Evaluation de la sûreté de fonctionnement des systèmes dédiés aux
Introduction
Identification et caractérisation des dangers potentiels : l'analyse des dangers potentiels associés aux installations est établie par la mise en relation d'événements élémentaires. Une étude de danger devrait donc apporter la preuve que de simples associations d'événements ont bien été prises en compte pour déterminer les causes des accidents majeurs.
Notion de danger
- Définitions
- Phénomènes dangereux et situations dangereuses
Selon [Desroches, 2005], la situation dangereuse (ou dangereuse), notée (SD), résulte de l'association d'un danger (D) et d'un événement de contact (EC) qui met le système en présence ou en contact avec le danger. . Un phénomène dangereux est la libération de tout ou partie d'un danger potentiel.
Notion de risque
- Mesure de risque
- Classification des risques
- Risque acceptable
- Risque majeur
- Risque industriel
Selon [Villemeur, 1998], le risque est une mesure de risque qui combine une mesure de la survenance d'un événement indésirable et une mesure de ses effets ou conséquences. En général, le risque est lié au couple (gravité, probabilité), le plus souvent il définit le produit de la gravité d'un accident par sa probabilité d'occurrence.
Notion de sécurité
Principes généraux de protection
- Sécurités passives
- Sécurités actives
Sécurité fonctionnelle
- Définitions
- Systèmes relatifs aux applications de sécurité
Référentiel normatif
- Introduction
- Norme IEC 61508
- Domaine d’application
- Structure générale de la norme
- Objectifs de la norme
- Evaluation du niveau d’intégrité de sécurité (SIL)
- Quelques commentaires
- Norme IEC 61511
- Domaine d’application
- Structure générale de la norme
- Objectifs de la norme
- Quelques commentaires
Cette matrice indique le niveau de SIL en fonction de la gravité du risque et de sa fréquence. Elle ne couvre que les aspects du cycle de vie de la sécurité liés à l'attribution des exigences de sécurité pour la validation de la sécurité.
Problématique de l’évaluation de la sûreté de fonctionnement des SIS
Cette norme décrit une approche des activités du cycle de vie de la sécurité pour répondre à ces normes minimales. Pour faciliter cette approche, cette norme exige : – La réalisation d'une évaluation des dangers et des risques afin d'identifier les exigences globales.
Conclusion
Enfin, la distribution de la probabilité floue d'occurrence de l'événement supérieur est compilée à partir des probabilités. La figure 3.14 représente la distribution de la probabilité floue de défaillance du SIS après suppression de l'incertitude sur la probabilité de défaillance du capteur de température (courbe en pointillés).
Evaluation de la sûreté de fonctionnement des systèmes en présence
Représentation des connaissances imparfaites
- Théorie des probabilités
- Définitions et propriétés
- Cadre bayésien
- Limitations de la théorie des probabilités
- Conclusion
- Théorie des sous-ensembles flous
- Définitions et concepts de base
- Opérations simples sur les sous-ensembles flous
- Nombres flous du type L − R
- Notion de α-coupes
- Théorie des possibilités
- Mesure et distribution de possibilités
- Mesure de nécessité
- Théorie des fonctions de croyance
- Fonction de masse (ou de croyance)
- Fonctions de crédibilité et de plausibilité
- Conclusion
Si la probabilité d'un événement A est connue, la probabilité de l'événement opposé A est exactement déterminée. Une mesure de possibilité Π assigne à chaque sous-ensemble A de l'ensemble de référence Ω un réel dans [0,1] pour évaluer comment l'événement A est possible [Prade et Dubois, 1985].
Méthodes de sûreté de fonctionnement en présence d’informations imparfaites
- Arbres de défaillance
- Principes, construction et analyse
- Arbres de défaillances flous
- Méthode de Singer
- Exemple
- Méthode des α-coupes
- Cas des événements répétés
- Dépendance des événements
- Remarque
- Approches markoviennes
- Processus stochastiques
- Chaînes de Markov
- Processus de Markov
- Observations et limitations
- Chaînes de Markov à états non flous et probabilités de transition
- Chaînes de Markov à états flous et non flous et probabilités de
- Modèle de Markov avec un système d’inférence flou (MMF)
- Conclusion et perspectives
- Réseaux de Petri
- Introduction
- Définitions et concepts de base
- Réseaux de Petri temporels
- Réseaux de Petri p-temporels
- Réseaux de Petri stochastiques
- Réseaux de Petri flous (RdPF)
- Observations et limitations
La résolution de l'équation d'état (2.81) nous ramène au calcul des exposants de la matrice de transition. La résolution de l'équation d'état doux (2.90) nécessite le calcul des puissances successives de la matrice de transition douce P = (pi,j). La probabilité que le système passe de l'état souple Fr à l'état souple Fs est donnée par.
Cette information est mise à jour à chaque tir de transition en fonction de l'estimation temporelle de l'occurrence de l'événement.
Conclusion
La figure 3.12 représente la probabilité floue de défaillance dans le SIS avant (courbe pleine) et après suppression de l'incertitude de la probabilité de défaillance dans l'unité de traitement (courbe en pointillés). Nous utiliserons ensuite un GA pour optimiser la structure du réseau de fiabilité et obtenir des configurations optimales du SIS. Modélisation de la structure générale du SIS à l'aide d'un réseau de fiabilité Définition du SIS.
L'intégration de l'aspect maintenance des composants SIS dans la méthode d'aide à la décision que nous proposons.
Evaluation des SIL par une approche probabiliste floue et études de
Evaluation des SIL par une approche probabiliste floue
- Modélisation des taux de défaillance des composants des SIS
- Evaluation du P F D avg des SIS
La première étape consiste à modéliser ces taux d'échec en choisissant les fonctions d'appartenance appropriées. Dans ce cas, les informations sur le taux d'erreur du composant sont vagues ou peu claires. Nous proposons donc de modéliser les taux de défaillance imprécis par des nombres flous triangulaires (voir Figure 3.1).
3.1 – Modélisation du taux d'erreur imprécis λi avec un nombre flou triangulaire de forme quelconque.
Caractérisation de l’incertitude des résultats obtenus
Fig.3.6 – La traduction de l'incertitude selon des mesures de possibilité et des mesures de nécessité a pour seul objectif la caractérisation de l'incertitude des résultats obtenus.
Etudes de sensibilité
- Facteurs d’importance probabilistes
- Hypothèses et notations
- Facteur d’importance marginal
- Facteur d’importance critique
- Facteur d’importance critique des coupes minimales
- Facteur d’importance de diagnostic
- Observations et limitations
- Facteurs d’importance intégrant les connaissances imparfaites
- Facteurs d’importance sur les incertitudes
- Facteurs d’importance flous
- Facteurs d’importance proposés
- Facteur d’importance flou (FPIM)
- Facteur d’incertitude flou (FPUM)
- Conclusion partielle
Le facteur d'importance marginale qui permet de mesurer la variation de l'indisponibilité du système en fonction de l'indisponibilité de ses composants [Birnbaum, 1969]. Le facteur de criticité qui représente la probabilité qu'un composant ait provoqué la défaillance du système sachant que le système est défaillant [Lambert, 1975]. Le facteur de criticité des coupes minimales qui représente la probabilité qu'une coupe minimale provoque la défaillance du système étant donné que le système est défaillant [Fussell, 1975].
Le facteur d'importance diagnostique, qui représente la probabilité qu'un composant soit défectueux au moment où le système est connu comme étant défectueux à ce moment [Vesely, 1981].
Cas d’application
- Description du système
- Hypothèses
- Approche probabiliste floue
- Caractérisation de l’incertitude
- Etudes de sensibilité et réduction de l’incertitude du SIL
- Facteur d’importance flou (FPIM)
- Facteur d’incertitude flou (FPUM)
3.11 – Probabilités de défaillance exactes et imprécises des composants de l'unité de traitement dans le classement SIS FPIM. Pour réduire l'incertitude qui entache le niveau SIL atteint, nous proposons de supprimer l'incertitude qui entache la probabilité de défaillance de l'unité de traitement (nous supposons que cette probabilité de défaillance est exacte (voir Figure 3.11)). 3.13 – Probabilités de défaillance exactes et imprécises des composants des capteurs de température de la gamme SIS FPUM.
Afin de réduire l'incertitude affectant le niveau SIL, nous proposons de supprimer l'incertitude affectant la probabilité de défaillance du capteur de température (voir Figure 3.13).
Conclusions et perspectives
Nous utiliserons ensuite un GA pour optimiser la structure du réseau de fiabilité et obtenir des configurations optimales du SIS. En 1957, la méthode AGREE a été introduite pour tenir compte de l'importance et de la complexité des sous-systèmes [AGREE, 1957 ; of Defence, 1998] pour l'allocation de fiabilité des équipements électroniques. Dans ce qui suit, nous présenterons les réseaux de fiabilité basés sur l'utilisation de la théorie des graphes.
Nous avons utilisé un GA pour optimiser la structure du SIS et obtenir des configurations optimales du SIS.
Conception optimale des SIS 109
Etat de l’art de l’allocation de fiabilité et de redondance
- Méthodes pondérées
- Méthode AGREE
- Méthode Karmiol
- Méthode ARINC
- Méthode d’égale allocation
- Méthodes d’optimisation
Nous commençons par donner un état de l'art des méthodes d'allocation de la fiabilité et de la redondance. Allain-Morin et Cloarec [Allain-Morin et Cloarec, 1994] divisent les méthodes d'allocation de fiabilité et de redondance en deux grandes catégories. La méthode AGREE a été développée en 1957 pour l'attribution de la fiabilité des équipements électroniques [AGREE, 1957 ; de la Défense, 1998].
Dans le cas de la fiabilité et de l'allocation de redondance des systèmes parallèles en série, Elegbedeet al. [Elegbedeet al., 2003].
Algorithmes génétiques (AG)
- Introduction
- Nomenclature des AG
- Avantages des AG
- Inconvénients des AG
- Concepts de base
- Opérateurs des AG
- Codage des solutions
- Population initiale
- Taille des populations
- Sélection
- Croisement
- Mutation
- Remplacement
- Choix des paramètres des AG
Il est constitué d'un ensemble d'éléments appelés gènes, qui peuvent prendre plusieurs valeurs appartenant à un alphabet qui n'est pas nécessairement numérique [Ludovic, 1994]. Le croisement permet à deux nouveaux chromosomes "enfants" d'être générés à partir de deux chromosomes "parents" sélectionnés, tandis que la mutation inverse un ou plusieurs gènes dans un chromosome. La probabilité de mutation Pm est généralement faible, car un taux élevé risque de conduire à une solution sous-optimale.
Pour qu'un GA fonctionne bien, il doit être exécuté plusieurs fois avec différentes tailles de population, probabilités de croisement et de mutation pour trouver l'ensemble de paramètres qui convient le mieux à l'utilisateur.
Modélisation des SIS
- Blocs diagrammes de Fiabilité (BdF)
- Diagramme série
- Diagramme parallèle
- Diagramme en redondance k/n
- Diagramme complexe
- Liens minimaux et coupes minimales
- Réseaux de fiabilité
- Rappel sur la théorie des graphes
- Concepts de base des réseaux de fiabilité
- Lien d’un réseau de fiabilité
- Coupe d’un réseau de fiabilité
- Lien minimal et coupe minimale d’un réseau de fiabilité
- Remarque
Dans cette section, nous verrons comment décrire la structure d'un système utilisant un réseau de fiabilité. Au contraire, le dictionnaire des précédents donne, pour chaque sommet, la liste des sommets qui sont l'arête de départ d'un arc ayant pour arête finale le sommet considéré. On appellera "coupe" d'un réseau R un sous-ensemble de composantes b ⊂e tel que le sous-ensemble d'arcs Up(b) contient une coupe du graphe G par rapport à un sous-ensemble de sommets incluant Z et n' excluant O .
Par exemple, {e1, e2, e3} est une coupure du réseau (en même temps qu'un lien) ; le sous-ensemble complémentaire {e4} n'est ni une coupure ni un lien.
Conception optimale
- Introduction
- Pourquoi les AG ?
- Pourquoi les réseaux de fiabilité ?
- Méthodologie générale
- Cas d’application
- Formulation mathématique du problème
- Optimisation par l’AG
- Résultats et analyse
- Exigence SIL1
- Exigence SIL2
- Exigences SIL3 et SIL4
Nous recherchons les configurations optimales du réseau de fiabilité du SIS (c'est-à-dire les connexions entre les différents composants du SIS) qui permettent d'atteindre les objectifs souhaités. La disponibilité moyenne Amoy du SIS est calculée à partir du lien minimum sli du réseau de fiabilité. Pour obtenir une représentation simple de la structure du SIS obtenu, nous transformons le réseau de fiabilité du SIS en un schéma de connexion.
Les probabilités de défaillance et les coûts des composants du SIS sont indiqués dans le tableau 4.3.
Conception optimale à paramètres flous
- Introduction
- Méthodologie générale
- Cas d’application
- Résultats et analyse
- Exigence SIL1
- Exigence SIL2
- Exigence SIL3
- Exigence SIL4
Tab.4.8 – Paramètres flous des probabilités de défaillance des unités de traitement Unités de traitement ai mi bi. La seule différence est que nous avons affaire à des composants qui ont des probabilités de défaillance imprécises. Il convient de noter que ce sont les mêmes composants qui ont été utilisés dans l'approche classique, mais avec une imprécision concernant leurs probabilités de défaillance.
L'imprécision des probabilités de défaillance des composants étant faible, il est tout à fait normal que pour une faible disponibilité moyenne (SIL1) on retrouve les mêmes architectures.
Conclusion et perspectives
Les travaux de recherche présentés dans cette thèse ont porté sur la problématique de la prise en compte de l'incertitude liée aux données de fiabilité des composants pour évaluer la fiabilité des systèmes en général et des SIS en particulier. Il est basé sur l'optimisation de la sélection des composants et de la structure SIS pour se conformer au SIL requis. Nous avons évoqué les problèmes liés à l'évaluation de la sécurité du fonctionnement de ces systèmes de sécurité.
Enfin, il serait intéressant d'exploiter d'autres méthodes pour évaluer la fiabilité des SIS en présence d'informations incomplètes, comme les réseaux de Petri ou les approches de Markov.
Scénario d’accident [Desroches, 2005]
Diagramme état/transition du processus accidentel [Mazouni et al., 2007]
Courbe de Farmer [Farmer, 1967]
Caractérisation du risque [Gouriveau, 2003]
Structure générale de la norme IEC 61508 [IEC61508, 1998]
Graphe de risque [IEC61508, 1998]
Matrice de risque [IEC61508, 1998]
L’IEC 61508 et ses normes sectorielles
Utilisateurs de l’IEC 61511 et l’IEC 61508
Relations entre l’IEC 61511 et l’IEC 61508
Structure générale de la norme IEC 61511 [IEC61511, 2000]
Nombre flou du type L-R
Arbre de défaillance
Opérateur de condition
Opérateur "m/n"
Processus d’analyse des événements intermédiaires [Villemeur, 1998]
Processus d’élaboration d’un arbre de défaillance [Villemeur, 1998]
Arbre de défaillance avec un opérateur ET
Arbre de défaillance avec un opérateur OU
Arbre de défaillance simplifié
Probabilité d’occurrence de l’événement "surchauffe du fil AB"
Fonctions d’appartenance des valeurs Télevée et Lmoyenne
Modèle flou de Markov
Représentation d’un chien de garde
Modélisation de l’implication logique par une transition temporelle
Modélisation du taux de défaillance imprécis λ i par un nombre flou triangulaire . 86
Probabilité floue de défaillance d’un composant i
Arbre de défaillance
Traduction de l’incertitude par les mesures de possibilité et de nécessité
Réservoir sous pression
Pour procéder à l'optimisation de la structure des SIS, nous allons d'abord les modéliser à travers des réseaux de fiabilité [Sallaket al., 2007b]. Nous allons d'abord introduire le vocabulaire de base de la théorie des graphes nécessaire pour comprendre les réseaux de fiabilité. La fonction objectif est donc la somme du coût total des composants et d'une erreur quadratique moyenne de la disponibilité moyenne du SIS.
L'organigramme de la Figure 4.19 résume les principales étapes de la conception optimale d'un SIS pour lequel un LIS est requis. Enfin, nous avons réduit le problème de conception du SIS à un problème de minimisation du coût global du SIS sous la contrainte du SIL requis exprimé en fonction de la disponibilité moyenne du SIS. Évaluation de la fiabilité, de la disponibilité et de la maintenabilité des systèmes réparables : la méthode de l'espace d'état.
Configuration du SIS
Arbre de défaillance du système complet
Nous réduisons le problème de conception optimale au problème de minimisation du coût total du SIS sous la contrainte du SIL requis, qui s'exprime en fonction de la disponibilité moyenne du SIS Aavg. Le principe de cette méthode est de transformer le problème d'allocation de redondance en un problème de maximisation de la fiabilité minimale des sous-systèmes.
P F D avg du SIS
Probabilités de défaillance précise et imprécise de l’unité de traitement
P F D avg du SIS selon les modifications du SIS après le calcul du FPIM
Probabilités de défaillance précise et imprécise du capteur de température
P F D avg du SIS selon les modifications du SIS après le calcul du FPUM
Organigramme simplifié de conception des SIS
Algorithme génétique de base
BdF d’un système série
BdF d’un système parallèle
BdF d’un système k/n
Schéma de connexion d’un système complexe
Dessin d’un graphe
Matrice booléenne
Dictionnaire des suivants
Graphe r-appliqué
Graphe partiel
Réseau de fiabilité
Réseau de fiabilité partiel
Réseau de fiabilité général d’un SIS
Codage du réseau de fiabilité
Exemple d’un réseau de fiabilité
Correspondance entre réseaux de fiabilité et schémas de connexion
Schéma de connexion général d’un SIS
Organigramme de conception optimale d’un SIS
Schéma de connexion du SIS à concevoir
Probabilités de défaillance floues des unités de traitement
Probabilités de défaillance floues des actionneurs
Table d’estimation du risque [Guiochet, 2003]
Niveaux d’intégrité de sécurité (SIL) : Sollicitation faible [IEC61508, 1998]
Niveaux d’intégrité de sécurité (SIL) : Sollicitation élevée ou continue [IEC61508,
Principales normes et co-normes triangulaires [Wu, 1998]
Paramètres flous des probabilités d’occurrence des événements de base
Paramètres flous des probabilités de défaillance des composants du SIS
Coupes minimales de l’arbre de défaillance
Mesures de possibilité (Π) et de nécessité (N ) des SIL obtenus
Facteur d’importance flou (FPIM)
Mesures de possibilité (Π) et de nécessité (N ) après modifications selon le facteur
Facteur d’incertitude flou (FPUM)
Mesures de possibilité (Π) et de nécessité (N ) après modifications selon le facteur
Principales méthodes d’allocation pondérées
Résumé de la terminologie utilisée en AG
Coûts et probabilités de défaillance des composants du SIS
Résultats pour l’obtention d’un SIL1
Résultats pour l’obtention d’un SIL 2
Coûts et probabilités de défaillance des composants du SIS n°2
Paramètres flous des probabilités de défaillance des capteurs
Paramètres flous des probabilités de défaillance des unités de traitement
Paramètres flous des probabilités de défaillance des actionneurs
Approche floue : résultats pour l’obtention d’un SIL1
Approche floue : résultats pour l’obtention d’un SIL2
Approche floue : résultats pour l’obtention d’un SIL3