Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
La Sureté De Fonctionnement
Stéphane COLONGES – Laboratoire APC 19 Novembre 2015
Sureté de fonctionnement
• Définition et enjeux • Planifier • Faire • Vérifier • Réagir • Conclusion
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 2
Définition et enjeux
• La sûreté de fonctionnement est l'aptitude d'un système
à remplir une ou plusieurs fonctions requises dans des conditions données
• RAMS: Reliability Availability Maintainability and Safety
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 3
Définition et enjeux
• Sécurité • Disponibilité /Performances Effet collatéral: • Coût financier et image de marque / confiance / rappel
de produits en masse
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 4
Définition et enjeux - Exemples
• Explosion d'Ariane 5 (4 Juin 1996)… • Pannes de sondes Pitot (Vol Air-France Paris-Rio) • Cœur Artificiel Carmat (2 mai 2015: défaut de pilotage des
moteurs) • Cyber sécurité: Véhicule autonome (Google car) • Un incendie 9 octobre 2015 local technique RER A: 1200
000 voyageurs impactés • Rappel de produits:
Exemple: Citroën C4/DS4/C5/C8…: (Échauffement localisé d’une connexion)
Sureté De Fonctionnement ANF Assurance Produit – 18/11/2015
Diapo: 5
Définition et enjeux - (Science Terre-mer-espace)
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 6
Auger
Taranis
KM3NET
HESS/CTA
Accès difficile, Complexité,
Environnements sévères,
Longue durée de vie…
Définition et enjeux – Origine des défaillances
Utilisation: • Humaines • Environnement • Profil de vie Techniques: • Logicielles (plus de 80% des cas) • Mécaniques (usure, détérioration) • Electroniques (défaillance des composants) • Electriques (Usure des contacts, conducteurs et isolants)
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 7
Définition et enjeux - Diagramme de causes à effets
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 8
Définition et enjeux
• Ingénieriefiabilité:Concevoir et dimensionner des produits fiables et robustes en optimisant les coûts et les délais de développement.
• An0ciperettraiterlesdéfaillances:
- Prévoir maintenance: évaluer la fiabilité des systèmes
afin de prévoir les éléments de rechanges, ressources et procédures
- Enregistrer/tracer les défaillances - Testabilité, monitoring: savoir détecter les pannes
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 9
Définition et enjeux - Méthodologie
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 10
• AMDEC • Probabilités
de défaillance
• Améliorer / Durcir • Réduire les
contraintes • Plan de maintenance
et de récupération
• Analyser fonctionnellement
• Concevoir • Définir les process • Définir les
exigences • Lister les
contraintes
Planifier
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 11
Planifier – Exigences et contraintes
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 12
Faire
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 13
• Analyser fonctionnellement
• Concevoir • Définir les process
Faire – Analyse fonctionnelle et conception
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 14
Vérifier
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 15
• AMDEC • Probabilités
de défaillance
Vérifier – Modes de défaillances
AMDEC: Analyse des Modes de Défaillances , de leurs Effets et de leur Criticité (Brainstorming) En Anglais: FMECA: Failure Modes, Effects, and Criticality Analysis Parfois dit en simplifié: FMEA: Failure Mode Effect Analysis ou AMDE en Français
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 16
Vérifier – Analyse de risques
Différence entre analyse de risque et AMDEC? APR: Analyse Préliminaire de risque Permet d’identifier les risques liés au projet: • Management (Ressources financières et
humaines) • Approvisionnements (Monopoles, obsolescence) • Risques techniques (défaillances, Sécurité,
Solution ne répondant pas aux besoins) • Ressources matérielles • Sous-traitance et production
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 17
Vérifier – Analyse de risques
1ere étape de construction de la sûreté de fonctionnement d’un système, l’APR: • Est une liste non exhaustive des évènements redoutés • Est réalisée à un niveau macroscopique • S’applique à tout ou partie du cycle de vie du système • Permet de déterminer les risques qui feront l'objet d'une
démarche approfondie d'analyse des risques, notamment à l'aide d'autres méthodes de la sûreté de fonctionnement (en particulier AMDEC)
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 18
AMDEC MOYEN
DE PRODUCTION (ou système): Assurer la disponibilité d’un
Moyen de production en Améliorant sa conception, son exploitation ou sa maintenance
AMDEC PROCESSUS: Analyse des opérations de production pour améliorer la
QUALITE de FABRICATION et la fiabilité du produit (défaut de jeunesse). S’assurer du respect des
spécifications (respect normes, coûts, délais…)
AMDEC PRODUIT: Analyse de la Conception d ’un produit
pour améliorer sa QUALITE et sa FIABILITE (et sa sécurité). S’assurer de respect des exigences
Clients (performances, contraintes…)
ON PARLE MAINTENANT EGALEMENT D ’AMDEC SERVICE…ET D ’AMDEC FOURNISSEURS...
AMDEC SECURITE: Analyse des défaillances
et des Risques prévisionnels sur un équipement
pour améliorer la Sécurité et la FIABILITE
Vérifier – Modes de défaillances
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 19
• Bloc/Composant : Nom ou numéro du bloc fonctionnel
• Fonction : Description concise de la fonction réalisée • Mode de défaillance : « Qu’est-ce qui pourrait aller mal ? » • Causes possibles : « Quelles pourraient être les causes ? » • Effet : Local puis sur le système (propagation de pannes)
• Priorisation du risque : Sn, Pn, Cn • Modes de détection : Comment peut-on observer cette défaillance ? • Mesures de prévention/diminution du risque • Recommandations et remarques : Remarques complémentaires
A 111 / BC408
Détecter électrons relativistes (A111)
Collection lumière réduite
Mauvaise collection lumière (jointoptique)
Efficacité réduite del'UD
Perte de sensibilitédu senseur
2 2 8
Taux d'évènementréduit sur l'UD, etcharge mesuréeréduite
Exhaustivité tests envibration et chocs
Sur le systèmeSN PN
LocalId
Bloc/ Composant
FonctionMode de
défautCause probable
Recommandations et remarques
EffetCN
Modes de détection / Symptomes observables
Mesures de prévention ou de
diminution du risque /Actions correctives
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 20
Vérifier – Modes de défaillances
Reliability Block Diagram :
Identifier les points de défaillance
uniques
Analyse fonctionnelle
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 21
FTA: Fault Three Analysis
Vérifier – Effets locaux et sur le système
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 22
Fonction Mode Cause Effet Cn Pn Dn Méthode détection
Action corrective
Criticality/Detectability 1 2 3 4 16 8 4 2 1
! Criticité = probabilité x gravité Non Acceptabilité (Indice Priorisation risque)
= probabilité x gravité x détectabilité
Démarche récursive: on traite en premier le risque le plus élevé et ainsi de suite jusqu’à ne conserver que des niveaux de risques acceptables
Vérifier – Modes de défaillances
Gravité ou Sévérité (SN: Severity Number): - 1: Effet ou dommage mineur ou négligeable - 2: Majeur: Opération dégradée - 3: Critique: Perte de l’équipement - 4: Catastrophique
• Sécurité compromise (mort, blessure, pollution ...) • Propagation de panne: Perte de la mission ou infrastructure, Perte financière importante (> 50% du coû du projet – Retard > 1 an)
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 23
Vérifier – Modes de défaillances
Détectabilité (DN: detectability Number) : - 4: Quasi impossible - 3: Difficile - 2: Possible - 1: Certaine
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 24
Vérifier – Modes de défaillances
Probabilité (PN: Probability Number): - 1: Très faible (Probabilité ≤ 0,1%) - 2: Faible (0,1% <Probabilité ≤ 1%) - 3: Moyenne (1% <Probabilité ≤ 10%) - 4: Elevée (Probabilité> 10%) Probabilité de défaillance F(t) exprimée ici en % en regard de la durée de vie de l’équipement:
F(t)= 1- e-λt
Avec λ le nombre de défaillance / milliard d’heures
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 25
Vérifier – Modes de défaillances
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 26
Evaluer le taux de défaillance
Analyse « derating » (ou de niveau de contrainte)
Récursivité: on cherche à obtenir des niveaux de risques acceptables
Vérifier – Modes de défaillances
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 27
FIT (ou λ) Failure In Time è nombre de défaut pour la période
(exprimé en défauts par milliard d’heures pour l’électronique) (Failure number / 109 hours) MTTF: Mean Time To Failure (en heure ou Année)
è Temps Moyen Avant Défaillance (non réparable) MTBF: Mean Time Between Failure
è Temps Moyen Entre Défaillances
MTTR: Mean Time To Repair
è Temps Moyen pour Réparer
MTTF (ou MTBF) = 1/λ
Vérifier – Taux de défaillances
Des recueils, standards, référentiels: Ils sont le support de l’ingénierie fiabilité Ils permettent de calculer les probabilités de défaillance • Mécanique :
– Les bases de données NPRD95, Tables AVCO… – Le référentiel NSWC 98 ou autres… Calculs…
• Electronique: FIDES, RDF2000, MIL HDBK217… • Logiciel: DO178 (Software considerations in airborne
systems and equipment certification), ECSS-E-ST-40C (software engineering), ECSS-Q-ST-60-02C
(Asic and FPGA development) • Les données constructeurs (MTTF évalué,
retour d’expérience, ou essais sur échantillons)
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 28
Vérifier – Evaluer la probabilité de défaillance
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 29
A partir d’une probabilité de défaillance donnée pour des conditions environnementales définies, il est possible de déduire une probabilité de défaillance pour des conditions différentes en utilisant des lois d’accélération: • Température: Loi d’Arrhenius • Variation de température: Norris Landzberg • Vibration: loi de puissance inversée • Humidité: Loi de Peck
Vérifier – Evaluer la probabilité de défaillance
Desloisderépar00ondesdéfaillances:EnFormedebaignoire:-Jeunesse:mortalitéinfan3le,défautsdeconcep3onoufabrica3on-VieU3le:tauxdedéfaillancealéatoireetconstant-Vieillesse:Augmenta3ondutauxdedéfaillanceavecletemps(concernepeulescomposantsélectroniques)Selon une loi de Weibull pour la mécanique (pas de période de vie utile : le vieillissement commence dès le début d’utilisation)
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 30
Vérifier – Evaluer la probabilité de défaillance
Fiabilité mécanique: • Usure • Contraintes mécaniques (chocs, vibrations, efforts…), • Dégradation dans le temps des matériaux (UV,
variations température…)
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 31
Vérifier – Evaluer la probabilité de défaillance
• 80% des défaillances sont imputables au logiciel • Une mauvaise loi de commande peut entraîner l’usure
prématurée d’un système (lien fiabilité étroit matériel/logiciel). Par exemple: – Smartphone: Envoi permanent de données, usure batterie, chauffe – Chauffe moteurs usure mécanique (centrifugeuses Iraniennes)
• Des défauts aléatoires: SEFI (interruption), SEU/MBU, corruption mémoires (si interruption soudaine en écriture)
• Cycles d’écriture (Flash, disque dur): endommagement mémoire
• Taux de charge des processeurs • Obsolescence de logiciels • Bugs aléatoire…
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 32
Vérifier – Défaillances logiciel
Vérifier - Logiciel – Une évolution rapide…
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 33
- Des programmes de plusieurs millions de lignes! La solution: Approche système, programmation orientée modèles avec génération automatique de code (SCADE, Simulink, Labview…) - Confusion du code et de l’électronique: FPGA
Vérifier - Electronique: Origine des défaillances
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 34
Vérifier - Calcul du FIT électronique avec FIDES
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 35
Note: FIDES ne concerne que la période de vie
utile
Technology FIT
Contribution de l’environnement
Basé sur la physique des défaillances, les facteurs d’accélération et la contribution des processus
Over stresses factor (electrical, mechanical…)
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 36
Vérifier – Calcul du FIT électronique avec FIDES
Vérifier – L’Influence des « process »
• Facteur multiplicateur (de 1 à 8 par exemple) • Relatif à la qualité et à la maitrise technique • Applicable à chaque phase du cycle de vie:
• Spécification • Conception • Fabrication • Intégration • Exploitation (utilisation) et maintenance • Activités de support (qualité, ressources humaines, financières, matérielles…)
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 37
Réaliser un Audit « process »
On extrait de l’AMDEC réalisée les éléments les plus critiques: Elément critique Usage Remarque
/qualification Onduleur Transformation AC/DC Taux de défaillance
important
Batteries Stockage Faible durée de vie
Panneaux solaires Convertir énergie solaire en électricité
Besoin d’entretien/nettoyage régulier
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 38
Vérifier – Liste des éléments critiques
Réagir
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 39
• Améliorer / Durcir • Réduire les
contraintes • Plan de
maintenance et de récupération
Réagir - Qualification et test
Qualification: vérifier les contraintes maximales que le système/composant peut supporter (HALT: HighlyAcceleratedLifeTest) - Contraintes électriques: Tension, décharges électrostatiques, courant, tension de claquage Moyens de test: Générateurs de signaux / tension / courant. Oscilloscope, multimètre, bancs tests
- Contraintes environnementales et mécaniques: -Température, humidité, vibration, chocs, pollution chimique,
sel, radiations (dose cumulée, effets singuliers), vide, UV… Moyens de test: Enceintes climatiques, pot vibrant, source
colbalt60, accélérateur (faisceaux ions lourds, protons…)
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 40
Sel!
Réagir - Déverminage
HASS: High Accelerated stress screening (éliminer les défauts de jeunesse) But: Éliminer les défauts latents liés à la production (mauvaise soudure) ou l’industrialisation (plage d’accueil d’un composant trop petite) ou la conception (composant utilisé en limite)… Faire vieillir la carte (burnin) puis la contraindre thermiquement (stress screening)
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 41
JEUNESSE VIE UTILE VIEILLESSE
TEMPS
DEFAILLANCES
1 ère coupure d’alimentation
2 ème coupure d’alimentation
Production Retour d’expérience
Procédure de déverminage
0 défauts
Cartes dans le champ
Défauts
Défauts
Boîtier de contrôle
Alimentation des 20 cartes
Serveurs de terminaux Voies Séries des 20 UB
Commande de l’enceinte
PC de commande de l’enceinte thermique
t°
Réagir - Déverminage
Réagir - Améliorer la fiabilité des systèmes
Pour l’électronique: • Diminuer les contraintes : tension, courant, dissiper et contrôler la chaleur… • Protéger contre l’humidité et poussières (tropicaliser) , contre les surtensions (ESD), placer les composants hors zones de contraintes • Redonder les fonctions critiques • Employer des composants « durcis » Militaire (MIL), Spatial (ESCC/Qualified Part List /Prefered Part List / Qualified Manufacturer Listè https://escies.org/)
Pour la mécanique: • Diminuer les contraintes: frottement, dissiper et contrôler la chaleur • Transport et emballage • Durcisseurs mécaniques, renforts, amortisseurs
Pour le logiciel: • Codes correcteurs d’erreurs, triplication • Simuler (approche modèle), vérifier, respecter les standards, programmation défensive. S’appuyer sur le retour d’expérience (REX) et bugs rencontrés
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 43
Réagir - Plan de maintenance et recuperation
Définir: • Ressources : Humaines, matérielles et locaux • Durées/coûts de maintenance et réparation • Formation des personnels, manuels utilisateurs
• Quantité de composants de rechange et stockage Procédures de maintenance: • Préventive: Nettoyage, usure mécanique, remplacement…Logiciels: mise à jour, sauvegardes, antivirus, correctifs… • Curative : Analyse, Nombre de réparations autorisées sur un même produit • Retour d’expérience: suivi, enregistrement défaillances et non conformités (bases de données) – Suivi des « Date Code » • Récupération: Définir modes récupération à distance, mesure paramètres, modes dégradés, redondances…
(FRACAS: Failure Reporting, Analysis and Corrective Action)
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 44
Résumé – Cycle de vie
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 45
46
PREVENTION
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 46
Résumé – L’AMDEC en résumé
Conclusion
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 47
La SDF est capitale: -Car systèmes de plus en plus complexes -Le logiciel soucis croissant -On n’accepte pas de conséquences catastrophiques -Coût SDF < Coût défaillance -Planifier la maintenance (curative/préventive) -Outil / support à l’ingénierie
Une histoire de point de vue…
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 48
Slides de réserve
• Slides de reserve – Annexes
• Pour aller plus loin:
• Définir les modes dégradés
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 49
nséchantillod' nombredu carrée Racine mesure la de précision estimation Précision =
∑= −
−=
N
i Nxx
1
2
1)(
σNombre de defaillances
Temps
60%
95,5% des défaillances
99,7% des défaillances
68,3% des défaillances
+1σ -1σ
+2σ -2σ
+3σ -3σ
essaisNheuresdsdulotNcomposantNdefautF
'×=
Intervalle de confiance Mesure du taux de défaillance d’un composant :
Evaluation MTTF/MTBF à l’appui d’essais
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 51
Electronique
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 52
Process Factor
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 53
Planifier – Exigences et contraintes
Sureté De Fonctionnement S.Colonges – Novembre 2015
Diapo: 54