La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Ecole Doctorale RP2R Séminaire du 15 Janvier 2009

Présentations similaires


Présentation au sujet: "Ecole Doctorale RP2R Séminaire du 15 Janvier 2009"— Transcription de la présentation:

1 Ecole Doctorale RP2R Séminaire du 15 Janvier 2009 ___________ Approches probabilistes dans l’évaluation des risques __________ 

2 Jean-François AUBRY Professeur à l’INPL
Responsable du Master « Sûreté Sécurité des Systèmes » Chercheur, directeur de thèses au Centre de Recherches en Automatique de Nancy

3 Maîtriser les risques Risque  événement occurrence dangereux dommage
Probabilités Évaluer Prévoir Réduire dommage La notion de risque est toujours liée à la notion d’événement dangereux, lequel est caractérisé d’une part par sa fréquence (ou plutôt sa probabilité) d’occurrence et d’autre part par la gravité du dommage qu’il peut entraîner. Cette définition est très générale, elle s’applique aussi bien au risques technologiques, financiers ou humains, qu’aux risques naturels. La sûreté de fonctionnement concerne les risques technologiques et humains. Elle a pour objectif de maîtriser le risque en le ramenant à un niveau acceptable. Pour cela, elle contribue à l’évaluation qualitative et quantitative de la fréquence d’occurrence avant et après la mise en œuvre de moyens de réduction de celle-ci et contribue à la réduction du dommage par la mise en œuvre barrières ou « mitigations ». Maîtriser les risques Évaluer Réduire

4 Méthodes d’analyse des risques « qualitatives »

5 Approches « déterministes » de la maitrise du risque
Toute cause potentielle de l’événement dangereux est combattue systématiquement (défense en profondeur) par l’introduction de « barrières de défense » sans évaluation précise et objective de la probabilité d’occurrence résiduelle.  Coût / efficacité?

6 Evolution des normes et des règles
Article 21 de la loi du 30 juillet 2003 (loi dite Bachelot) Le chapitre V du titre 1ier du livre V du code de l’environnement est complété par un article L ainsi rédigé : Art Tout exploitant d’un établissement comportant au moins une installation figurant sur la liste prévue au IV de l’article L du présent code ou visée à l’article 3-1 du code minier est tenue de faire procéder à une estimation de la probabilité d’occurrence et du coût des dommages matériels potentiels aux tiers en cas d’accident survenant sur une installation et de transmettre le rapport d’évaluation au préfet ainsi qu’au président du comité local d’information et de concertation sur les risques crée en application de l’article L du présent code.

7 Arrêté du 29/09/05 relatif à l'évaluation et à la prise en compte de la probabilité d'occurrence, de la cinétique, de l'intensité des effets et de la gravité des conséquences des accidents potentiels dans les études de dangers des installations classées soumises à autorisation

8 Circulaire du 03/10/05 relative à la mise en œuvre des plans de prévention des risques technologiques En chaque point du périmètre d'étude, et par type d'effet (toxique, thermique ou de surpression), une démarche en 5 étapes permet de caractériser le niveau d'aléa : 1. Identifier le niveau d'intensité maximal impactant le point considéré ; 2. Lister les phénomènes dangereux atteignant le niveau d'intensité maximal en ce point ; 3. Réaliser le cumul des probabilités des phénomènes dangereux listés au point 2. selon les règles suivantes : « Le cumul des probabilités d'occurrence des phénomènes dangereux sur une zone géographique donnée se réalise en combinant les lettres qualifiant la probabilité de chacun des phénomènes dangereux qui impactent la zone selon les règles énoncées ci-dessous : - A>B>C>D>E; - un phénomène dangereux dont le niveau de probabilité est D est équivalent à 10 phénomènes dangereux de niveau de probabilité E ; - Le cumul des probabilités d'occurrence de 4 phénomènes dangereux côtés E s'écrit 4E; - Le cumul des probabilités d'occurrence d'un phénomène dangereux côté E et d'un phénomène dangereux coté C s'écrit C+E.

9 Circulaire n° DPPR/SEI2/MM du 07/10/05 relative aux Installations classées - Diffusion de l'arrêté ministériel relatif à l'évaluation et à la prise en compte de la probabilité d'occurrence, de la cinétique, de l'intensité des effets et de la gravité des conséquences des accidents potentiels dans les études de dangers des installations classées soumises à autorisation. Risque : « Combinaison de la probabilité d'un événement et de ses conséquences » (ISO/CEI 73), « Combinaison de la probabilité d'un dommage et de sa gravité » (ISO/CEI 51) 1/ Possibilité de survenance d'un dommage résultant d'une exposition aux effets d'un phénomène dangereux. Dans le contexte propre au « risque technologique », le risque est, pour un accident donné, la combinaison de la probabilité d'occurrence d'un événement redouté/final considéré (incident ou accident) et la gravité de ses conséquences sur des éléments vulnérables 2 / Espérance mathématique de pertes en vies humaines, blessés, dommages aux biens et atteinte à l'activité économique au cours d'une période de référence et dans une région donnée, pour un aléa particulier. plusieurs) élément(s) vulnérable(s).

10 Norme CEI 61508 et ses dérivées Sécurité fonctionnelle
Consignes Automatisme de contrôle -commande Actionneur Procédé Sous contrôle Capteur SRS: fonctions de sécurité Automatisme de sécurité Actionneur Capteur Seuils…

11 Norme CEI 61508 et ses dérivées Sécurité fonctionnelle
Niveau de SIL

12 Norme CEI 61508 et ses dérivées
le SRS doit satisfaire ce niveau de SIL NIVEAU D’INTEGRITE DE SÉCURITÉ SIL MODE DE FONCTIONNEMENT A FAIBLE SOLLICITATION (probabilité moyenne de défaillance à exécuter, lors d’une sollicitation, la fonction pour laquelle il a été conçu) MODE DE FONCTIONNEMENT CONTINU OU A FORTE SOLLICITATION (fréquence d’une défaillance dangereuses par heure) 4 10-5≤ P < 10-4 10-9≤ N < 10-8 3 10-4≤ P < 10-3 10-8≤ N < 10-7 2 10-3≤ P < 10-2 10-7≤ N < 10-6 1 10-2≤ P < 10-1 10-6≤ N< 10-5

13 Probabilité d’occurrence d’un événement dangereux ??
1 - Identifier toutes les causes potentielles 2 - Connaître les probabilités des causes 3 - Décrire analytiquement comment elles se combinent pour donner naissance à l’événement dangereux 4 - Traduire cette relation en probabilité

14 1 - Identifier toutes les causes potentielles
Domaine des méthodes qualitatives Analyses préliminaires de risques… Analyses des modes de défaillances et de leurs effets…

15 2 - Connaître les probabilités des causes
Retour d’expérience, statistiques, jugements d’experts Bases de données probabilistes Exemples (industrie pétrochimique) FACTS (Failure Accident Technical information System) MHIDAS (Major Hazard Incident Data System) PRISQUA : pour les chutes d’avion (EDF) ARIA (Analyse, Recherche et Information sur les Accidents) ACACIA : sécurité et prévention des risques (SNPE) OREDA (Off shore REliability Data bank)

16 3 - Décrire analytiquement comment les causes se combinent pour donner naissance à l’événement dangereux On se base sur l’expertise acquise dans le domaine de la fiabilité prévisionnelle Evénement dangereux = combinaison des causes Défaillance système = F(défaillances des composants) F: fonction de structure

17 4 - Traduire cette relation en probabilités
Probabilités instantanées, distributions, influences Espérances mathématiques Prise en compte du cycle de vie (MTTFF) Intégration des réparations (MUT) Aspects dynamiques

18 METHODES DE LA FIABILITE PREVISIONNELLE
Défaillance d’un système = F(défaillances de ses composants) Fiabilité d’un système = H(fiabilités de ses composants) La fiabilité R(t) d’un composant à l’instant t est probabilité pour qu’il fonctionne sur l’intervalle {0,t} Diagrammes de fiabilité Arbres des causes Fonction de structure

19 Les diagrammes de fiabilité
Méthode: par analogie avec l’électricité, modéliser le système comme une association de composants connectés en série (tous indispensables) ou en parallèle (redondances). En combinant les formules précédentes, on peut calculer la fiabilité de tout système représentable par des associations de composants en série ou en parallèle. Le schéma de droite n’est cependant pas une telle association. En électricité, on sait calculer l’impédance d’un tel circuit par la transformation étoile triangle. En fiabilité, on utilisera le théorème des probabilités totales pour parvenir au calcul de la fiabilité d’un tel système. Théorème des probabilités totales Généralisation: Théorie des graphes, fonction de structure

20 L’arbre des causes ER = A1 + (A2 . A3)
ou Ai A1 et A3 A2 P[ER] = P[Ai] + P[A1] = P[A2].P[A3]+P[A1] L’arbre des causes P[Ai] = P[A2] . P[A3] P[A2] P[A3] P[A1] {A1} et {A2, A3} sont les coupes de ER Reprenons l’exemple précédent illustré par son arbre ou par son équation logique. 1- Supposons que l’on connaisse les probabilités des événements de base P[A1], P[A2], P[A3]. 2- Si ces événements sont indépendants, on peut calculer la probabilité de l’événement intermédiaire Ai par le produit des probabilités P[A2] fois P[A3]. 3- On calcule ensuite la probabilité de l’événement sommet par la somme P[Ai] + P[A1] dans laquelle on peut reporter P[Ai] calculé précédemment. 4- L’équation qui donne ER en fonction des causes élémentaires étant mise sous forme disjonctive minimale, elle fait apparaître les coupes du système, ici les ensembles A1 d’une part et A2, A3 d’autre part. Ici, elles sont indépendantes car elles ne partagent pas d’événement. Dans ce cas, la probabilité de ER est la somme des probabilités de chaque coupe. Dans le cas général, on n’a pas toujours des coupes indépendantes et alors le calcul doit se faire en appliquant le théorème de Sylvester Poincaré. Si elles sont indépendantes, P[ER] = ∑i P[coupe i ] P[coupe i] = П P[An] Sinon, utiliser le théorème de Poincaré…

21 La fonction de structure y=φ(x1, x2, … , xn)
Coupes: ensembles de composants dont la défaillance entraîne celle du système. Pour un système cohérent, si on connaît toutes (k) les coupes minimales, en développant cette expression en polynôme, on peut facilement calculer la fiabilité. Pour les systèmes non cohérents, le calcul est un peu plus compliqué. Reprenons l’exemple précédent illustré par son arbre ou par son équation logique. 1- Supposons que l’on connaisse les probabilités des événements de base P[A1], P[A2], P[A3]. 2- Si ces événements sont indépendants, on peut calculer la probabilité de l’événement intermédiaire Ai par le produit des probabilités P[A2] fois P[A3]. 3- On calcule ensuite la probabilité de l’événement sommet par la somme P[Ai] + P[A1] dans laquelle on peut reporter P[Ai] calculé précédemment. 4- L’équation qui donne ER en fonction des causes élémentaires étant mise sous forme disjonctive minimale, elle fait apparaître les coupes du système, ici les ensembles A1 d’une part et A2, A3 d’autre part. Ici, elles sont indépendantes car elles ne partagent pas d’événement. Dans ce cas, la probabilité de ER est la somme des probabilités de chaque coupe. Dans le cas général, on n’a pas toujours des coupes indépendantes et alors le calcul doit se faire en appliquant le théorème de Sylvester Poincaré.

22 DISPONIBILITE PREVISIONNELLE Graphes de Markov Réseaux de Petri
disponibilité d’un système = F(fiabilités et maintenabilités de ses constituants) Graphes de Markov Réseaux de Petri

23 Les graphes de Markov Matrice de transition
Equations différentielles liant les probabilités d’être dans l’un ou l’autre des états 1 l m Fonctionnement Défaillance Etat A Etat B Autre présentation: 1- A partir des équations précédentes, on peut faire apparaître explicitement les dérivées des probabilités. 2- On met souvent ce système d’équation sous une forme matricielle en introduisant les vecteurs ligne des probabilités et de leurs dérivées. La matrice des coefficients est appelée matrice de transition. Matrice de transition

24 Les graphes de Markov 1,2 m1 l2 l1 m2 Système à 2 composants : Etat 2
1- prenons maintenant l’exemple d’un système constitué de deux composants, en considérant toujours qu’ils ont un comportement binaire, c’est-à-dire en état de marche ou en état de panne. 2- L’ensemble des états du système contient donc 4 états selon le nombre de composants en panne. Le graphe de Markov représentatif contient donc 4 sommets et les transitions possibles de l’un vers l’autre en fonction des défaillances et des réparations successives. Dans l’état 1 les deux composants fonctionnent, dans l’état 2 le composant 1 est en panne, dans l’état 3, c’est le composant 2 qui est en panne et dans l’état 4, les deux composants sont en panne. On n’envisage pas les transitions directes entre les états 1 et 4 ni entre les états 2 et 3, considérant que la simultanéité d’événements est physiquement impossible. Chaque transition est donc associée au taux correspondant à la défaillance ou la réparation de l’un des 2 composants. 3- Si on écrit les équations différentielles liant les probabilités pour le système d’être dans un des 4 états nous obtenons alors une matrice de transition d’ordre 4, représentative du système. Comme dans le cas précédent et avec les mêmes hypothèses, on calculera chaque probabilité. Sur le graphe les états, nous avons noté colorié en vert les états de fonctionnement du système et en jaune ses états de panne. Dans ce cas, la disponibilité du système sera égale à la somme des probabilités pour le système d’être dans les états 1 ou 3.

25 Politique de réparation
Les graphes de Markov Politique de réparation 1,2 m1 l2 l1 m2 Suppose l’existence de deux réparateurs disponibles 1,2 m1 l2 l1 m2 Si un seul réparateur avec priorité au composant 1 1- Dans notre raisonnement, nous avons implicitement adopté une politique de réparation 2- En effet, lorsque le système est dans l’état 4, les deux composants sont en panne. Nous supposons alors que l’un aussi bien que l’autre peuvent être réparés selon des processus qui seront concurrents et qui pourront nous ramener aussi bien dans l’état 2 que dans l’état 3. 3- En terme de ressources, cela signifie que nous disposons des moyens nécessaires pour réaliser les deux réparations. On dit pour simplifier que l’on dispose de deux réparateurs indépendants. 4- Supposons par contre que l’on ne dispose que d’un seul réparateur. Lorsqu’on est dans l’état 4, on doit donc choisir lequel des deux composants réparer. Supposons que l’on choisisse de réparer le composant 1, c’est en effet plus intéressant que de réparer le composant 2 car cela permet de retrouver tout de suite un état de fonctionnement du système. 5- On obtient un nouveau graphe dans lequel la transition de l’état 4 vers l’état 2 a disparu. 6- La matrice de transition est modifiée, le paramètre de la dernière ligne et de la deuxième colonne est maintenant nul et le calcul des probabilités sera modifié en conséquence.

26 ... .. Les réseaux de Petri stochastiques
Modélisent le fonctionnement normal et les défaillances d’un système de production, Permet d ’évaluer les performances (flux de production…) en tenant compte des défaillances des machines. Nombre de pièces à usiner ... l panne .. Nombre de machines en état Nombre de machines en panne Les réseaux de Petri stochastiques sont une extension des réseaux de Petri autonomes. Ils permettent de modéliser aussi bien le fonctionnement normal d’un système que ses défaillances, afin d’en évaluer les performances. Pour un système de production, on pourra calculer le flux de production en tenant compte de la disponibilité des machines. Prenons l’exemple de l’opération d’usinage de pièces dans un atelier de fabrication. Nous allons modéliser le nombre de pièces à usiner dans le stock d’entrée de la machine par des jetons dans un rond appelé place. Supposons qu’il y a 3 pièces. De même nous représentons le stock des pièces usinées par une autre place. Nous supposons que ce stock est vide. L’opération d’usinage est représentée par un rectangle appelé transition. On indique que les pièces peuvent passer d’un stock à l’autre en traversant la transition, c’est-à-dire l’usinage. Supposons maintenant que l’on veuille modéliser le rôle des machines d’usinage. On va donc représenter dans une nouvelle place, le nombre de machines disponibles pour réaliser cet usinage. Supposons qu’il y en a deux. Une opération d’usinage est possible si il y a au moins une pièce dans le stock d’entrée et une machin disponible. C’est le cas ici; il y en a même deux, on va pouvoir usiner deux pièces. Pour modéliser cela, on prendra deux jetons dans le stock de pièces, deux jetons dans le parc de machines, on déposera ensuite après l’usinage les deux pièces dans le stock de sortie. Il faudra aussi remettre deux jetons dans le parc de machines car elles sont disponibles à nouveau toutes les deux. Supposons maintenant que les machines puissent tomber en panne. Modélisons le parc de machines en panne par une quatrième place. Le passage de l’état de marche à l’état de panne d’une machine est donc modélisé aussi par une transition. Le système cessera de fonctionner dès que les deux machines seront en panne à moins qu’on le dote de réparateurs. Dans ce cas, l’opération de réparation sera elle aussi représentée par une nouvelle transition. Toutes les transitions représentent des phénomènes d’une certaine durée. On sait que la durée de fonctionnement et la durée de réparation sont aléatoires. On peut aussi dire la même chose de la durée d’usinage qui est soumise à de nombreux facteurs comme l’usure des outils ou la variabilité des propriétés mécaniques des pièces. Pour représenter cela, on associe à chaque transition un taux de transition égal à l’inverse du temps moyen de franchissement: taux pour l’usinage, lambda pour la défaillance et mu pour la réparation. t usinage m réparation Nombre de pièces usinées

27 ... .. Les réseaux de Petri stochastiques t Marquage: l m
Nombre de pièces à usiner l m ... .. t Nombre de machines en état en panne usinées P1 P2 P3 P4 T1 T2 T3 Introduisons maintenant le concept de marquage du réseau de Petri. C’est un vecteur dont chaque composante représente le nombre de marques de chacune des places entre deux franchissements de transition successifs. Ainsi en notant respectivement P1, P2, P3 et P4 les places représentant les stocks d’entrée et de sortie des pièces et les places représentant les parcs de machines en marche et en panne, le marquage initial avant tout franchissement est Marquage:

28 . .. Les réseaux de Petri stochastiques t Marquage: l m
Nombre de pièces à usiner l m . t Nombre de machines en état en panne usinées P1 P2 P3 P4 .. T1 T2 T3 Supposons maintenant qu’on a franchit la transition T1, c’est-à-dire que l’on a usiné deux pièces à l’aide des deux machines. On a maintenant une seule pièce dans le stock d’entrée, deux pièces usinées et à nouveau deux machines disponibles. Le nouveau marquage est donc Marquage:

29 ... .. Les réseaux de Petri stochastiques t Marquage: l m
Nombre de pièces à usiner l m ... .. t Nombre de machines en état en panne usinées Marquage: P1 P2 P3 P4 T1 T2 T3 Revenons maintenant au marquage initial et supposons qu’avant de commencer l’usinage, une des deux machines tombe en panne. Un jeton de la place P3 est transféré dans la place P4 en franchissant la transition T2 associée à la défaillance machine.

30 ... . Les réseaux de Petri stochastiques t Marquage: l m
Nombre de pièces à usiner l m ... . t Nombre de machines en état en panne usinées P1 P2 P3 P4 T1 T2 T3 Le nouveau marquage obtenu est alors Dans cet état le système de production va fonctionner au ralenti puisqu’une seule machine assurant maintenant l’usinage, les jetons pièces traverseront une à une la transition T1.

31 Les réseaux de Petri stochastiques
Graphe des marquage: Sous certaines conditions, ce graphe est homogène à un graphe de Markov T1 T2 Hors de ces conditions, on peut utiliser la simulation (méthode de Monte Carlo)

32 Applicabilité de ces méthodes?
Elles sont accessibles facilement à travers des outils logiciels Il faut bien connaître son système pour le modéliser Le formalisme mathématique est entièrement caché Nées de collaborations entre Universitaires et groupes industriels, ces outils sont accessibles aux PME - PMI Voici donc présentées en quelques images les différentes méthodes d’évaluation de la sûreté de fonctionnement. Comme le l’ai dit à propos des arbres de défaillance, elles bénéficient toutes d’outils informatiques d’assistance et de calcul. Néanmoins, il est impératif de bien connaître son système pour pouvoir l’analyser ou le modéliser avec ces outils. Ce travail peut être mené aujourd’hui sans une grande expertise mathématique car les équations manipulées sont entièrement cachées. Il est cependant nécessaire de vérifier que les hypothèses simplificatrices exigées par chacun des modèles peuvent s’applique. Si ce n’est pas le cas, on risque alors de calculer n’importe quoi! La plupart de ces outils sont nés de collaborations entre laboratoires universitaires et groupes industriels avec le souci de les rendre utilisable par un plus grand nombre d’entreprises y compris des PME et PMI.

33 Suffisance de ces méthodes?
Caractère combinatoire de la structure fiabiliste:  substituer à la notion de coupe, la notion de séquence  réseaux de Petri, automates à états finis Reconfiguration des systèmes  extensions des modèles précédents Hypothèse non markovienne états fictifs … modèles semi markoviens… explosion combinatoire Lois de vieillissement et politiques de réparation complexes:  tenir compte du passé (mémoires)  tenir compte de l’état (variables continues) du système Voici donc présentées en quelques images les différentes méthodes d’évaluation de la sûreté de fonctionnement. Comme le l’ai dit à propos des arbres de défaillance, elles bénéficient toutes d’outils informatiques d’assistance et de calcul. Néanmoins, il est impératif de bien connaître son système pour pouvoir l’analyser ou le modéliser avec ces outils. Ce travail peut être mené aujourd’hui sans une grande expertise mathématique car les équations manipulées sont entièrement cachées. Il est cependant nécessaire de vérifier que les hypothèses simplificatrices exigées par chacun des modèles peuvent s’applique. Si ce n’est pas le cas, on risque alors de calculer n’importe quoi! La plupart de ces outils sont nés de collaborations entre laboratoires universitaires et groupes industriels avec le souci de les rendre utilisable par un plus grand nombre d’entreprises y compris des PME et PMI.

34 Fiabilité dynamique Résolution analytique ponctuelle de certains problèmes Recours à la simulation de Monte Carlo a partir de modèles états / transitions hybrides et stochastiques Voici donc présentées en quelques images les différentes méthodes d’évaluation de la sûreté de fonctionnement. Comme le l’ai dit à propos des arbres de défaillance, elles bénéficient toutes d’outils informatiques d’assistance et de calcul. Néanmoins, il est impératif de bien connaître son système pour pouvoir l’analyser ou le modéliser avec ces outils. Ce travail peut être mené aujourd’hui sans une grande expertise mathématique car les équations manipulées sont entièrement cachées. Il est cependant nécessaire de vérifier que les hypothèses simplificatrices exigées par chacun des modèles peuvent s’applique. Si ce n’est pas le cas, on risque alors de calculer n’importe quoi! La plupart de ces outils sont nés de collaborations entre laboratoires universitaires et groupes industriels avec le souci de les rendre utilisable par un plus grand nombre d’entreprises y compris des PME et PMI.

35 Exemple contrôle de la température d’un four

36 Le modèle de simulation

37 Merci de votre attention

38 Il est… probable que vous ayez des questions!


Télécharger ppt "Ecole Doctorale RP2R Séminaire du 15 Janvier 2009"

Présentations similaires


Annonces Google