Note de veille

Mécatronique

LA SÛRETE DE FONCTIONNEMENT EN
MECATRONIQUE (1/3)
LA PROBLEMATIQUE
Octobre 2008

L’intégration de l’électronique dans les systèmes industriels a apporté des

améliorations notables et indéniables. Son utilisation a permis d’implémenter
des lois de pilotage avancées pour la commande des systèmes mécaniques et
hydrauliques. L’association de ces derniers avec le système de pilotage a
donné naissance aux systèmes mécatroniques. Ces derniers cumulent les
avantages de chacune des technologies mécaniques, hydrauliques et
électroniques pour réaliser des composants et des produits mécatroniques1.
Ces systèmes sont complexes et font intervenir différentes technologies en
plus de comporter une partie logicielle. L’augmentation de la complexité des
systèmes mécatroniques n’est pas sans conséquences sur la sûreté de
fonctionnement (SdF). Les méthodes classiques de sûreté de fonctionnement
se heurtent à leurs limites face à la complexité et à la spécificité des systèmes
mécatroniques.

Cette première note de veille technologique fait le point sur le contexte et

la problématique de la sûreté de fonctionnement en mécatronique.
Une deuxième note dressera un état des lieux non exhaustif des dernières
avancées méthodologiques en matière de sûreté de fonctionnement en ce qui
concerne la modélisation et le logiciel.
Une dernière note abordera le problème du diagnostic.

OUTILS CLASSIQUES DE LA dommages consécutifs aux

SURETE DE FONCTIONNEMENT incidents,
 Identifier et hiérarchiser les points
La problématique à laquelle les faibles, les scénarios de
concepteurs sont confrontés dans la défaillances principaux, les actions
maîtrise de la sûreté de fonctionnement ayant le meilleur rapport
(SdF) consiste à : efficacité/coût pour réduire les
 Comprendre comment ça marche, risques et les parades pour limiter
comment ça tombe en panne et ce les conséquences,
qui se passe en cas d’incident,  Fournir les éléments d’aide à la
 Evaluer les probabilités des décision [1].
événements redoutés et les

1
Voir définitions dans le projet de norme française NF E 01-010 - Mécatronique - Vocabulaire.

Centre technique des industries mécaniques www.cetim.fr

L’analyse des dysfonctionnements du L’AAnalyse préliminaire des risques ou
système met en œuvre 2 types de APR est réalisée après l’analyse
raisonnements logiques et fonctionnelle et a pour but d’établir une
complémentaires basés sur : liste aussi exhaustive que possible des
 Une approche déductive : on incidents ou accidents pouvant avoir des
raisonne du général au particulier. conséquences sur la sécurité du personnel
A partir des événements redoutés ou du matériel. L’APR permet également
identifiés, les causes sont d’évaluer la gravité des conséquences
recherchées à des niveaux liées aux situations dangereuses et les
inférieurs (composants), accidents potentiels. Elle permet de mettre
en évidence les événements redoutés
 Une approche inductive : on critiques qui seront analysés en détail dans
raisonne du particulier au général. la suite de l’étude de sûreté de
fonctionnement.

L’A
Analyse des modes de défaillance, de
leurs effets et de leur criticité ou AMDEC
est une méthode d’analyse de systèmes
statiques s’appuyant sur un raisonnement
inductif pour l’étude des causes, des effets
des défaillances et de leur criticité. Cette
méthode est extrêmement répandue dans
tout ce qui a trait à la sécurité, la
Approches pour l’analyse des maintenance ou la disponibilité.
dysfonctionnements Néanmoins, elle n’est pas sans
inconvénients, en particulier au regard de
L’évaluation de la sûreté de son incapacité à prendre en compte des
fonctionnement d’un système consiste à défaillances multiples. Cette méthode
analyser les défaillances des composants considère uniquement les défaillances
pour déterminer leurs causes et estimer simples, et c’est l’arbre de défaillances qui
leurs conséquences sur le service rendu est adaptée aux défaillances multiples.
par le système. Une analyse de sûreté de L’AMDEC prend la forme d’un tableau
fonctionnement peut être qualitative et/ou dans lequel sont répertoriés les
quantitative. Au préalable à l’analyse des composants susceptibles de défaillir, leurs
défaillances d’un système, il est nécessaire modes de défaillance, les causes possibles
d’identifier toutes les fonctions que celui-ci de ces défaillances et les conséquences
doit remplir lors de sa durée de vie de sur le système, la criticité (probabilité
fonctionnement et de son stockage. Pour d’occurrence et gravité), et les actions à
cela, il faut mener une analyse entreprendre. Les AMDEC peuvent être
fonctionnelle qui précède l’étude de sûreté réalisées au niveau fonctionnel, mais
de fonctionnement. Une première analyse également au niveau structurel
fonctionnelle externe permet de définir [décomposition en composants matériels
avec précision les limites matérielles du ou logiciels (AEEL)].
système étudié, les différentes fonctions et
opérations réalisées par le système ainsi L’analyse par Arbre de défaillances ou
que les divers modes d’exploitation. AdD suit une démarche déductive. Elle
L’analyse fonctionnelle interne, qui permet permet de représenter graphiquement les
de réaliser une décomposition diverses combinaisons possibles
arborescente et hiérarchique du système d’événements qui conduisent à la
en éléments matériels et/ou fonctionnels, réalisation de l’événement redouté recensé
décrit les fonctions du système. lors de l’APR ou de l’AMDEC. La
représentation graphique d’un AdD
Parmi les méthodes classiques de sûreté possède une structure arborescente où
de fonctionnement, on peut citer l’analyse l’événement sommet représente
préliminaire des risques, l’analyse des l’événement redouté. Les niveaux
modes de défaillance, de leurs effets et de successifs forment l’arborescence
leur criticité, les arbres de défaillances et le d’événements où chaque événement est
diagramme de fiabilité [2]. définit par une condition logique sur les
événements du niveau inférieur à l’aide
d’opérateurs logiques (OR, AND, etc.).

Page 2/6
Le processus déductif est poursuivi jusqu’à
ce que les événements de base, dont on
connaît la probabilité d’occurrence et
statistiquement indépendants, soient
obtenus. Le succès de cette méthode
résulte de sa simplicité conceptuelle et de
la possibilité de mener simultanément une
analyse qualitative (recherche des coupes
minimales) et quantitative (calcul des
probabilités d’occurrence des événements
redoutés).
110V UPS
Hors service
OR
UPS Contacteur
Converter fusible
OR
415 V
1250A
Exemple d’arbre de défaillances.
L’analyse par Diagramme de fiabilité
permet le calcul de la fiabilité et de la
disponibilité d’un système, avec les mêmes
restrictions qu’un arbre de défaillance et ne
prend pas en compte des événements
répétés. Tous les chemins entre l’entrée et
la sortie du diagramme décrivent les
conditions pour que la fonction soit
accomplie et on suppose que les
composants n’ont que 2 états de
fonctionnement (correct, panne).
Il existe de nombreuses mesures en sûreté
de fonctionnement, parmi lesquelles les
grandeurs suivantes qui caractérisent des
durées moyennes :
 MTTF : Mean Time To Failure –
durée moyenne de fonctionnement
d’une entité avant la première
défaillance,
 MTTR : Mean Time To Repair –
durée moyenne de réparation,
Page 3/6
L’analyse par arbre de défaillances est très
utilisée dans les études de sûreté de
fonctionnement, car elle caractérise de
manière claire les liens de dépendance, du
point de vue dysfonctionnement, entre les
composants d’un système. Néanmoins,
cette méthode présente des limites, en
particulier pour la non prise en compte de
l’ordre d’occurrence des événements
menant vers l’état redouté. Or, cette notion
d’ordre dans les événements menant vers
une défaillance est primordiale dans les
systèmes mécatroniques.
AND
OR
Disjoncteur_1 415 V Disjoncteur_2
800A
 MUT : Mean Up Time – durée
moyenne de fonctionnement après
réparation,
 MDT : Mean Down Time – durée
moyenne d’indisponibilité après
défaillance,
 MTBF : Mean Time Between
Failure – durée moyenne de
fonctionnement entre 2
défaillances.
Mesures moyennes de la sûreté
de fonctionnement [1]
 Type de Type Entités Type de
Objectifs
Démarche D’évaluation de départ Résultats
Etablir une liste des
risques inhérents au
APR/APD système (éléments et
Répertoire
Analyse situations
Inductive Qualitative Eléments dangereux des situations
préliminaire dangereuses) et de
dangereuses
des risques propositions de
réduction de ces
risques.
AMDEC
Evaluer les effets de
Analyse des
chaque mode de
modes de Qualitative et Répertoire
défaillance des Modes de défaillances
défaillances, Inductive semi- des modes
composants d’un des composants
de leurs effets quantitative de défaillance
système sur ses
et de leur
différentes fonctions.
criticité

Evaluer l’influence des

HAZOP déviations, par rapport
Paramètres Répertoires
Hazrd and à leurs valeurs
Inductive Qualitative mesurables du des
operability nominales, des divers
système déviations
studies paramètres physiques
régissant le système.

Identifier les
séquences
MACQ
d’événements Qualitative et Séquences
Méthode de
inacceptables, et les Inductive semi- Evénement initiateur d’événements
l’arbre des
évaluer de manière quantitative inacceptables
conséquences
qualitative et
quantitative.

Rechercher l’ensemble
AdD des événements Coupes
Méthode de élémentaires minimales,
Déductive Mixte Evénement redouté
l’arbre des conduisant à un probabilités
défaillances événement redouté et d’occurrence
évaluer sa probabilité.

Evaluer les paramètres

MDS Coupes
de sûreté d’un
Méthode du Fonctions ou minimales et
système, à partir d’un Quantitative
diagramme de composants paramètres
diagramme
succès de sûreté
fonctionnel.

Calculer les
paramètres de sûreté
GDM
d’un système à partir Etats de
Méthode des Paramètres
d’un réseau décrivant Déductive Quantitative fonctionnement et de
graphes de de sûreté
ses états possibles et panne
Markov
les lois de passage
d’un état à l’autre.

Analyser a priori, aussi

bien qu’à posteriori, les
RDP propriétés spécifiques Etats de Etats
Réseaux de du modèle du système Déductive Quantitative fonctionnement et de identifiés du
Petri pour les panne système
fonctionnements
nominaux et dégradés.

Méthodes d’analyse de la sûreté de fonctionnement [3]

Page 4/6
POSITION DU PROBLEME POUR
LES SYSTEMES
MECATRONIQUES
La sûreté de fonctionnement regroupe
les activités d’évaluation de la fiabilité, de
la maintenabilité, de la disponibilité et de la
sécurité (FMDS) d’un système. Ces
évaluations permettent d’identifier les
actions de construction ou d’amélioration
de la sûreté de fonctionnement du
système. Elles sont prédictives et reposent
sur des analyses des effets des pannes,
dysfonctionnements, erreurs d’utilisation
ou agressions du système.
La sûreté de fonctionnement est un
ensemble de méthodes et d’outils qui,
dans toutes les phases de vie du produit,
permettent de s’assurer que celui-ci va
accomplir les missions pour lesquelles il a
été conçu, et ce, avec des conditions de
fiabilité, de maintenabilité, de disponibilité
et de sécurité définies.
De nombreuses méthodes et outils
permettent de représenter les mécanismes
et les interactions de défaillances d’un
système. Les modèles obtenus avec ces
méthodes sont facilement
compréhensibles par les acteurs du projet
et permettent d’identifier les points faibles
pour apporter les modifications
nécessaires pour renforcer la sûreté de
fonctionnement. Certaines de ces
méthodes supportent une analyse
quantitative. Toutes ces méthodes dites
classiques (APR, AMDEC, Arbres de
défaillances, etc.) ont été pendant
longtemps suffisantes.
Face à la complexité et la spécificité des
systèmes mécatroniques, ces méthodes se
heurtent à leurs limites. Les systèmes
mécatroniques sont en interaction
constante avec l’environnement (systèmes
réactifs) et réagissent en temps réel à des
événements par l’intermédiaire de capteurs
en élaborant des opérations de contrôle-
commande sur le processus. Les systèmes
mécatroniques peuvent avoir la
particularité d’intégrer au niveau des
logiciels embarqués des stratégies
permettant au système de se reconfigurer
dynamiquement afin d’assurer une
continuité du fonctionnement [1].
Les méthodes classiques de la sûreté de
fonctionnement sont statiques, c'est-à-dire
qu’elles ne prennent pas en compte la
dimension temporelle dans le modèle.
Page 5/6
Ainsi, les arbres de défaillance permettent
de représenter que des combinaisons
logiques et statiques de défaillances
amenant le système dans un état redouté.
Il n’est donc pas possible de différencier
les scénarios où l’ordre d’apparition des
défaillances intervient qualitativement ou
quantitativement sur la nature ou la
probabilité des événements redoutés.
Une autre limitation de ces méthodes
réside dans l’impossibilité de prendre en
compte de manière efficace et réaliste les
dépendances qui caractérisent le
fonctionnement des systèmes
mécatroniques (systèmes dynamiques
hybrides par définition). Dans de tels
systèmes, la séquence de fonctionnement
normale dangereuse résulte d’une
occurrence commune de 2 types
d’événements. Les premiers sont liés à
l’évolution déterministe des paramètres
physiques (pression, température, débit,
niveau, etc.), alors que les seconds sont
dus aux sollicitations et aux défaillances
des composants du système et sont donc
de nature aléatoire.
Les méthodes combinatoires (arbres de
défaillance, diagrammes de fiabilité)
permettent uniquement d’identifier et
d’évaluer les combinaisons des
événements menant à l’occurrence d’un
autre événement, indésirable ou pas. De
telles combinaisons ne tiennent pas
compte de l’ordre d’occurrence des
événements qui les composent. Elles
éliminent toute notion de dépendance
entre ces événements. Ces méthodes
combinatoires présupposent une
occurrence simultanée de tous les
événements. Quant aux approches
markoviennes, elles sont limitées par
d’autres contraintes telles que la difficulté
de modéliser des délais déterministes et
des processus se déroulant en parallèle.
L’ensemble de ces problématiques a fait et
continue de faire l’objet de nombreux
travaux de la plupart des laboratoires de
recherche universitaires en collaboration
avec les grands donneurs d’ordres des
secteurs de l’automobile, du transport
ferroviaire et de l’aéronautique. Des
projets, au niveau national et européen tel
que Mov’eo et System@tic (Num@tec
Automotive) ont inscrit à leurs programmes
la thématique de sûreté de fonctionnement
des systèmes mécatroniques.
POUR EN SAVOIR PLUS
[1] Définition d’une méthodologie de
conception des systèmes
mécatroniques sûrs de
fonctionnement – R. SCHOENIG –
Thèse Institut National
Polytechnique de Lorraine – Octobre
2004.
[2] Aide à la conception des systèmes
embarqués sûrs de fonctionnement –
N. SADOU – Thèse Université
Toulouse III/Paul Sabatier –
Novembre 2007.

Note de veille rédigée par Smaïn BOUAZDI – CETIM, Pôle Machines et Commandes.

Ensemble pour les entreprises de la mécanique

Contact
Mario PICCO
Département Marketing Stratégique Cetim – B.P. 80067
et Veille Technologique 60304 Senlis Cedex
Tél. : 03 44 67 34 21
Mario.picco@cetim.fr

Page 6/6