FR2947080A1 - Procede pour controler la surete de fonctionnement d'un systeme - Google Patents

Procede pour controler la surete de fonctionnement d'un systeme Download PDF

Info

Publication number
FR2947080A1
FR2947080A1 FR0954208A FR0954208A FR2947080A1 FR 2947080 A1 FR2947080 A1 FR 2947080A1 FR 0954208 A FR0954208 A FR 0954208A FR 0954208 A FR0954208 A FR 0954208A FR 2947080 A1 FR2947080 A1 FR 2947080A1
Authority
FR
France
Prior art keywords
indicator
levels
criticality
failure mode
failure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR0954208A
Other languages
English (en)
Inventor
Philippe Leveque
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PSA Automobiles SA
Original Assignee
Peugeot Citroen Automobiles SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peugeot Citroen Automobiles SA filed Critical Peugeot Citroen Automobiles SA
Priority to FR0954208A priority Critical patent/FR2947080A1/fr
Publication of FR2947080A1 publication Critical patent/FR2947080A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0275Fault isolation and identification, e.g. classify fault; estimate cause or root of failure
    • G05B23/0278Qualitative, e.g. if-then rules; Fuzzy logic; Lookup tables; Symptomatic search; FMEA
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/008Reliability or availability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Fuzzy Systems (AREA)
  • Mathematical Physics (AREA)
  • Automation & Control Theory (AREA)
  • Investigating Or Analysing Materials By The Use Of Chemical Reactions (AREA)

Abstract

Pour contrôler la sûreté de fonctionnement d'un système, le procédé comprend des étapes ordonnancées pour: - sélectionner (101) au moins un événement redouté à partir d'une Analyse Préliminaire de Risques ; - construire (103) un premier arbre de défaillance en associant l'événement redouté à une première racine et en branchant un ou plusieurs noeuds fils sur ladite première racine au moyen d'un connecteur logique, un noeud fils comprenant un deuxième arbre de défaillance ou un noeud terminal correspondant à un mode de défaillance; - répertorier (105) dans une structure de données, un ensemble d'une ou plusieurs causes potentielles avec un ou plusieurs niveaux de criticité du mode de défaillance ; - examiner (110, 112-115) le ou les niveaux de criticité.

Description

Procédé pour contrôler la sûreté de fonctionnement d'un système
L'invention concerne un procédé pour contrôler la 5 sûreté de fonctionnement d'un système, notamment mais pas uniquement d'un système de véhicule automobile. Dans le domaine technique de l'invention, on connaît déjà l'Analyse Préliminaire des Risques qui est une méthode permettant d'identifier des Evénements 10 Redoutés d'un système ou d'un composant (Modes de défaillance), ainsi que les risques d'agressions ou de menaces. Les Arbres De Défaillances (ADD) appartiennent à une méthode déductive qui permet de déterminer 15 graphiquement les combinaisons d'événements (scénarios) conduisant à un événement redouté et de calculer la probabilité d'apparition de cet événement. L'Analyse des Modes de Défaillances de leurs Effets et de leurs Criticités (AMDEC) est une méthode inductive 20 réalisée sous forme de tableaux et qui permet, pour un composant ou un système donné, d'identifier tous les modes de défaillances, leurs causes et leurs effets (Evénements Redoutés). Cette méthode peut être réalisée sur un produit ou sur un processus (fabrication ou 25 montage). La méthode APR présente l'inconvénient de n'identifier que des Evénements Redoutés et des causes potentielles par rapports aux autres méthodes de la Sûreté de Fonctionnement. 30 La démarche ADD s'arrête aux modes de défaillances des composants contributeurs en tant que boites noires et considère que ceux-ci sont montés, fabriqués et dans un environnement conforme a l'état de l'Art. Cette méthode permet la quantification de la probabilité d'apparition 35 d'un Evénement Redouté. La méthode AMDEC ne permet pas de voir les combinaisons de scénarios conduisant a un Evénement Redouté et de faire une quantification de la probabilité d'apparition de cet Evénement. Cette méthode peut être très lourde à mettre en oeuvre lorsque la complexité du système augmente, puisque tous les modes de défaillances et toutes les causes associées doivent être examinées. Pour remédier aux problèmes posés par l'état antérieur de la technique, l'invention a pour objet un procédé pour contrôler la sûreté de fonctionnement d'un système, comprenant des étapes ordonnancées pour: - sélectionner au moins un événement redouté à partir d'une Analyse Préliminaire de Risques ; - construire un premier arbre de défaillances en associant l'événement redouté à une première racine et en branchant un ou plusieurs noeuds fils sur ladite première racine au moyen d'un connecteur logique, un noeud fils comprenant un deuxième arbre de défaillance ou un noeud terminal correspondant à un mode de défaillance; - répertorier dans une structure de données, un ensemble d'une ou plusieurs causes potentielles avec un ou plusieurs niveaux de criticité du mode de défaillance ; - examiner le ou les niveaux de criticité. Avantageusement, les étapes ordonnancées pour examiner le ou les niveaux de criticité, comprennent une étape consistant à associer au moins un plan d'action et un premier indicateur à une cause potentielle. Particulièrement, le procédé comprend une étape concluante ordonnancée pour justifier une maîtrise de l'événement redouté.
Plus particulièrement, le procédé comprend pour exécuter l'étape concluante, une étape de scrutation de chaque mode de défaillance de façon à justifier une maîtrise de chaque mode de défaillance. Plus particulièrement encore, le procédé comprend 35 pour exécuter l'étape de scrutation, une étape d'observation de chaque cause potentielle du mode de défaillance scruté de façon à justifier une maîtrise de la cause. Plus particulièrement encore, le procédé comprend pour exécuter l'étape d'observation, une étape de proposition puis de vérification de chaque plan d'action associé à la cause potentielle observée. Avantageusement aussi, le premier indicateur est à trois niveaux signalant chacun respectivement une absence de maîtrise, une indétermination et une maîtrise de la cause. Particulièrement, un deuxième indicateur associé à un mode de défaillance, de composition semblable au premier indicateur, signale dans quelle mesure un objectif est tenu.
L'invention sera mieux comprise, et d'autres buts, caractéristiques, détails et avantages de celle-ci apparaîtront plus clairement au cours de la description explicative qui va suivre faite en référence aux dessins annexés donnés uniquement à titre d'exemple illustrant deux modes de réalisation de l'invention et dans lesquels : la figure 1 est un schéma qui montre des étapes principales du procédé selon l'invention; la figure 2 montre un arbre de défaillances construit au moyen du procédé selon l'invention ; les figures 3 et 4 sont des tables représentatives de modes de défaillances ; les figures 5a, 5b et 5c sont des diagrammes de décision binaire mis en oeuvre par le 30 procédé selon l'invention ; les figures 6 et 7 montrent des arbres de défaillances enrichis par le procédé selon l'invention. De façon à permettre d'étudier et de justifier la sûreté de fonctionnement d'un système, les étapes du 35 procédé de l'invention que nous expliquons à présent, sont ordonnancées pour: sélectionner les événements redoutés issus de l'APR qui seront étudiés ; - construire les arbres de défaillances associés à chaque Événement Redoutés. Chaque Événement Redouté (Tête de l'arbre de défaillance) est associé à une première racine sur laquelle se branchent un ou plusieurs noeuds fils au moyen d'un connecteur logique, un noeud fils comprenant un noeud terminal correspondant à un mode de défaillance ou un deuxième arbre de défaillance qui constitue un sous arbre ou branche d'arbre de défaillance; - répertorier dans une structure de données, un ensemble des causes potentielles issues du produit à la base du système, du processus de fabrication, du processus de montage et des risques d'agressions liés au mode de défaillance ; - examiner le ou les niveaux de criticité de chaque cause pour chaque mode de défaillance. Le procédé selon l'invention prend en compte des causes de défaillance pour chaque mode de défaillances identifié dans la méthode des Arbres De Défaillances pour un ou plusieurs Evénements Redoutés. La maîtrise d'un Evénement Redouté est vérifiée au moyen de deux indicateurs par mode de défaillance.
Un premier indicateur, nommé indicateur quantitatif, est attribué à une tenue de l'objectif en termes de probabilité de défaillance. Un deuxième indicateur, nommé indicateur qualitatif, est attribué à une maîtrise des causes contributrices. En termes de produit, les causes contributrices sont liées aux défaillances internes. En termes de processus, les causes contributrices sont liées à la fabrication et au montage. En termes d'agressions, les causes contributrices sont liées à l'environnement. Les indicateurs sont ensuite consolidés au niveau de chaque porte jusqu'à l'Événement Redouté (ER). Ce procédé permet à la fois d'identifier les modes de défaillances et les causes conduisant à un Evénement Redouté, mais également de contrôler le suivi des plans d'actions et de justifier la maîtrise de l'ER. Le procédé repose sur l'utilisation d'un outil informatique permettant de réaliser les arbres de défaillances et de combiner pour chaque mode de défaillances, un tableau d'identification et de traitement des causes de façon à réaliser l'arbre des causes de chaque mode de défaillance. En référence à la figure 1, l'outil informatique 100 comprend d'une part des moyens conventionnels non représentés tels que processeurs, mémoire à accès aléatoire, mémoire de masse, bus de communication, écran, clavier, souris ou autres organes d'interface homme/machine, et d'autre part des moyens spécifiques ordonnancés pour exécuter les étapes 103 à 105, 110 et 112 à 115 d'un mode de mise en oeuvre de procédé conforme à l'invention pour contrôler la sûreté de fonctionnement d'un système. Les moyens spécifiques comprennent généralement un ou plusieurs programmes d'ordinateur et des structures de données matérialisés en mémoire de masse pour constituer un potentiel de mise en oeuvre du procédé et chargés en mémoire à accès aléatoire pour contrôler et commander les organes d'interface homme/machine de façon à mettre en oeuvre le procédé.
Le procédé permet de contrôler la sûreté de fonctionnement de nombreux systèmes de complexité variée, comprenant des systèmes de production en usines, des véhicules automobiles, d'autres systèmes que ceux du domaine automobile, mais aussi des sous systèmes tels qu'une turbine de propulsion dans un aéronef ou un dispositif d'éclairage dans un véhicule. Une première étape préalable prévue telle qu'une étape 101 consiste à effectuer une analyse fonctionnelle externe du système.
Une seconde étape préalable 102 consiste à effectuer une analyse de risques pour identifier un ou plusieurs événements redoutés. Pour un système d'éclairage de véhicule automobile, un événement redouté est par exemple une extinction intempestive des projecteurs en roulage de nuit. Une troisième étape préalable 120 consiste à effectuer une analyse fonctionnelle interne du système ou de la fonction étudiée pour identifier les constituants ou organes contributeurs et leurs interfaces. Les étapes préalables sont exploitées pour construire dans une étape 103, un arbre de défaillances 10 tel que celui illustré par la figure 2. Les moyens spécifiques d'exécution de l'étape 103 sont agencés pour commander une interface graphique de façon à créer une première racine 44 composée ici d'une cellule supérieure qui contient une étiquette pour 15 désigner la racine dans la mémoire de l'outil informatique 100 et une cellule inférieure pour associer l'événement redouté à la racine 44. Les moyens spécifiques d'exécution de l'étape 103 sont aussi agencés pour commander l'interface graphique de façon à brancher 20 un ou plusieurs noeuds fils 45, 117 sur la racine 44 par un connecteur logique 64. Dans l'exemple illustré, le connecteur logique 64 est conjonctif. Le noeud fils 45 comprend un deuxième arbre de défaillance dont il est la racine avec un connecteur logique 65 qui branche à son 25 tour le noeud 45 sur deux noeuds 46, 47. Le noeud 117 est un noeud atomique lié au contexte de survenance de l'événement redouté. Une étape 104 est combinée à l'étape 103 pour identifier des modes de défaillance et des scénarios 30 conduisant à un ou plusieurs événements redoutés. Chaque mode de défaillance 91, 92, 93, 94, 95, 96, 97, 98, 99 ainsi identifié, est introduit dans l'arbre de défaillance en tant que noeud terminal, souvent nommé feuille, qui lui correspond. Les moyens spécifiques 35 d'exécution de l'étape 103 sont agencés pour commander l'interface graphique de façon à créer un noeud terminal 91, 92 composé ici d'une cellule inférieure qui contient une étiquette pour désigner le mode de défaillance dans la mémoire de l'outil informatique 100 et une cellule supérieure pour associer le mode de défaillance à un noeud terminal. Les scénarios ainsi identifiés, sont utilisés pour brancher les noeuds terminaux 91, 92, 93 sur le noeud 46 par un connecteur logique 66, les noeuds terminaux 94, 95, 96 sur un noeud 48 par un connecteur logique 68, les noeuds terminaux 97, 98, 99 sur un noeud 49 par un connecteur logique 69, le noeud 48 et le noeud 49 sur le noeud 47 par un connecteur 67. Selon les scénarios retenus, certains connecteurs logiques 64, 67 sont conjonctifs (porte logique ET) et d'autres connecteurs logiques 65, 66, 68, 69 sont disjonctifs (Porte logique OU). A la suite ou en parallèle des étapes de construction et d'identification 103, 104, une étape 105 est activée pour répertorier un ensemble d'une ou plusieurs causes potentielles avec un ou plusieurs niveaux de criticité dans une structure de données expliquée maintenant en référence aux figures 3 et 4.
La figure 3 montre une table 118 pointée par le noeud terminal 95 qui correspond à une défaillance du projecteur gauche. Les quatre premières colonnes à gauche sont relatives aux causes du mode de défaillance. Chaque ligne de la première colonne contient le nom du mode de défaillance qui est l'étiquette du noeud correspondant. Chaque ligne de la deuxième colonne contient un titre intelligible du mode de défaillance. Chaque ligne de la troisième colonne contient un libellé de cause de défaillance qui est renseignée par la suite de la ligne dans les autres colonnes. Chaque ligne de la quatrième colonne contient le type de la cause de défaillance selon qu'elle appartient à une classe 106 lorsqu'elle résulte d'agressions, 107 lorsqu'elle résulte de défaillance interne produit, 108 lorsqu'elle résulte de processus fabrication, 109 lorsqu'elle résulte de processus de montage. L'appartenance de la cause de défaillance à l'une des classes, est déterminée par l'analyse fonctionnelle interne du système et l'analyse fonctionnelle externe en ce qui concerne l'influence du milieu extérieur.
Chaque ligne de la cinquième et de la septième colonne contient respectivement une fréquence F et une détection D de la cause évaluées chacune par exemple sur dix niveaux. Chaque ligne de la sixième colonne contient un libellé de moyens de détection et de validation pour remédier à la cause de défaillance. La figure 4 montre une table 119 pointée par le noeud terminal 98 qui correspond à une défaillance du projecteur droit. La structure de données peut comprendre une table différente pour chaque mode de défaillance ou une table unique qui regroupe toutes les lignes associées chacune à une cause de défaillance en différentiant le mode de défaillance auquel elles appartiennent au moyen des deux première colonnes.
A la suite des étapes 103 à 105 qui ont permis la construction de l'arbre de défaillances en combinaison avec les modes de défaillances, le procédé comprend une ou plusieurs étapes 110, 112 à 115 pour examiner le ou les niveaux de criticité de l'événement redouté.
Particulièrement, l'étape 110 consiste à associer un plan d'action et un indicateur à chaque cause potentielle, énoncés respectivement en huitième et en onzième colonne de la ou des tables 118, 119. Le procédé prend en compte une cotation en termes de fréquence et de détection/validation de la cause de défaillance, de manière compatible avec des méthodes connues telles que l'AMDEC (Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité) et l'APR (Analyse Préliminaire des Risques). Le procédé comprend des niveaux paramétrables associés à la fréquence et à la détection des défaillances qui sont fixés par l'utilisateur. La cotation de la gravité n'est plus utile car elle est liée à l'Evénement Redouté étudié. La criticité de la cause de défaillance est le produit de la fréquence et de la détection. Un seuil d'acceptabilité sur la criticité, est paramétrable par l'utilisateur. L'utilisateur se fixe des niveaux pour les indicateurs qualitatifs et quantitatifs. La consolidation des indicateurs au niveau de chaque noeud comprenant un mode de défaillance ou une porte logique, permet de consolider la maîtrise de l'Evénement Redouté. On notera qu'une porte logique est l'association d'un connecteur logique à un noeud de l'arbre de défaillances.
Avant de commencer une étude, l'utilisateur doit se fixer des cotations pour les niveaux de Fréquence F et de détection/validation D, ainsi qu'un seuil d'acceptabilité. Par exemple, l'utilisateur peut se fixer une grille à dix niveaux comme pour l'AMDEC, ou une grille avec le même nombre de niveaux que les AMDEC (si différent de dix) pour pouvoir recopier les résultats d'études de niveau inférieur, notamment en provenance des fournisseurs. Pour une cotation de F et D chacune à dix niveaux, le seuil d'acceptabilité peut être de vingt sur un produit susceptible d'atteindre au maximum cent. L'utilisateur peut également se fixer plusieurs niveaux pour les indicateurs qualitatifs et quantitatifs. Sur deux niveaux, par exemple une couleur verte et une couleur rouge de l'indicateur qualitatif indiquent respectivement une cause maîtrisée (F*D<=20) et une cause non maîtrisée. Une couleur verte et une couleur rouge de l'indicateur quantitatif indiquent respectivement un objectif tenu et un objectif non tenu. Sur trois niveaux, par exemple une couleur intermédiaire orange introduite entre la couleur verte et la couleur rouge de l'indicateur qualitatif, indique une maîtrise de la cause non encore démontrée ou une difficulté de maîtriser la cause (20<F*D<=40). Une couleur intermédiaire orange introduite entre les couleurs verte et rouge de l'indicateur quantitatif, indique une absence de quantification ou une proximité d'atteinte de l'objectif. Une détection de cause non maitrisée doit conduire à la mise en place d'un plan d'actions, de façon à faire chuter les notes F et D pour obtenir un seuil de criticité acceptable pour considérer la cause maîtrisée.
Pour chacun des Evénements redoutés que l'utilisateur veut étudier, il réalise l'arbre de défaillances. Il identifie chacun des modes de défaillances conduisant aux ER. Par la suite, l'outil détectant une sélection de mode de défaillance par l'utilisateur, lui présente un tableau qui reproduit les lignes de la table 118, 119, liée au mode de défaillance de façon à lui permettre de saisir les causes potentielles de chacun des modes identifiés en précisant la cause, le type de cause (produit, processus, agressions), la cotation en fréquence, les moyens de détections ou de validations, la cotation en Détection/validation, les plans d'actions dans les huit premières colonnes et enfin l'indicateur de maîtrise de la cause en onzième colonne.
L'utilisateur peut également ajouter des pilotes, responsabilités et délais pour les plans d'actions de chacune des causes identifiées respectivement en neuvième et en dixième colonne de l'exemple de réalisation présenté à titre purement illustratif et non limitatif sur les figures 3 et 4. Notamment, l'ordre des colonnes et leur nombre sont indifférents. Pour chaque mode de défaillance, l'utilisateur saisit l'objectif et le résultat de quantification (probabilité). L'écart lui donne l'indicateur quantitatif.
L'outil consolide ensuite automatiquement les indicateurs en remontant jusqu'à l'événement redouté.
La figure 5a montre des étapes de procédé pour générer un indicateur CMD (Causes du Mode de Défaillance) consolidé de mode de défaillance en retenant la valeur la plus élevée des indicateurs présents dans le mode de défaillance. Des étapes de test exécutées automatiquement par ordinateur, sont représentées ici par des ellipses en employant certaines conventions de parcours des diagrammes de décision binaire, à savoir celles de passer à l'étape indiquée par une flèche descendant à droite lorsque le prédicat énoncé dans l'étape de test est vrai et de passer à l'étape indiquée par une flèche descendant à gauche lorsque le prédicat énoncé dans l'étape de test est faux.
Pour chaque mode de défaillance MD, le procédé passe d'une étape 30 qui scrute une première ligne du tableau associé au mode de défaillance, à une étape 31 dans laquelle l'indicateur CMD du mode de défaillance est mis à la valeur verte par défaut.
Si un indicateur quantitatif 1C ou qualitatif 2C de la ligne scrutée, est détecté rouge dans l'étape 32 ou respectivement dans l'étape 33, une étape 34 qui termine la séquence de tests, est activée pour mettre l'indicateur CMD à la valeur rouge.
Sinon, dans le cas où les indicateurs sont à seulement deux niveaux, vert et rouge, une étape 39 est activée pour déterminer si une ligne du tableau suit la ligne scrutée. Si une ligne suivante CS existe, une étape 42 est activée pour considérer la ligne CS comme nouvelle ligne C à scruter et pour reboucler sur l'étape 32. S'il n'existe pas de ligne suivante, une étape 43 termine la séquence de tests dans laquelle l'indicateur CMD est resté à sa valeur verte initiale. Dans le cas où les indicateurs sont à plus de deux niveaux, par exemple à trois niveaux parmi lesquels un niveau orange s'intercale entre les niveaux vert et rouge, une étape 38 est activée si l'indicateur quantitatif 1C, qualitatif 2C de la ligne scrutée ou l'indicateur consolidé CMD, est détecté orange dans l'étape 35, 36 ou respectivement dans l'étape 37, une étape 38 est activée. Si une ligne suivante CS existe, une étape 40 est activée pour considérer la ligne CS comme nouvelle ligne C à scruter et pour reboucler sur l'étape 32. S'il n'existe pas de ligne suivante, une étape 41 termine la séquence de tests dans laquelle l'indicateur CMD est mis à la valeur orange. L'étape 39 est activée si aucun des indicateurs n'est ni à la valeur rouge, ni à la valeur orange de sorte que l'indicateur CMD reste à la valeur verte dans l'étape 42 ou 43. La consolidation au niveau de l'arbre de défaillances se fait de la façon suivante.
Une étape 50 teste si le connecteur logique qui relie un noeud courant de l'arbre de défaillances à ses noeuds fils NF, est disjonctif, représenté par <-1 sur la figure 5b. En cas de réponse positive, un indicateur de synthèse S est généré de façon identique à l'indicateur consolidé C de mode de défaillance. C'est le mode de défaillance le plus critique de l'arbre de défaillances qui impose sa valeur d'indicateur à l'événement redouté car sur ce type de connecteur, les indicateurs se consolident directement.
Ainsi, la figure 5b illustre un mode de réalisation dans lequel chaque noeud fils du noeud associé à l'événement redouté observé étant un noeud associé à un mode de défaillance ou un noeud associé à un autre événement redouté qui induit l'événement redouté observé, les noeud fils sont scrutés un à un après avoir positionné l'indicateur S de synthèse à la valeur verte par défaut dans une étape 51. L'indicateur S est définitivement rendu rouge dans une étape 54 dès qu'un indicateur quantitatif 1NF ou qualitatif 2NF de noeud fils est détecté rouge dans une étape 52 ou 53. L'indicateur S garde sa valeur verte à chaque passage dans une étape 62 qui reboucle sur l'étape 52 après détection d'un noeud fils suivant NFS dans une étape 59 puis dans l'étape finale 63 lorsque tous les indicateurs de noeuds fils ont été détectés verts. Dans le cas d'indicateurs à plus de deux niveaux, par exemple comprenant un niveau intermédiaire de valeur orange, l'indicateur S de synthèse est mis au niveau intermédiaire si l'un des indicateurs 1NF, 2NF ou S est détecté au niveau intermédiaire dans une étape 55, 56 ou 57, dans une étape 60 qui reboucle sur l'étape 52 après détection d'un noeud fils suivant NFS dans une étape 58 puis dans l'étape finale 61 lorsque tous les indicateurs de noeuds fils ont été scrutés sans détection d'indicateur de niveau supérieur. Lorsque le connecteur logique qui relie un noeud courant de l'arbre de défaillances à ses noeuds fils NF, est conjonctif, par exemple détecté & dans une étape 70 du mode de réalisation illustré par la figure 5c, l'indicateur S de synthèse est Orange ou Rouge si un indicateur quantitatif 1NF est Orange ou Rouge. De tels cas sont illustrés sur la figure 5c par les parcours d'étapes 7277, 727274,78,828284 et 727274,86,88,89. Si l'indicateur quantitatif 1NF est Vert ou Orange, l'indicateur de synthèse S dépend de l'indicateur qualitatif 2NF de chaque contributeur.
Si plusieurs indicateurs qualitatifs 2NF sont rouges alors l'indicateur de synthèse S est rouge comme illustré par le parcours d'étapes 727275,76,72727275,77. Si un seul indicateur qualitatif 2NF est rouge alors l'indicateur de synthèse S est orange comme illustré par le parcours d'étapes 727275,76,80. Si plusieurs indicateurs qualitatifs 2NF sont oranges alors l'indicateur de synthèse S est orange comme illustré par le parcours d'étapes 727274,78,8282727274,78,80. Si au plus un indicateur qualitatif 2NF est orange et si l'indicateur quantitatif 1NF est vert, alors l'indicateur de synthèse S est vert comme illustré par le parcours d'étapes 71,72,73,74,86,87,72,73,74,78, 81,82,25,85. Sinon, l'indicateur S de synthèse est vert comme illustré par le parcours d'étapes 71,72,73,74,86,88,26,90. Un mode de défaillance non maîtrisé peut être sans impact s'il intervient dans l'arbre de défaillance par un connecteur logique conjonctif. On notera que dans ce cas, le mode de défaillance non maîtrisé conduit certainement à un Evénement Redouté différent et de gravité différente. Ce dernier est donc non maîtrisé. A partir de l'étape 110, l'outil génère une transmission de plans d'actions d'une part à destination des fournisseurs pour les causes de défaillance des classes 107 et 108 et certaines causes de défaillance de la classe 106 et d'autre part à destination des services de montage pour les causes de défaillance de la classe 109 et d'autres causes de défaillance de la classe 106. La transmission a pour but de déclencher chez chaque destinataire une étape 111 d'exécution des plans d'actions reçus. L'étape 112 est ordonnancée pour suivre les plans d'actions générés en étape 110, par exemple au moyen d'une surveillance automatique des délais listés en neuvième colonne de la structure de donnée et en remettant à jour notamment les cinquième et septième colonnes de la structure de donnée. Dans l'étape 113, chaque changement de valeur de la fréquence ou de la détection qui résulte d'un retour de l'étape 111, a pour effet de remettre à jour automatiquement l'indicateur de la ligne correspondante de façon à vérifier et de valider chaque plan d'action associé à une cause potentielle observée sur une ligne de table relative à un mode de défaillance.
L'étape 114 consiste à observer les causes potentielles d'un mode de défaillance scruté de façon à justifier une maîtrise de chaque cause du mode de défaillance. L'outil consolide automatiquement les indicateurs des modes de défaillance à partir des indicateurs des causes en utilisant la séquence de tests expliquée ci-dessus en référence à la figure 5a.
Ainsi la couleur verte des indicateurs 5 à 9 représentés sur les figures 6 et 7, signale que les indicateurs de toutes les causes de défaillance de chaque mode de défaillance auquel correspond l'un des noeuds terminaux 95 à 99, sont verts.
La couleur rouge de l'indicateur 4, signale qu'au moins une cause de défaillance du mode de défaillance auquel correspond le noeud terminal 94, a un indicateur rouge. La couleur orange des indicateurs 1 à 3, signale que chaque mode de défaillance auquel correspond l'un des noeuds terminaux 91 à 93, possède au moins une cause de défaillance avec un indicateur orange. Le procédé comprend aussi une étape 115 de scrutation de l'arbre de défaillances de façon à justifier une maîtrise de chaque mode de défaillance. En référence aux figures 2, 5b et 6, une scrutation du noeud 48 détecte un connecteur logique disjonctif 68 qui fait passer l'exécution automatique du procédé de l'étape 50 à l'étape 51 puis à l'étape 52 pour le premier noeud 94 branché sur le noeud 48 dont la couleur rouge de l'indicateur 4 mène directement à l'étape 54 qui positionne un indicateur 11 à la couleur rouge. Une scrutation du noeud 49 détecte un connecteur logique disjonctif 69 qui fait passer l'exécution automatique du procédé de l'étape 50 à l'étape 51 puis à l'étape 52 pour le premier noeud 97 branché sur le noeud 49 dont la couleur verte de l'indicateur 7 mène à l'étape 59 qui décèle un noeud suivant 98 dont la couleur verte de l'indicateur 8 mène à nouveau à l'étape 59 en rebouclant par les étapes 62 puis 52, 53 et 55 à 57. L'indicateur 9 de couleur verte du dernier noeud suivant 99 décelé dans l'étape 59 mène alors à l'étape 63 qui termine le parcours du diagramme de décision binaire en laissant à la couleur verte, l'indicateur 12 correspondant à l'indicateur de synthèse S qui est positionné dans l'étape 51.
Une scrutation du noeud 47 détecte un connecteur logique conjonctif 69 qui, en référence à la figure 5c, fait passer l'exécution automatique du procédé de l'étape 70 à l'étape 71 dans laquelle un indicateur intermédiaire S2 est initialisé à la couleur verte. Dans l'étape 73, une détection de la couleur rouge pour l'indicateur 11 associé au noeud 48, mène à l'étape 75 qui, détectant une couleur verte pour l'indicateur intermédiaire S2, positionne l'indicateur intermédiaire S2 à la couleur rouge pour compter un premier passage par un indicateur qualitatif de couleur rouge. Dans l'étape 26, suite à une détection de la couleur ni rouge ni orange pour l'indicateur 12 associé au noeud 49, une détection de couleur rouge pour l'indicateur intermédiaire S2 mène à l'étape 89 qui positionne l'indicateur de synthèse S, correspondant ici à l'indicateur 13 à la couleur orange. La couleur orange de l'indicateur 13, alerte l'utilisateur sur le défaut de l'un des deux projecteurs car le noeud 47 considère un défaut des deux projecteurs.
Si le noeud 47 est remplacé par un noeud 28 tel que représenté en figure 7, c'est la perte ou l'absence d'un seul projecteur qui est surveillée. Le connecteur logique disjonctif 27 déclenche alors la succession d'étapes automatiques 50 à 54 qui met le voyant 29 à la couleur rouge. Sur la figure 6, le voyant 14 associé au noeud 45 est orange car les voyants 10 et 13 sont oranges. Le voyant 15 est orange comme le voyant 14. L'étape concluante 116 est ordonnancée pour justifier une maîtrise de l'événement redouté en recherchant dans chaque branche de l'arbre de défaillances comment modifier l'état des voyants pour obtenir un voyant vert à la racine de l'arbre de défaillances. Le procédé qui vient d'être décrit permet de gagner du temps en ne réalisant pas simultanément les trois méthodes APR agressions, ADD et AMDEC produit, processus fabrication, processus montage. Techniquement, elle permet de justifier de la maîtrise des Evénements identifiés en prenant en compte tous les aspects de la sûreté de fonctionnement.

Claims (8)

  1. REVENDICATIONS1. Procédé pour contrôler la sûreté de fonctionnement d'un système, comprenant des étapes ordonnancées pour: - sélectionner (101) au moins un événement redouté à partir d'une Analyse Préliminaire de Risques ; - construire (103) un premier arbre de défaillances en associant l'événement redouté à une première racine et en branchant un ou plusieurs noeuds fils sur ladite première racine au moyen d'un connecteur logique, un noeud fils comprenant un deuxième arbre de défaillance ou un noeud terminal correspondant à un mode de défaillance; - répertorier (105) dans une structure de données, un ensemble d'une ou plusieurs causes potentielles avec un ou plusieurs niveaux de criticité du mode de défaillance ; - examiner (110, 112-115) le ou les niveaux de criticité.
  2. 2. Procédé selon la revendication 1, caractérisé en ce que les étapes ordonnancées pour examiner le ou les niveaux de criticité, comprennent une étape (110) consistant à associer au moins un plan d'action et un premier indicateur à une cause potentielle.
  3. 3. Procédé selon la revendication 2, caractérisé en ce qu'il comprend une étape concluante (116) ordonnancée pour justifier une maîtrise de l'événement redouté.
  4. 4. Procédé selon la revendication 3, caractérisé en ce que, pour exécuter l'étape concluante (116), il comprend une étape (115) de scrutation de chaque mode de défaillance de façon à justifier une maîtrise du mode de défaillance.
  5. 5. Procédé selon la revendication 4, caractérisé en ce que, pour exécuter l'étape (115) de scrutation, il comprend une étape (114) d'observation de chaque cause potentielle du mode de défaillance scruté de façon à justifier une maîtrise de la cause.
  6. 6. Procédé selon la revendication 5, caractérisé en ce que, pour exécuter l'étape (114) d'observation, il comprend une étape (113) de vérification de chaque plan d'action associé à la cause potentielle observée.
  7. 7. Procédé selon l'une des revendications 2 à 6, dans lequel le premier indicateur est à trois niveaux signalant chacun respectivement une absence (rouge) de maîtrise, une indétermination (orange) et une maîtrise (vert) de la cause.
  8. 8. Procédé selon la revendication 7, dans lequel un deuxième indicateur associé à un mode de défaillance, de composition semblable au premier indicateur, signale dans quelle mesure un objectif est tenu.
FR0954208A 2009-06-22 2009-06-22 Procede pour controler la surete de fonctionnement d'un systeme Withdrawn FR2947080A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0954208A FR2947080A1 (fr) 2009-06-22 2009-06-22 Procede pour controler la surete de fonctionnement d'un systeme

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0954208A FR2947080A1 (fr) 2009-06-22 2009-06-22 Procede pour controler la surete de fonctionnement d'un systeme

Publications (1)

Publication Number Publication Date
FR2947080A1 true FR2947080A1 (fr) 2010-12-24

Family

ID=41716462

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0954208A Withdrawn FR2947080A1 (fr) 2009-06-22 2009-06-22 Procede pour controler la surete de fonctionnement d'un systeme

Country Status (1)

Country Link
FR (1) FR2947080A1 (fr)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014018190A1 (fr) * 2012-07-24 2014-01-30 General Electric Company Systèmes et procédés pour opérations sur la fiabilité de régulation
US9043263B2 (en) 2012-07-24 2015-05-26 General Electric Company Systems and methods for control reliability operations using TMR
US9201113B2 (en) 2012-12-17 2015-12-01 General Electric Company Systems and methods for performing redundancy tests on turbine controls
FR3026882A1 (fr) * 2014-10-02 2016-04-08 Snecma Procede de determination d'au moins un equipement defaillant d'un aeronef et systeme correspondant
US9665090B2 (en) 2012-07-24 2017-05-30 General Electric Company Systems and methods for rule-based control system reliability
US9912733B2 (en) 2014-07-31 2018-03-06 General Electric Company System and method for maintaining the health of a control system
CN108550263A (zh) * 2018-06-01 2018-09-18 哈尔滨工业大学 一种基于故障树模型的高速公路交通事故成因分析方法
CN110097219A (zh) * 2019-04-19 2019-08-06 深圳市德塔防爆电动汽车有限公司 一种基于安全树模型的电动车辆运维优化方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002351538A (ja) * 2001-05-24 2002-12-06 Honda Motor Co Ltd 製造工程の管理方法
US20060085108A1 (en) * 2004-10-14 2006-04-20 Jeff Grier Prioritized test procedure and step display using statistical feedback
WO2007086823A2 (fr) * 2004-12-21 2007-08-02 University Of Virginia Patent Foundation Procédé et système d'évaluation probabiliste dynamique des risques
DE102006019896A1 (de) * 2006-04-28 2007-10-31 Siemens Ag Verfahren zur Fehlerbaumanalyse
JP2007284027A (ja) * 2006-04-20 2007-11-01 Hino Motors Ltd 車載故障診断制御装置
FR2910986A1 (fr) * 2007-01-03 2008-07-04 Airbus France Sas Methode de prediction de la fiabilite operationnelle d'un systeme avionique.
WO2009037042A2 (fr) * 2007-09-14 2009-03-26 Siemens Aktiengesellschaft Procédé et dispositif de détermination d'une probabilité d'admission
US20090083576A1 (en) * 2007-09-20 2009-03-26 Olga Alexandrovna Vlassova Fault tree map generation

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002351538A (ja) * 2001-05-24 2002-12-06 Honda Motor Co Ltd 製造工程の管理方法
US20060085108A1 (en) * 2004-10-14 2006-04-20 Jeff Grier Prioritized test procedure and step display using statistical feedback
WO2007086823A2 (fr) * 2004-12-21 2007-08-02 University Of Virginia Patent Foundation Procédé et système d'évaluation probabiliste dynamique des risques
JP2007284027A (ja) * 2006-04-20 2007-11-01 Hino Motors Ltd 車載故障診断制御装置
DE102006019896A1 (de) * 2006-04-28 2007-10-31 Siemens Ag Verfahren zur Fehlerbaumanalyse
FR2910986A1 (fr) * 2007-01-03 2008-07-04 Airbus France Sas Methode de prediction de la fiabilite operationnelle d'un systeme avionique.
WO2009037042A2 (fr) * 2007-09-14 2009-03-26 Siemens Aktiengesellschaft Procédé et dispositif de détermination d'une probabilité d'admission
US20090083576A1 (en) * 2007-09-20 2009-03-26 Olga Alexandrovna Vlassova Fault tree map generation

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DR. STEFAN VORBACH: "Fehlerbaumanalyse", UNIVERSITÄT GRAZ, - 2005, XP002571084, Retrieved from the Internet <URL:http://www-classic.uni-graz.at/inmwww/NEU/lehre/pdf/Rabl_Fehlerbaumanalyse.pdf> *
HUGUES E ET AL: "Methods to assess the operational reliability of an aircraft system: problemof dependency between component states", LAAS REPORT, XX, XX, no. 6449, 1 June 2006 (2006-06-01), XP008083016 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014018190A1 (fr) * 2012-07-24 2014-01-30 General Electric Company Systèmes et procédés pour opérations sur la fiabilité de régulation
US9043263B2 (en) 2012-07-24 2015-05-26 General Electric Company Systems and methods for control reliability operations using TMR
US9218233B2 (en) 2012-07-24 2015-12-22 Paul Venditti Systems and methods for control reliability operations
US9665090B2 (en) 2012-07-24 2017-05-30 General Electric Company Systems and methods for rule-based control system reliability
US9201113B2 (en) 2012-12-17 2015-12-01 General Electric Company Systems and methods for performing redundancy tests on turbine controls
US9912733B2 (en) 2014-07-31 2018-03-06 General Electric Company System and method for maintaining the health of a control system
FR3026882A1 (fr) * 2014-10-02 2016-04-08 Snecma Procede de determination d'au moins un equipement defaillant d'un aeronef et systeme correspondant
US10683101B2 (en) 2014-10-02 2020-06-16 Safran Aircraft Engines Method for determining at least one faulty piece of equipment of an aircraft, and corresponding system
CN108550263A (zh) * 2018-06-01 2018-09-18 哈尔滨工业大学 一种基于故障树模型的高速公路交通事故成因分析方法
CN108550263B (zh) * 2018-06-01 2021-03-23 哈尔滨工业大学 一种基于故障树模型的高速公路交通事故成因分析方法
CN110097219A (zh) * 2019-04-19 2019-08-06 深圳市德塔防爆电动汽车有限公司 一种基于安全树模型的电动车辆运维优化方法
WO2020211846A1 (fr) * 2019-04-19 2020-10-22 深圳市德塔防爆电动汽车有限公司 Procédé d'optimisation de fonctionnement et de maintenance de véhicule électrique basé sur un modèle d'arbre de sécurité

Similar Documents

Publication Publication Date Title
FR2947080A1 (fr) Procede pour controler la surete de fonctionnement d&#39;un systeme
EP1899887B1 (fr) Procede et systeme de reperage et de filtrage d&#39;informations multimedia sur un reseau
CN109684481A (zh) 舆情分析方法、装置、计算机设备和存储介质
FR2989499A1 (fr) Procede, dispositifs et programme d&#39;ordinateur d&#39;aide au diagnostic preventif d&#39;un systeme d&#39;un aeronef, utilisant des graphes d&#39;evenements redoutes
CN109118353A (zh) 风控模型的数据处理方法和装置
BE1008621A3 (fr) Procedure et procede de communication entre machines et procede generalise de preparation de programmes afferents.
CN109213773A (zh) 一种在线故障的诊断方法、装置及电子设备
FR2751106A1 (fr) Methode de planification de transactions distribuees
CA2583118C (fr) Dispositif de traitement de donnees a definition formelle
Schönfeld et al. Discursive landscapes and unsupervised topic modeling in IR: A validation of text-as-data approaches through a new corpus of UN Security Council speeches on Afghanistan
CA2370693C (fr) Systeme et methode de pilotage d&#39;un processus decisionnel lors de la poursuite d&#39;un but globale dans un domaine d&#39;application determine
FR2891929A1 (fr) Procede de configuration-reconfiguration d&#39;affichage pour un ensemble de dispositifs de visualisation
CN109739888A (zh) 同案同判方法和系统
EP2629201A1 (fr) Procédé et système de détection d&#39;anomalies à solutionner dans un aéronef
FR2902913A1 (fr) Procede et dispositif de codage d&#39;une note de similarite semantique et spatiale entre concepts d&#39;une ontologie memorisee sous forme de treillis numerote hierarchiquement
WO2014135771A1 (fr) Procédé de traitement d&#39;un ensemble de données destinées à être utilisées ultérieurement en vue de la génération graphique d&#39;un schéma électrique d&#39;un système électrique
WO2014135770A1 (fr) Procede de gestion de donnees relatives a des vehicules automobiles en vue de la generation graphique ulterieure de schemas electriques de systemes electriques
EP2006783A1 (fr) Procédé de description coopérative d&#39;objets médias
CN105843941A (zh) 日志校验方法及装置
EP0331551B1 (fr) Automate programmable par langage structuré
CN114584453A (zh) 一种应用系统的故障分析方法及装置
EP2599045A1 (fr) Procédé d&#39;exécution parallèle d&#39;un processus informatique par un bus applicatif
US11487586B2 (en) Time-based element management in a computer system using temporal node trees
US20060167923A1 (en) Method and a system for process discovery
CN116225967B (zh) 基于集合枚举树和剪枝策略的分布式数据库测试方法

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 8

ST Notification of lapse

Effective date: 20180228