La Sureté De Fonctionnement Stéphane COLONGES – Laboratoire APC 19 Novembre 2015 Sureté de fonctionnement • • • • • • Définition et enjeux Planifier Faire Vérifier Réagir Conclusion Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 2 Définition et enjeux • La sûreté de fonctionnement est l'aptitude d'un système à remplir une ou plusieurs fonctions requises dans des conditions données • RAMS: Reliability Availability Maintainability and Safety Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 3 Définition et enjeux • Sécurité • Disponibilité /Performances Effet collatéral: • Coût financier et image de marque / confiance / rappel de produits en masse Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 4 Définition et enjeux - Exemples • Explosion d'Ariane 5 (4 Juin 1996)… • Pannes de sondes Pitot (Vol Air-France Paris-Rio) • Cœur Artificiel Carmat (2 mai 2015: défaut de pilotage des moteurs) • Cyber sécurité: Véhicule autonome (Google car) • Un incendie 9 octobre 2015 local technique RER A: 1200 000 voyageurs impactés • Rappel de produits: Exemple: Citroën C4/DS4/C5/C8…: (Échauffement localisé d’une connexion) Sureté De Fonctionnement ANF Assurance Produit – 18/11/2015 Diapo: 5 Définition et enjeux - (Science Terre-mer-espace) Accès difficile, Complexité, Environnements sévères, Longue durée de vie… Sureté De Fonctionnement Auger Taranis S.Colonges – Novembre 2015 KM3NET HESS/CTA Diapo: 6 Définition et enjeux – Origine des défaillances Utilisation: • Humaines • Environnement • Profil de vie Techniques: • Logicielles (plus de 80% des cas) • Mécaniques (usure, détérioration) • Electroniques (défaillance des composants) • Electriques (Usure des contacts, conducteurs et isolants) Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 7 Définition et enjeux - Diagramme de causes à effets Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 8 Définition et enjeux • Ingénieriefiabilité:Concevoir et dimensionner des produits fiables et robustes en optimisant les coûts et les délais de développement. • An0ciperettraiterlesdéfaillances: - Prévoir maintenance: évaluer la fiabilité des systèmes afin de prévoir les éléments de rechanges, ressources et procédures - Enregistrer/tracer les défaillances - Testabilité, monitoring: savoir détecter les pannes Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 9 Définition et enjeux - Méthodologie • Analyser fonctionnellement • Concevoir • Définir les process • Définir les exigences • Lister les contraintes • AMDEC • Probabilités de défaillance • Améliorer / Durcir • Réduire les contraintes • Plan de maintenance et de récupération Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 10 Planifier Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 11 Planifier – Exigences et contraintes Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 12 Faire • Analyser fonctionnellement • Concevoir • Définir les process Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 13 Faire – Analyse fonctionnelle et conception Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 14 Vérifier • AMDEC • Probabilités de défaillance Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 15 Vérifier – Modes de défaillances AMDEC: Analyse des Modes de Défaillances , de leurs Effets et de leur Criticité (Brainstorming) En Anglais: FMECA: Failure Modes, Effects, and Criticality Analysis Parfois dit en simplifié: FMEA: Failure Mode Effect Analysis ou AMDE en Français Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 16 Vérifier – Analyse de risques Différence entre analyse de risque et AMDEC? APR: Analyse Préliminaire de risque Permet d’identifier les risques liés au projet: • Management (Ressources financières et humaines) • Approvisionnements (Monopoles, obsolescence) • Risques techniques (défaillances, Sécurité, Solution ne répondant pas aux besoins) • Ressources matérielles • Sous-traitance et production Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 17 Vérifier – Analyse de risques 1ere étape de construction de la sûreté de fonctionnement d’un système, l’APR: • • • • Est une liste non exhaustive des évènements redoutés Est réalisée à un niveau macroscopique S’applique à tout ou partie du cycle de vie du système Permet de déterminer les risques qui feront l'objet d'une démarche approfondie d'analyse des risques, notamment à l'aide d'autres méthodes de la sûreté de fonctionnement (en particulier AMDEC) Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 18 Vérifier – Modes de défaillances AMDEC PRODUIT: Analyse de la Conception d ’un produit pour améliorer sa QUALITE et sa FIABILITE (et sa sécurité). S’assurer de respect des exigences Clients (performances, contraintes…) AMDEC SECURITE: Analyse des défaillances et des Risques prévisionnels sur un équipement pour améliorer la Sécurité et la FIABILITE AMDEC MOYEN DE PRODUCTION (ou système): Assurer la disponibilité d’un Moyen de production en Améliorant sa conception, son exploitation ou sa maintenance AMDEC PROCESSUS: Analyse des opérations de production pour améliorer la QUALITE de FABRICATION et la fiabilité du produit (défaut de jeunesse). S’assurer du respect des spécifications (respect normes, coûts, délais…) ON PARLE MAINTENANT EGALEMENT D ’AMDEC SERVICE…ET D ’AMDEC FOURNISSEURS... Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 19 Vérifier – Modes de défaillances Id Bloc/ Composant Fonction Détecter électrons A 111 / BC408 relativistes (A111) Mode de défaut Collection lumière réduite Modes de détection / SN PN CN Symptomes Sur le système observables Effet Cause probable Local Mauvaise collection Efficacité réduite de Perte de sensibilité lumière (joint 2 l'UD du senseur optique) 2 8 Mesures de prévention ou de diminution du risque /Actions correctives Taux d'évènement réduit sur l'UD, et Exhaustivité tests charge mesurée vibration et chocs réduite Recommandations et remarques en • Bloc/Composant : Nom ou numéro du bloc fonctionnel • • • • Fonction : Description concise de la fonction réalisée Mode de défaillance : « Qu’est-ce qui pourrait aller mal ? » Causes possibles : « Quelles pourraient être les causes ? » Effet : Local puis sur le système (propagation de pannes) • Priorisation du risque : Sn, Pn, Cn • Modes de détection : Comment peut-on observer cette défaillance ? • Mesures de prévention/diminution du risque • Recommandations et remarques : Remarques complémentaires Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 20 Vérifier – Effets locaux et sur le système Reliability Block Diagram : Identifier les points de défaillance uniques Analyse fonctionnelle Sureté De Fonctionnement FTA: Fault Three Analysis S.Colonges – Novembre 2015 Diapo: 21 Vérifier – Modes de défaillances Fonction Mode Criticality/Detectability 1 16 8 4 2 1 ! Cause Effet 2 Cn Pn 3 Dn Méthode détection Action corrective 4 Criticité = probabilité x gravité Non Acceptabilité (Indice Priorisation risque) = probabilité x gravité x détectabilité Démarche récursive: on traite en premier le risque le plus élevé et ainsi de suite jusqu’à ne conserver que des niveaux de risques acceptables Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 22 Vérifier – Modes de défaillances Gravité ou Sévérité (SN: Severity Number): - 1: Effet ou dommage mineur ou négligeable - 2: Majeur: Opération dégradée - 3: Critique: Perte de l’équipement - 4: Catastrophique • Sécurité compromise (mort, blessure, pollution ...) • Propagation de panne: Perte de la mission ou infrastructure, Perte financière importante (> 50% du coû du projet – Retard > 1 an) Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 23 Vérifier – Modes de défaillances Détectabilité (DN: detectability Number) : - 4: Quasi impossible - 3: Difficile - 2: Possible - 1: Certaine Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 24 Vérifier – Modes de défaillances Probabilité (PN: Probability Number): - 1: Très faible (Probabilité ≤ 0,1%) - 2: Faible (0,1% <Probabilité ≤ 1%) - 3: Moyenne (1% <Probabilité ≤ 10%) - 4: Elevée (Probabilité> 10%) Probabilité de défaillance F(t) exprimée ici en % en regard de la durée de vie de l’équipement: F(t)= 1- e-λt Avec λ le nombre de défaillance / milliard d’heures Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 25 Vérifier – Modes de défaillances Analyse « derating » (ou de niveau de contrainte) Evaluer le taux de défaillance Récursivité: on cherche à obtenir des niveaux de risques acceptables Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 26 Vérifier – Taux de défaillances FIT (ou λ) Failure In Time è nombre de défaut pour la période (exprimé en défauts par milliard d’heures pour l’électronique) (Failure number / 109 hours) MTTF: Mean Time To Failure (en heure ou Année) è Temps Moyen Avant Défaillance (non réparable) MTBF: Mean Time Between Failure è Temps Moyen Entre Défaillances MTTF (ou MTBF) = 1/λ MTTR: Mean Time To Repair è Temps Moyen pour Réparer Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 27 Vérifier – Evaluer la probabilité de défaillance Des recueils, standards, référentiels: Ils sont le support de l’ingénierie fiabilité Ils permettent de calculer les probabilités de défaillance • Mécanique : – Les bases de données NPRD95, Tables AVCO… – Le référentiel NSWC 98 ou autres… Calculs… • Electronique: FIDES, RDF2000, MIL HDBK217… • Logiciel: DO178 (Software considerations in airborne systems and equipment certification), ECSS-E-ST-40C (software engineering), ECSS-Q-ST-60-02C (Asic and FPGA development) • Les données constructeurs (MTTF évalué, retour d’expérience, ou essais sur échantillons) Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 28 Vérifier – Evaluer la probabilité de défaillance A partir d’une probabilité de défaillance donnée pour des conditions environnementales définies, il est possible de déduire une probabilité de défaillance pour des conditions différentes en utilisant des lois d’accélération: • • • • Température: Loi d’Arrhenius Variation de température: Norris Landzberg Vibration: loi de puissance inversée Humidité: Loi de Peck Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 29 Vérifier – Evaluer la probabilité de défaillance Desloisderépar00ondesdéfaillances: EnFormedebaignoire: -Jeunesse:mortalitéinfan3le,défautsdeconcep3onoufabrica3on -VieU3le:tauxdedéfaillancealéatoireetconstant -Vieillesse:Augmenta3ondutauxdedéfaillanceavecletemps(concerne peulescomposantsélectroniques) Selon une loi de Weibull pour la mécanique (pas de période de vie utile : le vieillissement commence dès le début d’utilisation) Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 30 Vérifier – Evaluer la probabilité de défaillance Fiabilité mécanique: • Usure • Contraintes mécaniques (chocs, vibrations, efforts…), • Dégradation dans le temps des matériaux (UV, variations température…) Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 31 Vérifier – Défaillances logiciel • 80% des défaillances sont imputables au logiciel • Une mauvaise loi de commande peut entraîner l’usure prématurée d’un système (lien fiabilité étroit matériel/ logiciel). Par exemple: – Smartphone: Envoi permanent de données, usure batterie, chauffe – Chauffe moteurs usure mécanique (centrifugeuses Iraniennes) • Des défauts aléatoires: SEFI (interruption), SEU/MBU, corruption mémoires (si interruption soudaine en écriture) • Cycles d’écriture (Flash, disque dur): endommagement mémoire • Taux de charge des processeurs • Obsolescence de logiciels • Bugs aléatoire… Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 32 Vérifier - Logiciel – Une évolution rapide… - Des programmes de plusieurs millions de lignes! La solution: Approche système, programmation orientée modèles avec génération automatique de code (SCADE, Simulink, Labview…) - Confusion du code et de l’électronique: FPGA Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 33 Vérifier - Electronique: Origine des défaillances Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 34 Vérifier - Calcul du FIT électronique avec FIDES Note: FIDES ne concerne que la période de vie utile Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 35 Vérifier – Calcul du FIT électronique avec FIDES Basé sur la physique des défaillances, les facteurs d’accélération et la contribution des processus Technology FIT Over stresses factor (electrical, mechanical…) Contribution de l’environnement Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 36 Vérifier – L’Influence des « process » • • • Facteur multiplicateur (de 1 à 8 par exemple) Relatif à la qualité et à la maitrise technique Applicable à chaque phase du cycle de vie: • Spécification • Conception • Fabrication • Intégration • Exploitation (utilisation) et maintenance • Activités de support Réaliser un Audit « process » (qualité, ressources humaines, financières, matérielles…) Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 37 Vérifier – Liste des éléments critiques On extrait de l’AMDEC réalisée les éléments les plus critiques: Elément critique Usage Remarque /qualification Onduleur Transformation AC/DC Taux de défaillance important Batteries Stockage Faible durée de vie Panneaux solaires Convertir énergie solaire Besoin d’entretien/ en électricité nettoyage régulier Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 38 Réagir • Améliorer / Durcir • Réduire les contraintes • Plan de maintenance et de récupération Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 39 Réagir - Qualification et test Qualification: vérifier les contraintes maximales que le système/ composant peut supporter (HALT: HighlyAcceleratedLifeTest) - Contraintes électriques: Tension, décharges électrostatiques, courant, tension de claquage Moyens de test: Générateurs de signaux / tension / courant. Oscilloscope, multimètre, bancs tests - Contraintes environnementales et mécaniques: -Température, humidité, vibration, chocs, pollution chimique, sel, radiations (dose cumulée, effets singuliers), vide, UV… Moyens de test: Enceintes climatiques, pot vibrant, source colbalt60, accélérateur (faisceaux ions lourds, protons…) Sel! Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 40 Réagir - Déverminage HASS: High Accelerated stress screening (éliminer les défauts de jeunesse) But: Éliminer les défauts latents liés à la production (mauvaise soudure) ou l’industrialisation (plage d’accueil d’un composant trop petite) ou la conception (composant utilisé en limite)… Faire vieillir la carte (burnin) puis la contraindre thermiquement (stress screening) DEFAILLANCES JEUNESSE VIE UTILE VIEILLESSE TEMPS Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 41 Réagir - Déverminage 2 ème coupure d’alimentation Serveurs de terminaux Voies Séries des 20 UB t° Boîtier de contrôle 1 ère coupure d’alimentation Alimentation des 20 cartes Commande de l’enceinte Défauts Procédure de déverminage PC de commande de l’enceinte thermique 0 défauts Défauts Production Retour d’expérience Cartes dans le champ Réagir - Améliorer la fiabilité des systèmes Pour l’électronique: • Diminuer les contraintes : tension, courant, dissiper et contrôler la chaleur… • Protéger contre l’humidité et poussières (tropicaliser) , contre les surtensions (ESD), placer les composants hors zones de contraintes • Redonder les fonctions critiques • Employer des composants « durcis » Militaire (MIL), Spatial (ESCC/Qualified Part List /Prefered Part List / Qualified Manufacturer Listè https://escies.org/) Pour la mécanique: • Diminuer les contraintes: frottement, dissiper et contrôler la chaleur • Transport et emballage • Durcisseurs mécaniques, renforts, amortisseurs Pour le logiciel: • Codes correcteurs d’erreurs, triplication • Simuler (approche modèle), vérifier, respecter les standards, programmation défensive. S’appuyer sur le retour d’expérience (REX) et bugs rencontrés Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 43 Réagir - Plan de maintenance et recuperation Définir: • Ressources : Humaines, matérielles et locaux • Durées/coûts de maintenance et réparation • Formation des personnels, manuels utilisateurs • Quantité de composants de rechange et stockage Procédures de maintenance: • Préventive: Nettoyage, usure mécanique, remplacement…Logiciels: mise à jour, sauvegardes, antivirus, correctifs… • Curative : Analyse, Nombre de réparations autorisées sur un même produit • Retour d’expérience: suivi, enregistrement défaillances et non conformités (bases de données) – Suivi des « Date Code » • Récupération: Définir modes récupération à distance, mesure paramètres, modes dégradés, redondances… (FRACAS: Failure Reporting, Analysis and Corrective Action) Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 44 Résumé – Cycle de vie Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 45 Résumé – L’AMDEC en résumé PREVENTION Sureté De Fonctionnement S.Colonges – Novembre 2015 46 Diapo: 46 Conclusion La SDF est capitale: -Car systèmes de plus en plus complexes -Le logiciel soucis croissant -On n’accepte pas de conséquences catastrophiques -Coût SDF < Coût défaillance -Planifier la maintenance (curative/préventive) -Outil / support à l’ingénierie Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 47 Une histoire de point de vue… Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 48 Slides de réserve • Slides de reserve – Annexes • Pour aller plus loin: • Définir les modes dégradés Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 49 Evaluation MTTF/MTBF à l’appui d’essais Nombre de defaillances ( x − x )2 σ= ∑ N −1 i =1 N 68,3% des défaillances 60% -1σ +1σ Précision estimation = 95,5% des défaillances -2σ -3σ précision de la mesure Racine carrée du nombre d' échantillons +2σ 99,7% des défaillances +3σ Temps Intervalle de confiance Mesure du taux de défaillance d’un composant : F= Ndefaut Ncomposantsdulot × Nheuresd ' essais Electronique Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 51 Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 52 Process Factor Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 53 Planifier – Exigences et contraintes Sureté De Fonctionnement S.Colonges – Novembre 2015 Diapo: 54