Beruflich Dokumente
Kultur Dokumente
Mécatronique
LA SÛRETE DE FONCTIONNEMENT EN
MECATRONIQUE (1/3)
LA PROBLEMATIQUE
Octobre 2008
1
Voir définitions dans le projet de norme française NF E 01-010 - Mécatronique - Vocabulaire.
L’A
Analyse des modes de défaillance, de
leurs effets et de leur criticité ou AMDEC
est une méthode d’analyse de systèmes
statiques s’appuyant sur un raisonnement
inductif pour l’étude des causes, des effets
des défaillances et de leur criticité. Cette
méthode est extrêmement répandue dans
tout ce qui a trait à la sécurité, la
Approches pour l’analyse des maintenance ou la disponibilité.
dysfonctionnements Néanmoins, elle n’est pas sans
inconvénients, en particulier au regard de
L’évaluation de la sûreté de son incapacité à prendre en compte des
fonctionnement d’un système consiste à défaillances multiples. Cette méthode
analyser les défaillances des composants considère uniquement les défaillances
pour déterminer leurs causes et estimer simples, et c’est l’arbre de défaillances qui
leurs conséquences sur le service rendu est adaptée aux défaillances multiples.
par le système. Une analyse de sûreté de L’AMDEC prend la forme d’un tableau
fonctionnement peut être qualitative et/ou dans lequel sont répertoriés les
quantitative. Au préalable à l’analyse des composants susceptibles de défaillir, leurs
défaillances d’un système, il est nécessaire modes de défaillance, les causes possibles
d’identifier toutes les fonctions que celui-ci de ces défaillances et les conséquences
doit remplir lors de sa durée de vie de sur le système, la criticité (probabilité
fonctionnement et de son stockage. Pour d’occurrence et gravité), et les actions à
cela, il faut mener une analyse entreprendre. Les AMDEC peuvent être
fonctionnelle qui précède l’étude de sûreté réalisées au niveau fonctionnel, mais
de fonctionnement. Une première analyse également au niveau structurel
fonctionnelle externe permet de définir [décomposition en composants matériels
avec précision les limites matérielles du ou logiciels (AEEL)].
système étudié, les différentes fonctions et
opérations réalisées par le système ainsi L’analyse par Arbre de défaillances ou
que les divers modes d’exploitation. AdD suit une démarche déductive. Elle
L’analyse fonctionnelle interne, qui permet permet de représenter graphiquement les
de réaliser une décomposition diverses combinaisons possibles
arborescente et hiérarchique du système d’événements qui conduisent à la
en éléments matériels et/ou fonctionnels, réalisation de l’événement redouté recensé
décrit les fonctions du système. lors de l’APR ou de l’AMDEC. La
représentation graphique d’un AdD
Parmi les méthodes classiques de sûreté possède une structure arborescente où
de fonctionnement, on peut citer l’analyse l’événement sommet représente
préliminaire des risques, l’analyse des l’événement redouté. Les niveaux
modes de défaillance, de leurs effets et de successifs forment l’arborescence
leur criticité, les arbres de défaillances et le d’événements où chaque événement est
diagramme de fiabilité [2]. définit par une condition logique sur les
événements du niveau inférieur à l’aide
d’opérateurs logiques (OR, AND, etc.).
Page 2/6
Le processus déductif est poursuivi jusqu’à L’analyse par arbre de défaillances est très
ce que les événements de base, dont on utilisée dans les études de sûreté de
connaît la probabilité d’occurrence et fonctionnement, car elle caractérise de
statistiquement indépendants, soient manière claire les liens de dépendance, du
obtenus. Le succès de cette méthode point de vue dysfonctionnement, entre les
résulte de sa simplicité conceptuelle et de composants d’un système. Néanmoins,
la possibilité de mener simultanément une cette méthode présente des limites, en
analyse qualitative (recherche des coupes particulier pour la non prise en compte de
minimales) et quantitative (calcul des l’ordre d’occurrence des événements
probabilités d’occurrence des événements menant vers l’état redouté. Or, cette notion
redoutés). d’ordre dans les événements menant vers
une défaillance est primordiale dans les
systèmes mécatroniques.
110V UPS
Hors service
OR
AND
UPS Contacteur
Converter fusible
OR OR
Page 3/6
Type de Type Entités Type de
Objectifs
Démarche D’évaluation de départ Résultats
Etablir une liste des
risques inhérents au
APR/APD système (éléments et
Répertoire
Analyse situations
Inductive Qualitative Eléments dangereux des situations
préliminaire dangereuses) et de
dangereuses
des risques propositions de
réduction de ces
risques.
AMDEC
Evaluer les effets de
Analyse des
chaque mode de
modes de Qualitative et Répertoire
défaillance des Modes de défaillances
défaillances, Inductive semi- des modes
composants d’un des composants
de leurs effets quantitative de défaillance
système sur ses
et de leur
différentes fonctions.
criticité
Identifier les
séquences
MACQ
d’événements Qualitative et Séquences
Méthode de
inacceptables, et les Inductive semi- Evénement initiateur d’événements
l’arbre des
évaluer de manière quantitative inacceptables
conséquences
qualitative et
quantitative.
Rechercher l’ensemble
AdD des événements Coupes
Méthode de élémentaires minimales,
Déductive Mixte Evénement redouté
l’arbre des conduisant à un probabilités
défaillances événement redouté et d’occurrence
évaluer sa probabilité.
Calculer les
paramètres de sûreté
GDM
d’un système à partir Etats de
Méthode des Paramètres
d’un réseau décrivant Déductive Quantitative fonctionnement et de
graphes de de sûreté
ses états possibles et panne
Markov
les lois de passage
d’un état à l’autre.
Page 4/6
POSITION DU PROBLEME POUR Ainsi, les arbres de défaillance permettent
LES SYSTEMES de représenter que des combinaisons
logiques et statiques de défaillances
MECATRONIQUES amenant le système dans un état redouté.
Il n’est donc pas possible de différencier
La sûreté de fonctionnement regroupe les scénarios où l’ordre d’apparition des
les activités d’évaluation de la fiabilité, de défaillances intervient qualitativement ou
la maintenabilité, de la disponibilité et de la quantitativement sur la nature ou la
sécurité (FMDS) d’un système. Ces probabilité des événements redoutés.
évaluations permettent d’identifier les
actions de construction ou d’amélioration Une autre limitation de ces méthodes
de la sûreté de fonctionnement du réside dans l’impossibilité de prendre en
système. Elles sont prédictives et reposent compte de manière efficace et réaliste les
sur des analyses des effets des pannes, dépendances qui caractérisent le
dysfonctionnements, erreurs d’utilisation fonctionnement des systèmes
ou agressions du système. mécatroniques (systèmes dynamiques
La sûreté de fonctionnement est un hybrides par définition). Dans de tels
ensemble de méthodes et d’outils qui, systèmes, la séquence de fonctionnement
dans toutes les phases de vie du produit, normale dangereuse résulte d’une
permettent de s’assurer que celui-ci va occurrence commune de 2 types
accomplir les missions pour lesquelles il a d’événements. Les premiers sont liés à
été conçu, et ce, avec des conditions de l’évolution déterministe des paramètres
fiabilité, de maintenabilité, de disponibilité physiques (pression, température, débit,
et de sécurité définies. niveau, etc.), alors que les seconds sont
dus aux sollicitations et aux défaillances
De nombreuses méthodes et outils des composants du système et sont donc
permettent de représenter les mécanismes de nature aléatoire.
et les interactions de défaillances d’un
système. Les modèles obtenus avec ces Les méthodes combinatoires (arbres de
méthodes sont facilement défaillance, diagrammes de fiabilité)
compréhensibles par les acteurs du projet permettent uniquement d’identifier et
et permettent d’identifier les points faibles d’évaluer les combinaisons des
pour apporter les modifications événements menant à l’occurrence d’un
nécessaires pour renforcer la sûreté de autre événement, indésirable ou pas. De
fonctionnement. Certaines de ces telles combinaisons ne tiennent pas
méthodes supportent une analyse compte de l’ordre d’occurrence des
quantitative. Toutes ces méthodes dites événements qui les composent. Elles
classiques (APR, AMDEC, Arbres de éliminent toute notion de dépendance
défaillances, etc.) ont été pendant entre ces événements. Ces méthodes
longtemps suffisantes. combinatoires présupposent une
occurrence simultanée de tous les
Face à la complexité et la spécificité des événements. Quant aux approches
systèmes mécatroniques, ces méthodes se markoviennes, elles sont limitées par
heurtent à leurs limites. Les systèmes d’autres contraintes telles que la difficulté
mécatroniques sont en interaction de modéliser des délais déterministes et
constante avec l’environnement (systèmes des processus se déroulant en parallèle.
réactifs) et réagissent en temps réel à des
événements par l’intermédiaire de capteurs L’ensemble de ces problématiques a fait et
en élaborant des opérations de contrôle- continue de faire l’objet de nombreux
commande sur le processus. Les systèmes travaux de la plupart des laboratoires de
mécatroniques peuvent avoir la recherche universitaires en collaboration
particularité d’intégrer au niveau des avec les grands donneurs d’ordres des
logiciels embarqués des stratégies secteurs de l’automobile, du transport
permettant au système de se reconfigurer ferroviaire et de l’aéronautique. Des
dynamiquement afin d’assurer une projets, au niveau national et européen tel
continuité du fonctionnement [1]. que Mov’eo et System@tic (Num@tec
Automotive) ont inscrit à leurs programmes
Les méthodes classiques de la sûreté de la thématique de sûreté de fonctionnement
fonctionnement sont statiques, c'est-à-dire des systèmes mécatroniques.
qu’elles ne prennent pas en compte la
dimension temporelle dans le modèle.
Page 5/6
POUR EN SAVOIR PLUS
[1] Définition d’une méthodologie de
conception des systèmes
mécatroniques sûrs de
fonctionnement – R. SCHOENIG –
Thèse Institut National
Polytechnique de Lorraine – Octobre
2004.
[2] Aide à la conception des systèmes
embarqués sûrs de fonctionnement –
N. SADOU – Thèse Université
Toulouse III/Paul Sabatier –
Novembre 2007.
Note de veille rédigée par Smaïn BOUAZDI – CETIM, Pôle Machines et Commandes.
Page 6/6