Cours de Sûreté de Fonctionnement

Cours de Surete de FonctionnementParcours Systemes Embarques et Mobiles

Cours n 8 : Analyses de surete(d’apres le cours de T. Hardin)

David [email protected]

CNAM

2009-2010

Introduction La methode AMDE(C)

Plan

1 Introduction

2 La methode AMDE(C)

Cours de Surete de Fonctionnement 2009-2010

David Delahaye, [email protected], CNAM 2/36


AMDE (1)

AMDE : Analyse des Modes de Defaillance et de leurs Effets.FMEA : Failure Mode Effect Analysis.Developpee par l’armee americaine vers la fin des annees 40 en tant queprocedure militaire (MIL-P-1629).

But : Analyse preventive d’une conception du systeme en etudiant toutesles sources possibles de defaillances des composants de ce systeme et endeterminant les effets de ces defaillances sur le comportement et lasecurite du systeme. Doit mettre en evidence tous les risques potentiels.

Description : Les composants d’un systeme sont analyses les uns apres lesautres pour etablir l’ensemble des modes de defaillance du systeme, leurscauses et leurs effets.




AMDE (2)

On en deduit des procedures et recommandations pour la detection et laprevention des fautes.

S’applique a un produit, un procede, un service, un projet.

Permet d’en optimiser la fiabilite, en detectant les erreurs a un stadeprecoce et en les prevenant.




AMDEC / AEEL / HAZOP

AMDEC : Analyse des Modes de Defaillance et de leurs Effets et de leurCriticite.FMECA : Design Analysis Procedure for Failure Modes, Effects andCriticality Analysis.Ajoute la quantification des risques et permet de les hierarchiser.

AEEL : Analyse des Erreurs et de leurs Effets sur le Logiciel.Methode d’analyse preventive appliquee au logiciel.

HAZOP : HAZard and OPerability Study.Autre methode developpee par l’ICI (Imperial Chemical Industries).Explosion catastrophique, en 1974, d’un nuage de 40 tonnes decyclohexane a Flixborough en Grande-Bretagne (28 morts et 89 blesses).




Utilisations

Introduite dans les annees 60 pour l’analyse de la surete des avions.

Methode reglementaire en avionique en France et aux USA (Airbus,Concorde).

Utilisee dans le nucleaire, spatial, chimie, automobile, E/E/EP.

Adaptee au logiciel sous le meme nom ou sous le nom d’AEEL.




Objectifs, domaines d’application (1)

Outil de prevention a utiliser pour faire un examen critique de laconception.

Incite a poser les bonnes questions au bon moment, favorise lacommunication entre les differents partenaires.

AMDE(C) Produit : vise a l’optimisation de la fiabilite, s’appuie sur desdonnees historiques, des donnees previsionnelles, permet de definir lesactions preventives, la maintenance...

A mettre a jour au fur et a mesure de l’avancement du projet.

AMDE(C) Procede (Process) : permet l’amelioration de la productivite(meilleure disponibilite, maintenabilite, securite).




Objectifs, domaines d’application (2)

AMDE(C) Fonctionnelle : permet, a partir de l’analyse fonctionnelle, dedeterminer les modes de defaillances / causes amenant a un evenementredoute.

AMDE(C) Moyen de production : permet d’anticiper les risques lies au nonfonctionnement ou au fonctionnement anormal d’un equipement, d’unemachine.

D’abord AMDE/AEEL pendant la conception, puis AMDEC en phase dedeveloppement.




Phases d’une AMDE(C)

Cinq phases :

1 Initialisation ;

2 Analyse fonctionnelle ;

3 Analyse des defaillances ;

4 Cotation de la criticite ;

5 Actions a mener.




Phase 1 : initialisation

Il faut d’abord valider le besoin : pourquoi fait-on cette etude ?Il faut definir l’objectif.

Une AMDE(C) doit aboutir a :

Prevoir des methodes d’elimination/minimisation des fautes ;

Prevoir des methodes d’elimination/minimisation des erreurs ;

Identifier les redondances necessaires ;

Identifier les possibilites de modes degrades ;

Prevoir la surveillance, les points d’arret, la maintenance ;

Ameliorer l’ergonomie.




Par qui ?

Groupe de travail dont l’animateur est le verificateur du systeme. Doit etredifferent du concepteur.

Comprend : concepteur produit (procede), responsables des methodes, dela production, de la qualite, de l’organisation du service apres-vente...eventuellement le valideur du systeme (garant de la demonstration de lasecurite du systeme).

Apres chaque phase de l’AMDE, le verificateur emet des fiches d’avissoumises aux concepteurs. Chaque point souleve doit etre clos avant depasser a la phase suivante.




Champ et delai de l’etude

Necessite de determiner tres precisement le champ de l’etude en fonctiondes objectifs, du temps disponible, des connaissances � historiques � sur lacriticite du systeme, les exigences de surete (SIL, MTBF, MTTR).

Une etude peut etre decoupee en plusieurs etudes.




Collecte de donnees

A effectuer avant l’analyse. Regrouper :

Dossier descriptif de l’entite : cahier des charges, plans,nomenclatures, ... ;

Etats possibles de l’entite : en attente, en initialisation, enfonctionnement, en test... ;

Recherche de donnees historiques dans des banques de donnees ;

Releves statistiques de pannes ;

Resultats de tests...




Fiche de synthese




Phase 2 : decomposition fonctionnelle

Effectuer un decoupage fonctionnel du produit ou du procede, jusqu’a unniveau permettant de formuler sans ambiguıte les modes de defaillance etd’obtenir des donnees quantitatives sur le sous-systeme etudie.

Depend du type d’AMDE(C) choisie.




Exemple : AMDE(C) Moyen de production




Phase 3 : analyse qualitative des defaillances

Recensement des defaillances : recenser tous les modes de defaillanceplausibles sans faire d’hypothese sur leur survenue.

Recherche des causes de defaillance, en examinant chacun des modes dedefaillance.

Etude des effets des defaillances : propagation des defaillances au niveausuperieur, a l’etape suivante, ...

Recensement des moyens de detection des fautes/erreurs/defaillances :verifications, controles, alarmes, ...




Comment ? (1)

En general, a la main, en s’appuyant sur la specification, les documents deconception, les caracteristiques techniques des composants materiels.

Pour le logiciel, lecture du source, du code de bas niveau.

Possibilite d’instrumenter en partie cette phase. Pour cela, on modelise leflux (donnees-controle) entre composants, puis on etudie la propagationd’une information dans le modele.




Comment ? (2)

On fixe alors les hypotheses d’analyse : on � pose � des defaillances sur lesentrees, on decide quels sont les composants qui seront consideres commesources potentielles de defaillance. Cela conduit a � poser � desdefaillances sur le sorties.

Typiquement, un composant logiciel peut recevoir une entree nondefaillante et fournir une sortie defaillante parce qu’il contient un bug. Onpropage alors cette sortie defaillante.




Recensement des modes de defaillances

Definition du systeme et de ses composants, en recensant les differentsetats de fonctionnement, les fonctions du systeme, les limitesfonctionnelles du systeme.

Pour un systeme logiciel, identification des donnees et des composantslogiciels qu’il sera pertinent d’etudier et qui constituent la cible d’analyse.

Chercher tous les modes de defaillance possibles (mode = symptome d’unedefaillance).

Un mode de defaillance peut correspondre a des defaillances de differentesnatures.

Exemple : une arrivee tardive en cours peut correspondre a plusieursdefaillances, ayant pour origine des fautes diverses.




Recherche des causes de defaillance

Modes de defaillance des composants et de leurs causes.

On dispose de la specification des exigences du systeme et de ses exigencesde securite.

Suivant la phase d’analyse, on dispose de l’architecturematerielle/logicielle, de la conception materielle/logicielle, de la conceptiondes modules logiciels, ...




Etude des effets des modes de defaillancesur les composants




Grille AMDE(C) (1)

Detailler dans un tableau (presentation normalisee), pour chaque mode dedefaillance de chacun des composants :

Les causes possibles ;

L’effet du mode de defaillance (local ou global) ;

Les moyens de detection ;

Les actions correctrices a mettre en oeuvre ;

La criticite du mode de defaillance.




Grille AMDE(C) (2)




Phase 4 : analyse quantitative des defaillances

Definir les criteres de quantification.

Frequence d’apparition : F = P1 × P2.P1 : probabilite de survenue de la cause.P2 : probabilite de survenue de la defaillance si la cause est presente.

Gravite (ou severite) de l’effet (pas de la cause) : G .

Risque de non-detection de la defaillance : probabilite qu’elle soit propageejusqu’a l’utilisateur, ND.




Determination de la criticite

Determinee par le produit F × G × ND.

Cet indice est parfois nomme IPR (indice prioritaire de risque) ou RPN(Risk Priority Number).

Ces estimations sont placees dans les colonnes du tableau synthetisantl’analyse.




Cotation de la frequence

Exemple de cotation de la frequence :

Indice de frequence F Frequence

1 Moins d’une fois par an2 Moins d’une fois par mois3 Moins d’une fois par semaine4 Plus d’une fois par semaine




Cotation de la gravite

Exemple de cotation de la gravite :

Indice de gravite G Gravite

1 Temps d’arret inferieur a 12 heures2 Temps d’arret inferieur a 24 heures3 Temps d’arret inferieur a 1 semaine4 Temps d’arret superieur a 1 semaine




Cotation de la non-detection

Exemple de cotation de la non-detection :

Indice de non-detection ND Non-detection

1 Detection efficace qui permet une actionpreventive afin de prevenir la defaillance

2 Il y a un risque que la detectionne soit pas efficace

3 Le moyen de detection n’est pas fiable4 Il n’y a aucun moyen de detection




Matrice de securite

La criticite peut aussi etre evaluee en utilisant une matrice de securite(tres usitee aux USA) :




Phase 5 : conclusions, recommandations

Identification des defaillances simples, recensement et classification desmodes de defaillance.

Etablissement pour chaque mode de defaillance de procedures de detectionet de procedures de maintenance.




Plan et suivi d’action

Un tableau :

Action, Date, Responsable, Resultats, Planning previsionnel : recherche,mise en oeuvre, confirmation de la solution.

Obligatoirement rempli et integre dans la documentation.




Limites de l’AMDEC

Etude d’un mode de defaillance a la fois. Il faut la prolonger en combinantles pannes... mais risque d’explosion combinatoire... importance de laconnaissance du metier.

Suppose que l’on a su determiner tous les modes de defaillance du systeme.

Demande de manipuler un volume important d’informations...informatisation du processus.




Interet de l’AMDEC

Bon guide pour la conception.

Bon guide pour la strategie de detection d’erreurs, dans les AEEL.

Bon guide pour la mise en place de la tolerance aux fautes.

Bon support pour la validation du systeme.

Bon support pour la maintenance et la detection de fautes a l’exploitation.

S’etend aux etudes de securite en considerant des fautes intentionnelles.




AEEL

Consiste a propager les erreurs potentielles (materielles/logicielles) dans lesmodules logiciels des fonctions de securite afin de determiner lesprotections mises en oeuvre.

Elle permet de :

Identifier les modes de defaillance qui necessitent une protection ;

Valider les protections implantees ;

Definir la criticite des modules logiciels de la cible d’analyse ;

Determiner les modules critiques necessitant une LCC, la verificationde certaines proprietes (par des preuves, des analyses statiques, de laverification par modeles, ...).




Erreurs communes

Ne pas utiliser une methode structuree et avec des formats definis.

Ne pas avoir un membre du groupe de design et ainsi ne pas avoir tous lespoints de vue.

Ne pas analyser completement les effets d’un mode de defaillance.



Cours de Sûreté de Fonctionnement

Documents

Transcript of Cours de Sûreté de Fonctionnement