guy.gregoris@alcatelaleniaspace.com 05 34 35 56 56 Quality by design Quality and Dependability Assurance guy.gregoris@alcatelaleniaspace.com 05 34 35 56 56 Nov. 2005, extrait.

Standard requirements systems/Systèmes normés d’exigence International ISO 9000 International Organisation for Standardization Europe spatiale ESA-ECSS European cooperation for Space Standardization Militaire US DoD-MIL Military Standard France spatiale CNES-MPM Méthodes et Procédures de Management Programme

Quality and Dependability Sûreté de Fonct. Quality Assurance Product

Définition de la Qualité Quality/Qualité (NFX 50-120), a property of a product wich provides ability to satisfy the specified needs. Ensemble des propriétés et caractéristiques d'un produit ou service qui lui confèrent l'aptitude à satisfaire des besoins exprimés ou implicites. Gestion de la Qualité (NFX 50-120), a policy Aspect de la fonction générale de gestion qui détermine la politique Qualité et la met en oeuvre. Assurance de la Qualité (NFX 50-120), an action to provide the proof. Ensemble des actions préétablies et systématiques nécessaires pour donner la confiance appropriée en ce qu'un produit ou service satisfera aux exigences données relatives à la Qualité.

Définition de la Sûreté de Fonctionnement (SdF) Reliability/Fiabilité Aptitude d'un produit à accomplir une fonction requise, dans des conditions données, pendant un intervalle de temps donné Availability/Disponibilité Aptitude d'un produit à être en état d'accomplir une fonction requise, à un instant donné, dans des conditions données et pendant un intervalle de temps donné. Maintainability/Maintenabilité Aptitude d'un produit à être maintenu ou rétabli, pendant un intervalle de temps donné, dans un état dans lequel il peut accomplir une fonction requise. Safety/Sécurité Aptitude d'un produit à respecter, pendant toutes les phases de sa vie, un niveau acceptable de risques d'accident susceptible d'occasionner une agression du personnel, une dégradation majeure du produit ou de son environnement.

DEUXIEME PARTIE System dependability Sûreté de Fonctionnement système Identify, asses and Contrôle the risks Identifier, Evaluer et Maîtriser les risques Démarche, méthodes, exemples

La Sûreté de Fonctionnement s’intéresse aux dysfonctionnements /Faults and failures Dependabilty provides appropriate answers/La réponse de la SdF est adaptée au problème posé Quantitative assesment, probabilistic or analytical calculations Qualitative analysis Failure modes and feard events Phase related spécification or , validation

Charge Utile transparente

Development cycle Preliminary Design Integration & Test Final design System Component Specification Requirements Validation Consolidation

Analysis Methodology Qualitatif Quantitatif Probabiliste Sneak analysis/ Conditions incidieuses Safety/Sécurité Qualitatif Modes de défaillance, effets et criticités* Stress analysis/ Taux de contrainte Failure Mode effects and criticalities* Reliability Quantitatif Availability Worst case/ Pire Cas Probabiliste Phenomenological/Déterministe Functional analysis/ Analyse fonctionnelle *FMECA/AMDEC

Functional/Analyse fonctionnelle supports fonction entrées sorties 1. contrôle sous- fonction 1.1.1. 1.1 Architecture

Analyse des Modes de Défaillance, de leur Effets et Criticités ( AMDEC) Objectif identifier les modes de défaillance , évaluer leurs effets et gravités analyser le fonctionnement dégradé et identifier des moyens de détection Renseigner la liste des éléments critiques (points de panne unique) Valider l ’architecture ( …, redondances ) Donner des recommandations au niveau supérieur en réduction des risques

Cause équipement Effet système Cause composant Effet équipement AMDEC (suite) Méthode : analyse exhaustive du bas niveau vers le haut niveau peut être pratiquée au niveau fonctionnel ou au niveau matériel selon la phase du cycle de développement Modes de défaillance envisagés : Composant Circuit ouvert/court-circuit (analogique) Bloqué à "1" ou à "0" (numérique) Fonction Absente ou toujours présente Intempestive Dégradée Cause équipement Effet système Cause composant Effet équipement

Effets précisés par rapport aux :/ Effects with respect to Méthode AMDEC (suite) Effets précisés par rapport aux :/ Effects with respect to Fonctions et performances du produit/ Performances Interfaces (dissipation thermique, consommation,.)/ Interfaces Evènements redoutés spécifiés / feard events Code de gravité affecté aux effets catégorie 1: risque de propagation de panne/ Failure propagation catégorie 2: perte complète de la fonction/ Loss of mission catégorie 3: dégradation sévère/ Major degradation Index R: compensé par redondance Redundancy S: point de panne unique Single Point failure

Méthode d’Analyse préliminaire de risque/ Risk analysis Identifications des évènements redoutés Elaboration de l’Arbre de Causes Prise en compte des combinaisons de défaillances/ Multiple failure combination

Input data and theory for Reliability and Availability Données d’entrée et Théories de la fiabilité et de la disponibilité

Dans l'hypothèse d'un taux de défaillance constant, généralement retenue par les normes de calcul de la fiabilité prévisionnelle des composants EEE, les grandeurs de la fiabilité s'écrivent simplement : Taux de défaillance l(t) = l avec dN = - l . N. dt Fiabilité F(t) = exp-lt Distribution f(t) = lexp-lt Durée de vie MTTF = 1/ l Constant failure rates for EEE parts, the basic assumption in reliability standards.

Le taux de défaillance est une fréquence Le Taux de défaillance est une donnée statistique estimée avec un niveau de confiance ********************* Failure rate = frequency Failure rate = input data failure rate= statistical data @ confidence level

La courbe en baignoire/ the bath curve Taux de défaillance/ Failure rate Usure/end of life Jeunesse/early failure Vie utile/use duration l o Temps/time

La courbe en baignoire (quality levels) Taux de défaillance Qualité (Assurance) Temps

La courbe en baignoire (Use conditions, stress levels) Taux de défaillance Utilisation (contrainte d’) Temps

Availability –repairable systems Données d’entrée et Théories de la Disponibilité des systèmes réparables.

Données d’entrée de la Disponibilité MTTF Durée moyenne de fonctionnement avant défaillance (Mean Time To Failure) MTTR Durée moyenne de réparation (Mean Time To Repair) MTBF Durée moyenne entre deux défaillances (Mean Time Between Failure) MDT Durée moyenne d'indisponibilité (Mean Down Time) MUT Durée moyenne de disponibilité (Mean Up Time)

Théorie de la Disponibilité des systèmes réparables. Disponibilité intrinsèque Ai(t) = MTBF/ (MTBF+MTTR) Disponibilité Opérationnelle (délais logistiques, …) Aop(t) = MUT/ (MUT + MDT) Disponibilité = Availability

Autres notions de la disponibilité: Taux de réparation µ Ai(t) = µ/ ( l +µ), µ = 1/ MTTR, l = 1/ MTBF Taux d’utilisation du système τ / System Duty cycle τ Aτ(t) = 1- (1-A(t)) . τ Taux de défaillance l, Taux de réparation µ, Taux d'indisponibilité l/µ (unavailability).

Quantitative approach Démarche pour l’analyse quantitative de la fiabilité Modélisation de système Simulation de système Evaluation (calcul) de la fiabilité

Fiabilité d'une architecture (architecture 1- redondance active sans réparation) Plusieurs méthodes sont à notre disposition / various methods: diagramme de fiabilité BDF Reliability block diagram arbre de défaillance AdC Fault tree graphe de Markov GdM Markov diagram réseaux de Petri RdP Petri Nets Deux niveaux : le modèle et l'évaluation

Architecture 1 - Diagramme de fiabilité R = P(A1 + A2) R = P(A1) + P(A2) - P(A1)P(A2) R = P(A)[2 - P(A)] R(t)=(exp-lt) (2-exp-lt) Pour un équipement de 1000 FIT et une durée de vie de 5 ans P(A à 5 ans) = 0.957 F(système à 5ans)=0.998 1 FIT = 1 panne par milliard d'heures A1 A2

Architecture 1 - Arbre de défaillance M = A1 . A2 M = A1 + A2 R = P (A1 + A2)

Formalisme des graphes de Markov

Architecture 1 - Modèle et évaluation par graphe de Markov P1(t+dt)= [1-2ldt]P1(t) P2(t+dt)= 2ldt P1(t) + [1-ldt]P2(t) P3(t+dt)= ldt P2(t) + P3(t) Dans une écriture matricielle: P'(t)=LP(t) Matrice des probabilités de transition

Solution de Duncan-Sylvester= P(o) expLt Interprétation : "a" donne la probabilité de survie dans l'etat "1" "b" passage de "1" vers "2" (a+b) donne la probabilité de bon fonctionnement

Formalisme des réseaux de Pétri RdP-SG = Réseaux de Pétri Stochastiques Généralisés Places Marquage Messages Valeur Transitions Loi (Exp, Dirac, Poisson, ...) Transitions indéterministes Loi binômiale Arcs Poids Etats Ensemble de marquages Evénements Ensemble de transitions

Architecture 1- Modèle et évaluation par réseau de Pétri L'évaluation peut être analytique en revenant à un graphe de Markov ou statistique par la méthode de Monte Carlo.

Comparaison des traitements des réseaux de Pétri Outils markoviens Calcul analytique Limité aux processus stochastiques Calcul précis de fiabilité Outils statistiques Simulation et traitement statistique Traite aussi les processus temporisés Temps de calcul important

Fiabilité d'une architecture (2) avec redondance et commutation commandée. R=P(A1+A2.S) R=P(A1) +P(A2.S)-P(A1)P(A2.S) R=P(A)[1+P(S)(1-P(A))] Pour l'application numérique on définit une probabilité instantanée de succès à la sollicitation de S (qui ne suit pas une loi exponentielle). Pour P(S)= 0.8 et avec les mêmes conditions que sur l'architecture 1, on obtient R=0.9899.

Tendances en matière de Sûreté de Fonctionnement Systèmes tolerants aux fautes Architectures modulaires (antenne active, traitement numérique du signal) Systèmes reconfigurables Approches similaires pour les systèmes logiciels Analyse des effets des erreurs logicielles Modèles de croissance de fiabilité SdF des systèmes présentant des interfaces Logiciel/Matériel

TROISIEME PARTIE Zoom sur la conception détaillée/detailed design Analyse des circuits électroniques Analyse des modes de défaillance (AMDEC, partie 2) Analyse des conditions de panne incidieuses Analyse des taux de contrainte électrique et thermique Analyse Pire cas Calcul de fiabilité prévisionnelle des composants EEE et des équipements. Composants électroniques Radiations spatiales

Analyse des conditions insidieuses (Sneak analysis) Objet : Détermination des conditions latentes pouvant causer un événement non-voulu ou inhiber un événement désiré, sans relation avec une panne composant. Méthode : Simplification des schémas en réseaux topologiques Identification des modèles topologiques (en X, en H, ...)

Analyse des taux de contrainte (ou taux de charge) Le taux de charge est le rapport de la valeur appliquée d'un paramètre à sa valeur maximale autorisée. Les taux de charge sont normalisés (mais les normes diffèrent). Les taux de charge concernent : la puissance dissipée (transistors, résistances) les tensions inverses et directes (transistors, CI, condensateurs) les courants (diodes, fusibles, lignes) les températures de jonction (actifs) et points chauds (passifs) Le taux de charge applicable varie avec la température et le choix des composants prend en compte les phénomènes transitoires (ON/OFF, EMC...).

Analyse pire cas Objet : Valider l'aptitude de l'équipement à fonctionner pendant la durée de la mission dans les conditions les plus défavorables. Prendre en compte les tolérances des composants et analyser les dérives paramétriques.

Analyse pire cas (suite) Entrées de l'analyse : tolérances sur les paramètres des composants en température, dans le temps, sous l'effet des radiations. variations des grandeurs d'entrée (alimentation, signaux..) modes de fonctionnement et régimes transitoires (veille, arrêt, marche ...) Méthode : par l'analyse théorique et le test appuyé sur des normes pendant la conception pour influencer le choix des composants et la conception

Estimation de fiabilité prévisionnelle d ’un équipement Objectif Calculer le taux de défaillance de l ’équipement Démontrer la conformité à la spécification (souvent à une température) Fournir le résultat en fonction de la température pour le niveau supérieur pour le calcul de la fiabilité du système ( charge utile, satellite)

Estimation de fiabilité prévisionnelle d ’un équipement La fiabilité d'un équipement qui ne comprend pas de redondance interne est calculée à partir de la somme des taux de défaillance des composants Le taux de défaillance d ’un composant est fonction du taux de défaillance de base du composant , des conditions d'utilisation et d'environnement et du niveau Qualité d'approvisionnement Selon le niveau de définition du produit on procède : par la méthode « parts count », conditions d ’emploi arbitraires basé sur des hypothèses par la méthode « parts stress », calcul du l de chaque composant dans ses conditions d ’emploi

Estimation de fiabilité (suite) Le taux de défaillance de base et les paramètres du calcul des taux de défaillance des composants sont fournis par des recueils de données de fiabilité (CNET, MIL-HDBK-217, ...) L'intérêt des recueils de données est de constituer une base commune permettant de comparer des conceptions différentes.

Estimation de la fiabilité (limites des modèles) Ces modèles ne sont pas adaptés à l'évolution rapide des technologies . D'autre part, le secteur spatial est un domaine marginal de ces recueils Un modèle n’est applicable que sous réserve du respect des conditions d’approvisionnement , de qualification et d’utilisation définies dans un système de spécification cohérent ( MIL, ECSS, REF-Alcatel, Client, ….) .5 Spatial NIVEAU QUALITE MIL-HDBK-217 5 .5 250 ENVIRONNEMENT

 Taux de défaillance des circuits intégrés : Structure générale d'un modèle de prédiction de taux de défaillance composant: exemple de la MIL-HDBK-217  Taux de défaillance des circuits intégrés : C1 “  de base ” de la puce dépendant du type, de la techno, et de la complexité du composant T Facteur d’accélération de la température (loi d’arrhenius) C2 “  de base ” du boîtier dépendant du type, et du nombre d’E/S E Facteur Environnement tabulé Q Facteur Qualité dépendant du niveau d’approvisionnement et des tests de qualification L Facteur d’apprentissage dépendant de la maturité de la production

Conclusion

Le message Objectif Approche : La raison d'être de la démarche Qualité à la conception est d'anticiper les problèmes. Objectif Construire la fiabilité et la qualité par la conception plutôt que d'éliminer les mauvais produits par le contrôle. Approche : Inscrire la Qualité à la conception dans une démarche d'ingénierie concourante. Identifier les risques en amont Adapter les méthodes d'évaluation et d'assurance de la qualité et de la fiabilité aux évolutions techniques et technologiques. Participer à la prospection des technologies les plus avancées pour assurer le meilleur compromis performance/fiabilité.

Message Objectives Approach : The Quality/Reliability by Design approach is ment to anticipate problems, identify and reduce risks Objectives to build reliability at design rather than to check production Approach : Concurrent engineering. Early identification and mitigation of risks Adapted methodologies for new technologies Authorization of Advanced technologies for a better performance/reliability compromise

Bibliographies et normes. Cours et publications diverses : CNES F. Linder, J. Charles CNET A. Lelièvre, G. Kervarec DINOV J.C. Laprie Intelsat J. L. Stevenson IXI Christophe Lansade Sextant Avionique Stéphane Charruau Alcatel Espace Sabine Robichez (Guide des "Méthodes d'évaluation de la fiabilité en électronique"), Maryse Sauvagnac, Philippe Calvel (Radiations), Albert Lehenaff Bibliographies et normes. Patrick DT O’Connnor : Practical Reliability engineering A. Villemeur: Sûreté de Fonctionnement des systèmes industriels