Quality by design Quality and Dependability Assurance

Présentation au sujet: "Quality by design Quality and Dependability Assurance "— Transcription de la présentation:

1 guy.gregoris@alcatelaleniaspace.com 05 34 35 56 56
Quality by design Quality and Dependability Assurance Nov. 2005, extrait.

2 Standard requirements systems/Systèmes normés d’exigence
International ISO 9000 International Organisation for Standardization Europe spatiale ESA-ECSS European cooperation for Space Standardization Militaire US DoD-MIL Military Standard France spatiale CNES-MPM Méthodes et Procédures de Management Programme

3 Quality and Dependability
Sûreté de Fonct. Quality Assurance Product

4 Définition de la Qualité
Quality/Qualité (NFX ), a property of a product wich provides ability to satisfy the specified needs. Ensemble des propriétés et caractéristiques d'un produit ou service qui lui confèrent l'aptitude à satisfaire des besoins exprimés ou implicites. Gestion de la Qualité (NFX ), a policy Aspect de la fonction générale de gestion qui détermine la politique Qualité et la met en oeuvre. Assurance de la Qualité (NFX ), an action to provide the proof. Ensemble des actions préétablies et systématiques nécessaires pour donner la confiance appropriée en ce qu'un produit ou service satisfera aux exigences données relatives à la Qualité.

5 Définition de la Sûreté de Fonctionnement (SdF)
Reliability/Fiabilité Aptitude d'un produit à accomplir une fonction requise, dans des conditions données, pendant un intervalle de temps donné Availability/Disponibilité Aptitude d'un produit à être en état d'accomplir une fonction requise, à un instant donné, dans des conditions données et pendant un intervalle de temps donné. Maintainability/Maintenabilité Aptitude d'un produit à être maintenu ou rétabli, pendant un intervalle de temps donné, dans un état dans lequel il peut accomplir une fonction requise. Safety/Sécurité Aptitude d'un produit à respecter, pendant toutes les phases de sa vie, un niveau acceptable de risques d'accident susceptible d'occasionner une agression du personnel, une dégradation majeure du produit ou de son environnement.

6 DEUXIEME PARTIE System dependability Sûreté de Fonctionnement système
Identify, asses and Contrôle the risks Identifier, Evaluer et Maîtriser les risques Démarche, méthodes, exemples

7 La Sûreté de Fonctionnement s’intéresse aux dysfonctionnements
/Faults and failures Dependabilty provides appropriate answers/La réponse de la SdF est adaptée au problème posé Quantitative assesment, probabilistic or analytical calculations Qualitative analysis Failure modes and feard events Phase related spécification or , validation

8 Charge Utile transparente

9 Development cycle Preliminary Design Integration & Test Final design System Component Specification Requirements Validation Consolidation

10 Analysis Methodology Qualitatif Quantitatif Probabiliste
Sneak analysis/ Conditions incidieuses Safety/Sécurité Qualitatif Modes de défaillance, effets et criticités* Stress analysis/ Taux de contrainte Failure Mode effects and criticalities* Reliability Quantitatif Availability Worst case/ Pire Cas Probabiliste Phenomenological/Déterministe Functional analysis/ Analyse fonctionnelle *FMECA/AMDEC

11 Functional/Analyse fonctionnelle
supports fonction entrées sorties 1. contrôle sous- fonction 1.1.1. 1.1 Architecture

12 Analyse des Modes de Défaillance, de leur Effets et Criticités ( AMDEC)
Objectif identifier les modes de défaillance , évaluer leurs effets et gravités analyser le fonctionnement dégradé et identifier des moyens de détection Renseigner la liste des éléments critiques (points de panne unique) Valider l ’architecture ( …, redondances ) Donner des recommandations au niveau supérieur en réduction des risques

13 Cause équipement Effet système Cause composant Effet équipement
AMDEC (suite) Méthode : analyse exhaustive du bas niveau vers le haut niveau peut être pratiquée au niveau fonctionnel ou au niveau matériel selon la phase du cycle de développement Modes de défaillance envisagés : Composant Circuit ouvert/court-circuit (analogique) Bloqué à "1" ou à "0" (numérique) Fonction Absente ou toujours présente Intempestive Dégradée Cause équipement Effet système Cause composant Effet équipement

14 Effets précisés par rapport aux :/ Effects with respect to
Méthode AMDEC (suite) Effets précisés par rapport aux :/ Effects with respect to Fonctions et performances du produit/ Performances Interfaces (dissipation thermique, consommation,.)/ Interfaces Evènements redoutés spécifiés / feard events Code de gravité affecté aux effets catégorie 1: risque de propagation de panne/ Failure propagation catégorie 2: perte complète de la fonction/ Loss of mission catégorie 3: dégradation sévère/ Major degradation Index R: compensé par redondance Redundancy S: point de panne unique Single Point failure

15 Méthode d’Analyse préliminaire de risque/ Risk analysis
Identifications des évènements redoutés Elaboration de l’Arbre de Causes Prise en compte des combinaisons de défaillances/ Multiple failure combination

16 Input data and theory for Reliability and Availability
Données d’entrée et Théories de la fiabilité et de la disponibilité

17 Dans l'hypothèse d'un taux de défaillance constant,
généralement retenue par les normes de calcul de la fiabilité prévisionnelle des composants EEE, les grandeurs de la fiabilité s'écrivent simplement : Taux de défaillance l(t) = l avec dN = - l . N. dt Fiabilité F(t) = exp-lt Distribution f(t) = lexp-lt Durée de vie MTTF = 1/ l Constant failure rates for EEE parts, the basic assumption in reliability standards.

18 Le taux de défaillance est une fréquence
Le Taux de défaillance est une donnée statistique estimée avec un niveau de confiance ********************* Failure rate = frequency Failure rate = input data failure rate= statistical confidence level

19 La courbe en baignoire/ the bath curve
Taux de défaillance/ Failure rate Usure/end of life Jeunesse/early failure Vie utile/use duration l o Temps/time

20 La courbe en baignoire (quality levels)
Taux de défaillance Qualité (Assurance) Temps

21 La courbe en baignoire (Use conditions, stress levels)
Taux de défaillance Utilisation (contrainte d’) Temps

22 Availability –repairable systems
Données d’entrée et Théories de la Disponibilité des systèmes réparables.

23 Données d’entrée de la Disponibilité
MTTF Durée moyenne de fonctionnement avant défaillance (Mean Time To Failure) MTTR Durée moyenne de réparation (Mean Time To Repair) MTBF Durée moyenne entre deux défaillances (Mean Time Between Failure) MDT Durée moyenne d'indisponibilité (Mean Down Time) MUT Durée moyenne de disponibilité (Mean Up Time)

24 Théorie de la Disponibilité des systèmes réparables.
Disponibilité intrinsèque Ai(t) = MTBF/ (MTBF+MTTR) Disponibilité Opérationnelle (délais logistiques, …) Aop(t) = MUT/ (MUT + MDT) Disponibilité = Availability

25 Autres notions de la disponibilité: Taux de réparation µ
Ai(t) = µ/ ( l +µ), µ = 1/ MTTR, l = 1/ MTBF Taux d’utilisation du système τ / System Duty cycle τ Aτ(t) = 1- (1-A(t)) . τ Taux de défaillance l, Taux de réparation µ, Taux d'indisponibilité l/µ (unavailability).

26 Quantitative approach
Démarche pour l’analyse quantitative de la fiabilité Modélisation de système Simulation de système Evaluation (calcul) de la fiabilité

27 Fiabilité d'une architecture (architecture 1- redondance active sans réparation)
Plusieurs méthodes sont à notre disposition / various methods: diagramme de fiabilité BDF Reliability block diagram arbre de défaillance AdC Fault tree graphe de Markov GdM Markov diagram réseaux de Petri RdP Petri Nets Deux niveaux : le modèle et l'évaluation

28 Architecture 1 - Diagramme de fiabilité
R = P(A1 + A2) R = P(A1) + P(A2) - P(A1)P(A2) R = P(A)[2 - P(A)] R(t)=(exp-lt) (2-exp-lt) Pour un équipement de 1000 FIT et une durée de vie de 5 ans P(A à 5 ans) = 0.957 F(système à 5ans)=0.998 1 FIT = 1 panne par milliard d'heures A1 A2

29 Architecture 1 - Arbre de défaillance
M = A1 . A2 M = A1 + A2 R = P (A1 + A2)

30 Formalisme des graphes de Markov

31 Architecture 1 - Modèle et évaluation par graphe de Markov
P1(t+dt)= [1-2ldt]P1(t) P2(t+dt)= 2ldt P1(t) + [1-ldt]P2(t) P3(t+dt)= ldt P2(t) + P3(t) Dans une écriture matricielle: P'(t)=LP(t) Matrice des probabilités de transition

32 Solution de Duncan-Sylvester= P(o) expLt
Interprétation : "a" donne la probabilité de survie dans l'etat "1" "b" passage de "1" vers "2" (a+b) donne la probabilité de bon fonctionnement

33 Formalisme des réseaux de Pétri
RdP-SG = Réseaux de Pétri Stochastiques Généralisés Places Marquage Messages Valeur Transitions Loi (Exp, Dirac, Poisson, ...) Transitions indéterministes Loi binômiale Arcs Poids Etats Ensemble de marquages Evénements Ensemble de transitions

34 Architecture 1- Modèle et évaluation par réseau de Pétri
L'évaluation peut être analytique en revenant à un graphe de Markov ou statistique par la méthode de Monte Carlo.

35

36 Comparaison des traitements des réseaux de Pétri
Outils markoviens Calcul analytique Limité aux processus stochastiques Calcul précis de fiabilité Outils statistiques Simulation et traitement statistique Traite aussi les processus temporisés Temps de calcul important

37 Fiabilité d'une architecture (2) avec redondance et commutation commandée.
R=P(A1+A2.S) R=P(A1) +P(A2.S)-P(A1)P(A2.S) R=P(A)[1+P(S)(1-P(A))] Pour l'application numérique on définit une probabilité instantanée de succès à la sollicitation de S (qui ne suit pas une loi exponentielle). Pour P(S)= 0.8 et avec les mêmes conditions que sur l'architecture 1, on obtient R=

38 Tendances en matière de Sûreté de Fonctionnement
Systèmes tolerants aux fautes Architectures modulaires (antenne active, traitement numérique du signal) Systèmes reconfigurables Approches similaires pour les systèmes logiciels Analyse des effets des erreurs logicielles Modèles de croissance de fiabilité SdF des systèmes présentant des interfaces Logiciel/Matériel

39 TROISIEME PARTIE Zoom sur la conception détaillée/detailed design
Analyse des circuits électroniques Analyse des modes de défaillance (AMDEC, partie 2) Analyse des conditions de panne incidieuses Analyse des taux de contrainte électrique et thermique Analyse Pire cas Calcul de fiabilité prévisionnelle des composants EEE et des équipements. Composants électroniques Radiations spatiales

40 Analyse des conditions insidieuses (Sneak analysis)
Objet : Détermination des conditions latentes pouvant causer un événement non-voulu ou inhiber un événement désiré, sans relation avec une panne composant. Méthode : Simplification des schémas en réseaux topologiques Identification des modèles topologiques (en X, en H, ...)

41 Analyse des taux de contrainte (ou taux de charge)
Le taux de charge est le rapport de la valeur appliquée d'un paramètre à sa valeur maximale autorisée. Les taux de charge sont normalisés (mais les normes diffèrent). Les taux de charge concernent : la puissance dissipée (transistors, résistances) les tensions inverses et directes (transistors, CI, condensateurs) les courants (diodes, fusibles, lignes) les températures de jonction (actifs) et points chauds (passifs) Le taux de charge applicable varie avec la température et le choix des composants prend en compte les phénomènes transitoires (ON/OFF, EMC...).

42 Analyse pire cas Objet :
Valider l'aptitude de l'équipement à fonctionner pendant la durée de la mission dans les conditions les plus défavorables. Prendre en compte les tolérances des composants et analyser les dérives paramétriques.

43 Analyse pire cas (suite)
Entrées de l'analyse : tolérances sur les paramètres des composants en température, dans le temps, sous l'effet des radiations. variations des grandeurs d'entrée (alimentation, signaux..) modes de fonctionnement et régimes transitoires (veille, arrêt, marche ...) Méthode : par l'analyse théorique et le test appuyé sur des normes pendant la conception pour influencer le choix des composants et la conception

44 Estimation de fiabilité prévisionnelle d ’un équipement
Objectif Calculer le taux de défaillance de l ’équipement Démontrer la conformité à la spécification (souvent à une température) Fournir le résultat en fonction de la température pour le niveau supérieur pour le calcul de la fiabilité du système ( charge utile, satellite)

45 Estimation de fiabilité prévisionnelle d ’un équipement
La fiabilité d'un équipement qui ne comprend pas de redondance interne est calculée à partir de la somme des taux de défaillance des composants Le taux de défaillance d ’un composant est fonction du taux de défaillance de base du composant , des conditions d'utilisation et d'environnement et du niveau Qualité d'approvisionnement Selon le niveau de définition du produit on procède : par la méthode « parts count », conditions d ’emploi arbitraires basé sur des hypothèses par la méthode « parts stress », calcul du l de chaque composant dans ses conditions d ’emploi

46 Estimation de fiabilité (suite)
Le taux de défaillance de base et les paramètres du calcul des taux de défaillance des composants sont fournis par des recueils de données de fiabilité (CNET, MIL-HDBK-217, ...) L'intérêt des recueils de données est de constituer une base commune permettant de comparer des conceptions différentes.

47 Estimation de la fiabilité (limites des modèles)
Ces modèles ne sont pas adaptés à l'évolution rapide des technologies . D'autre part, le secteur spatial est un domaine marginal de ces recueils Un modèle n’est applicable que sous réserve du respect des conditions d’approvisionnement , de qualification et d’utilisation définies dans un système de spécification cohérent ( MIL, ECSS, REF-Alcatel, Client, ….) .5 Spatial NIVEAU QUALITE MIL-HDBK-217 5 .5 250 ENVIRONNEMENT

48  Taux de défaillance des circuits intégrés :
Structure générale d'un modèle de prédiction de taux de défaillance composant: exemple de la MIL-HDBK-217  Taux de défaillance des circuits intégrés : C1 “  de base ” de la puce dépendant du type, de la techno, et de la complexité du composant T Facteur d’accélération de la température (loi d’arrhenius) C2 “  de base ” du boîtier dépendant du type, et du nombre d’E/S E Facteur Environnement tabulé Q Facteur Qualité dépendant du niveau d’approvisionnement et des tests de qualification L Facteur d’apprentissage dépendant de la maturité de la production

49 Conclusion

50 Le message Objectif Approche :
La raison d'être de la démarche Qualité à la conception est d'anticiper les problèmes. Objectif Construire la fiabilité et la qualité par la conception plutôt que d'éliminer les mauvais produits par le contrôle. Approche : Inscrire la Qualité à la conception dans une démarche d'ingénierie concourante. Identifier les risques en amont Adapter les méthodes d'évaluation et d'assurance de la qualité et de la fiabilité aux évolutions techniques et technologiques. Participer à la prospection des technologies les plus avancées pour assurer le meilleur compromis performance/fiabilité.

51 Message Objectives Approach :
The Quality/Reliability by Design approach is ment to anticipate problems, identify and reduce risks Objectives to build reliability at design rather than to check production Approach : Concurrent engineering. Early identification and mitigation of risks Adapted methodologies for new technologies Authorization of Advanced technologies for a better performance/reliability compromise

52 Bibliographies et normes.
Cours et publications diverses : CNES F. Linder, J. Charles CNET A. Lelièvre, G. Kervarec DINOV J.C. Laprie Intelsat J. L. Stevenson IXI Christophe Lansade Sextant Avionique Stéphane Charruau Alcatel Espace Sabine Robichez (Guide des "Méthodes d'évaluation de la fiabilité en électronique"), Maryse Sauvagnac, Philippe Calvel (Radiations), Albert Lehenaff Bibliographies et normes. Patrick DT O’Connnor : Practical Reliability engineering A. Villemeur: Sûreté de Fonctionnement des systèmes industriels

53