Академический Документы
Профессиональный Документы
Культура Документы
E. Cabau
Avertissement
L'auteur dgage toute responsabilit conscutive l'utilisation incorrecte
des informations et schmas reproduits dans le prsent ouvrage, et ne
saurait tre tenu responsable ni d'ventuelles erreurs ou omissions, ni de
consquences lies la mise en uvre des informations et schmas
contenus dans cet ouvrage.
La reproduction de tout ou partie dun Cahier Technique est autorise aprs
accord de la Direction Scientifique et Technique, avec la mention obligatoire :
Extrait du Cahier Technique Schneider Electric n ( prciser) .
n 144
Introduction la conception
de la sret
Emmanuel CABAU
Ingnieur ENSIMAG 1989 (INPG, Grenoble), est chez Schneider
Electric depuis 1990.
Il se spcialise d'abord dans le domaine de plans d'exprience et
techniques statistiques diverses auprs de la Direction Scientifique et
Technique, puis, utilisant sa formation initiale d'informaticien,
participe au dveloppement d'un outil logiciel d'audit d'installation
lectrique pour Schneider Services.
En 1998, il rejoint le ple de comptence des tudes de sret de
fonctionnement, une quipe spcialise dans l'tude de fiabilit de
certains produits et process de Schneider Electric, notamment dans
les domaines : contrle-commande de centrales nuclaires,
installations lectriques, appareillage de coupure, systme
d'automatismes rpartis, etc.
Sommaire
1 L'importance de la sret
p. 4
p. 4
p. 4
2.1
2.2
2.3
2.4
2.5
p. 5
p. 5
p. 6
p. 7
p. 7
p. 8
p. 8
p. 9
p. 11
p. 11
p. 11
5 De llment au systme :
la modlisation
p. 13
5.2
5.3
5.4
5.5
5.6
5.7
5.8
p. 15
p. 16
p. 16
p. 19
p. 22
p. 24
p. 25
6 Maintenance et logistique :
de plus en plus complexe
p. 26
p. 26
Fiabilit
Taux de dfaillance
Disponibilit
Maintenabilit
Scurit
La mthode APR
La mthode AMDEC
Les diagrammes de fiabilit
Les arbres de dfaillance
Les graphes dtats
Les rseaux de Ptri
Choix dune technique de modlisation
7 Conclusion
p. 27
Bibliographie et normes
p. 28
1 Limportance de la sret
2.1 Fiabilit
Lampoule lectrique est utile au particulier, au
banquier et lindustriel. Quand ils lallument ils
veulent tous quelle claire jusqu ce quils
lteignent !
La fiabilit est la probabilit que lampoule soit
en tat de fonctionner linstant t, elle mesure
laptitude rester dans un tat de
fonctionnement correct.
Dfinition : la fiabilit est la probabilit pour
quune entit puisse accomplir une fonction
requise, dans des conditions donnes, pendant
un intervalle de temps donn [t1,t2] ; que lon
crit : R(t1,t2).
Cette dfinition, celle de la CEI (Commission
Electrotechnique Internationale), est donne
dans la norme 191 de juin 1988.
(t)
Priode
de
jeunesse
Priode
d'usure
1 R(t)-R(t + t)
(t) = lim
R(t)
t 0 t
-1 dR(t)
R(t) dt
(1)
Vie utile
0
t
(t)
1
R(t) = e-t
Priode
de
jeunesse
0
t
2.3 Disponibilit
La notion de disponibilit sillustre trs bien avec
celle dun vhicule. Une voiture doit fonctionner
linstant du besoin, lhistorique importe peu. La
disponibilit mesure cette aptitude fonctionner
un instant donn.
Dfinition : la disponibilit est la probabilit pour
quune entit soit en tat daccomplir une
fonction requise dans des conditions donnes
un instant donn t, en supposant que la
fourniture des moyens extrieurs ncessaires
est assure. On la note : D(t).
Cette dfinition de la CEI est calque sur celle
de la fiabilit mais laspect temporel est
fondamentalement diffrent puisquon
sintresse un tat un instant donn et pas
une dure.
Le fonctionnement linstant t ne ncessite pas
forcment le fonctionnement sur [0,t] pour un
systme rparable. Cest l que se situe la
diffrence fondamentale avec la fiabilit.
On peut tracer la courbe donnant la disponibilit
en fonction du temps dun lment rparable
dans le cas de lois exponentielles pour les
dfaillances et les rparations (cf. figure 4 ).
On constate que la disponibilit tend vers une
valeur limite qui est, par dfinition, la disponibilit
asymptotique. Cette valeur limite est atteinte au
bout dun temps qui est de lordre du temps de
D(t)
1
0
t
2.4 Maintenabilit
Les concepteurs recherchent toujours la
performance maximum du produit et ngligent
parfois lhypothse de la panne. Il est difficile
quand on fait tout pour que le systme
fonctionne de se demander ce quil adviendra en
cas de panne. Pourtant cette interrogation est
indispensable. Pour quun systme soit
disponible, il doit dfaillir le plus rarement
possible mais il est tout aussi important quil soit
trs rapidement rpar. On entend ici par
rparation lensemble de la remise en service
incluant les dlais logistiques. Laptitude dun
systme tre rpar est mesure par la
maintenabilit.
2.5 Scurit
On distingue les pannes dangereuses des
pannes non dangereuses. La diffrence ne
rside pas dans la nature des pannes mais dans
leurs consquences. Le fait dteindre tous les
feux dans une gare ou de les faire passer
intempestivement du vert au rouge affecte le
fonctionnement (arrt des trains) mais nest pas
directement dangereux. Cela est compltement
diffrent dans le cas o les feux passeraient du
rouge au vert.
La scurit est la probabilit dviter un
vnement dangereux.
La notion de scurit est troitement lie celle
du risque qui lui-mme dpend non seulement
de la probabilit doccurrence mais aussi de la
gravit de lvnement. On peut accepter de
risquer sa vie, grande gravit, si la probabilit
doccurrence est assez faible. Si le risque est
uniquement de se casser une jambe on peut
accepter une probabilit plus grande. La courbe
de la figure 5 illustre le concept de risque
acceptable.
Gravit
Risque
inacceptable
Risque
acceptable
Probabilit d'occurence
Disponibilit
Fiabilit
Scurit
Maintenance
Etat B
Rparation
Fonctionnement
incorrect
non dangereux
Etat A
Fonctionnement
correct
Panne sre
Panne
dangereuse
Etat C
Fontionnement
incorrect et
dangereux
MTTF
MTBF
MDT
MUT
MTBF
MDT
MUT
MDT
t
Dfaillance
Dfaillance
Dfaillance
Rparation
Rparation
Rparation
Etat de marche
Etat de panne
Fig. 8 : diagramme des temps moyens, tabli pour un systme ne ncessitant pas d'interruption de
fonctionnement pour maintenance prventive.
lim (D(t))
t +
MUT
MUT
=
MDT +MUT
MTBF
lim (1-D(t))
t +
MDT
MDT
=
MDT +MUT
MTBF
ou D =
+
+
= MTTR
Rsistances
Micro
processeur
Gnrateur
Coupures
brves
EDF
(/h)
10-9
10-6
10-5
10-3
MTTF
1000 sicles
100 ans
10 ans
40 jours
CCTU 04 01 A
modle RA
MIL - R - 11 (RC)
MIL - R - 39 008 (RCR)
= b . R . E . Q . 10-9/h
Informations ncessaires
Temprature ambiante
Dissipation effective
Dissipation nominale
Valeur de la rsistance
Environnement
Classes de qualification
1
0,9
0,8
0,7
0,6
0,5
0,4
20
10
R
E
Q
Facteur de charge
Dissipation effective
Dissipation nominale
Classes de qualification
5
Agrment (PTT, ...)
avec CCQ
sans CCQ
sauf usage gnral
usage gnral
CCQ
(UTE/CECC)
Homologation
Qualification par un client
Sans qualification (produit courant)
0,5
1
1
2,5
2,5
5
7,5
Environnement
Au sol (conditions favorables)
Au sol (matriel fixe)
Au sol (matriel mobile)
Satellite en orbite
Missile (lancement)
Avion de transport (zones habitables)
Avion de transport (zones non habitables)
Avion de combat (zones habitables)
Avion de combat (zones non habitables)
Bateau (zones protges)
Bateau (zones non protges)
0,5
0,2
1
2,9
8,3
1
29
2,8
5,7
5,7
11
5,2
12
0,1
t
0
20
40
60
80
100
Valeur de la rsistance
R i 100 k
0,1 M < R i 1 M
1 M < R i 10 M
R > 10 M
120
Temprature ambiante en C
b en fonction de la temprature
1
1,1
1,6
2,5
Courts-circuits :
Circuits ouverts :
0%
100%
Modle mathmatique
0,335 10-6 x
34
= 1,17 10-7
100
Bruyant : 8 %
Divers autres : 15 %
Bloqu : 15 %
Mal rgl : 6 %
Intermittent : 15 %
Refus d'ouverture : 8 %
Dgrad : 15 %
Refus de fermeture : 34 %
Component
part type
APPL
ENV
User
code
Point
estimate
60 % upper
single-side
20 % lower
internal
80 % upper
internal
% of
recs
% of
fail
Operating
HRS (E6)
Thermal
GF
0,335
0,171
0,621
8,944
Fonctions
Equipements
considrs
Evnements
causant une
situation
redoute
Situation
redoute
Evnements
causant un
accident
redout
Accident
redout
Consquences Remarques
redoutes
Non arrt
du process
Non
dlestage
Surtarification
Production
du process
dtriore
Consquences
dpendantes de
lutilisation
du disjoncteur
Ouverture
imtempestive
du disjoncteur
Arrt du
process
Coupure de
lalim.
lectrique
Production
du process
dtriore
Energie
non dispo.
Consquences
dpendantes de
lutilisation
du disjoncteur
Procdure
Energie
du process non dispo.
non
respecte
Relestage
impossible
Consquences
dpendantes de
lutilisation
du disjoncteur
Fermeture
imtempestive
du disjoncteur
Procdure
Surtarifidu process cation si
non
EJP
respecte
Surconsom.
do arrt
du GE
Consquences
dpendantes de
lutilisation
du disjoncteur
a
Ouverture du
disjoncteur
Fermeture du
disjoncteur
Dialpact
Un de ces
Disjoncteur
quipements
Cartes lectroniques est dfaillant
Rseau
Dialpact
Un de ces
Disjoncteur
quipements
Cartes lectroniques est dfaillant
Rseau
b
Passage de
l'information
par un
Dialpact
Dialpact
Un de ces
Capteur
quipements
Cartes lectroniques est dfaillant
Rseau
Info. errone
du capteur :
t indique
inf. au seuil
Surconsommation
lectrique
du tableau
Incendie
Destruction
du tableau du tableau et
arrt de tous
les dparts
Cas direct
Capteur
Un de ces
Cartes lectroniques quipements
Rseau
est dfaillant
Info. errone
du capteur :
t indique
inf. au seuil
Surconsommation
lectrique
du tableau
Incendie
Destruction
du tableau du tableau et
arrt de tous
les dparts
Passage de
l'information
par un
Dialpact
Dialpact
Un de ces
Capteur
quipements
Cartes lectroniques est dfaillant
Rseau
Info. errone
du capteur :
t indique
sup. au seuil
Demande de
dlestage
inutile
Surconsommation
suspecte
Cas direct
Capteur
Un de ces
Cartes lectroniques quipements
Rseau
est dfaillant
Info. errone
du capteur :
t indique
sup. au seuil
Demande de
dlestage
inutile
Fig. 12 : exemple dun tableau d'APR pour un tableau BT en configuration automatique , deux cas sont examins ici, celui de la commande
de disjoncteurs (a) et celui des mesures de temprature (b).
Elment
Fonctions
Modes de
dfaillance
Causes
Effets
Criticit
Disjoncteur
Interrupteur
Refus
douverture
Collage
Non
dlestage
Refus
de fermeture
Mcanique
Non
alimentation
Protection sur
court-circuit
Refus
douverture
Collage
Non
protection
Passage du
courant
Ouverture
intempestive
Mauvais
rglage
Coupure
dalimentation
Echauffement
Contacts
dfectueux
Dtrioration
lectronique
Remarques
Parallle
Srie
1
1
2
2
c en parallle :
R(t) = R1(t) + R2(t) - R1(t) . R2(t)
Dans le cas du systme parallle, 1 et 2 sont
dits en redondance. Cette redondance est dite
passive si llment 2 est larrt tant que
llment 1 fonctionne. Cest le cas dun groupe
lectrogne.
Si 1 et 2 fonctionnent ensemble la redondance
est dite active, ce qui est suppos ici.
Pour des composants non rparables on calcule
la fiabilit de lensemble, sachant que les lois
suivies par les deux composants sont
exponentielles, on a :
c en srie :
R(t) = exp(-1t) . exp(-2t) = exp(-(1 + 2)t)
R(t) suit une loi exponentielle et :
= 1 + 2
c en parallle :
R(t) = exp(-1t) + exp(-2t) - exp(-(1 + 2)t)
R(t) ne suit pas une loi exponentielle.
Le taux de dfaillance nest pas constant.
Toutes ces formules se gnralisent par
associativit un systme de n composants non
rparables en srie ou en parallle. On peut
combiner ces formules.
Les systmes redondance K/N
Un systme compos de N lments est dit
redondance K/N si K lments suffisent
c systme K/N
Dans le cas o les N lments sont identiques,
pour tout i : Ri(t) = r(t).
On peut alors calculer facilement la fiabilit de
l'ensemble par la formule
N
Ni
i r(t)i 1 r(t)
R(t) = CN
(
)
i =K
2
KN
Alarme 1
Capteur
de vibration
((
((
((
((
Alarme 2
Cellule
photo-lectrique
Adaptateur
3
v en srie :
D(t) = D1(t) . D2(t) ,
v en parallle :
D(t) = D1(t) + D2(t) - D1(t) . D2(t) .
Ces formules ne sont valables que pour des
cas simples.
La relation D(t) = D1(t) + D2(t) - D1(t) . D2(t) nest
plus vraie si on ne dispose que dun seul
rparateur par exemple. Cet aspect squentiel,
attente de la rparation dun lment pour
rparer lautre, ne peut pas tre modlis par un
simple diagramme. Les graphes dtats
(introduits plus loin) sont utiliss dans ce cas.
Protection
Commande
Le moteur
est arrt
et ne
dmarre pas
Moteur
dfaillant
Puissance
non
applique
Causes
immdiates
Pas de
liaison
+ / moteur
Pas de
liaison
- / moteur
Batterie
vide
Causes de
niveau
infrieur
Protec.
bloque
Fil
coup
Cde
dfaillante
Fil
coup
Panne de
lampe
P1
Probabilit de
non fonctionnement : P
P2 2 lampe
grille ou
absente
Lampe
grille
Une coupe
minimale
d'ordre 2
Pas de
lumire
P1
P2
Absence
220V
Probabilit de
non fonctionnement : P
Deux coupes
minimales
d'ordre 1
Lampe
grille
B
JDB 1
D
JDB 2
JDB 3
E
Absence
nergie
dpart E
G11*
JDB 3
non
aliment
Df.
JDB 3
G22*
2*1*
Df.
cble
Ouvert.
intemp.
disj. D
3*1*
3*2*
Remonte
CC aval
par F
Ouvert.
intemp.
disj. E
G24*
2*3*
Absence
nergie
JDB 1
G33*
Non ouv.
disj. F
sur CC
CC en
aval
de F
3*4*
3*5*
Remonte
CC aval
par C
JDB 1
non
aliment
Df.
JDB 1
G42*
G43*
4*1*
Deux
lignes
dfail.
Court
circuit
aval C
Absence
nergie
EDF HT
G51*
Non ouv.
disj. C
sur CC
G53*
5*2*
5*4*
Ligne B
Ligne A
G61*
Cble
JDB 2
6*3*
6*4*
G62*
Transfo.
A
Disj. A
Transfo.
B
Disj. B
7*1*
7*2*
7*3*
7*4*
:
:
:
:
:
:
:
:
:
:
:
:
:
2*1*
2*3*
3*1*
3*2*
3*4*, 3*5*
4*1*
5*2*
5*4*, 6*3*
5*4*, 6*4*
7*1*, 7*3*
7*1*, 7*4*
7*2*, 7*3*
7*2*, 7*4*
:
:
:
:
:
:
:
:
:
:
:
:
:
9,5
1,6
68
1,6
,013
9,5
9,9
9,1 E - 6
3,2 E - 6
,00058
1,3 E - 5
1,3 E - 5
2,7 E - 7
Construction du graphe
Le graphe reprsente tous les tats du systme
et les transitions possibles entre ces tats. Les
Etat de
panne
: taux de rparation
Ti =
Hypothses
Un modle de fonctionnement est dit Markovien
si les conditions suivantes sont vrifies :
c lvolution du systme ne dpend que de ltat
quil occupe et non du pass,
c les transitions se ralisent suivant des lois
exponentielles. Les taux sont constants,
c le nombre dtats est fini,
c deux transitions ne peuvent tre simultanes.
Equations
Sous les hypothses dcrites au paragraphe
prcdent la probabilit dtre dans ltat Ei
linstant t + dt scrit :
Pi (t+dt) =P (le systme est dans ltat Ei
linstant t et y reste) + P (le systme vient dun
autre tat Ej).
Pour un graphe de n tats on obtient n quations
diffrentielles qui donnent lquation suivante :
d(t)
= (t) . [ A ]
dt
o : (t) = [P1(t), P2 (t), K, Pn (t)]
[A] est appele matrice de transition du graphe.
La rsolution informatique de cette quation
sous forme matricielle permet donc dobtenir la
probabilit Pi(t) dtre dans ltat i linstant t
connaissant les taux de transition du graphe et
ltat de dpart.
Calcul des diffrentes grandeurs
La disponibilit est la probabilit de se trouver
dans un tat de marche on a donc :
D(t) =
P(t)
i
i
Pi' (t)
1
(Taux sortant de l'tat i)
Pi
Ti
3
Etat 0
2
Etat 1
Etat 2
Etat 3
3
Paramtres constants :
Indisponibilit
MTTF
MUT
MTBF
:
:
:
:
1,199360 E-07
4,169167 E+07
4,169167 E+07
4,169167 E+07
Disponibilit
MTTR
MDT
:
:
:
9,999999 E-01
8,333667 E+00
5,000333 E+00
Dfaillance
EDF
Temps de
rparation
Probabilit 1-P
de dmarrage
des GE
Temps de
rparation
Temps de
rparation
Probabilit P de
non dmarrage
des GE
Dfaillance
des GE en
fonctionnement
7 Conclusion
Bibliographie et normes
Normes
c CEI 60191/UTEC20310 : Liste des termes de
base, dfinitions et mathmatiques applicables
la fiabilit.
c CEI 362/UTEC20313 : Guide pour lacquisition
des donnes de fiabilit, de disponibilit et de
maintenabilit partir des rsultats dexploitation
des dispositifs lectroniques.
c CEI 305/UTE C20321 20327 : Essai de
fiabilit des quipements.
c CEI 706/X 60310 ET 60312 : Guide
maintenabilit de matriel.
c CEI 812/x 60510 : Techniques danalyse de la
fiabilit des systmes.
Procdure dAnalyse des Modes de Dfaillance
et de leurs Effets (AMDE).
c CEI 863/x 60520 : Prvision des
caractristiques de fiabilit, maintenabilit et
disponibilit.
c CEI 61508 : Scurit fonctionnelle des
systmes lectriques/lectroniques/lectroniques
programmables relatifs la scurit.
Cahiers techniques Schneider Electric
c Etude de sret des installations lectriques.
S. LOGIACO 1999, Cahier technique n 184.
Participation de Schneider Electric
diffrents groupes de travail :
c Groupe statistiques du comit 56 (normes de
fiabilit) de la CEI.
c Sret du logiciel au groupe Europen
EWICS - TC7 : computer and critical
applications.
Ouvrages divers
c Military Handbook 217 F (notice 2)
Department of Defense (US) - 1995.
c Recueil de donnes de fiabilit du CNET
(Centre National dEtudes des
Tlcommunications) - 1999.
c Documents Std 493 et 500 de lIEEE
(Institute of Electrical and Electronics Engineers)
1984 et 1997.
c Document NPRD97 (Nonelectronics Parts
Reliability Data du Reliability Analysis Center
(Department of Defense US) - 1997.
c Fiabilit des systmes
A. PAGS et M. GONDRAN - Eyrolles 1983.
c Sret de fonctionnement des systmes
industriels
A. VILLEMEUR - Eyrolles 1988.
c Vocabulaire Electrotechnique International
VEI 191 - Juin 1988.
c Actes de la 15e confrence Inter Ram
Portland, Oregon - Juin 1988.
c Techniques de fiabilit en mcanique
Cl. MARCOVICI et J. Cl. LIGERON - Pic 1974.
c L'analyse du soutien logistique et son
enregistrement .
M. PREVOST et C. WAROQUIER
Technique et Documentation (Lavoisier 1994).
62589
Schneider Electric