Collection technique

Cahier
technique
n 144
Introduction la conception
de la sret
E. Cabau
Les Cahiers Techniques constituent une collection dune centaine de titres
dits lintention des ingnieurs et techniciens qui recherchent une
information plus approfondie, complmentaire celle des guides, catalogues
et notices techniques.
Les Cahiers Techniques apportent des connaissances sur les nouvelles
techniques et technologies lectrotechniques et lectroniques. Ils permettent
galement de mieux comprendre les phnomnes rencontrs dans les
installations, les systmes et les quipements.
Chaque Cahier Technique traite en profondeur un thme prcis dans les
domaines des rseaux lectriques, protections, contrle-commande et des
automatismes industriels.
Les derniers ouvrages parus peuvent tre tlchargs sur Internet partir
du site Schneider Electric.
Code : http://www.schneider-electric.com
Rubrique : Le rendez-vous des experts
Pour obtenir un Cahier Technique ou la liste des titres disponibles contactez
votre agent Schneider Electric.

La collection des Cahiers Techniques sinsre dans la Collection Technique

de Schneider Electric.

Avertissement
L'auteur dgage toute responsabilit conscutive l'utilisation incorrecte
des informations et schmas reproduits dans le prsent ouvrage, et ne
saurait tre tenu responsable ni d'ventuelles erreurs ou omissions, ni de
consquences lies la mise en uvre des informations et schmas
contenus dans cet ouvrage.

La reproduction de tout ou partie dun Cahier Technique est autorise aprs

accord de la Direction Scientifique et Technique, avec la mention obligatoire :
Extrait du Cahier Technique Schneider Electric n ( prciser) .
n 144
Introduction la conception
de la sret

Emmanuel CABAU

Ingnieur ENSIMAG 1989 (INPG, Grenoble), est chez Schneider

Electric depuis 1990.
Il se spcialise d'abord dans le domaine de plans d'exprience et
techniques statistiques diverses auprs de la Direction Scientifique et
Technique, puis, utilisant sa formation initiale d'informaticien,
participe au dveloppement d'un outil logiciel d'audit d'installation
lectrique pour Schneider Services.
En 1998, il rejoint le ple de comptence des tudes de sret de
fonctionnement, une quipe spcialise dans l'tude de fiabilit de
certains produits et process de Schneider Electric, notamment dans
les domaines : contrle-commande de centrales nuclaires,
installations lectriques, appareillage de coupure, systme
d'automatismes rpartis, etc.

CT 144 dition juin 1999

Cahier Technique Schneider Electric n 144 / p.2
 Introduction la conception de la sret

La panne d'un quipement, l'indisponibilit d'une source d'nergie, l'arrt

d'un systme automatique, l'accident sont de moins en moins tolrables et
accepts par le citoyen comme par l'industriel.
La sret qui se dcline en terme de fiabilit, de maintenabilit, de
disponibilit et de scurit est maintenant une science qu'aucun
concepteur de produit ou d'installation, ne peut ignorer.
Ce cahier technique vous propose une prsentation des notions de base,
et une explication des mthodes de calcul.
Quelques exemples et valeurs numriques permettent de faire contrepoids
quelques formules et l'utilisation sous-jacente de nombreux outils
informatiques.

Sommaire
1 L'importance de la sret 1.1 Dans le logement p. 4
1.2 Dans le tertiaire p. 4
1.3 Dans lindustrie p. 4
2 Les grandeurs de la sret 2.1 Fiabilit p. 5
2.2 Taux de dfaillance p. 5
2.3 Disponibilit p. 6
2.4 Maintenabilit p. 7
2.5 Scurit p. 7
3 Relations entre les grandeurs 3.1 Des grandeurs interactives p. 8
de la sret 3.2 Des grandeurs qui peuvent sopposer p. 8
3.3 Des grandeurs fonction des temps moyens p. 9
4 Les types de dfaut 4.1 Les dfauts physiques p. 11
4.2 Les dfauts de conception p. 11
4.3 Les dfauts dexploitation p. 11
5 De llment au systme : 5.1 Les bases de donnes sur les composants des systmes p. 13
la modlisation 5.2 La mthode APR p. 15
5.3 La mthode AMDEC p. 16
5.4 Les diagrammes de fiabilit p. 16
5.5 Les arbres de dfaillance p. 19
5.6 Les graphes dtats p. 22
5.7 Les rseaux de Ptri p. 24
5.8 Choix dune technique de modlisation p. 25
6 Maintenance et logistique : 6.1 Optimisation de la maintenance par la fiabilit (O.M.F) p. 26
de plus en plus complexe 6.2 Soutien logistique intgr (S.L.I) p. 26
7 Conclusion p. 27
Bibliographie et normes p. 28

Cahier Technique Schneider Electric n 144 / p.3

1 Limportance de la sret
L'homme des cavernes devait tre sr de son
bras. L'homme moderne est entour d'outils, de
systmes de plus en plus sophistiqus dont il
1.1 Dans le logement
Le citoyen, dans sa vie de tous les jours, est
fortement intress par :
c la fiabilit de son tlviseur,
c la disponibilit de llectricit,
1.2 Dans le tertiaire
Le banquier et tout le secteur tertiaire
accorde beaucoup dimportance :
c la fiabilit de linformatique,
c la disponibilit du chauffage,
1.3 Dans lindustrie
Lindustriel qui doit tre comptitif ne peut
admettre de pertes de production, dautant
plus importantes que son process de
fabrication est complexe ; il recherche la
meilleure :
c fiabilit de ses systmes contrle commande,
c disponibilit de ses machines,
c maintenabilit de loutil de production,
c scurit des personnes et du capital industriel.
Ces valeurs que lon regroupe sous le concept
de SURETE (tre sr) font appel la notion de
confiance. Elles se quantifient en terme
dobjectif, se calculent en terme de probabilit,
Cahier Technique Schneider Electric n 144 / p.4
doit tre sr, ceci s'il veut qu'ils concourent
rellement sa scurit, son efficacit et son
confort.
c la rparabilit de son conglateur ou de sa
voiture,
c la scurit du coupe-gaz de sa chaudire.
c la rparabilit des ascenseurs,
c la scurit incendie.
se ralisent en terme darchitecture et de choix
de composants, se vrifient par les tests ou
lexprience.
Schneider Electric intgre ce concept de sret
de longue date. Il en est ainsi, entre autres,
depuis 30 ans pour les produits Merlin Gerin
dont on connat la contribution : hier, par
exemple, la conception des centrales
nuclaires, ou lexceptionnelle disponibilit de
lnergie lectrique de la base de lancement des
fuses ARIANE, aujourdhui dans la conception
des produits et systmes destins tous les
secteurs dactivit.
2 Les grandeurs de la sret
2.1 Fiabilit
Lampoule lectrique est utile au particulier, au
banquier et lindustriel. Quand ils lallument ils
veulent tous quelle claire jusqu ce quils
lteignent !
La fiabilit est la probabilit que lampoule soit
en tat de fonctionner linstant t, elle mesure
laptitude rester dans un tat de
fonctionnement correct.
Dfinition : la fiabilit est la probabilit pour
quune entit puisse accomplir une fonction
requise, dans des conditions donnes, pendant
un intervalle de temps donn [t1,t2] ; que lon
crit : R(t1,t2).
Cette dfinition, celle de la CEI (Commission
Electrotechnique Internationale), est donne
dans la norme 191 de juin 1988.
2.2 Taux de dfaillance
Conservons lexemple de lampoule. Son taux de
dfaillance linstant t, not (t), mesure la
probabilit quelle steigne intempestivement
dans lintervalle [t,t+ t] sachant quelle est reste
allume jusqu linstant t. Le taux de dfaillance
est un taux horaire qui est homogne linverse
dun temps.
Lcriture mathmatique est la suivante :
1 R(t)-R(t + t)
(t) = lim
t 0 t R(t)
-1 dR(t)
= (1)
R(t) dt
Ainsi, le taux de dfaillance qui mesure la
probabilit pour une personne ge de 20 ans
de mourir dans lheure qui suit se note :
(20 ans) = 10-6 par heure.
Si on reprsente en fonction de lge on obtient
alors une courbe qui est celle de la figure 1 .
Aprs de fortes valeurs qui correspondent la
mortalit infantile, atteint la valeur de lge
adulte durant laquelle il est constant car les
causes de dcs sont surtout accidentelles et
donc indpendantes de lge. A partir de 60 ans,
Plusieurs notions sont fondamentales dans cette
dfinition :
c Fonction : la fiabilit est caractristique de la
fonction attribue au systme. La connaissance
de son architecture matrielle est souvent
insuffisante et il faut utiliser des mthodes
danalyse fonctionnelle.
c Conditions : le rle de lenvironnement est
primordial en fiabilit, il faut aussi connatre les
conditions dutilisation. La connaissance du
matriel nest pas suffisante.
c Intervalle : on sintresse une dure et pas
un instant. Par hypothse le systme fonctionne
linstant initial, le problme est de savoir pour
combien de temps. En gnral t1 = 0 et on note
R(t) la fiabilit.
(t)
Priode
Priode
de
d'usure
jeunesse
Vie utile
0
t
Fig. 1 : courbe en baignoire.
du fait du vieillissement augmente. Lexprience
a montr que pour les composants lectroniques
la courbe obtenue a la mme allure, do la
terminologie : priode de jeunesse, vie utile et
priode dusure.
Cahier Technique Schneider Electric n 144 / p.5
 Pendant la priode de vie utile le taux est
constant et lquation (1) donne :
R(t) = exp(-t). La loi est dite exponentielle, la
courbe de fiabilit en fonction du temps, dans ce
cas, est celle de la figure 2 .
La loi exponentielle est une des lois possibles.
Les dispositifs mcaniques soumis, ds le dbut
R(t) = e-t
0
Fig. 2 : fiabilit exponentielle.
2.3 Disponibilit
La notion de disponibilit sillustre trs bien avec
celle dun vhicule. Une voiture doit fonctionner
linstant du besoin, lhistorique importe peu. La
disponibilit mesure cette aptitude fonctionner
un instant donn.
Dfinition : la disponibilit est la probabilit pour
quune entit soit en tat daccomplir une
fonction requise dans des conditions donnes
un instant donn t, en supposant que la
fourniture des moyens extrieurs ncessaires
est assure. On la note : D(t).
Cette dfinition de la CEI est calque sur celle
de la fiabilit mais laspect temporel est
fondamentalement diffrent puisquon
sintresse un tat un instant donn et pas
une dure.
Le fonctionnement linstant t ne ncessite pas
forcment le fonctionnement sur [0,t] pour un
systme rparable. Cest l que se situe la
diffrence fondamentale avec la fiabilit.
On peut tracer la courbe donnant la disponibilit
en fonction du temps dun lment rparable
dans le cas de lois exponentielles pour les
dfaillances et les rparations (cf. figure 4 ).
On constate que la disponibilit tend vers une
valeur limite qui est, par dfinition, la disponibilit
asymptotique. Cette valeur limite est atteinte au
bout dun temps qui est de lordre du temps de
Cahier Technique Schneider Electric n 144 / p.6
de leur emploi, lusure peuvent suivre une autre
loi, par exemple la loi de Weibull, dans laquelle le
taux de dfaillance est fonction du temps. Si on
trace la courbe donnant en fonction du temps
on obtient alors une courbe qui n'a pas le plateau
de la figure 1 (cf. figure 3 ).
(t)
Priode
de
jeunesse
t t
Fig. 3 : courbe de fiabilit avec usure.
D(t)
1
D
0
t
Fig. 4 : disponibilit en fontion du temps.
rparation. La fiabilit a toujours une limite nulle
puisquaucun systme nest ternel. (Ce dernier
point peut tre contest dans le cas des
logiciels).
Revenons sur lexemple de la voiture. Deux
types de vhicules posent des problmes de
disponibilit : ceux qui tombent souvent en panne
et ceux qui, bien que rarement en panne, restent
longtemps au garage avant dtre rpars. La
fiabilit participe donc la disponibilit mais
laptitude tre rpare rapidement est aussi
importante, cest la maintenabilit.
2.4 Maintenabilit
Les concepteurs recherchent toujours la
performance maximum du produit et ngligent
parfois lhypothse de la panne. Il est difficile
quand on fait tout pour que le systme
fonctionne de se demander ce quil adviendra en
cas de panne. Pourtant cette interrogation est
indispensable. Pour quun systme soit
disponible, il doit dfaillir le plus rarement
possible mais il est tout aussi important quil soit
trs rapidement rpar. On entend ici par
rparation lensemble de la remise en service
incluant les dlais logistiques. Laptitude dun
systme tre rpar est mesure par la
maintenabilit.
Dfinition : la maintenabilit est la probabilit
pour quune opration donne de maintenance
active puisse tre effectue pendant un intervalle
de temps donn [t1,t2] ; que lon crit : M(t1,t2).
Cette dfinition est galement extraite du
vocabulaire international normalis par la CEI.
Elle traduit que la maintenabilit est la rparation
ce que la fiabilit est la dfaillance. On dfinit
avec les mmes hypothses que pour R(t) la
maintenabilit M(t).
Le taux de rparation (t) est introduit de faon
similaire au taux de dfaillance - voir ce paragraphe
ci-dessus, quation (1). Lorsquil est constant, la
loi est exponentielle et on a : M(t) = exp(-t).

2.5 Scurit
On distingue les pannes dangereuses des
pannes non dangereuses. La diffrence ne
Gravit
rside pas dans la nature des pannes mais dans
leurs consquences. Le fait dteindre tous les
feux dans une gare ou de les faire passer
intempestivement du vert au rouge affecte le
fonctionnement (arrt des trains) mais nest pas
directement dangereux. Cela est compltement
diffrent dans le cas o les feux passeraient du
Risque
rouge au vert.
inacceptable
La scurit est la probabilit dviter un
vnement dangereux.
La notion de scurit est troitement lie celle Risque
du risque qui lui-mme dpend non seulement acceptable
de la probabilit doccurrence mais aussi de la
gravit de lvnement. On peut accepter de
risquer sa vie, grande gravit, si la probabilit
doccurrence est assez faible. Si le risque est
uniquement de se casser une jambe on peut Probabilit d'occurence
accepter une probabilit plus grande. La courbe Fig. 5 : le niveau de risque est fonction du couple :
de la figure 5 illustre le concept de risque gravit, probabilit doccurence.
acceptable.

Cahier Technique Schneider Electric n 144 / p.7

3 Relations entre les grandeurs de la sret

3.1 Des grandeurs interactives

A travers ces quelques exemples on voit que la On dsigne parfois la sret par les initiales de
SURETE est un concept qui se dcline en 4 ses quatre grandeurs caractristiques, FMDS :
grandeurs chiffrables ; elles dpendent les unes c Fiabilit : probabilit que le systme soit non
des autres (cf. figure 6 ). dfaillant sur [0,t].
Ces quatre grandeurs sont prendre en compte
c Maintenabilit : probabilit que le systme soit
pour toute tude de sret.
rpar sur [0,t].
c Disponibilit : probabilit que le systme
fonctionne linstant t.
Disponibilit Scurit
c Scurit : probabilit dviter un vnement
catastrophique.
La correspondance avec la terminologie
anglaise est la suivante :
c Fiabilit : Reliability.
c Maintenabilit : Maintainability.
Fiabilit Maintenance c Disponibilit : Availability.
Fig. 6 : les composantes de la sret. c Scurit : Safety.
c Sret de fonctionnement : Dependability.

3.2 Des grandeurs qui peuvent sopposer

Parmi les grandeurs caractristiques de la sret Le temps coul avant de quitter ltat A est
certaines peuvent tre contradictoires. caractristique de la fiabilit. Le temps pass
Lamlioration de la maintenabilit peut amener dans ltat B aprs une panne sre est
des choix qui dgradent la fiabilit (par exemple caractristique de la maintenabilit. Le ratio
adjonction de composants pour faciliter le entre le temps pass dans ltat A et le temps
montage-dmontage). La disponibilit est donc total est caractristique de la disponibilit.
un compromis entre la fiabilit et la maintenabilit ; Laptitude du systme ne pas transiter vers
une tude de sret permet de chiffrer ce ltat C est caractristique de la scurit. On
compromis. constate que ltat B est performant vis--vis de
De mme, la scurit et la disponibilit peuvent la scurit ; mais il est source dindisponibilit.
tre contradictoires.
On a vu que la scurit est la probabilit dviter
un vnement dangereux, elle est souvent
maximum quand le systme est arrt, mais la Etat B
disponibilit est alors nulle : cest le cas lorsquon
ferme la circulation un pont risquant de Fonctionnement
Rparation
seffondrer. A linverse pour amliorer la incorrect
non dangereux
disponibilit de leurs appareils certaines
compagnies ariennes peuvent tre tentes de Etat A
ngliger la maintenance prventive et la scurit Panne sre
en vol diminue. La dtermination dun systme Fonctionnement
correct
rpondant au compromis optimal entre la
scurit et la disponibilit impose de pouvoir Panne Etat C
calculer ces grandeurs. dangereuse Fontionnement
Un systme peut occuper trois tats, incorrect et
(cf. figure 7 ). Outre ltat de fonctionnement dangereux
normal on considre deux tats de panne : l'un
dangereux et lautre pas. Dans un but de
simplification les tats de panne incluent tous les Fig. 7 : panne sre : disponibilit !
fonctionnements dgrads, do la dsignation panne dangereuse : scurit !
fonctionnement incorrect .

Cahier Technique Schneider Electric n 144 / p.8

3.3 Des grandeurs fonction des temps moyens
Outre les probabilits (fiabilit, maintenabilit,
disponibilit, scurit) doccurrence dvnements
introduites dans ce qui prcde, on utilise aussi
les temps moyens avant loccurrence
dvnements pour caractriser la sret.
Les temps moyens
Il est utile de rappeler la dfinition prcise de
tous les temps moyens car ils sont souvent mal
utiliss. Le plus mal utilis est peut-tre le plus
connu, le MTBF, qui est souvent considr tort
comme une dure de vie. En effet au bout dun
temps gal au MTBF, si la loi est exponentielle,
et pour une population homogne, presque 2/3
des dispositifs, en moyenne, sont dfaillants. Sil
sagit dun systme, celui-ci a 63 % de chances
davoir eu une panne. Les dfinitions et le
positionnement de ces temps moyens situs au
cours de la vie dun systme sont rappels
figure 8 .
MTTF ou MTFF (Mean Time To First Failure) :
temps moyen de bon fonctionnement avant la
premire dfaillance.
MTBF (Mean Time Between Failure) : temps
moyen entre deux dfaillances dun systme
rparable.
MDT (Mean Down Time) : dure moyenne de
dfaillance comprenant la dtection de la panne,
la dure dintervention, le temps de la rparation
et le temps de remise en service.
MTTR (Mean Time To Repair) : temps moyen de
rparation.
MUT (Mean Up Time) : dure moyenne de bon
fonctionnement aprs rparation.

MTTF MTBF MTBF

MDT MUT MDT MUT MDT

t
Dfaillance Dfaillance Dfaillance

Rparation Rparation Rparation

Etat de marche Etat de panne

Fig. 8 : diagramme des temps moyens, tabli pour un systme ne ncessitant pas d'interruption de
fonctionnement pour maintenance prventive.

Cahier Technique Schneider Electric n 144 / p.9

 Quelques relations et valeurs numriques
Il existe de nombreuses relations entre les
grandeurs introduites.
Pour une loi exponentielle R(t) = exp (-t),
MTTF = 1/ ; or pour un systme non rparable
MTBF = MTTF (en effet toutes les pannes sont
alors des premires pannes). Ceci explique la
formule classique largement utilise pour les
composants lectroniques (non rparables) :
MTBF = 1/ .
Il ne faut appliquer cette formule que pour des
lois exponentielles et, en toute rigueur, pour un
composant non rparable (on peut saffranchir
de cette dernire hypothse si la MDT est
suffisamment faible).
Lorsque les temps de rparations suivent aussi
une loi exponentielle on montre de mme que
MTTR = 1/.
On a MTBF = MUT + MDT. En gnral
MDT = MTTR mais il faut parfois ajouter les
dlais logistiques ou de dmarrage.
On a de plus :
c disponibilit asymptotique
D = lim (D(t))
t +
MUT MUT
= =
MDT +MUT MTBF
Cette formule illustre linterprtation de la
disponibilit donne en page 5 (ratio du temps
de bon fonctionnement par rapport au temps
total). Cette valeur (MUT/MTBF) correspond
lasymptote de la figure 4.
c indisponibilit asymptotique
= 1 - disponibilit asymptotique
ID = lim (1-D(t))
t +
MDT MDT
= =
MDT +MUT MTBF
Lindisponibilit asymptotique est en gnral
plus facile exprimer numriquement que la
disponibilit (on lit plus facilement 10-6 que
0,999999).
Pour des lois exponentielles avec les relations
MUT = 1/ et MDT = 1/ on arrive :
ID = ou D =
+ +
est souvent ngligeable devant puisque le
temps de rparation est petit devant le temps
moyen avant panne. On peut donc simplifier le
dnominateur et on obtient :
ID = = MTTR
Cette dernire formule chiffre dans le cas de lois
exponentielles le compromis fiabilit-
maintenabilit quil faut optimiser pour amliorer
la disponibilit.
Le tableau ci-aprs (cf. fig.9 ) donne un ordre de
grandeur du taux de dfaillance et du temps
moyen avant la premire panne pour un certain
nombre dlments des domaines lectronique
et lectrotechnique.
On constate bien sr que la fiabilit se dgrade
quand la complexit augmente. Ceci correspond
dailleurs une rgle de base de la conception
de la sret : faire simple autant que possible.
La notion de temps moyen est souvent mal
comprise. Les deux phrases suivantes signifient
la mme chose dans le cas dune loi
exponentielle :
Le MTTF vaut 100 ans et on a une chance
sur 100 dobserver une panne la premire
anne . Cette deuxime phrase semble
pourtant plus inquitante pour un industriel qui
vend 10 000 appareils de ce type chaque anne.
En moyenne une centaine dappareils tomberont
en panne la premire anne.
Pour lindisponibilit on peut citer comme
exemple le rseau lectrique national. On
sintresse la prsence dnergie lectrique
conforme lattente de lutilisateur.
Lindisponibilit est de lordre de 10-3 ce qui
correspond en moyenne 9 heures de panne
par an. Pour une salle informatique entirement
secourue par un ensemble donduleurs
fortement redondants on peut atteindre une
disponibilit 1 000 ou 10 000 fois meilleure.

Rsistances Micro Fusible et disj. forte Gnrateur Coupures

processeur intensit, transfos, brves
cbles (100 m) EDF
jeu de barres
(10 dparts)
(/h) 10-9 10-6 entre 10-7 et 10-6 10-5 10-3
MTTF 1000 sicles 100 ans entre 100 et 1000 ans 10 ans 40 jours

Fig. 9 : taux de dfaillance et MTTF de quelques lments.

Cahier Technique Schneider Electric n 144 / p.10

4 Les types de dfaut
La ralisation dun systme satisfaisant un
objectif de sret ncessite didentifier et prendre
en compte les causes possibles de dfauts. La
classification suivante peut tre propose :
Les dfauts physiques
Ils peuvent tre induits par des causes internes
(rupture dun lment) ou externes
(interfrences lectro-magntiques,
vibrations).
Les dfauts de conception
Ils regroupent notamment les erreurs de
conception matrielles et les erreurs logicielles.
Les dfauts dexploitation
Ils dsignent les dfauts engendrs par une
mauvaise utilisation du matriel :
c utilisation du matriel dans un environnement
pour lequel il na pas t conu,
c erreur dun oprateur humain dans lutilisation
du matriel ou lors dune opration de
maintenance,
c malveillance.
Les techniques dveloppes dans ce document
concernent prioritairement la prise en compte
des dfauts physiques.
Cependant, le problme des erreurs humaines
et des erreurs logicielles nest pas ngliger,
mme si ltat de lart dans ces domaines est
moins riche que pour les dfauts physiques.
Nous nous contenterons de mentionner, dans le
cadre de ce cahier technique, les lments de
rflexions suivants.
En matire de logiciels :
c Le logiciel ignore le phnomne de
vieillissement, mais ds qu'il est complexe, il est
ncessaire de valider sa conception par une
dmarche sret.
c Cette dmarche intervient la fois en phase
de conception et en phase de validation.
c La premire tape de la dmarche peut-tre
l'Analyse des Effets des Erreurs du Logiciel
(AEEL) qui identifie les parties critiques et
prconise des actions de conception ou de
validation. Mais cette analyse est souvent trop
lourde pour tre mene dans le dtail.
c En conception sont utiliss des ateliers
logiciels adapts la sret (chez
Schneider Electric, LUSTRE et SCADE, par
exemple) et des techniques de redondance
(plusieurs versions du mme logiciel
dveloppes indpendamment).
c En validation sont utilises les techniques
d'inspection formelle et de preuve de proprit.
c Quantifier de faon exacte la fiabilit d'un
logiciel reste difficile. Les meilleurs rsultats sont
atteints pour des tudes prliminaires effectues
pour des environnements (langage, mthode)
prcis. C'est le cas au sein de Schneider Electric
o a t dvelopp, par exemple, les logiciels
pilotant le cur des centrales nuclaires : SPIN
(Systme de Protection Intgr Numrique).
c Schneider Electric participe un groupe de
travail europen sur la sret du logiciel (voir
bibliographie).
La fiabilit humaine
Laspect qualitatif prvaut dans ce domaine.
Leffort porte sur la schmatisation de loprateur
humain et sur la classification des tches et des
erreurs humaines. Les tudes les plus pousses
sont celles ralises dans le domaine nuclaire.
Le comportement de loprateur est connu la
fois par des simulateurs et par les retours
dexprience, les deux sources peuvent tre
confrontes.
La littrature amricaine fournit mme des
valeurs numriques qui sont utiliser avec
prcaution : selon le type daction (machinales,
procdurales, cognitives) on value la probabilit
derreur.
Les vnements actuels en particulier les grandes
catastrophes, montrent que les dfaillances
humaines sont une cause essentielle non
seulement au niveau de loprateur mais aussi
au niveau du concepteur. Plus la libert daction
de lhomme est grande plus les risques
encourus sont importants. Laccident de la
navette amricaine en 1987 montre que mme
le management de projet peut tre en cause : on
remonte jusquaux concepteurs de la structure
de travail des concepteurs de la navette ! Les
comptences multiples sont ncessaires pour
aborder le problme de la fiabilit humaine, en
particulier la psychologie et lergonomie.
Cahier Technique Schneider Electric n 144 / p.11
 CCTU 04 01 A
RSISTANCES FIXES AGGLOMRES modle RA
MIL - R - 11 (RC)
MIL - R - 39 008 (RCR)

= b . R . E . Q . 10-9/h Informations ncessaires

Temprature ambiante t
b Dissipation effective
Dissipation nominale
Valeur de la rsistance R R
Environnement E
Classes de qualification Q
0,9
0,8

0,6
0,5
0,4
0,7
1

20
0,1 0,2 0,3

Facteur de charge

Dissipation effective
=
10
Dissipation nominale

Classes de qualification Q
5
avec CCQ 0,5
Agrment (PTT, ...) sans CCQ 1
CCQ sauf usage gnral 1
(UTE/CECC) usage gnral 2,5
2 Homologation 2,5
Qualification par un client 5
Sans qualification (produit courant) 7,5

1
Environnement E

Au sol (conditions favorables) 1

Au sol (matriel fixe) 2,9
0,5 Au sol (matriel mobile) 8,3
Satellite en orbite 1
Missile (lancement) 29
Avion de transport (zones habitables) 2,8
Avion de transport (zones non habitables) 5,7
Avion de combat (zones habitables) 5,7
0,2 Avion de combat (zones non habitables) 11
Bateau (zones protges) 5,2
Bateau (zones non protges) 12
0,1
t Valeur de la rsistance R
0 20 40 60 80 100 120 R i 100 k 1
0,1 M < R i 1 M 1,1
Temprature ambiante en C
1 M < R i 10 M 1,6
R > 10 M 2,5

b en fonction de la temprature Rpartition des dfauts

ambiante t et du facteur de charge Courts-circuits : 0%
Circuits ouverts : 100%

Modle mathmatique

[ 12(t + 273)+( )(t + 273)]

= 9.10-6. e
b 343 0,6 273

Fig. 10 : exemple de feuille de calcul issue des cahiers du CNET.

Cahier Technique Schneider Electric n 144 / p.12

5 De llment au systme : la modlisation
5.1 Les bases de donnes sur les composants des systmes
On utilise le plus souvent les bases de donnes
dcrites ci-aprs, mais il est prfrable, quand
cela est possible de recueillir les donnes de
retours d'expriences auprs des constructeurs
des composants que l'on utilise. Cependant, ces
donnes sont difficiles obtenir car tous les
constructeurs ne s'efforcent pas de les collecter
systmatiquement ou bien elles sont conserves
confidentiellement.
En lectronique
Dans ce domaine la fiabilit est trs pratique
depuis de nombreuses annes. Les deux bases
de donnes les plus utilises sont le Military
Handbook 217 (F, notice 2), amricain, et le
recueil de fiabilit du Centre National dEtudes
des Tlcommunications (CNET) (cf. figure 10 ).
Schneider Electric participe sa mise jour.
Ces recueils permettent de calculer le taux de
dfaillance suppos constant dun composant en
fonction des caractristiques de lapplication,
(environnement ou taux de charge par exemple),
ainsi que du type de composant, (nombre de
portes, valeur de la rsistance).
Prenons par exemple une rsistance de 50 k
sur une carte lectronique place dans un
tableau lectrique.
On consulte les tableaux de la page 10 pour
dterminer les diffrents facteurs correctifs.
Lenvironnement est Au sol (matriel fixe) ,
le facteur multiplicatif relatif lenvironnement
est donc :
E = 2,9.
La valeur de la rsistance donne le facteur
multiplicatif correspondant :
R = 1.
La rsistance est sans qualification ce qui donne
le facteur multiplicatif relatif au facteur de
qualit :
Q = 7,5.
Le facteur de charge est caractristique de
lapplication contrairement aux autres facteurs
qui sont caractristiques du composant. Si le
facteur de charge est de 0,7 et la temprature
ambiante pour la carte est de 90 C. Labaque
donne b = 15.
On obtient alors le taux de dfaillance de la
rsistance en effectuant le produit :
= b . R . E . Q . 10-9 = 0,33 10-6.
Si la conception est ralise en intgrant
lobjectif fiabilit :
c Des changes thermiques mieux tudis
permettent dabaisser la temprature ambiante.
c Une meilleure conception de la carte
lectronique permet de diminuer le facteur de
charge .
Avec t = 60 C et = 0,2 labaque donne
b = 1,7.
Si on prend un composant homologu :
Q = 2,5 on obtient alors : = 0,012 10-6 soit un
gain dun facteur 30.
Connaissant la fiabilit de chaque composant on
passe facilement la fiabilit des cartes, (qui
sont rparables ou remplaables), puis des
systmes lectroniques en utilisant les
mthodes de modlisation dcrites dans la suite
de ce chapitre 5.
Remarques importantes :
c L'exemple ci-dessus est purement illustratif
pour montrer l'esprit des calculs de fiabilit en
lectronique. Les valeurs numriques et les
paramtres utiliss sont en constante volution
et rgulirement mis jour.
c C'est d'ailleurs la raison pour laquelle depuis
plusieurs annes dj, les calculs sont effectus
partir d'outils logiciels. Le plus connu est
RELEX et il runira partir de 1999 les deux
bases de donnes du Military Handbook et du
CNET.
En lectrotechnique et en mcanique
Les recueils de donnes existants sont moins
reconnus quen lectronique, mais ils sont trs
utiliss.
On peut citer :
c RAC NPRD 95 : rapport du Reliability Analysis
Center, organisme militaire amricain,
concernant les composants et dispositifs non
lectroniques.
c IEEE STD 493 : recueil de donnes de fiabilit
observes et concernant des quipements
lectriques dans les installations lectriques
industrielles.
c IEEE STD 500 : recueil de donnes de fiabilit
observes et concernant des quipements
lectriques, lectroniques et mcaniques
installs dans les centrales nuclaires.
On utilise aussi des ouvrages de rfrence qui
contiennent des mthodes de calcul et des
donnes propres certains domaines. Par
exemple louvrage de Cl. Marcovici et
J. Cl. Ligeron : Utilisation des techniques de
fiabilit en mcanique .
Cahier Technique Schneider Electric n 144 / p.13
 A titre d'illustration, la figure 11 donne un extrait
du RAC NPRD97 concernant les disjoncteurs.
On a tout dabord une rpartition des diffrents
modes de dfaillances, on lit par exemple que
34 % des dfaillances constates sont des refus
de fermeture. Le tableau de la figure 9 donne
une estimation de la valeur du taux de
dfaillance (point estimate) en ce qui concerne
la fonction thermique (thermal) des disjoncteurs.
On lit successivement :
c lenvironnement : ici GF = Ground Fixed = au
sol conditions industrielles,
c lestimation du taux de dfaillance : il faut lire
0,335 10-6 h-1,
c les bornes dun intervalle de confiance tel que
la probabilit que le taux de dfaillance sy
trouve est de 0,6 (cest--dire 0,8 - 0,2),
c le nombre de recueils utiliss pour le calcul :
ici 2,
c le nombre de dfaillances observes : ici 3,
c le nombre dheures de fonctionnement
observes : 8,944 106 h.
Bruyant : 8 %
Divers autres : 15 %
Mal rgl : 6 %
Refus d'ouverture : 8 %
Refus de fermeture : 34 %
Component APPL User Point 60 % upper 20 % lower
part type ENV code estimate single-side internal
Thermal GF M 0,335 - 0,171
Fig. 11 : mode de dfaillances et donnes de fiabilit des disjoncteurs.
5.2 La mthode APR
Une APR est une Analyse Prliminaire des
Risques qui a pour objectif d'identifier les
dangers d'une installation industrielle et ses
causes (exemples : entits dangereuses,
situations dangereuses accidents potentiels).
Elle peut comporter galement une valuation
de la gravit des consquences lies aux
situations dangereuses et aux accidents
potentiels.
Cahier Technique Schneider Electric n 144 / p.14
La connaissance du taux de dfaillance global et
de la rpartition par mode de dfaillance permet
de chiffrer la probabilit des diffrents
vnements par une simple rgle de trois.
Par exemple, pour le mode de dfaillance
refus de fermeture , on obtient :
34
0,335 10-6 x = 1,17 10-7
100
Une autre approche est parfois plus pertinente :
on considre un nombre de manuvres au lieu
de considrer le temps de fonctionnement. Dans
ce cas un test portant sur un chantillon de
quelques dizaines de produits permet de chiffrer
la fiabilit (loi de Weibull).
Le choix dpend du type de dfaillances que lon
dsire tudier, lusure des contacts est lie au
nombre de manuvres alors que la corrosion
est lie au temps. Le type dutilisation et les
conditions denvironnement sont toujours
dterminants.
Bloqu : 15 %
Intermittent : 15 %
Dgrad : 15 %
80 % upper % of % of Operating
internal recs fail HRS (E6)
0,621 2 3 8,944
A faire ds les premires phases de la
conception et remettre jour au fur et
mesure du droulement du projet, cette analyse
permet de dduire tous les moyens, toutes les
actions correctrices permettant d'liminer ou de
matriser les situations dangereuses et les
accidents potentiels.
Elle ne doit pas tre confondue avec la mthode
suivante, l'AMDEC qui, elle, entre dans le dtail
 des modes de dfaillance des lments d'un
systme. Comme son nom l'indique, l'APR est
un prliminaire qui, partant de l'analyse
fonctionnelle du systme, suppose la dfaillance
de chaque lment fonctionnel (sans s'occuper
du mode de dfaillance) et traduit les
consquences de cette dfaillance sur le
systme. L'APR est donc particulirement
indiqu en dbut de conception afin de ne pas
manquer un danger potentiel important.
On trouvera ci-dessous (figure 12 ) un exemple
de tableau d'APR, sans chiffrage de la gravit.
C'est l'extrait d'une APR faite sur un tableau
Basse Tension comportant un automatisme qui
doit, notamment dtecter une surconsommation
lectrique du tableau.
Pour plus de dtails sur l'APR, on pourra
consulter le chapitre 6 de l'ouvrage Sret de
fonctionnement des systmes industriels de
A. Villemeur (voir bibliographie).

Fonctions Equipements Evnements Situation Evnements Accident Consquences Remarques

considrs causant une redoute causant un redout redoutes
situation accident
redoute redout

a
Ouverture du Dialpact Un de ces Non ouverture Demande Non arrt Surtarifi- Consquences
disjoncteur Disjoncteur quipements du disjoncteur douverture du process cation dpendantes de
Cartes lectroniques est dfaillant du disjonc- Non Production lutilisation
Rseau teur dlestage du process du disjoncteur
dtriore

Ouverture Arrt du Production Consquences

imtempestive process du process dpendantes de
du disjoncteur Coupure de dtriore lutilisation
lalim. Energie du disjoncteur
lectrique non dispo.

Fermeture du Dialpact Un de ces Non fermeture Demande de Procdure Energie Consquences

disjoncteur Disjoncteur quipements du disjoncteur fermeture du process non dispo. dpendantes de
Cartes lectroniques est dfaillant du disjonc- non lutilisation
Rseau teur respecte du disjoncteur
Relestage
impossible

Fermeture Procdure Surtarifi- Consquences

imtempestive du process cation si dpendantes de
du disjoncteur non EJP lutilisation
respecte du disjoncteur
Surconsom.
do arrt
du GE

b
Passage de Dialpact Un de ces Info. errone Surconsom- Incendie Destruction
l'information Capteur quipements du capteur : mation du tableau du tableau et
par un Cartes lectroniques est dfaillant t indique lectrique arrt de tous
Dialpact Rseau inf. au seuil du tableau les dparts

Cas direct Capteur Un de ces Info. errone Surconsom- Incendie Destruction

Cartes lectroniques quipements du capteur : mation du tableau du tableau et
Rseau est dfaillant t indique lectrique arrt de tous
inf. au seuil du tableau les dparts

Passage de Dialpact Un de ces Info. errone Demande de Surconsommation

l'information Capteur quipements du capteur : dlestage suspecte
par un Cartes lectroniques est dfaillant t indique inutile
Dialpact Rseau sup. au seuil

Cas direct Capteur Un de ces Info. errone Demande de Ici, cest la mesure
Cartes lectroniques quipements du capteur : dlestage de t qui indique la
Rseau est dfaillant t indique inutile surconsommation et
sup. au seuil non celle des courants

Fig. 12 : exemple dun tableau d'APR pour un tableau BT en configuration automatique , deux cas sont examins ici, celui de la commande
de disjoncteurs (a) et celui des mesures de temprature (b).

Cahier Technique Schneider Electric n 144 / p.15

5.3 La mthode AMDEC
Une AMDEC est une Analyse des Modes de
Dfaillance, de leurs Effets et de leur Criticit.
Un mode de dfaillance est un effet par lequel
on observe la dfaillance dun lment du
systme.
Cette dfinition de la CEI (publication 812)
montre que la mthode se base sur la
dcomposition du systme en lments. Le
recueil des donnes permet de connatre le
comportement de chaque lment.
Larchitecture matrielle et fonctionnelle du
systme permet dinduire tous les effets de tous
les modes de dfaillance de tous les lments
du systme.
On inclut dans les AMDEC une valuation de la
criticit de chaque dfaillance (cf. figure 13 ).
Cette criticit dpend de deux facteurs : la
probabilit doccurrence de la dfaillance et la
gravit des consquences.
Une AMDEC permet dtudier linfluence des
dfaillances des composants du systme.
Lintrt de cette mthode, essentiellement
qualitative, est lexhaustivit. Par contre il faut la
complter pour combiner les effets mis en
vidence, cest lobjet des mthodes dcrites
dans la suite de ce chapitre 5.

Elment Fonctions Modes de Causes Effets Criticit Remarques

dfaillance

Disjoncteur Interrupteur Refus Collage Non 2

douverture dlestage

Refus Mcanique Non 2

de fermeture alimentation

Protection sur Refus Collage Non 4

court-circuit douverture protection

Passage du Ouverture Mauvais Coupure 3

courant intempestive rglage dalimentation

Echauffement Contacts Dtrioration 2

dfectueux lectronique

Fig. 13 : exemple de tableau AMDEC.

5.4 Les diagrammes de fiabilit

Le diagramme de fiabilit est une faon trs
simple de reprsenter un ensemble de
composants non rparables. Le calcul de la
fiabilit du systme ainsi reprsent est possible
pour les ensembles srie-parallle, en
redondance K/N et en pont. Leur application aux
systmes rparables est beaucoup moins
systmatique.
Les systmes srie-parallle
Deux lments sont dits en srie si le
fonctionnement des deux est ncessaire pour
assurer le fonctionnement de lensemble. Deux
lments sont dits en parallle si le
fonctionnement dau moins un des deux est
suffisant pour assurer le fonctionnement de
lensemble (cf. figure 14 ).
Lorsque deux composants sont placs en srie
lun ET lautre doivent fonctionner, il faut donc
multiplier leurs fiabilits pour obtenir la fiabilit
de lensemble :
R(t) = R1(t) . R2(t).
Lorsque deux composants sont placs en
parallle il sagit cette fois que lun OU lautre
fonctionne. Il est plus pratique dutiliser la
dfiabilit dans ce cas. Pour que le systme soit
en panne il faut que lun ET lautre des deux
composants soient en panne, ce qui scrit :
1 - R(t) = (1 - R1(t))(1 - R2(t)).
Les deux formules sont donc :
c en srie :
R(t) = R1(t) . R2(t)

Cahier Technique Schneider Electric n 144 / p.16

 Srie
1 2
Fig. 14 : les systmes en srie, en parallle.
c en parallle :
R(t) = R1(t) + R2(t) - R1(t) . R2(t)
Dans le cas du systme parallle, 1 et 2 sont
dits en redondance. Cette redondance est dite
passive si llment 2 est larrt tant que
llment 1 fonctionne. Cest le cas dun groupe
lectrogne.
Si 1 et 2 fonctionnent ensemble la redondance
est dite active, ce qui est suppos ici.
Pour des composants non rparables on calcule
la fiabilit de lensemble, sachant que les lois
suivies par les deux composants sont
exponentielles, on a :
c en srie :
R(t) = exp(-1t) . exp(-2t) = exp(-(1 + 2)t)
R(t) suit une loi exponentielle et :
= 1 + 2
c en parallle :
R(t) = exp(-1t) + exp(-2t) - exp(-(1 + 2)t)
R(t) ne suit pas une loi exponentielle.
Le taux de dfaillance nest pas constant.
Toutes ces formules se gnralisent par
associativit un systme de n composants non
rparables en srie ou en parallle. On peut
combiner ces formules.
Les systmes redondance K/N
Un systme compos de N lments est dit
redondance K/N si K lments suffisent
1 1
2
N 2
Fig. 15 : les systmes redondance K/N.
Parallle
assurer sa mission. La redondance est
gnralement suppose active (cf. figure 15 ).
Soit Ri(t) la fiabilit du ime composant non
rparable du systme. Dans les cas simples le
calcul de la fiabilit de lensemble peut se faire
par recherche des combinaisons favorables :
c systme 2/3
R = R1.R2 + R1.R3 + R2.R3 - 2 R1.R2.R3
c systme srie (N/N) :
R(t) = Ni=1 Ri (t)
Lorsque K est petit il est plus facile de calculer
1 - R(t), par exemple :
c systme parallle (1/N) :
i=1(1 Ri ( t ))
1-R(t) = N
c systme K/N
Dans le cas o les N lments sont identiques,
pour tout i : Ri(t) = r(t).
On peut alors calculer facilement la fiabilit de
l'ensemble par la formule
N Ni
R(t) = CN (
i r(t)i 1 r(t)
)
i =K
Les systmes en pont
On dsigne ainsi les systmes qui ne se
rduisent pas une combinaison srie-parallle.
On peut rduire ces systmes, par itration, au
cas ci-dessus (cf. figure 16 ).
4
KN 3
5
Fig. 16 : systme en pont.
Cahier Technique Schneider Electric n 144 / p.17
 1 4 1 4

2 5 2 5

Fig. 17 : dcomposition d'un systme en pont.

Pour calculer la fiabilit de ce systme partir c calcul pour le schma B (figure 19)
de celles des cinq composants non rparables il Cette fois on a un schma en pont. Lorsque
faut utiliser le thorme des probabilits ladaptateur est en panne on a le schma figure
conditionnelles : 17. Lorsquil fonctionne on a 1 et 2 en parallle
R = R3.R (sachant que 3 marche) qui sont en srie avec 4 et 5 en parallle. Donc
+ (1 - R3). R (sachant que 3 est dfaillant) la fiabilit du systme avec le schma figure 17
On dduit donc R(t) des rsultats de ltude des est :
deux diagrammes de la figure 17 . RB = (1 - R3). R + R3 .(R1 + R2 - R1 . R2)
(R4 + R5 - R4 . R5)
Exemples : fiabilit dun systme de On obtient cette fois : RB = 0,61.
dtection dintrusion.
On constate que lamlioration est trs peu
Le systme est constitu de deux capteurs, un sensible bien que ladaptateur soit excellent. Sur
capteur de vibration et une cellule photo- cet exemple le calcul permet de juger du peu
lectrique, et de deux alarmes, chacune tant dintrt dun systme plus coteux.
relie un unique capteur. La fonction du
systme est dmettre une alarme en cas Cas des lments rparables
dintrusion activant les capteurs. La dure de On ne peut plus utiliser les diagrammes de
mission est fixe trois mois, cest la dure fiabilit aussi systmatiquement :
maximum dune absence. On considre chaque
lment comme non rparable durant cette c lorsque deux lments rparables 1 et 2 sont
priode. La maintenance est ralise avant en parallle, la relation liant R(t) R1(t) et R2(t)
chaque absence et le systme est alors
considr comme neuf. Le systme est dcrit
sur le schma figure 18 . Alarme 1
Le but est dvaluer lamlioration apporte en
terme de fiabilit par lutilisation dun adaptateur
permettant aux deux alarmes de recevoir le
Capteur
de vibration
1 4 ( (( ((
signal des deux capteurs. Le systme ainsi
constitu est reprsent sur le schma
figure 19 .
Alarme 2
Les donnes de fiabilit : tous les composants
sont non rparables et suivent des lois
exponentielles :
Cellule
photo-lectrique
2 5 ( (( ((
Capteur de vibration : 1 = 2.10-4 Fig. 18 : alarmes sans couplage : schma A.
Cellule photo-lectrique : 2 = 10-4
Adaptateur : 3 = 10-5
Alarmes : 4 = 5 = 4.10-4
1 4
c calcul pour le schma A (figure 18)
On a deux chanes en parallle au sens de la
fiabilit, chacune comporte deux lments en Adaptateur
srie :
3
v fiabilit chane 1 : R1(t) . R4(t),
v fiabilit chane 2 : R 2(t) . R5(t) ; d'o pour le
systme, RA(t) = R1(t) . R4(t) + R2(t) . R5(t)
- R1(t) . R4(t) . R2(t) . R5(t).
2 5
En appliquant Ri (t) = exp(- i.t) avec le temps
de mission t = 3 mois = 2190 heures, on obtient : Fig. 19 : chanes avec couplage : schma B.
RA = 0,51.

Cahier Technique Schneider Electric n 144 / p.18

 nest plus vraie. En effet le fonctionnement du
systme sur [0,t] peut correspondre un
fonctionnement en alternance de 1 et 2. Avec
des lments non rparables un au moins doit
fonctionner sur lensemble de la priode [0,t]
alors quici ils peuvent dfaillir tous les deux
mais pas en mme temps.
c Pour deux lments rparables en srie, la
relation R(t) = R1(t).R2(t) reste vraie.
c Pour des lments rparables cest le chiffrage
de la disponibilit qui est le plus souvent
demand. On utilise alors le diagramme de
fiabilit, et les mmes formules que pour le
calcul de la fiabilit :
v en srie :
D(t) = D1(t) . D2(t) ,
v en parallle :
D(t) = D1(t) + D2(t) - D1(t) . D2(t) .
Ces formules ne sont valables que pour des
cas simples.
La relation D(t) = D1(t) + D2(t) - D1(t) . D2(t) nest
plus vraie si on ne dispose que dun seul
rparateur par exemple. Cet aspect squentiel,
attente de la rparation dun lment pour
rparer lautre, ne peut pas tre modlis par un
simple diagramme. Les graphes dtats
(introduits plus loin) sont utiliss dans ce cas.

5.5 Les arbres de dfaillance

Ils permettent de calculer la probabilit de
panne dun systme, et consistent en une Protection Commande
reprsentation graphique des combinaisons
dvnements indpendants conduisant
lapparition dun vnement indsirable ou
catastrophique. M
A partir de ces arbres, sauf dans les cas
simples, cest par les moyens de linformatique
scientifique et technique que lon calcule la
probabilit doccurrence ; ensuite on agit
Fig. 20 : chane d'alimentation d'un moteur.
ventuellement sur la conception du systme L'vnement indsirable est : le moteur ne dmarre pas.
pour diminuer la probabilit de dfaillance

Principe de la mthode
Le moteur
La construction de larbre se base sur lanalyse est arrt
du systme et sur le choix de lvnement et ne
indsirable que lon dsire tudier. La premire dmarre pas
tape est la recherche des causes immdiates
de lvnement sommet, puis des causes des
causes immdiates et ainsi de suite.
A titre d'exemple, un cas simple : cf. figure 20
pour le schma et figure 21 pour larbre de
dfaillance correspondant. Moteur
Puissance
dfail-
Une coupe est une combinaison dvnements non
lant
applique
lmentaires qui conduit lvnement
Causes
indsirable. immdiates
Lanalyse de larbre obtenu se dcompose en
deux phases :
c lanalyse qualitative : elle permet dobtenir
les coupes minimales, cest--dire les
combinaisons minimales par inclusion qui Pas de Pas de
conduisent lvnement indsirable. Lordre liaison liaison Batterie
+ / moteur - / moteur vide
dune coupe est le nombre dvnements
lmentaires qui la composent.
Causes de
c lanalyse quantitative : elle est ralise niveau
partir des coupes minimales et des probabilits infrieur
doccurrence des vnements de base. On
obtient ainsi une approximation de la probabilit Cde
doccurrence de lvnement sommet. Il est Protec. Fil Fil
dfail-
ncessaire de sassurer systmatiquement de la bloque coup coup
lante
validit de lapproximation. Selon les probabilits
considres larbre peut tre utilis pour tudier Fig. 21 : arbre de dfaillance du circuit de la figure 20.
la disponibilit ou la fiabilit.

Cahier Technique Schneider Electric n 144 / p.19

 Deux exemples simples de quantification :
v un rtroprojecteur avec une lampe en place et
une lampe de rechange. Lvnement
indsirable est : panne de lampe projecteur Panne de Probabilit de
(cf. figure 22 ). lampe non fonctionnement : P
Loprateur a deux chances sur mille dtre en
panne de lampe.
v l'alimentation dune ampoule 220V.
Lvnement indsirable est : la lampe ne
sallume pas (cf. figure 23 ).
On constate que la probabilit de panne est P1 P2 2 lampe Une coupe
Lampe
environ de 0,001. On a une chance sur mille que grille ou minimale
grille
absente d'ordre 2
la lampe ne sallume pas. Lvnement lampe
grille est prpondrant.
Il est bien sr possible deffectuer un calcul P = P1 x P2 = 0,05 x 0,04 = 2.10-3
mathmatiquement exact de la probabilit
doccurrence. Il se base sur une mthode Fig. 22 : arbre de dfaillance d'un rtro projecteur.
rcursive sans utiliser les coupes : on
applique les formules de calcul des probabilits
pour chaque porte partir du calcul ralis pour
les sous arbres entrant dans la porte.
Pas de Probabilit de
Lhypothse dindpendance des vnements lumire non fonctionnement : P
doit tre vrifie mais le calcul est exact. Ce
calcul exact permet de valider le calcul
approch, mais il est rarement effectu en
pratique : en gnral, les combinaisons autres
que les coupes minimales ont des probabilits
d'occurrence trs faibles car elles sont P1 P2 Deux coupes
composes d'un bon nombre d'vnements Absence Lampe minimales
lmentaires ; il est donc souvent inutile et 220V grille d'ordre 1
coteux en temps de calculer ces probabilits.

Application de larbre de dfaillance avec 1 - P = (1 - P1) (1 - P2) = (1 - 10-4) (1 - 10-3) = 0,9989

utilisation des coupes : disponibilit dun
rseau de distribution lectrique BT. Fig. 23 : arbre de dfaillance d'un clairage.
La page suivante donne larbre de dfaillance
construit pour tudier la disponibilit sur un
dpart du rseau dessin ci-dessous
(cf. figure 24 ). On sintresse la disponibilit
en nergie lectrique en considrant uniquement
A B
deux niveaux dnergie : correct (prsence
dnergie), dfaillant (absence dnergie). JDB 1
Lvnement sommet indsirable est labsence C D
dnergie sur le dpart not E.
La construction de larbre (cf. figure 25 ) JDB 2 JDB 3
correspond certaines hypothses : E F
c on a considr uniquement 2 modes de
dfaillance pour les disjoncteurs : ouverture
intempestive et refus douverture sur court- Fig. 24 : rseau de distribution BT.
circuit.

Cahier Technique Schneider Electric n 144 / p.20

 Absence
nergie
dpart E
G11*

JDB 3 Ouvert. Remonte

Df. non CC aval
intemp.
JDB 3 aliment par F
disj. E
G22* G24*
2*1* 2*3*

Ouvert. Absence
Df. Non ouv. CC en
intemp. nergie
cble disj. F aval
disj. D JDB 1 sur CC de F
G33*
3*1* 3*2* 3*4* 3*5*

JDB 1 Remonte
non CC aval
Df. par C
aliment
JDB 1
G42* G43*
4*1*

Deux Absence Court

Non ouv.
lignes nergie circuit
disj. C
dfail. EDF HT aval C
sur CC
G51* G53*
5*2* 5*4*

Ligne A Ligne B
Cble JDB 2
G61* G62*
6*3* 6*4*

Transfo. Transfo. Disj. B

Disj. A
A B

7*1* 7*2* 7*3* 7*4*

Fig. 25 : arbre de dfaillance correspondant au rseau de la figure 24.

Cahier Technique Schneider Electric n 144 / p.21

 c Chaque voie transformateur peut alimenter
seule lensemble du rseau prioritaire dont le
dpart E fait partie. Indisponibilit : 1,1 10-3
Liste des coupes minimales (indiques sur
c Les deux arrives EDF sont supposes prises
l'arbre) et contribution en % :
sur deux postes diffrents.
Ceci rduit le mode de dfaillance commun 1 : 2*1* : 9,5
lindisponibilit de EDF en haute tension. 2 : 2*3* : 1,6
A chaque vnement de larbre correspond une 3 : 3*1* : 68
probabilit doccurrence qui est dans ce cas une 4 : 3*2* : 1,6
indisponibilit. Celle des vnements 5 : 3*4*, 3*5* : ,013
lmentaires est calcule par la formule 6 : 4*1* : 9,5
ID . MTTR, avec : 7 : 5*2* : 9,9
: le taux de dfaillance de llment, pour un 8 : 5*4*, 6*3* : 9,1 E - 6
mode de dfaillance donn, obtenu par recueils 9 : 5*4*, 6*4* : 3,2 E - 6
des retours dexprience ; 10 : 7*1*, 7*3* : ,00058
MTTR : le temps moyen de rparation qui 11 : 7*1*, 7*4* : 1,3 E - 5
dpend de llment et de linstallation 12 : 7*2*, 7*3* : 1,3 E - 5
(technologie, localisation gographique,
13 : 7*2*, 7*4* : 2,7 E - 7
contrat).
Parfois on majore une probabilit quand celle-ci
est inconnue. On a pris par exemple 10-2 comme Fig. 26 : contribution des lments du rseau
majorant de la probabilit dapparition dun court- l'indisponibilit.
circuit en aval de F.
La figure 26 donne le rsultat obtenu pour secours autonome du type gnrateur diesel.
lindisponibilit sur le dpart E, soit environ 10-5, Ltude de la disponibilit dune alimentation
ce qui correspond 5 mn par an. La recherche lectrique est dtaille dans le Cahier Technique
des coupes minimales permet non seulement Schneider Electric n 184 intitul Etude de
dobtenir la probabilit doccurrence de sret des installations lectriques .
lvnement sommet mais aussi la contribution
de chacune des coupes. La mme figure 26 Remarque sur les arbres de dfaillance
donne la liste des coupes minimales et leur Les systmes avec reconfiguration et stratgies
contribution exprime en %. Cette mesure de la de maintenance complexes sont difficilement
contribution est appele importance. modlisables par un arbre de dfaillance. Par
Lexamen des importances relatives montre que exemple, lorsque deux composants sont en
le cble reliant le jeu de barres 1 au jeu de redondance, la dfaillance du deuxime
barres 3, (3e coupe minimale), est critique ainsi composant n'a un sens que s'il y a auparavent
que, dans une moindre mesure, les deux jeux de dfaillance du premier composant. Cet aspect
barres auxquels il est reli. On constate de plus temporel de des pannes ne peut pas tre pris en
que lamlioration de ces lments rendra la compte dans les arbres de dfaillances,
rseau EDF critique. Pour amliorer encore la contrairement aux graphes d'tat et rseaux de
disponibilit il faudra faire appel une source de Ptri prsents ci-aprs.

5.6 Les graphes dtats

Les graphes dtats (appels aussi graphes de
Markov) permettent une modlisation sous
certaines hypothses. Les tapes successives
sont la construction dun graphe, la rsolution
des quations de base et linterprtation des
rsultats en terme de fiabilit et de disponibilit.
La rsolution est grandement simplifie par un
calcul limit aux grandeurs indpendantes du
temps.
Construction du graphe
Le graphe reprsente tous les tats du systme
et les transitions possibles entre ces tats. Les
transitions entre tats correspondent aux
vnements affectant le fonctionnement des
composants du systme. Ces vnements sont
en gnral des dfaillances ou des rparations.
Il en rsulte que les taux de transition entre tats
sont essentiellement composs de taux de
dfaillance ou de rparation (parfois pondrs
par des probabilits du type refus de dmarrage
la sollicitation).
Le graphe de la figure 27 reprsente le
comportement dun systme comprenant un
unique lment rparable.

Cahier Technique Schneider Electric n 144 / p.22


: taux de dfaillance
Etat de Etat de
marche panne
: taux de rparation
Fig. 27 : graphe d'tat lmentaire.
Hypothses
Un modle de fonctionnement est dit Markovien
si les conditions suivantes sont vrifies :
c lvolution du systme ne dpend que de ltat
quil occupe et non du pass,
c les transitions se ralisent suivant des lois
exponentielles. Les taux sont constants,
c le nombre dtats est fini,
c deux transitions ne peuvent tre simultanes.
Equations
Sous les hypothses dcrites au paragraphe
prcdent la probabilit dtre dans ltat Ei
linstant t + dt scrit :
Pi (t+dt) =P (le systme est dans ltat Ei
linstant t et y reste) + P (le systme vient dun
autre tat Ej).
Pour un graphe de n tats on obtient n quations
diffrentielles qui donnent lquation suivante :
d(t)
= (t) . [ A ]
dt
o : (t) = [P1(t), P2 (t), K, Pn (t)]
[A] est appele matrice de transition du graphe.
La rsolution informatique de cette quation
sous forme matricielle permet donc dobtenir la
probabilit Pi(t) dtre dans ltat i linstant t
connaissant les taux de transition du graphe et
ltat de dpart.
Calcul des diffrentes grandeurs
La disponibilit est la probabilit de se trouver
dans un tat de marche on a donc :
D(t) = P(t)
i
i
Pi = probabilit dans ltat de marche Ei.
La fiabilit est la probabilit dtre dans un tat
de marche sans jamais tre pass par un tat de
panne.
On construit un graphe o lon supprime toutes
les transitions sortant dun tat de panne vers un
tat de marche et on obtient des probabilits
Pi(t) et on a alors :
R(t) = Pi' (t)
i
Il est noter que deux grandeurs sont obtenues
simplement :
c le temps moyen doccupation dun
tat i :
1
Ti =
(Taux sortant de l'tat i)
c la frquence doccupation de ltat i :
Pi
fi =
Ti
Le calcul en temps moyens MTTF, MTTR, MUT,
MDT, MTBF se fait par calcul matriciel et en
utilisant certaines relations vues au paragraphe 3.
Pour le MTTF il faut choisir une distribution
initiale des probabilits dtre dans chacun des
tats.
Applications : onduleurs en parallle
Un onduleur est un appareil permettant
damliorer la qualit de lnergie lectrique. Il se
place en amont de rcepteurs sensibles tels que
les ordinateurs et leurs priphriques. On tudie
ici un ensemble donduleurs en redondance 2/3.
Lindisponibilit nest plus la seule grandeur
considrer : le MTTF permet de connatre le
temps moyen avant la premire coupure sur
lapplication. On est amen construire le
graphe dtats. Les trois onduleurs sont
identiques ce qui permet de grouper les tats
correspondant au mme nombre donduleurs en
panne. Les taux de dfaillance et de rparation
des onduleurs sont nots et (cf. figure 28 ).
Le numro de ltat correspond au nombre
donduleurs en panne. Chaque onduleur qui
fonctionne dans un tat Ei ajoute un taux de
sortie l vers ltat Ei+1.
Ces taux sont respectivement 3, 2 et . En
effet, pour passer de l'tat 0 l'tat 1 il y a trois
possibilits de panne ; pour passer de l'tat 1
l'tat 2 il y a deux possibilits de panne, etc.
Les tats de marche sont les tats 0 et 1. Par
hypothse le nombre de rparateurs est
suffisant pour que trois rparations puissent tre
en cours simultanment. Les taux de transition
correspondant aux rparations sont donc
proportionnels au nombre donduleurs en panne
dans ltat considr. Les donnes numriques
sont les suivantes :
= 2.10-5 h-1 ; = 10-1 h-1
3 2
Etat 0 Etat 1 Etat 2 Etat 3
2 3
Fig. 28 : onduleurs en parallle.
Cahier Technique Schneider Electric n 144 / p.23
 Paramtres constants :
Indisponibilit : 1,199360 E-07 Disponibilit : 9,999999 E-01
MTTF : 4,169167 E+07 MTTR : 8,333667 E+00
MUT : 4,169167 E+07 MDT : 5,000333 E+00
MTBF : 4,169167 E+07

Fig. 29 : valeurs relatives au schma de la figure 28.

La figure 29 donne les rsultats obtenus lors du
calcul des grandeurs indpendantes du temps.
On constate que le MTTF vaut 4,17.107 heures
alors que sans redondance (systme 3/3) le
MTTF vaut 1/3 l = 1,67.104 heures.
Pour lindisponibilit asymptotique on passe de
1,19.10-7 pour le systme tudi 6.10-4 sans
redondance (systme 3/3). La diffrence entre
ces deux valeurs se visualise trs bien sur le
graphe. Dans le cas de la redondance 2/3
lindisponibilit se calcule en sommant les
probabilits des deux tats de panne soit :
ID = P2 + P3 alors que sans redondance on
somme sur trois tats de panne :
ID = P1 + P2 + P3.

5.7 Les rseaux de Ptri

Un systme est reprsent par des places, des
transitions et des jetons. Le franchissement
dune transition par un jeton correspond a un
vnement fonctionnel ou dysfonctionnel
possible du systme. Ces transitions peuvent Dfaillance Temps de
tre associes nimporte quel type de loi EDF rparation
probabiliste, contrairement aux graphes dtats Temps de Temps de
qui supposent des transitions suivant des lois rparation rparation
exponentielles. Seule la simulation permet de
rsoudre de tels calculs. Probabilit 1-P Probabilit P de
Le rseau de Ptri de la figure 30 reprsente les de dmarrage non dmarrage
diffrentes dfaillances que le systme des GE des GE
distribution lectrique (dune industrie par
exemple) peut subir. Ce systme est compos
dune arrive EDF et de groupes lectrognes
qui prennent le relais si EDF est dfaillant. Dfaillance
des GE en
c A la transition n 1 est associe la probabilit fonctionnement
de dfaillance de lalimentation EDF .
c A la transition n 2 est associe les
probabilits de dmarrage et de non dmarrage
des groupes lectrognes.
c A la transition n 3 est associe la probabilit Fig. 30 : modlisation de la distribution lectrique par
de dfaillances en fonctionnement des groupes rseau de Ptri.
lectrognes.
La modlisation dun systme par rseau de Mais compte tenu des limites lies la
Ptri est la modlisation la plus proche du simulation, cette technique nest pas utilise
fonctionnement rel du systme tudi. Par systmatiquement : pour tre prcis, il faut
exemple, un temps de rparation constant est un raliser un grand nombre de simulations et le
cas de figure courant et peut tre modlis tel temps de calcul peut tre trs long si lestimation
quel dans un rseau de Ptri, alors que si lon des mesures est lie des vnements rares.
modlise par graphes dtat (technique Certes, laugmentation effrne de la puissance
prcdente), on est oblig de supposer que ce des ordinateurs de bureau tend gommer cet
temps de rparation suit une loi exponentielle. inconvnient.

Cahier Technique Schneider Electric n 144 / p.24

5.8 Choix dune technique de modlisation
On trouvera un tableau dtaill pour faire ce
choix dans le Cahier Technique n 184
Etudes de sret des installations
lectriques mais on peut retenir la faiblesse
principale de chacune des trois mthodes
utilises (arbres de dfaillances, graphes
dtat, rseau de Ptri), les diagrammes de
fiabilit se cantonnant des systmes que
lon rencontre rarement dans la complexit
industrielle daujourdhui, savoir :
c les arbres de dfaillance ne peuvent traiter
laspect temporel des pannes donc les
reconfigurations, pourtant frquentes, en
particulier dans la distribution lectrique,
c les graphes dtat supposent que les dures
de vie et de rparation des composants du
systme suivent toutes une loi exponentielle,
ce qui est peu raliste dans certains cas
(dure de vie de composants mcaniques
soumis usure, temps de rparation
constant),
c les rseaux de Ptri sont plus compliqus
mettre en uvre, la traabilit des erreurs
faite lors de la modlisation nest pas trs
bonne et les temps de simulation peuvent tre
trs longs lorsque des vnements rares sont
impliqus.
Etant donn lamlioration des moyens de
calcul, la tendance est lutilisation de plus en
plus intensive de la simulation par rseau de
Ptri, sauf dans le cas de systmes assez
simples o la mise en uvre des deux autres
mthodes est plus rapide pour un rsultat
quivalent.
Cahier Technique Schneider Electric n 144 / p.25
6 Maintenance et logistique : de plus en plus complexe
Dans la conception de la sret intervient la
maintenance : il est plus tolrable qu'un systme
tombe frquemment en panne sil est rparable
instantanment. Ainsi, pour un risque de panne
6.1 Optimisation de la Maintenance par la Fiabilit (O.M.F.)
Cette mthode apparu dans les annes 60 dans
le domaine aronautique, a t reprise par EDF
en 1990 pour la maintenance du parc nuclaire
et tend sappliquer dans bon nombre de sites
industriels complexes o des oprations de
maintenance sont faites. Cette mthode poursuit
trois buts :
c rduire des cots de maintenance sans
dgradation de la fiabilit,
c amliorer la scurit et la disponibilit des
installations (en tant plus pertinent sur les
priodicits et les lments maintenir),
c matriser la dure de vie des quipements
(parfois suprieure la dure de carrire des
oprateurs de maintenance).
6.2 Soutien Logistique Intgr (S.L.I.)
Cette dmarche devient indispensable lorsquon
doit par exemple assurer la disponibilit de
plusieurs systmes partir de centres
logistiques gographiquement distants : combien
de pices de rechange doit-on prvoir pour
lensemble des systmes ? Vaut-il mieux stocker
ces pices de rechange auprs de chacun des
systmes ou les stocker en un seul endroit ?
Le S.L.I. a donc pour objectifs de :
c Matriser le rapport cot global de
possession/disponibilit oprationnelle .
c Prendre en compte des exigences de soutien
ds la conception du systme (do le terme
intgr ).
Cahier Technique Schneider Electric n 144 / p.26
donn il existe un optimum en terme de
maintenance et de stock de pices de rechange
pour garantir un niveau de fiabilit et/ou de
disponibilit donn.
Elle sappuie sur deux rgles de bon sens :
c classer les dfaillances du systme par ordre
de priorit pour leur assigner une maintenance
adapte : sil est ncessaire de dtecter la
dfaillance, la maintenance doit tre prventive ;
sil suffit de rparer la dfaillance, la
maintenance peut ntre que corrective,
c utiliser les retours dexpriences sur les
dfaillances passes pour axer la maintenance
sur les composants les moins fiables.
Cette dmarche trs globale se traduit en
particulier par des optimisations complexes des
lots de rechange, optimisations impossibles
faire la main , avec une feuille de papier et
un crayon. Ces calculs sont effectus laide de
programmes informatiques faisant appel
plusieurs domaines des mathmatiques
appliques (probabilits, recherche
oprationnelle).
Pour plus de dtails, on pourra consulter
Lanalyse du soutien logistique et son
enregistrement (voir bibliographie).
7 Conclusion

La sret, notion de plus en plus importante en

terme de confort, defficacit, de scurit, se
matrise et se calcule. Elle se conoit travers
les appareils, les architectures, les systmes.
Elle fait de plus en plus partie des cahiers des
charges et des clauses contractuelles.
Lexistence des mthodes et outils de la sret
permettent aujourdhui de rendre systmatique
les tudes de sret la conception et lors des
actions dassurance qualit.
Lapproche intuitive, les calculs approchs et
exacts permettent en se combinant de
comparer les configurations, de chiffrer le risque
pour la meilleure performance, cest--dire celle
qui correspond au besoin clairement exprim.
Enfin, des mthodes d'optimisation permettent
d'allger les cots de maintenance et de
logistique tout en maintenant le niveau de sret
exig.

Cahier Technique Schneider Electric n 144 / p.27

Bibliographie et normes
Normes
c CEI 60191/UTEC20310 : Liste des termes de
base, dfinitions et mathmatiques applicables
la fiabilit.
c CEI 362/UTEC20313 : Guide pour lacquisition
des donnes de fiabilit, de disponibilit et de
maintenabilit partir des rsultats dexploitation
des dispositifs lectroniques.
c CEI 305/UTE C20321 20327 : Essai de
fiabilit des quipements.
c CEI 706/X 60310 ET 60312 : Guide
maintenabilit de matriel.
c CEI 812/x 60510 : Techniques danalyse de la
fiabilit des systmes.
Procdure dAnalyse des Modes de Dfaillance
et de leurs Effets (AMDE).
c CEI 863/x 60520 : Prvision des
caractristiques de fiabilit, maintenabilit et
disponibilit.
c CEI 61508 : Scurit fonctionnelle des
systmes lectriques/lectroniques/lectroniques
programmables relatifs la scurit.
Cahiers techniques Schneider Electric
c Etude de sret des installations lectriques.
S. LOGIACO 1999, Cahier technique n 184.
Participation de Schneider Electric
diffrents groupes de travail :
c Groupe statistiques du comit 56 (normes de
fiabilit) de la CEI.
c Sret du logiciel au groupe Europen
EWICS - TC7 : computer and critical
applications.
Cahier Technique Schneider Electric n 144 / p.28
Ouvrages divers
c Military Handbook 217 F (notice 2)
Department of Defense (US) - 1995.
c Recueil de donnes de fiabilit du CNET
(Centre National dEtudes des
Tlcommunications) - 1999.
c Documents Std 493 et 500 de lIEEE
(Institute of Electrical and Electronics Engineers)
1984 et 1997.
c Document NPRD97 (Nonelectronics Parts
Reliability Data du Reliability Analysis Center
(Department of Defense US) - 1997.
c Fiabilit des systmes
A. PAGS et M. GONDRAN - Eyrolles 1983.
c Sret de fonctionnement des systmes
industriels
A. VILLEMEUR - Eyrolles 1988.
c Vocabulaire Electrotechnique International
VEI 191 - Juin 1988.
c Actes de la 15e confrence Inter Ram
Portland, Oregon - Juin 1988.
c Techniques de fiabilit en mcanique
Cl. MARCOVICI et J. Cl. LIGERON - Pic 1974.
c L'analyse du soutien logistique et son
enregistrement .
M. PREVOST et C. WAROQUIER
Technique et Documentation (Lavoisier 1994).
 1999 Schneider Electric

Schneider Electric Direction Scientifique et Technique, Ralisation : AXESS - Saint-Pray (07).

Service Communication Technique Edition : Schneider Electric
F-38050 Grenoble cedex 9 Impression : Imprimerie du Pont de Claix - Claix - 1000.
Tlcopie : (33) 04 76 57 98 60 - 100 FF-

62589 06-99