• Nenhum resultado encontrado

en présence d’incertitudes et aide à la conception : application aux Systèmes Instrumentés de Sécurité

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2023

Share "en présence d’incertitudes et aide à la conception : application aux Systèmes Instrumentés de Sécurité"

Copied!
193
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 193 páginas )

Texto

Evaluation de la sûreté de fonctionnement des systèmes dédiés aux

Introduction

Identification et caractérisation des dangers potentiels : l'analyse des dangers potentiels associés aux installations est établie par la mise en relation d'événements élémentaires. Une étude de danger devrait donc apporter la preuve que de simples associations d'événements ont bien été prises en compte pour déterminer les causes des accidents majeurs.

Notion de danger

  • Définitions
  • Phénomènes dangereux et situations dangereuses

Selon [Desroches, 2005], la situation dangereuse (ou dangereuse), notée (SD), résulte de l'association d'un danger (D) et d'un événement de contact (EC) qui met le système en présence ou en contact avec le danger. . Un phénomène dangereux est la libération de tout ou partie d'un danger potentiel.

Notion de risque

  • Mesure de risque
  • Classification des risques
  • Risque acceptable
  • Risque majeur
  • Risque industriel

Selon [Villemeur, 1998], le risque est une mesure de risque qui combine une mesure de la survenance d'un événement indésirable et une mesure de ses effets ou conséquences. En général, le risque est lié au couple (gravité, probabilité), le plus souvent il définit le produit de la gravité d'un accident par sa probabilité d'occurrence.

Fig. 1.2 – Diagramme état/transition du processus accidentel [Mazouni et al., 2007]
Fig. 1.2 – Diagramme état/transition du processus accidentel [Mazouni et al., 2007]

Notion de sécurité

Principes généraux de protection

  • Sécurités passives
  • Sécurités actives

Sécurité fonctionnelle

  • Définitions
  • Systèmes relatifs aux applications de sécurité

Référentiel normatif

  • Introduction
  • Norme IEC 61508
    • Domaine d’application
    • Structure générale de la norme
    • Objectifs de la norme
    • Evaluation du niveau d’intégrité de sécurité (SIL)
    • Quelques commentaires
  • Norme IEC 61511
    • Domaine d’application
    • Structure générale de la norme
    • Objectifs de la norme
    • Quelques commentaires

Cette matrice indique le niveau de SIL en fonction de la gravité du risque et de sa fréquence. Elle ne couvre que les aspects du cycle de vie de la sécurité liés à l'attribution des exigences de sécurité pour la validation de la sécurité.

tableau 1.4). L’allocation du SIL se fait par des méthodes qualitatives et semi quantitatives, alors que l’évaluation du P F D avg des SIS qui doivent satisfaire au SIL exigé se fait par des méthodes quantitatives.
tableau 1.4). L’allocation du SIL se fait par des méthodes qualitatives et semi quantitatives, alors que l’évaluation du P F D avg des SIS qui doivent satisfaire au SIL exigé se fait par des méthodes quantitatives.

Problématique de l’évaluation de la sûreté de fonctionnement des SIS

Cette norme décrit une approche des activités du cycle de vie de la sécurité pour répondre à ces normes minimales. Pour faciliter cette approche, cette norme exige : – La réalisation d'une évaluation des dangers et des risques afin d'identifier les exigences globales.

Conclusion

Enfin, la distribution de la probabilité floue d'occurrence de l'événement supérieur est compilée à partir des probabilités. La figure 3.14 représente la distribution de la probabilité floue de défaillance du SIS après suppression de l'incertitude sur la probabilité de défaillance du capteur de température (courbe en pointillés).

Evaluation de la sûreté de fonctionnement des systèmes en présence

Représentation des connaissances imparfaites

  • Théorie des probabilités
    • Définitions et propriétés
    • Cadre bayésien
    • Limitations de la théorie des probabilités
    • Conclusion
  • Théorie des sous-ensembles flous
    • Définitions et concepts de base
    • Opérations simples sur les sous-ensembles flous
    • Nombres flous du type L − R
    • Notion de α-coupes
  • Théorie des possibilités
    • Mesure et distribution de possibilités
    • Mesure de nécessité
  • Théorie des fonctions de croyance
    • Fonction de masse (ou de croyance)
    • Fonctions de crédibilité et de plausibilité
  • Conclusion

Si la probabilité d'un événement A est connue, la probabilité de l'événement opposé A est exactement déterminée. Une mesure de possibilité Π assigne à chaque sous-ensemble A de l'ensemble de référence Ω un réel dans [0,1] pour évaluer comment l'événement A est possible [Prade et Dubois, 1985].

Tab. 2.1 – Principales normes et co-normes triangulaires [Wu, 1998].
Tab. 2.1 – Principales normes et co-normes triangulaires [Wu, 1998].

Méthodes de sûreté de fonctionnement en présence d’informations imparfaites

  • Arbres de défaillance
    • Principes, construction et analyse
    • Arbres de défaillances flous
    • Méthode de Singer
    • Exemple
    • Méthode des α-coupes
    • Cas des événements répétés
    • Dépendance des événements
    • Remarque
  • Approches markoviennes
    • Processus stochastiques
    • Chaînes de Markov
    • Processus de Markov
    • Observations et limitations
    • Chaînes de Markov à états non flous et probabilités de transition
    • Chaînes de Markov à états flous et non flous et probabilités de
    • Modèle de Markov avec un système d’inférence flou (MMF)
    • Conclusion et perspectives
  • Réseaux de Petri
    • Introduction
    • Définitions et concepts de base
    • Réseaux de Petri temporels
    • Réseaux de Petri p-temporels
    • Réseaux de Petri stochastiques
    • Réseaux de Petri flous (RdPF)
    • Observations et limitations

La résolution de l'équation d'état (2.81) nous ramène au calcul des exposants de la matrice de transition. La résolution de l'équation d'état doux (2.90) nécessite le calcul des puissances successives de la matrice de transition douce P = (pi,j). La probabilité que le système passe de l'état souple Fr à l'état souple Fs est donnée par.

Cette information est mise à jour à chaque tir de transition en fonction de l'estimation temporelle de l'occurrence de l'événement.

Fig. 2.4 – Opérateur de condition
Fig. 2.4 – Opérateur de condition

Conclusion

La figure 3.12 représente la probabilité floue de défaillance dans le SIS avant (courbe pleine) et après suppression de l'incertitude de la probabilité de défaillance dans l'unité de traitement (courbe en pointillés). Nous utiliserons ensuite un GA pour optimiser la structure du réseau de fiabilité et obtenir des configurations optimales du SIS. Modélisation de la structure générale du SIS à l'aide d'un réseau de fiabilité Définition du SIS.

L'intégration de l'aspect maintenance des composants SIS dans la méthode d'aide à la décision que nous proposons.

Evaluation des SIL par une approche probabiliste floue et études de

Evaluation des SIL par une approche probabiliste floue

  • Modélisation des taux de défaillance des composants des SIS
  • Evaluation du P F D avg des SIS

La première étape consiste à modéliser ces taux d'échec en choisissant les fonctions d'appartenance appropriées. Dans ce cas, les informations sur le taux d'erreur du composant sont vagues ou peu claires. Nous proposons donc de modéliser les taux de défaillance imprécis par des nombres flous triangulaires (voir Figure 3.1).

3.1 – Modélisation du taux d'erreur imprécis λi avec un nombre flou triangulaire de forme quelconque.

Fig. 3.1 – Modélisation du taux de défaillance imprécis λ i par un nombre flou triangulaire tout type de forme
Fig. 3.1 – Modélisation du taux de défaillance imprécis λ i par un nombre flou triangulaire tout type de forme

Caractérisation de l’incertitude des résultats obtenus

Fig.3.6 – La traduction de l'incertitude selon des mesures de possibilité et des mesures de nécessité a pour seul objectif la caractérisation de l'incertitude des résultats obtenus.

Etudes de sensibilité

  • Facteurs d’importance probabilistes
    • Hypothèses et notations
    • Facteur d’importance marginal
    • Facteur d’importance critique
    • Facteur d’importance critique des coupes minimales
    • Facteur d’importance de diagnostic
    • Observations et limitations
  • Facteurs d’importance intégrant les connaissances imparfaites
    • Facteurs d’importance sur les incertitudes
    • Facteurs d’importance flous
  • Facteurs d’importance proposés
    • Facteur d’importance flou (FPIM)
    • Facteur d’incertitude flou (FPUM)
  • Conclusion partielle

Le facteur d'importance marginale qui permet de mesurer la variation de l'indisponibilité du système en fonction de l'indisponibilité de ses composants [Birnbaum, 1969]. Le facteur de criticité qui représente la probabilité qu'un composant ait provoqué la défaillance du système sachant que le système est défaillant [Lambert, 1975]. Le facteur de criticité des coupes minimales qui représente la probabilité qu'une coupe minimale provoque la défaillance du système étant donné que le système est défaillant [Fussell, 1975].

Le facteur d'importance diagnostique, qui représente la probabilité qu'un composant soit défectueux au moment où le système est connu comme étant défectueux à ce moment [Vesely, 1981].

Cas d’application

  • Description du système
  • Hypothèses
  • Approche probabiliste floue
  • Caractérisation de l’incertitude
  • Etudes de sensibilité et réduction de l’incertitude du SIL
    • Facteur d’importance flou (FPIM)
    • Facteur d’incertitude flou (FPUM)

3.11 – Probabilités de défaillance exactes et imprécises des composants de l'unité de traitement dans le classement SIS FPIM. Pour réduire l'incertitude qui entache le niveau SIL atteint, nous proposons de supprimer l'incertitude qui entache la probabilité de défaillance de l'unité de traitement (nous supposons que cette probabilité de défaillance est exacte (voir Figure 3.11)). 3.13 – Probabilités de défaillance exactes et imprécises des composants des capteurs de température de la gamme SIS FPUM.

Afin de réduire l'incertitude affectant le niveau SIL, nous proposons de supprimer l'incertitude affectant la probabilité de défaillance du capteur de température (voir Figure 3.13).

Fig. 3.8 – Configuration du SIS
Fig. 3.8 – Configuration du SIS

Conclusions et perspectives

Nous utiliserons ensuite un GA pour optimiser la structure du réseau de fiabilité et obtenir des configurations optimales du SIS. En 1957, la méthode AGREE a été introduite pour tenir compte de l'importance et de la complexité des sous-systèmes [AGREE, 1957 ; of Defence, 1998] pour l'allocation de fiabilité des équipements électroniques. Dans ce qui suit, nous présenterons les réseaux de fiabilité basés sur l'utilisation de la théorie des graphes.

Nous avons utilisé un GA pour optimiser la structure du SIS et obtenir des configurations optimales du SIS.

Conception optimale des SIS 109

Etat de l’art de l’allocation de fiabilité et de redondance

  • Méthodes pondérées
    • Méthode AGREE
    • Méthode Karmiol
    • Méthode ARINC
    • Méthode d’égale allocation
  • Méthodes d’optimisation

Nous commençons par donner un état de l'art des méthodes d'allocation de la fiabilité et de la redondance. Allain-Morin et Cloarec [Allain-Morin et Cloarec, 1994] divisent les méthodes d'allocation de fiabilité et de redondance en deux grandes catégories. La méthode AGREE a été développée en 1957 pour l'attribution de la fiabilité des équipements électroniques [AGREE, 1957 ; de la Défense, 1998].

Dans le cas de la fiabilité et de l'allocation de redondance des systèmes parallèles en série, Elegbedeet al. [Elegbedeet al., 2003].

Algorithmes génétiques (AG)

  • Introduction
  • Nomenclature des AG
  • Avantages des AG
  • Inconvénients des AG
  • Concepts de base
  • Opérateurs des AG
    • Codage des solutions
    • Population initiale
    • Taille des populations
    • Sélection
    • Croisement
    • Mutation
    • Remplacement
  • Choix des paramètres des AG

Il est constitué d'un ensemble d'éléments appelés gènes, qui peuvent prendre plusieurs valeurs appartenant à un alphabet qui n'est pas nécessairement numérique [Ludovic, 1994]. Le croisement permet à deux nouveaux chromosomes "enfants" d'être générés à partir de deux chromosomes "parents" sélectionnés, tandis que la mutation inverse un ou plusieurs gènes dans un chromosome. La probabilité de mutation Pm est généralement faible, car un taux élevé risque de conduire à une solution sous-optimale.

Pour qu'un GA fonctionne bien, il doit être exécuté plusieurs fois avec différentes tailles de population, probabilités de croisement et de mutation pour trouver l'ensemble de paramètres qui convient le mieux à l'utilisateur.

Tab. 4.2 – Résumé de la terminologie utilisée en AG 4.3.4 Inconvénients des AG
Tab. 4.2 – Résumé de la terminologie utilisée en AG 4.3.4 Inconvénients des AG

Modélisation des SIS

  • Blocs diagrammes de Fiabilité (BdF)
    • Diagramme série
    • Diagramme parallèle
    • Diagramme en redondance k/n
    • Diagramme complexe
    • Liens minimaux et coupes minimales
  • Réseaux de fiabilité
    • Rappel sur la théorie des graphes
    • Concepts de base des réseaux de fiabilité
    • Lien d’un réseau de fiabilité
    • Coupe d’un réseau de fiabilité
    • Lien minimal et coupe minimale d’un réseau de fiabilité
    • Remarque

Dans cette section, nous verrons comment décrire la structure d'un système utilisant un réseau de fiabilité. Au contraire, le dictionnaire des précédents donne, pour chaque sommet, la liste des sommets qui sont l'arête de départ d'un arc ayant pour arête finale le sommet considéré. On appellera "coupe" d'un réseau R un sous-ensemble de composantes b ⊂e tel que le sous-ensemble d'arcs Up(b) contient une coupe du graphe G par rapport à un sous-ensemble de sommets incluant Z et n' excluant O .

Par exemple, {e1, e2, e3} est une coupure du réseau (en même temps qu'un lien) ; le sous-ensemble complémentaire {e4} n'est ni une coupure ni un lien.

Fig. 4.3 – BdF d’un système série
Fig. 4.3 – BdF d’un système série

Conception optimale

  • Introduction
  • Pourquoi les AG ?
  • Pourquoi les réseaux de fiabilité ?
  • Méthodologie générale
  • Cas d’application
    • Formulation mathématique du problème
    • Optimisation par l’AG
  • Résultats et analyse
    • Exigence SIL1
    • Exigence SIL2
    • Exigences SIL3 et SIL4

Nous recherchons les configurations optimales du réseau de fiabilité du SIS (c'est-à-dire les connexions entre les différents composants du SIS) qui permettent d'atteindre les objectifs souhaités. La disponibilité moyenne Amoy du SIS est calculée à partir du lien minimum sli du réseau de fiabilité. Pour obtenir une représentation simple de la structure du SIS obtenu, nous transformons le réseau de fiabilité du SIS en un schéma de connexion.

Les probabilités de défaillance et les coûts des composants du SIS sont indiqués dans le tableau 4.3.

Fig. 4.14 – Réseau de fiabilité général d’un SIS 3. Modélisation de la structure générale du SIS par un réseau de fiabilité.
Fig. 4.14 – Réseau de fiabilité général d’un SIS 3. Modélisation de la structure générale du SIS par un réseau de fiabilité.

Conception optimale à paramètres flous

  • Introduction
  • Méthodologie générale
  • Cas d’application
  • Résultats et analyse
    • Exigence SIL1
    • Exigence SIL2
    • Exigence SIL3
    • Exigence SIL4

Tab.4.8 – Paramètres flous des probabilités de défaillance des unités de traitement Unités de traitement ai mi bi. La seule différence est que nous avons affaire à des composants qui ont des probabilités de défaillance imprécises. Il convient de noter que ce sont les mêmes composants qui ont été utilisés dans l'approche classique, mais avec une imprécision concernant leurs probabilités de défaillance.

L'imprécision des probabilités de défaillance des composants étant faible, il est tout à fait normal que pour une faible disponibilité moyenne (SIL1) on retrouve les mêmes architectures.

Tab. 4.7 – Paramètres flous des probabilités de défaillance des capteurs Capteurs a i m i b i
Tab. 4.7 – Paramètres flous des probabilités de défaillance des capteurs Capteurs a i m i b i

Conclusion et perspectives

Les travaux de recherche présentés dans cette thèse ont porté sur la problématique de la prise en compte de l'incertitude liée aux données de fiabilité des composants pour évaluer la fiabilité des systèmes en général et des SIS en particulier. Il est basé sur l'optimisation de la sélection des composants et de la structure SIS pour se conformer au SIL requis. Nous avons évoqué les problèmes liés à l'évaluation de la sécurité du fonctionnement de ces systèmes de sécurité.

Enfin, il serait intéressant d'exploiter d'autres méthodes pour évaluer la fiabilité des SIS en présence d'informations incomplètes, comme les réseaux de Petri ou les approches de Markov.

Scénario d’accident [Desroches, 2005]

Diagramme état/transition du processus accidentel [Mazouni et al., 2007]

Courbe de Farmer [Farmer, 1967]

Caractérisation du risque [Gouriveau, 2003]

Structure générale de la norme IEC 61508 [IEC61508, 1998]

Graphe de risque [IEC61508, 1998]

Matrice de risque [IEC61508, 1998]

L’IEC 61508 et ses normes sectorielles

Utilisateurs de l’IEC 61511 et l’IEC 61508

Relations entre l’IEC 61511 et l’IEC 61508

Structure générale de la norme IEC 61511 [IEC61511, 2000]

Nombre flou du type L-R

Arbre de défaillance

Opérateur de condition

Opérateur "m/n"

Processus d’analyse des événements intermédiaires [Villemeur, 1998]

Processus d’élaboration d’un arbre de défaillance [Villemeur, 1998]

Arbre de défaillance avec un opérateur ET

Arbre de défaillance avec un opérateur OU

Arbre de défaillance simplifié

Probabilité d’occurrence de l’événement "surchauffe du fil AB"

Fonctions d’appartenance des valeurs Télevée et Lmoyenne

Modèle flou de Markov

Représentation d’un chien de garde

Modélisation de l’implication logique par une transition temporelle

Modélisation du taux de défaillance imprécis λ i par un nombre flou triangulaire . 86

Probabilité floue de défaillance d’un composant i

Arbre de défaillance

Traduction de l’incertitude par les mesures de possibilité et de nécessité

Réservoir sous pression

Pour procéder à l'optimisation de la structure des SIS, nous allons d'abord les modéliser à travers des réseaux de fiabilité [Sallaket al., 2007b]. Nous allons d'abord introduire le vocabulaire de base de la théorie des graphes nécessaire pour comprendre les réseaux de fiabilité. La fonction objectif est donc la somme du coût total des composants et d'une erreur quadratique moyenne de la disponibilité moyenne du SIS.

L'organigramme de la Figure 4.19 résume les principales étapes de la conception optimale d'un SIS pour lequel un LIS est requis. Enfin, nous avons réduit le problème de conception du SIS à un problème de minimisation du coût global du SIS sous la contrainte du SIL requis exprimé en fonction de la disponibilité moyenne du SIS. Évaluation de la fiabilité, de la disponibilité et de la maintenabilité des systèmes réparables : la méthode de l'espace d'état.

Configuration du SIS

Arbre de défaillance du système complet

Nous réduisons le problème de conception optimale au problème de minimisation du coût total du SIS sous la contrainte du SIL requis, qui s'exprime en fonction de la disponibilité moyenne du SIS Aavg. Le principe de cette méthode est de transformer le problème d'allocation de redondance en un problème de maximisation de la fiabilité minimale des sous-systèmes.

Tab. 3.1 – Paramètres flous des probabilités de défaillance des composants du SIS Composants du SIS a i (×10 −2 ) m i (×10 −2 ) b i (×10 −2 )
Tab. 3.1 – Paramètres flous des probabilités de défaillance des composants du SIS Composants du SIS a i (×10 −2 ) m i (×10 −2 ) b i (×10 −2 )

P F D avg du SIS

Probabilités de défaillance précise et imprécise de l’unité de traitement

P F D avg du SIS selon les modifications du SIS après le calcul du FPIM

Probabilités de défaillance précise et imprécise du capteur de température

P F D avg du SIS selon les modifications du SIS après le calcul du FPUM

Organigramme simplifié de conception des SIS

Algorithme génétique de base

BdF d’un système série

BdF d’un système parallèle

BdF d’un système k/n

Schéma de connexion d’un système complexe

Dessin d’un graphe

Matrice booléenne

Dictionnaire des suivants

Graphe r-appliqué

Graphe partiel

Réseau de fiabilité

Réseau de fiabilité partiel

Réseau de fiabilité général d’un SIS

Codage du réseau de fiabilité

Exemple d’un réseau de fiabilité

Correspondance entre réseaux de fiabilité et schémas de connexion

Schéma de connexion général d’un SIS

Organigramme de conception optimale d’un SIS

Schéma de connexion du SIS à concevoir

Probabilités de défaillance floues des unités de traitement

Probabilités de défaillance floues des actionneurs

Table d’estimation du risque [Guiochet, 2003]

Niveaux d’intégrité de sécurité (SIL) : Sollicitation faible [IEC61508, 1998]

Niveaux d’intégrité de sécurité (SIL) : Sollicitation élevée ou continue [IEC61508,

Principales normes et co-normes triangulaires [Wu, 1998]

Paramètres flous des probabilités d’occurrence des événements de base

Paramètres flous des probabilités de défaillance des composants du SIS

Coupes minimales de l’arbre de défaillance

Mesures de possibilité (Π) et de nécessité (N ) des SIL obtenus

Facteur d’importance flou (FPIM)

Mesures de possibilité (Π) et de nécessité (N ) après modifications selon le facteur

Facteur d’incertitude flou (FPUM)

Mesures de possibilité (Π) et de nécessité (N ) après modifications selon le facteur

Principales méthodes d’allocation pondérées

Résumé de la terminologie utilisée en AG

Coûts et probabilités de défaillance des composants du SIS

Résultats pour l’obtention d’un SIL1

Résultats pour l’obtention d’un SIL 2

Coûts et probabilités de défaillance des composants du SIS n°2

Paramètres flous des probabilités de défaillance des capteurs

Paramètres flous des probabilités de défaillance des unités de traitement

Paramètres flous des probabilités de défaillance des actionneurs

Approche floue : résultats pour l’obtention d’un SIL1

Approche floue : résultats pour l’obtention d’un SIL2

Approche floue : résultats pour l’obtention d’un SIL3

Imagem

Tab. 1.1 – Recueil des plus graves accidents industriels survenus dans le monde entre 1960 et 2007 [Ministère de l’écologie, 2007].
Fig. 1.2 – Diagramme état/transition du processus accidentel [Mazouni et al., 2007]
Fig. 1.5 – Structure générale de la norme IEC 61508 [IEC61508, 1998]
Fig. 1.10 – Relations entre l’IEC 61511 et l’IEC 61508
+7

Referências

Descarregar agora ( PDF - 193 páginas - 2.03 MB )

Outline

Evaluation du niveau d’intégrité de sécurité (SIL) Conclusion Conclusion Evaluation des SIL par une approche probabiliste floue Facteurs d’importance probabilistes Conclusions et perspectives Méthodes d’optimisation Algorithmes génétiques (AG) Méthodologie générale Conclusion et perspectives

Documentos relacionados

Icônes | Publictionnaire Huma-Num

L’économie byzantine de l’image L’histoire des usages dévolus aux icônes fournit des clés de lecture pour comprendre les pratiques et les théories liées aux images à la lumière des