cas de défaillance d’un des détecteurs, le suivant prend le relais pour assurer la fonction requise Air comprimé Bouchon

- Principe d’un détecteur de chaleur -

Si la température dans le circuit dépasse 72°C, le bouchon, fait d’un matériau fusible, fond et provoque une fuite d’air comprimé vers l’extérieur et donc une chute de pression dans le circuit, d’où le déclenchement du pressostat PS qui actionne le relais principal SR

- 2ème système de détection 3 détecteurs de fumée SD1, SD2 et SD3 reliés à un voteur VU en 2/3 Si au moins 2 détecteurs sont activés, le voteur actionne le relais principal SR

Source d’ionisation (ex : américium) Fumée ionisée

- Principe d’un détecteur de fumée -

En présence de fumée, la source d’ionisation ionise cette fumée et donne lieu à l’apparition d’un courant qui, à travers le système de vote, actionne le relais principal SR

- 3ème système de détection -

Système d’alarme à commande manuelle est sous la responsabilité d’un opérateur toujours présent dans l’atelier

En cas d’urgence il peut déclencher le relais à commande manuelle MS qui active le pressostat et donc le relais principal SR

CONSTRUCTION DE L’ARBRE DE DEFAILLANCES

Evénement-sommet, indésirable ou redouté : « pas de signal en sortie du relais principal SR en cas d’incendie »

4 détecteurs de chaleur placés en série dans le circuit ⇒ redondants vis-à-vis du fonctionnement du système de détection d’incendie

Le système de détection est défaillant si les 4 détecteurs sont tous en panne

Système de détection de fumée : n’est opérationnel que si au moins 2 détecteurs parmi les 3 fonctionnent (voteur 2/3)

PAS DE SIGNAL SORTIE RELAIS NSSR

- Arbre de défaillance PAS DE SIGNAL DU SYSTEME DE DETECTION DS

PAS DE SIGNAL DU SYSTEME DE DETECTION DE CHALEUR

PAS DE SIGNAL DU SYSTEME DE DETECTION DE FUMEE

HDS

PANNE DU PRESSOSTAT

PAS DE FUSION DETECTEURS

FP1

PAS DE SIGNAL DE 2 DETECTEURS SUR 3

MP

PANNE DU DETECTEUR 2 FP2

A

PANNE DU DETECTEUR 3 FP3

PANNE DU DETECTEUR 4 FP4

DEFAILLANCE DU RELAIS SR SR

PAS DE SIGNAL DU SYSTEME D’ACTIVATION MANUELLE

SDS

PS

PANNE DU DETECTEUR 1

PAS DE COURANT DE DC : SOURCE DE COURANT DC

MAS

PANNE DU VOTEUR 2/3

LE RELAIS MANUEL NE S’OUVRE PAS

PANNE DU PRESSOSTAT

L’OPERATEUR N’AGIT PAS SUR LE RELAIS

VE

MS

PS

OP

- Arbre de défaillance (suite) -

PAS DE SIGNAL DE 2 DETECTEURS SUR 3 A

PANNE DES DETECTEURS 1 ET 2

PANNE DES DETECTEURS 1 ET 3

PANNE DES DETECTEURS 2 ET 3

SD1 ET SD2

SD1 ET SD3

SD2 ET SD3

PANNE DU DETECTEUR 1

PANNE DU DETECTEUR 2

PANNE DU DETECTEUR 1

PANNE DU DETECTEUR 3

PANNE DU DETECTEUR 1

PANNE DU DETECTEUR 2

SD1

SD2

SD1

SD3

SD2

SD3

RECHERCHE DES COUPES MINIMALES – METHODE MOCUS – DC DC

DC PS

NSSR =

DS SR

=

HDS . SDS . MAS

=

MP

VE

.

A

.

PS OP

SR SR DC VE

PS FP1 . FP2 . FP3 . FP4

MS

.

SD1 . SD2 SD1 . SD3

=

SD2 . SD3

SR

MS .

PS OP

VE

PS FP1 . FP2 . FP3 . FP4

.

SD1 . SD2 SD1 . SD3 SD2 . SD3

=

PS . VE PS . SD1 . SD2 PS . SD1 . SD3 PS . SD2 . SD3 FP1 . FP2 . FP3 . FP4 . VE FP1 . FP2 . FP3 . FP4 . SD1 . SD2 FP1 . FP2 . FP3 . FP4 . SD1 . SD3 FP1 . FP2 . FP3 . FP4 . SD2 . SD3

PS . VE PS . SD1 . SD2 PS . SD1 . SD3 PS . SD2 . SD3 FP1 . FP2 . FP3 . FP4 . VE FP1 . FP2 . FP3 . FP4 . SD1 . SD2 FP1 . FP2 . FP3 . FP4 . SD1 . SD3 FP1 . FP2 . FP3 . FP4 . SD2 . SD3

PS . VE . MS PS . SD1 . SD2 . MS PS . SD1 . SD3 . MS PS . SD2 . SD3 . MS FP1 . FP2 . FP3 . FP4 . VE . MS FP1 . FP2 . FP3 . FP4 . SD1 . SD2 . MS FP1 . FP2 . FP3 . FP4 . SD1 . SD3 . MS FP1 . FP2 . FP3 . FP4 . SD2 . SD3 . MS PS . VE

MS .

PS OP

=

PS . SD1 . SD2 PS . SD1 . SD3 PS . SD2 . SD3 FP1 . FP2 . FP3 . FP4 . VE . PS FP1 . FP2 . FP3 . FP4 . SD1 . SD2 . PS FP1 . FP2 . FP3 . FP4 . SD1 . SD3 . PS FP1 . FP2 . FP3 . FP4 . SD2 . SD3 . PS PS . VE . OP PS . SD1 . SD2 . OP PS . SD1 . SD3 . OP PS . SD2 . SD3 . OP FP1 . FP2 . FP3 . FP4 . VE . OP FP1 . FP2 . FP3 . FP4 . SD1 . SD2 . OP FP1 . FP2 . FP3 . FP4 . SD1 . SD3 . OP FP1 . FP2 . FP3 . FP4 . SD2 . SD3 . OP

DC PS . VE . MS PS . SD1 . SD2 . MS

NSSR =

PS . SD1 . SD3 . MS PS . SD2 . SD3 . MS FP1 . FP2 . FP3 . FP4 . VE . MS FP1 . FP2 . FP3 . FP4 . SD1 . SD2 . MS FP1 . FP2 . FP3 . FP4 . SD1 . SD3 . MS FP1 . FP2 . FP3 . FP4 . SD2 . SD3 . MS PS . VE PS . SD1 . SD2 PS . SD1 . SD3 PS . SD2 . SD3 FP1 . FP2 . FP3 . FP4 . VE . PS FP1 . FP2 . FP3 . FP4 . SD1 . SD2 . PS FP1 . FP2 . FP3 . FP4 . SD1 . SD3 . PS FP1 . FP2 . FP3 . FP4 . SD2 . SD3 . PS PS . VE . OP PS . SD1 . SD2 . OP PS . SD1 . SD3 . OP PS . SD2 . SD3 . OP FP1 . FP2 . FP3 . FP4 . VE . OP FP1 . FP2 . FP3 . FP4 . SD1 . SD2 . OP FP1 . FP2 . FP3 . FP4 . SD1 . SD3 . OP FP1 . FP2 . FP3 . FP4 . SD2 . SD3 . OP SR

26 coupes pour le système de détection d’incendie 14 coupes minimales

12 coupes non minimales

{DC}

{PS , VE , MS}

{SR}

{PS , VE , OP}

{PS , VE} {PS , SD1 , SD2}

{PS , SD1 , SD2 , MS} {PS , SD1 , SD3 , MS}

{PS , SD1 , SD3}

{PS , SD2 , SD3 , MS}

{PS , SD2 , SD3}

{PS , SD1 , SD2 , OP}

{FP1 , FP2 , FP3 , FP4 , VE , MS}

{PS , SD1 , SD3 , OP}

{FP1 , FP2 , FP3 , FP4 , VE , OP}

{PS , SD2 , SD3 , OP}

{FP1 , FP2 , FP3 , FP4 , SD1 , SD2 , MS}

{FP1 , FP2 , FP3 , FP4 , VE , PS}

{FP1 , FP2 , FP3 , FP4 , SD1 , SD3 , MS}

{FP1 , FP2 , FP3 , FP4 , SD1 , SD2 , PS}

{FP1 , FP2 , FP3 , FP4 , SD2 , SD3 , MS}

{FP1 , FP2 , FP3 , FP4 , SD1 , SD3 , PS}

{FP1 , FP2 , FP3 , FP4 , SD1 , SD2 , OP}

{FP1 , FP2 , FP3 , FP4 , SD2 , SD3 , PS}

{FP1 , FP2 , FP3 , FP4 , SD1 , SD3 , OP} {FP1 , FP2 , FP3 , FP4 , SD2 , SD3 , OP}

DONNÉES SUR LES PROBABILITÉS D’OCCURRENCE DES ÉVÉNEMENTS DE BASE

Connaissance des taux de défaillance λ des composants ⇒ Probabilité de défaillance à l’instant t = (1 – e-λt)

Probabilité pour que l’opérateur n’accomplisse pas l’action demandée = 0.2 (λ ne peut pas être défini pour calculer la probabilité de défaillance de l’opérateur en fonction du temps, comme pour les composants)

Composant

Evénement

λ

DC

Pas de courant de la source DC

4e-006

FP1

Le détecteur N° 1 ne répond pas à la chaleur

8e-006

FP2

Le détecteur N° 2 ne répond pas à la chaleur

8e-006

FP3

Le détecteur N° 3 ne répond pas à la chaleur

8e-006

FP4

Le détecteur N° 4 ne répond pas à la chaleur

8e-006

MS

Le relais manuel ne s’ouvre pas

1.6e-005

OP

L’opérateur n’agit pas sur le relais

Probabilité de cet événemen t = 0.2

PS

Le pressostat est en panne (position fermée)

1.2e-005

SD1

Le détecteur N° 1 ne répond pas à la fumée

6e-006

SD2

Le détecteur N° 2 ne répond pas à la fumée

6e-006

SD3

Le détecteur N° 3 ne répond pas à la fumée

6e-006

SR

Le relais principal est panne (position ouverte)

8e-006

VE

La logique du voteur 2/3 ne donne pas de signal

4e-006

CALCUL DE LA PROBABILITE DE L’EVENEMENT-SOMMET Temps de fonctionnement (h)

Probabilité de l’événement-sommet

0

8.7404 x 10-3

1

8.7438 x 10-3

2

8.7457 x 10-3

3

8.7468 x 10-3

4

8.7475 x 10-3

5

8.7479 x 10-3

6

8.7482 x 10-3

7

8.7483 x 10-3

8

8.7484 x 10-3

9

8.7485 x 10-3

10

8.7485 x 10-3

11

8.7486 x 10-3

12

8.7486 x 10-3

13

8.7486 x 10-3

14

8.7486 x 10-3

15

8.7486 x 10-3

16

8.7486 x 10-3

17

8.7486 x 10-3

18

8.7486 x 10-3

19

8.7486 x 10-3

20

8.7486 x 10-3

Les contributions du relais principal SR et de la source de courant DC dans la défaillance du système sont très fortes

La contribution de l’erreur de l’opérateur est négligeable malgré que sa probabilité de défaillance soit assez élevée (= 0.2) parce que le système de détection d’incendie se base surtout sur les détecteurs de chaleur et de fumée

CONCLUSION DE L’ETUDE

Le système de détection d’incendie possède des coupes minimales de faible ordre : 1, 2 et 3 ⇒ Ce système n’est donc ni fiable, ni sûr du point de vue de la sûreté de fonctionnement

Exemple : la panne de la source de courant DC, du relais principal SR ou du l’ensemble (pressostat – voteur) provoque automatiquement la défaillance du système de détection d’incendie

Un système dont les coupes minimales sont d’ordre élevé (> 6 par exemple) est très fiable parce que sa panne nécessite que plusieurs composants tombent en panne simultanément

Fiabilisation du système de détection d’incendie :

Utilisation de deux ou trois batteries en parallèle

Utilisation d’un voteur 2/3 pour le relais principal

Les contributions de ces composants vont devenir négligeables

Utilisation de 2 pressostats en parallèle