CT144 PDF

Collection Technique ..........................................................................
Cahier technique n 144

Introduction la conception
de la sret
E. Cabau
Les Cahiers Techniques constituent une collection dune centaine de titres

dits lintention des ingnieurs et techniciens qui recherchent une
information plus approfondie, complmentaire celle des guides, catalogues
et notices techniques.
Les Cahiers Techniques apportent des connaissances sur les nouvelles
techniques et technologies lectrotechniques et lectroniques. Ils permettent
galement de mieux comprendre les phnomnes rencontrs dans les
installations, les systmes et les quipements.
Chaque Cahier Technique traite en profondeur un thme prcis dans les
domaines des rseaux lectriques, protections, contrle-commande et des
automatismes industriels.
Les derniers ouvrages parus peuvent tre tlchargs sur Internet partir
du site Schneider Electric.
Code :
http://www.schneider-electric.com
Rubrique : Le rendez-vous des experts
Pour obtenir un Cahier Technique ou la liste des titres disponibles contactez
votre agent Schneider Electric.
La collection des Cahiers Techniques sinsre dans la Collection Technique
de Schneider Electric.
Avertissement
L'auteur dgage toute responsabilit conscutive l'utilisation incorrecte
des informations et schmas reproduits dans le prsent ouvrage, et ne
saurait tre tenu responsable ni d'ventuelles erreurs ou omissions, ni de
consquences lies la mise en uvre des informations et schmas
contenus dans cet ouvrage.
La reproduction de tout ou partie dun Cahier Technique est autorise aprs
accord de la Direction Scientifique et Technique, avec la mention obligatoire :
Extrait du Cahier Technique Schneider Electric n ( prciser) .
n 144
Introduction la conception
de la sret
Emmanuel CABAU
Ingnieur ENSIMAG 1989 (INPG, Grenoble), est chez Schneider
Electric depuis 1990.
Il se spcialise d'abord dans le domaine de plans d'exprience et
techniques statistiques diverses auprs de la Direction Scientifique et
Technique, puis, utilisant sa formation initiale d'informaticien,
participe au dveloppement d'un outil logiciel d'audit d'installation
lectrique pour Schneider Services.
En 1998, il rejoint le ple de comptence des tudes de sret de
fonctionnement, une quipe spcialise dans l'tude de fiabilit de
certains produits et process de Schneider Electric, notamment dans
les domaines : contrle-commande de centrales nuclaires,
installations lectriques, appareillage de coupure, systme
d'automatismes rpartis, etc.
CT 144 dition juin 1999
Cahier Technique Schneider Electric n 144 / p.2
Introduction la conception de la sret

La panne d'un quipement, l'indisponibilit d'une source d'nergie, l'arrt
d'un systme automatique, l'accident sont de moins en moins tolrables et
accepts par le citoyen comme par l'industriel.
La sret qui se dcline en terme de fiabilit, de maintenabilit, de
disponibilit et de scurit est maintenant une science qu'aucun
concepteur de produit ou d'installation, ne peut ignorer.
Ce cahier technique vous propose une prsentation des notions de base,
et une explication des mthodes de calcul.
Quelques exemples et valeurs numriques permettent de faire contrepoids
quelques formules et l'utilisation sous-jacente de nombreux outils
informatiques.
Sommaire
1 L'importance de la sret
1.1 Dans le logement

1.2 Dans le tertiaire
1.3 Dans lindustrie
p. 4
p. 4
p. 4
2 Les grandeurs de la sret
2.1
2.2
2.3
2.4
2.5
p. 5
p. 5
p. 6
p. 7
p. 7
3 Relations entre les grandeurs

de la sret
3.1 Des grandeurs interactives
p. 8
3.2 Des grandeurs qui peuvent sopposer

3.3 Des grandeurs fonction des temps moyens
p. 8
p. 9
4 Les types de dfaut
4.1 Les dfauts physiques

4.2 Les dfauts de conception
4.3 Les dfauts dexploitation
p. 11
p. 11
p. 11
5 De llment au systme :
la modlisation
5.1 Les bases de donnes sur les composants des systmes
p. 13
5.2
5.3
5.4
5.5
5.6
5.7
5.8
p. 15
p. 16
p. 16
p. 19
p. 22
p. 24
p. 25
6 Maintenance et logistique :
de plus en plus complexe
6.1 Optimisation de la maintenance par la fiabilit (O.M.F)
p. 26
6.2 Soutien logistique intgr (S.L.I)
p. 26
Fiabilit
Taux de dfaillance
Disponibilit
Maintenabilit
Scurit
La mthode APR
La mthode AMDEC
Les diagrammes de fiabilit
Les arbres de dfaillance
Les graphes dtats
Les rseaux de Ptri
Choix dune technique de modlisation
7 Conclusion
p. 27
Bibliographie et normes
p. 28
1 Limportance de la sret
L'homme des cavernes devait tre sr de son

bras. L'homme moderne est entour d'outils, de
systmes de plus en plus sophistiqus dont il
doit tre sr, ceci s'il veut qu'ils concourent

rellement sa scurit, son efficacit et son
confort.
1.1 Dans le logement

Le citoyen, dans sa vie de tous les jours, est
fortement intress par :
c la fiabilit de son tlviseur,
c la disponibilit de llectricit,
c la rparabilit de son conglateur ou de sa

voiture,
c la scurit du coupe-gaz de sa chaudire.
1.2 Dans le tertiaire

Le banquier et tout le secteur tertiaire
accorde beaucoup dimportance :
c la fiabilit de linformatique,
c la disponibilit du chauffage,
c la rparabilit des ascenseurs,

c la scurit incendie.
1.3 Dans lindustrie

Lindustriel qui doit tre comptitif ne peut
admettre de pertes de production, dautant
plus importantes que son process de
fabrication est complexe ; il recherche la
meilleure :
c fiabilit de ses systmes contrle commande,
c disponibilit de ses machines,
c maintenabilit de loutil de production,
c scurit des personnes et du capital industriel.
Ces valeurs que lon regroupe sous le concept
de SURETE (tre sr) font appel la notion de
confiance. Elles se quantifient en terme
dobjectif, se calculent en terme de probabilit,
se ralisent en terme darchitecture et de choix

de composants, se vrifient par les tests ou
lexprience.
Schneider Electric intgre ce concept de sret
de longue date. Il en est ainsi, entre autres,
depuis 30 ans pour les produits Merlin Gerin
dont on connat la contribution : hier, par
exemple, la conception des centrales
nuclaires, ou lexceptionnelle disponibilit de
lnergie lectrique de la base de lancement des
fuses ARIANE, aujourdhui dans la conception
des produits et systmes destins tous les
secteurs dactivit.
2 Les grandeurs de la sret
2.1 Fiabilit
Lampoule lectrique est utile au particulier, au
banquier et lindustriel. Quand ils lallument ils
veulent tous quelle claire jusqu ce quils
lteignent !
La fiabilit est la probabilit que lampoule soit
en tat de fonctionner linstant t, elle mesure
laptitude rester dans un tat de
fonctionnement correct.
Dfinition : la fiabilit est la probabilit pour
quune entit puisse accomplir une fonction
requise, dans des conditions donnes, pendant
un intervalle de temps donn [t1,t2] ; que lon
crit : R(t1,t2).
Cette dfinition, celle de la CEI (Commission
Electrotechnique Internationale), est donne
dans la norme 191 de juin 1988.
Plusieurs notions sont fondamentales dans cette

dfinition :
c Fonction : la fiabilit est caractristique de la
fonction attribue au systme. La connaissance
de son architecture matrielle est souvent
insuffisante et il faut utiliser des mthodes
danalyse fonctionnelle.
c Conditions : le rle de lenvironnement est
primordial en fiabilit, il faut aussi connatre les
conditions dutilisation. La connaissance du
matriel nest pas suffisante.
c Intervalle : on sintresse une dure et pas
un instant. Par hypothse le systme fonctionne
linstant initial, le problme est de savoir pour
combien de temps. En gnral t1 = 0 et on note
R(t) la fiabilit.
2.2 Taux de dfaillance

Conservons lexemple de lampoule. Son taux de
dfaillance linstant t, not (t), mesure la
probabilit quelle steigne intempestivement
dans lintervalle [t,t+ t] sachant quelle est reste
allume jusqu linstant t. Le taux de dfaillance
est un taux horaire qui est homogne linverse
dun temps.
Lcriture mathmatique est la suivante :
(t)
Priode
de
jeunesse
Priode
d'usure
1 R(t)-R(t + t)
(t) = lim
R(t)
t 0 t
-1 dR(t)
R(t) dt
(1)
Ainsi, le taux de dfaillance qui mesure la

probabilit pour une personne ge de 20 ans
de mourir dans lheure qui suit se note :
(20 ans) = 10-6 par heure.
Si on reprsente en fonction de lge on obtient
alors une courbe qui est celle de la figure 1 .
Aprs de fortes valeurs qui correspondent la
mortalit infantile, atteint la valeur de lge
adulte durant laquelle il est constant car les
causes de dcs sont surtout accidentelles et
donc indpendantes de lge. A partir de 60 ans,
Vie utile
0
t
Fig. 1 : courbe en baignoire.
du fait du vieillissement augmente. Lexprience

a montr que pour les composants lectroniques
la courbe obtenue a la mme allure, do la
terminologie : priode de jeunesse, vie utile et
priode dusure.
Pendant la priode de vie utile le taux est

constant et lquation (1) donne :
R(t) = exp(-t). La loi est dite exponentielle, la
courbe de fiabilit en fonction du temps, dans ce
cas, est celle de la figure 2 .
La loi exponentielle est une des lois possibles.
Les dispositifs mcaniques soumis, ds le dbut
de leur emploi, lusure peuvent suivre une autre

loi, par exemple la loi de Weibull, dans laquelle le
taux de dfaillance est fonction du temps. Si on
trace la courbe donnant en fonction du temps
on obtient alors une courbe qui n'a pas le plateau
de la figure 1 (cf. figure 3 ).
(t)
1
R(t) = e-t
Priode
de
jeunesse
0
t
Fig. 2 : fiabilit exponentielle.
Fig. 3 : courbe de fiabilit avec usure.
2.3 Disponibilit
La notion de disponibilit sillustre trs bien avec
celle dun vhicule. Une voiture doit fonctionner
linstant du besoin, lhistorique importe peu. La
disponibilit mesure cette aptitude fonctionner
un instant donn.
Dfinition : la disponibilit est la probabilit pour
quune entit soit en tat daccomplir une
fonction requise dans des conditions donnes
un instant donn t, en supposant que la
fourniture des moyens extrieurs ncessaires
est assure. On la note : D(t).
Cette dfinition de la CEI est calque sur celle
de la fiabilit mais laspect temporel est
fondamentalement diffrent puisquon
sintresse un tat un instant donn et pas
une dure.
Le fonctionnement linstant t ne ncessite pas
forcment le fonctionnement sur [0,t] pour un
systme rparable. Cest l que se situe la
diffrence fondamentale avec la fiabilit.
On peut tracer la courbe donnant la disponibilit
en fonction du temps dun lment rparable
dans le cas de lois exponentielles pour les
dfaillances et les rparations (cf. figure 4 ).
On constate que la disponibilit tend vers une
valeur limite qui est, par dfinition, la disponibilit
asymptotique. Cette valeur limite est atteinte au
bout dun temps qui est de lordre du temps de
D(t)
1
0
t
Fig. 4 : disponibilit en fontion du temps.
rparation. La fiabilit a toujours une limite nulle

puisquaucun systme nest ternel. (Ce dernier
point peut tre contest dans le cas des
logiciels).
Revenons sur lexemple de la voiture. Deux
types de vhicules posent des problmes de
disponibilit : ceux qui tombent souvent en panne
et ceux qui, bien que rarement en panne, restent
longtemps au garage avant dtre rpars. La
fiabilit participe donc la disponibilit mais
laptitude tre rpare rapidement est aussi
importante, cest la maintenabilit.
2.4 Maintenabilit
Les concepteurs recherchent toujours la
performance maximum du produit et ngligent
parfois lhypothse de la panne. Il est difficile
quand on fait tout pour que le systme
fonctionne de se demander ce quil adviendra en
cas de panne. Pourtant cette interrogation est
indispensable. Pour quun systme soit
disponible, il doit dfaillir le plus rarement
possible mais il est tout aussi important quil soit
trs rapidement rpar. On entend ici par
rparation lensemble de la remise en service
incluant les dlais logistiques. Laptitude dun
systme tre rpar est mesure par la
maintenabilit.
Dfinition : la maintenabilit est la probabilit

pour quune opration donne de maintenance
active puisse tre effectue pendant un intervalle
de temps donn [t1,t2] ; que lon crit : M(t1,t2).
Cette dfinition est galement extraite du
vocabulaire international normalis par la CEI.
Elle traduit que la maintenabilit est la rparation
ce que la fiabilit est la dfaillance. On dfinit
avec les mmes hypothses que pour R(t) la
maintenabilit M(t).
Le taux de rparation (t) est introduit de faon
similaire au taux de dfaillance - voir ce paragraphe
ci-dessus, quation (1). Lorsquil est constant, la
loi est exponentielle et on a : M(t) = exp(-t).
2.5 Scurit
On distingue les pannes dangereuses des
pannes non dangereuses. La diffrence ne
rside pas dans la nature des pannes mais dans
leurs consquences. Le fait dteindre tous les
feux dans une gare ou de les faire passer
intempestivement du vert au rouge affecte le
fonctionnement (arrt des trains) mais nest pas
directement dangereux. Cela est compltement
diffrent dans le cas o les feux passeraient du
rouge au vert.
La scurit est la probabilit dviter un
vnement dangereux.
La notion de scurit est troitement lie celle
du risque qui lui-mme dpend non seulement
de la probabilit doccurrence mais aussi de la
gravit de lvnement. On peut accepter de
risquer sa vie, grande gravit, si la probabilit
doccurrence est assez faible. Si le risque est
uniquement de se casser une jambe on peut
accepter une probabilit plus grande. La courbe
de la figure 5 illustre le concept de risque
acceptable.
Gravit
Risque
inacceptable
Risque
acceptable
Probabilit d'occurence
Fig. 5 : le niveau de risque est fonction du couple :

gravit, probabilit doccurence.
3 Relations entre les grandeurs de la sret
3.1 Des grandeurs interactives

A travers ces quelques exemples on voit que la
SURETE est un concept qui se dcline en 4
grandeurs chiffrables ; elles dpendent les unes
des autres (cf. figure 6 ).
Ces quatre grandeurs sont prendre en compte
pour toute tude de sret.
Disponibilit
Fiabilit
Scurit
Maintenance
Fig. 6 : les composantes de la sret.
On dsigne parfois la sret par les initiales de

ses quatre grandeurs caractristiques, FMDS :
c Fiabilit : probabilit que le systme soit non
dfaillant sur [0,t].
c Maintenabilit : probabilit que le systme soit
rpar sur [0,t].
c Disponibilit : probabilit que le systme
fonctionne linstant t.
c Scurit : probabilit dviter un vnement
catastrophique.
La correspondance avec la terminologie
anglaise est la suivante :
c Fiabilit : Reliability.
c Maintenabilit : Maintainability.
c Disponibilit : Availability.
c Scurit : Safety.
c Sret de fonctionnement : Dependability.
3.2 Des grandeurs qui peuvent sopposer

Parmi les grandeurs caractristiques de la sret
certaines peuvent tre contradictoires.
Lamlioration de la maintenabilit peut amener
des choix qui dgradent la fiabilit (par exemple
adjonction de composants pour faciliter le
montage-dmontage). La disponibilit est donc
un compromis entre la fiabilit et la maintenabilit ;
une tude de sret permet de chiffrer ce
compromis.
De mme, la scurit et la disponibilit peuvent
tre contradictoires.
On a vu que la scurit est la probabilit dviter
un vnement dangereux, elle est souvent
maximum quand le systme est arrt, mais la
disponibilit est alors nulle : cest le cas lorsquon
ferme la circulation un pont risquant de
seffondrer. A linverse pour amliorer la
disponibilit de leurs appareils certaines
compagnies ariennes peuvent tre tentes de
ngliger la maintenance prventive et la scurit
en vol diminue. La dtermination dun systme
rpondant au compromis optimal entre la
scurit et la disponibilit impose de pouvoir
calculer ces grandeurs.
Un systme peut occuper trois tats,
(cf. figure 7 ). Outre ltat de fonctionnement
normal on considre deux tats de panne : l'un
dangereux et lautre pas. Dans un but de
simplification les tats de panne incluent tous les
fonctionnements dgrads, do la dsignation
fonctionnement incorrect .
Le temps coul avant de quitter ltat A est

caractristique de la fiabilit. Le temps pass
dans ltat B aprs une panne sre est
caractristique de la maintenabilit. Le ratio
entre le temps pass dans ltat A et le temps
total est caractristique de la disponibilit.
Laptitude du systme ne pas transiter vers
ltat C est caractristique de la scurit. On
constate que ltat B est performant vis--vis de
la scurit ; mais il est source dindisponibilit.
Etat B
Rparation
Fonctionnement
incorrect
non dangereux
Etat A
Fonctionnement
correct
Panne sre
Panne
dangereuse
Etat C
Fontionnement
incorrect et
dangereux
Fig. 7 : panne sre : disponibilit !

panne dangereuse : scurit !
3.3 Des grandeurs fonction des temps moyens

Outre les probabilits (fiabilit, maintenabilit,
disponibilit, scurit) doccurrence dvnements
introduites dans ce qui prcde, on utilise aussi
les temps moyens avant loccurrence
dvnements pour caractriser la sret.
Les temps moyens
Il est utile de rappeler la dfinition prcise de
tous les temps moyens car ils sont souvent mal
utiliss. Le plus mal utilis est peut-tre le plus
connu, le MTBF, qui est souvent considr tort
comme une dure de vie. En effet au bout dun
temps gal au MTBF, si la loi est exponentielle,
et pour une population homogne, presque 2/3
des dispositifs, en moyenne, sont dfaillants. Sil
sagit dun systme, celui-ci a 63 % de chances
davoir eu une panne. Les dfinitions et le
positionnement de ces temps moyens situs au
MTTF
cours de la vie dun systme sont rappels

figure 8 .
MTTF ou MTFF (Mean Time To First Failure) :
temps moyen de bon fonctionnement avant la
premire dfaillance.
MTBF (Mean Time Between Failure) : temps
moyen entre deux dfaillances dun systme
rparable.
MDT (Mean Down Time) : dure moyenne de
dfaillance comprenant la dtection de la panne,
la dure dintervention, le temps de la rparation
et le temps de remise en service.
MTTR (Mean Time To Repair) : temps moyen de
rparation.
MUT (Mean Up Time) : dure moyenne de bon
fonctionnement aprs rparation.
MTBF
MDT
MUT
MTBF
MDT
MUT
MDT
t
Dfaillance
Dfaillance
Dfaillance
Rparation
Rparation
Rparation
Etat de marche
Etat de panne
Fig. 8 : diagramme des temps moyens, tabli pour un systme ne ncessitant pas d'interruption de
fonctionnement pour maintenance prventive.
Quelques relations et valeurs numriques

Il existe de nombreuses relations entre les
grandeurs introduites.
Pour une loi exponentielle R(t) = exp (-t),
MTTF = 1/ ; or pour un systme non rparable
MTBF = MTTF (en effet toutes les pannes sont
alors des premires pannes). Ceci explique la
formule classique largement utilise pour les
composants lectroniques (non rparables) :
MTBF = 1/ .
Il ne faut appliquer cette formule que pour des
lois exponentielles et, en toute rigueur, pour un
composant non rparable (on peut saffranchir
de cette dernire hypothse si la MDT est
suffisamment faible).
Lorsque les temps de rparations suivent aussi
une loi exponentielle on montre de mme que
MTTR = 1/.
On a MTBF = MUT + MDT. En gnral
MDT = MTTR mais il faut parfois ajouter les
dlais logistiques ou de dmarrage.
On a de plus :
c disponibilit asymptotique
D =
=
lim (D(t))
t +
MUT
MUT
=
MDT +MUT
MTBF
Cette formule illustre linterprtation de la

disponibilit donne en page 5 (ratio du temps
de bon fonctionnement par rapport au temps
total). Cette valeur (MUT/MTBF) correspond
lasymptote de la figure 4.
c indisponibilit asymptotique
= 1 - disponibilit asymptotique
ID =
=
lim (1-D(t))
t +
MDT
MDT
=
MDT +MUT
MTBF
Lindisponibilit asymptotique est en gnral

plus facile exprimer numriquement que la
disponibilit (on lit plus facilement 10-6 que
0,999999).
Pour des lois exponentielles avec les relations

MUT = 1/ et MDT = 1/ on arrive :
ID =
ou D =
+
+
est souvent ngligeable devant puisque le

temps de rparation est petit devant le temps
moyen avant panne. On peut donc simplifier le
dnominateur et on obtient :
ID =
= MTTR
Cette dernire formule chiffre dans le cas de lois

exponentielles le compromis fiabilitmaintenabilit quil faut optimiser pour amliorer
la disponibilit.
Le tableau ci-aprs (cf. fig.9 ) donne un ordre de
grandeur du taux de dfaillance et du temps
moyen avant la premire panne pour un certain
nombre dlments des domaines lectronique
et lectrotechnique.
On constate bien sr que la fiabilit se dgrade
quand la complexit augmente. Ceci correspond
dailleurs une rgle de base de la conception
de la sret : faire simple autant que possible.
La notion de temps moyen est souvent mal
comprise. Les deux phrases suivantes signifient
la mme chose dans le cas dune loi
exponentielle :
Le MTTF vaut 100 ans et on a une chance
sur 100 dobserver une panne la premire
anne . Cette deuxime phrase semble
pourtant plus inquitante pour un industriel qui
vend 10 000 appareils de ce type chaque anne.
En moyenne une centaine dappareils tomberont
en panne la premire anne.
Pour lindisponibilit on peut citer comme
exemple le rseau lectrique national. On
sintresse la prsence dnergie lectrique
conforme lattente de lutilisateur.
Lindisponibilit est de lordre de 10-3 ce qui
correspond en moyenne 9 heures de panne
par an. Pour une salle informatique entirement
secourue par un ensemble donduleurs
fortement redondants on peut atteindre une
disponibilit 1 000 ou 10 000 fois meilleure.
Rsistances
Micro
processeur
Fusible et disj. forte

intensit, transfos,
cbles (100 m)
jeu de barres
(10 dparts)
Gnrateur
Coupures
brves
EDF
(/h)
10-9
10-6
entre 10-7 et 10-6
10-5
10-3
MTTF
1000 sicles
100 ans
entre 100 et 1000 ans
10 ans
40 jours
Fig. 9 : taux de dfaillance et MTTF de quelques lments.
4 Les types de dfaut
La ralisation dun systme satisfaisant un

objectif de sret ncessite didentifier et prendre
en compte les causes possibles de dfauts. La
classification suivante peut tre propose :
Les dfauts physiques
Ils peuvent tre induits par des causes internes
(rupture dun lment) ou externes
(interfrences lectro-magntiques,
vibrations).
Les dfauts de conception
Ils regroupent notamment les erreurs de
conception matrielles et les erreurs logicielles.
Les dfauts dexploitation
Ils dsignent les dfauts engendrs par une
mauvaise utilisation du matriel :
c utilisation du matriel dans un environnement
pour lequel il na pas t conu,
c erreur dun oprateur humain dans lutilisation
du matriel ou lors dune opration de
maintenance,
c malveillance.
Les techniques dveloppes dans ce document
concernent prioritairement la prise en compte
des dfauts physiques.
Cependant, le problme des erreurs humaines
et des erreurs logicielles nest pas ngliger,
mme si ltat de lart dans ces domaines est
moins riche que pour les dfauts physiques.
Nous nous contenterons de mentionner, dans le
cadre de ce cahier technique, les lments de
rflexions suivants.
En matire de logiciels :
c Le logiciel ignore le phnomne de
vieillissement, mais ds qu'il est complexe, il est
ncessaire de valider sa conception par une
dmarche sret.
c Cette dmarche intervient la fois en phase
de conception et en phase de validation.
c La premire tape de la dmarche peut-tre
l'Analyse des Effets des Erreurs du Logiciel
(AEEL) qui identifie les parties critiques et
prconise des actions de conception ou de
validation. Mais cette analyse est souvent trop
lourde pour tre mene dans le dtail.
c En conception sont utiliss des ateliers

logiciels adapts la sret (chez
Schneider Electric, LUSTRE et SCADE, par
exemple) et des techniques de redondance
(plusieurs versions du mme logiciel
dveloppes indpendamment).
c En validation sont utilises les techniques
d'inspection formelle et de preuve de proprit.
c Quantifier de faon exacte la fiabilit d'un
logiciel reste difficile. Les meilleurs rsultats sont
atteints pour des tudes prliminaires effectues
pour des environnements (langage, mthode)
prcis. C'est le cas au sein de Schneider Electric
o a t dvelopp, par exemple, les logiciels
pilotant le cur des centrales nuclaires : SPIN
(Systme de Protection Intgr Numrique).
c Schneider Electric participe un groupe de
travail europen sur la sret du logiciel (voir
bibliographie).
La fiabilit humaine
Laspect qualitatif prvaut dans ce domaine.
Leffort porte sur la schmatisation de loprateur
humain et sur la classification des tches et des
erreurs humaines. Les tudes les plus pousses
sont celles ralises dans le domaine nuclaire.
Le comportement de loprateur est connu la
fois par des simulateurs et par les retours
dexprience, les deux sources peuvent tre
confrontes.
La littrature amricaine fournit mme des
valeurs numriques qui sont utiliser avec
prcaution : selon le type daction (machinales,
procdurales, cognitives) on value la probabilit
derreur.
Les vnements actuels en particulier les grandes
catastrophes, montrent que les dfaillances
humaines sont une cause essentielle non
seulement au niveau de loprateur mais aussi
au niveau du concepteur. Plus la libert daction
de lhomme est grande plus les risques
encourus sont importants. Laccident de la
navette amricaine en 1987 montre que mme
le management de projet peut tre en cause : on
remonte jusquaux concepteurs de la structure
de travail des concepteurs de la navette ! Les
comptences multiples sont ncessaires pour
aborder le problme de la fiabilit humaine, en
particulier la psychologie et lergonomie.
CCTU 04 01 A
modle RA
RSISTANCES FIXES AGGLOMRES
MIL - R - 11 (RC)
MIL - R - 39 008 (RCR)
= b . R . E . Q . 10-9/h
Informations ncessaires
Temprature ambiante
Dissipation effective
Dissipation nominale
Valeur de la rsistance
Environnement
Classes de qualification
1
0,9
0,8
0,7
0,6
0,5
0,4
0,1 0,2 0,3
20
10
R
E
Q
Facteur de charge
Dissipation effective
Dissipation nominale
Classes de qualification
5
Agrment (PTT, ...)
avec CCQ
sans CCQ
sauf usage gnral
usage gnral
CCQ
(UTE/CECC)
Homologation
Qualification par un client
Sans qualification (produit courant)
0,5
1
1
2,5
2,5
5
7,5
Environnement
Au sol (conditions favorables)
Au sol (matriel fixe)
Au sol (matriel mobile)
Satellite en orbite
Missile (lancement)
Avion de transport (zones habitables)
Avion de transport (zones non habitables)
Avion de combat (zones habitables)
Avion de combat (zones non habitables)
Bateau (zones protges)
Bateau (zones non protges)
0,5
0,2
1
2,9
8,3
1
29
2,8
5,7
5,7
11
5,2
12
0,1
t
0
20
40
60
80
100
Valeur de la rsistance
R i 100 k
0,1 M < R i 1 M
1 M < R i 10 M
R > 10 M
120
Temprature ambiante en C
b en fonction de la temprature
1
1,1
1,6
2,5
Rpartition des dfauts
ambiante t et du facteur de charge
Courts-circuits :
Circuits ouverts :
0%
100%
Modle mathmatique
12(t + 273)+( )(t + 273)]

[
343
0,6
273
= 9.10-6. e
b
Fig. 10 : exemple de feuille de calcul issue des cahiers du CNET.
5 De llment au systme : la modlisation
5.1 Les bases de donnes sur les composants des systmes

On utilise le plus souvent les bases de donnes
dcrites ci-aprs, mais il est prfrable, quand
cela est possible de recueillir les donnes de
retours d'expriences auprs des constructeurs
des composants que l'on utilise. Cependant, ces
donnes sont difficiles obtenir car tous les
constructeurs ne s'efforcent pas de les collecter
systmatiquement ou bien elles sont conserves
confidentiellement.
En lectronique
Dans ce domaine la fiabilit est trs pratique
depuis de nombreuses annes. Les deux bases
de donnes les plus utilises sont le Military
Handbook 217 (F, notice 2), amricain, et le
recueil de fiabilit du Centre National dEtudes
des Tlcommunications (CNET) (cf. figure 10 ).
Schneider Electric participe sa mise jour.
Ces recueils permettent de calculer le taux de
dfaillance suppos constant dun composant en
fonction des caractristiques de lapplication,
(environnement ou taux de charge par exemple),
ainsi que du type de composant, (nombre de
portes, valeur de la rsistance).
Prenons par exemple une rsistance de 50 k
sur une carte lectronique place dans un
tableau lectrique.
On consulte les tableaux de la page 10 pour
dterminer les diffrents facteurs correctifs.
Lenvironnement est Au sol (matriel fixe) ,
le facteur multiplicatif relatif lenvironnement
est donc :
E = 2,9.
La valeur de la rsistance donne le facteur
multiplicatif correspondant :
R = 1.
La rsistance est sans qualification ce qui donne
le facteur multiplicatif relatif au facteur de
qualit :
Q = 7,5.
Le facteur de charge est caractristique de
lapplication contrairement aux autres facteurs
qui sont caractristiques du composant. Si le
facteur de charge est de 0,7 et la temprature
ambiante pour la carte est de 90 C. Labaque
donne b = 15.
On obtient alors le taux de dfaillance de la
rsistance en effectuant le produit :
= b . R . E . Q . 10-9 = 0,33 10-6.
Si la conception est ralise en intgrant
lobjectif fiabilit :
c Des changes thermiques mieux tudis
permettent dabaisser la temprature ambiante.
c Une meilleure conception de la carte

lectronique permet de diminuer le facteur de
charge .
Avec t = 60 C et = 0,2 labaque donne
b = 1,7.
Si on prend un composant homologu :
Q = 2,5 on obtient alors : = 0,012 10-6 soit un
gain dun facteur 30.
Connaissant la fiabilit de chaque composant on
passe facilement la fiabilit des cartes, (qui
sont rparables ou remplaables), puis des
systmes lectroniques en utilisant les
mthodes de modlisation dcrites dans la suite
de ce chapitre 5.
Remarques importantes :
c L'exemple ci-dessus est purement illustratif
pour montrer l'esprit des calculs de fiabilit en
lectronique. Les valeurs numriques et les
paramtres utiliss sont en constante volution
et rgulirement mis jour.
c C'est d'ailleurs la raison pour laquelle depuis
plusieurs annes dj, les calculs sont effectus
partir d'outils logiciels. Le plus connu est
RELEX et il runira partir de 1999 les deux
bases de donnes du Military Handbook et du
CNET.
En lectrotechnique et en mcanique
Les recueils de donnes existants sont moins
reconnus quen lectronique, mais ils sont trs
utiliss.
On peut citer :
c RAC NPRD 95 : rapport du Reliability Analysis
Center, organisme militaire amricain,
concernant les composants et dispositifs non
lectroniques.
c IEEE STD 493 : recueil de donnes de fiabilit
observes et concernant des quipements
lectriques dans les installations lectriques
industrielles.
c IEEE STD 500 : recueil de donnes de fiabilit
observes et concernant des quipements
lectriques, lectroniques et mcaniques
installs dans les centrales nuclaires.
On utilise aussi des ouvrages de rfrence qui
contiennent des mthodes de calcul et des
donnes propres certains domaines. Par
exemple louvrage de Cl. Marcovici et
J. Cl. Ligeron : Utilisation des techniques de
fiabilit en mcanique .
A titre d'illustration, la figure 11 donne un extrait

du RAC NPRD97 concernant les disjoncteurs.
On a tout dabord une rpartition des diffrents
modes de dfaillances, on lit par exemple que
34 % des dfaillances constates sont des refus
de fermeture. Le tableau de la figure 9 donne
une estimation de la valeur du taux de
dfaillance (point estimate) en ce qui concerne
la fonction thermique (thermal) des disjoncteurs.
On lit successivement :
c lenvironnement : ici GF = Ground Fixed = au
sol conditions industrielles,
c lestimation du taux de dfaillance : il faut lire
0,335 10-6 h-1,
c les bornes dun intervalle de confiance tel que
la probabilit que le taux de dfaillance sy
trouve est de 0,6 (cest--dire 0,8 - 0,2),
c le nombre de recueils utiliss pour le calcul :
ici 2,
c le nombre de dfaillances observes : ici 3,
c le nombre dheures de fonctionnement
observes : 8,944 106 h.
La connaissance du taux de dfaillance global et

de la rpartition par mode de dfaillance permet
de chiffrer la probabilit des diffrents
vnements par une simple rgle de trois.
Par exemple, pour le mode de dfaillance
refus de fermeture , on obtient :
0,335 10-6 x
34
= 1,17 10-7
100
Une autre approche est parfois plus pertinente :

on considre un nombre de manuvres au lieu
de considrer le temps de fonctionnement. Dans
ce cas un test portant sur un chantillon de
quelques dizaines de produits permet de chiffrer
la fiabilit (loi de Weibull).
Le choix dpend du type de dfaillances que lon
dsire tudier, lusure des contacts est lie au
nombre de manuvres alors que la corrosion
est lie au temps. Le type dutilisation et les
conditions denvironnement sont toujours
dterminants.
Bruyant : 8 %
Divers autres : 15 %
Bloqu : 15 %
Mal rgl : 6 %
Intermittent : 15 %
Refus d'ouverture : 8 %
Dgrad : 15 %
Refus de fermeture : 34 %
Component
part type
APPL
ENV
User
code
Point
estimate
60 % upper
single-side
20 % lower
internal
80 % upper
internal
% of
recs
% of
fail
Operating
HRS (E6)
Thermal
GF
0,335
0,171
0,621
8,944
Fig. 11 : mode de dfaillances et donnes de fiabilit des disjoncteurs.
5.2 La mthode APR

Une APR est une Analyse Prliminaire des
Risques qui a pour objectif d'identifier les
dangers d'une installation industrielle et ses
causes (exemples : entits dangereuses,
situations dangereuses accidents potentiels).
Elle peut comporter galement une valuation
de la gravit des consquences lies aux
situations dangereuses et aux accidents
potentiels.
A faire ds les premires phases de la

conception et remettre jour au fur et
mesure du droulement du projet, cette analyse
permet de dduire tous les moyens, toutes les
actions correctrices permettant d'liminer ou de
matriser les situations dangereuses et les
accidents potentiels.
Elle ne doit pas tre confondue avec la mthode
suivante, l'AMDEC qui, elle, entre dans le dtail
des modes de dfaillance des lments d'un

systme. Comme son nom l'indique, l'APR est
un prliminaire qui, partant de l'analyse
fonctionnelle du systme, suppose la dfaillance
de chaque lment fonctionnel (sans s'occuper
du mode de dfaillance) et traduit les
consquences de cette dfaillance sur le
systme. L'APR est donc particulirement
indiqu en dbut de conception afin de ne pas
manquer un danger potentiel important.
Fonctions
Equipements
considrs
Evnements
causant une
situation
redoute
Situation
redoute
Evnements
causant un
accident
redout
On trouvera ci-dessous (figure 12 ) un exemple

de tableau d'APR, sans chiffrage de la gravit.
C'est l'extrait d'une APR faite sur un tableau
Basse Tension comportant un automatisme qui
doit, notamment dtecter une surconsommation
lectrique du tableau.
Pour plus de dtails sur l'APR, on pourra
consulter le chapitre 6 de l'ouvrage Sret de
fonctionnement des systmes industriels de
A. Villemeur (voir bibliographie).
Accident
redout
Consquences Remarques
redoutes
Non ouverture Demande

du disjoncteur douverture
du disjoncteur
Non arrt
du process
Non
dlestage
Surtarification
Production
du process
dtriore
Consquences
dpendantes de
lutilisation
du disjoncteur
Ouverture
imtempestive
du disjoncteur
Arrt du
process
Coupure de
lalim.
lectrique
Production
du process
dtriore
Energie
non dispo.
Consquences
dpendantes de
lutilisation
du disjoncteur
Non fermeture Demande de

du disjoncteur fermeture
du disjoncteur
Procdure
Energie
du process non dispo.
non
respecte
Relestage
impossible
Consquences
dpendantes de
lutilisation
du disjoncteur
Fermeture
imtempestive
du disjoncteur
Procdure
Surtarifidu process cation si
non
EJP
respecte
Surconsom.
do arrt
du GE
Consquences
dpendantes de
lutilisation
du disjoncteur
a
Ouverture du
disjoncteur
Fermeture du
disjoncteur
Dialpact
Un de ces
Disjoncteur
quipements
Cartes lectroniques est dfaillant
Rseau
Dialpact
Un de ces
Disjoncteur
quipements
Rseau
b
Passage de
l'information
par un
Dialpact
Dialpact
Un de ces
Capteur
quipements
Rseau
Info. errone
du capteur :
t indique
inf. au seuil
Surconsommation
lectrique
du tableau
Incendie
Destruction
du tableau du tableau et
arrt de tous
les dparts
Cas direct
Capteur
Un de ces
Cartes lectroniques quipements
Rseau
est dfaillant
Info. errone
du capteur :
t indique
inf. au seuil
Surconsommation
lectrique
du tableau
Incendie
Destruction
du tableau du tableau et
arrt de tous
les dparts
Passage de
l'information
par un
Dialpact
Dialpact
Un de ces
Capteur
quipements
Rseau
Info. errone
du capteur :
t indique
sup. au seuil
Demande de
dlestage
inutile
Surconsommation
suspecte
Cas direct
Capteur
Un de ces
Cartes lectroniques quipements
Rseau
est dfaillant
Info. errone
du capteur :
t indique
sup. au seuil
Demande de
dlestage
inutile
Ici, cest la mesure

de t qui indique la
surconsommation et
non celle des courants
Fig. 12 : exemple dun tableau d'APR pour un tableau BT en configuration automatique , deux cas sont examins ici, celui de la commande
de disjoncteurs (a) et celui des mesures de temprature (b).
5.3 La mthode AMDEC

Une AMDEC est une Analyse des Modes de
Dfaillance, de leurs Effets et de leur Criticit.
Un mode de dfaillance est un effet par lequel
on observe la dfaillance dun lment du
systme.
Cette dfinition de la CEI (publication 812)
montre que la mthode se base sur la
dcomposition du systme en lments. Le
recueil des donnes permet de connatre le
comportement de chaque lment.
Larchitecture matrielle et fonctionnelle du
systme permet dinduire tous les effets de tous
les modes de dfaillance de tous les lments
du systme.
On inclut dans les AMDEC une valuation de la

criticit de chaque dfaillance (cf. figure 13 ).
Cette criticit dpend de deux facteurs : la
probabilit doccurrence de la dfaillance et la
gravit des consquences.
Une AMDEC permet dtudier linfluence des
dfaillances des composants du systme.
Lintrt de cette mthode, essentiellement
qualitative, est lexhaustivit. Par contre il faut la
complter pour combiner les effets mis en
vidence, cest lobjet des mthodes dcrites
dans la suite de ce chapitre 5.
Elment
Fonctions
Modes de
dfaillance
Causes
Effets
Criticit
Disjoncteur
Interrupteur
Refus
douverture
Collage
Non
dlestage
Refus
de fermeture
Mcanique
Non
alimentation
Protection sur
court-circuit
Refus
douverture
Collage
Non
protection
Passage du
courant
Ouverture
intempestive
Mauvais
rglage
Coupure
dalimentation
Echauffement
Contacts
dfectueux
Dtrioration
lectronique
Remarques
Fig. 13 : exemple de tableau AMDEC.
5.4 Les diagrammes de fiabilit

Le diagramme de fiabilit est une faon trs
simple de reprsenter un ensemble de
composants non rparables. Le calcul de la
fiabilit du systme ainsi reprsent est possible
pour les ensembles srie-parallle, en
redondance K/N et en pont. Leur application aux
systmes rparables est beaucoup moins
systmatique.
Les systmes srie-parallle
Deux lments sont dits en srie si le
fonctionnement des deux est ncessaire pour
assurer le fonctionnement de lensemble. Deux
lments sont dits en parallle si le
fonctionnement dau moins un des deux est
suffisant pour assurer le fonctionnement de
lensemble (cf. figure 14 ).
Lorsque deux composants sont placs en srie

lun ET lautre doivent fonctionner, il faut donc
multiplier leurs fiabilits pour obtenir la fiabilit
de lensemble :
R(t) = R1(t) . R2(t).
Lorsque deux composants sont placs en
parallle il sagit cette fois que lun OU lautre
fonctionne. Il est plus pratique dutiliser la
dfiabilit dans ce cas. Pour que le systme soit
en panne il faut que lun ET lautre des deux
composants soient en panne, ce qui scrit :
1 - R(t) = (1 - R1(t))(1 - R2(t)).
Les deux formules sont donc :
c en srie :
R(t) = R1(t) . R2(t)
Parallle
Srie
1
1
2
2
Fig. 14 : les systmes en srie, en parallle.
c en parallle :
R(t) = R1(t) + R2(t) - R1(t) . R2(t)
Dans le cas du systme parallle, 1 et 2 sont
dits en redondance. Cette redondance est dite
passive si llment 2 est larrt tant que
llment 1 fonctionne. Cest le cas dun groupe
lectrogne.
Si 1 et 2 fonctionnent ensemble la redondance
est dite active, ce qui est suppos ici.
Pour des composants non rparables on calcule
la fiabilit de lensemble, sachant que les lois
suivies par les deux composants sont
exponentielles, on a :
c en srie :
R(t) = exp(-1t) . exp(-2t) = exp(-(1 + 2)t)
R(t) suit une loi exponentielle et :
= 1 + 2
c en parallle :
R(t) = exp(-1t) + exp(-2t) - exp(-(1 + 2)t)
R(t) ne suit pas une loi exponentielle.
Le taux de dfaillance nest pas constant.
Toutes ces formules se gnralisent par
associativit un systme de n composants non
rparables en srie ou en parallle. On peut
combiner ces formules.
Les systmes redondance K/N
Un systme compos de N lments est dit
redondance K/N si K lments suffisent
assurer sa mission. La redondance est

gnralement suppose active (cf. figure 15 ).
Soit Ri(t) la fiabilit du ime composant non
rparable du systme. Dans les cas simples le
calcul de la fiabilit de lensemble peut se faire
par recherche des combinaisons favorables :
c systme 2/3
R = R1.R2 + R1.R3 + R2.R3 - 2 R1.R2.R3
c systme srie (N/N) :
R(t) = N
i=1 Ri (t)
Lorsque K est petit il est plus facile de calculer
1 - R(t), par exemple :
c systme parallle (1/N) :
1-R(t) = N
i=1(1 Ri ( t ))
c systme K/N
Dans le cas o les N lments sont identiques,
pour tout i : Ri(t) = r(t).
On peut alors calculer facilement la fiabilit de
l'ensemble par la formule
N
Ni
i r(t)i 1 r(t)
R(t) = CN
(
)
i =K
Les systmes en pont

On dsigne ainsi les systmes qui ne se
rduisent pas une combinaison srie-parallle.
On peut rduire ces systmes, par itration, au
cas ci-dessus (cf. figure 16 ).
2
KN
Fig. 15 : les systmes redondance K/N.
Fig. 16 : systme en pont.
Fig. 17 : dcomposition d'un systme en pont.
Pour calculer la fiabilit de ce systme partir

de celles des cinq composants non rparables il
faut utiliser le thorme des probabilits
conditionnelles :
R = R3.R (sachant que 3 marche)
+ (1 - R3). R (sachant que 3 est dfaillant)
On dduit donc R(t) des rsultats de ltude des
deux diagrammes de la figure 17 .
Exemples : fiabilit dun systme de
dtection dintrusion.
Le systme est constitu de deux capteurs, un
capteur de vibration et une cellule photolectrique, et de deux alarmes, chacune tant
relie un unique capteur. La fonction du
systme est dmettre une alarme en cas
dintrusion activant les capteurs. La dure de
mission est fixe trois mois, cest la dure
maximum dune absence. On considre chaque
lment comme non rparable durant cette
priode. La maintenance est ralise avant
chaque absence et le systme est alors
considr comme neuf. Le systme est dcrit
sur le schma figure 18 .
Le but est dvaluer lamlioration apporte en
terme de fiabilit par lutilisation dun adaptateur
permettant aux deux alarmes de recevoir le
signal des deux capteurs. Le systme ainsi
constitu est reprsent sur le schma
figure 19 .
Les donnes de fiabilit : tous les composants
sont non rparables et suivent des lois
exponentielles :
Capteur de vibration
: 1 = 2.10-4
Cellule photo-lectrique : 2 = 10-4
Adaptateur
: 3 = 10-5
Alarmes
: 4 = 5 = 4.10-4
c calcul pour le schma A (figure 18)
On a deux chanes en parallle au sens de la
fiabilit, chacune comporte deux lments en
srie :
v fiabilit chane 1 : R1(t) . R4(t),
v fiabilit chane 2 : R 2(t) . R5(t) ; d'o pour le
systme, RA(t) = R1(t) . R4(t) + R2(t) . R5(t)
- R1(t) . R4(t) . R2(t) . R5(t).
En appliquant Ri (t) = exp(- i.t) avec le temps
de mission t = 3 mois = 2190 heures, on obtient :
RA = 0,51.
c calcul pour le schma B (figure 19)

Cette fois on a un schma en pont. Lorsque
ladaptateur est en panne on a le schma figure
17. Lorsquil fonctionne on a 1 et 2 en parallle
qui sont en srie avec 4 et 5 en parallle. Donc
la fiabilit du systme avec le schma figure 17
est :
RB = (1 - R3). R + R3 .(R1 + R2 - R1 . R2)
(R4 + R5 - R4 . R5)
On obtient cette fois : RB = 0,61.
On constate que lamlioration est trs peu
sensible bien que ladaptateur soit excellent. Sur
cet exemple le calcul permet de juger du peu
dintrt dun systme plus coteux.
Cas des lments rparables
On ne peut plus utiliser les diagrammes de
fiabilit aussi systmatiquement :
c lorsque deux lments rparables 1 et 2 sont
en parallle, la relation liant R(t) R1(t) et R2(t)
Alarme 1
Capteur
de vibration
((
((
((
((
Alarme 2
Cellule
photo-lectrique
Fig. 18 : alarmes sans couplage : schma A.
Adaptateur
3
Fig. 19 : chanes avec couplage : schma B.
nest plus vraie. En effet le fonctionnement du

systme sur [0,t] peut correspondre un
fonctionnement en alternance de 1 et 2. Avec
des lments non rparables un au moins doit
fonctionner sur lensemble de la priode [0,t]
alors quici ils peuvent dfaillir tous les deux
mais pas en mme temps.
c Pour deux lments rparables en srie, la
relation R(t) = R1(t).R2(t) reste vraie.
c Pour des lments rparables cest le chiffrage
de la disponibilit qui est le plus souvent
demand. On utilise alors le diagramme de
fiabilit, et les mmes formules que pour le
calcul de la fiabilit :
v en srie :
D(t) = D1(t) . D2(t) ,
v en parallle :
D(t) = D1(t) + D2(t) - D1(t) . D2(t) .
Ces formules ne sont valables que pour des
cas simples.
La relation D(t) = D1(t) + D2(t) - D1(t) . D2(t) nest
plus vraie si on ne dispose que dun seul
rparateur par exemple. Cet aspect squentiel,
attente de la rparation dun lment pour
rparer lautre, ne peut pas tre modlis par un
simple diagramme. Les graphes dtats
(introduits plus loin) sont utiliss dans ce cas.
5.5 Les arbres de dfaillance

Ils permettent de calculer la probabilit de
panne dun systme, et consistent en une
reprsentation graphique des combinaisons
dvnements indpendants conduisant
lapparition dun vnement indsirable ou
catastrophique.
A partir de ces arbres, sauf dans les cas
simples, cest par les moyens de linformatique
scientifique et technique que lon calcule la
probabilit doccurrence ; ensuite on agit
ventuellement sur la conception du systme
pour diminuer la probabilit de dfaillance
Principe de la mthode
La construction de larbre se base sur lanalyse
du systme et sur le choix de lvnement
indsirable que lon dsire tudier. La premire
tape est la recherche des causes immdiates
de lvnement sommet, puis des causes des
causes immdiates et ainsi de suite.
A titre d'exemple, un cas simple : cf. figure 20
pour le schma et figure 21 pour larbre de
dfaillance correspondant.
Une coupe est une combinaison dvnements
lmentaires qui conduit lvnement
indsirable.
Lanalyse de larbre obtenu se dcompose en
deux phases :
c lanalyse qualitative : elle permet dobtenir
les coupes minimales, cest--dire les
combinaisons minimales par inclusion qui
conduisent lvnement indsirable. Lordre
dune coupe est le nombre dvnements
lmentaires qui la composent.
c lanalyse quantitative : elle est ralise
partir des coupes minimales et des probabilits
doccurrence des vnements de base. On
obtient ainsi une approximation de la probabilit
doccurrence de lvnement sommet. Il est
ncessaire de sassurer systmatiquement de la
validit de lapproximation. Selon les probabilits
considres larbre peut tre utilis pour tudier
la disponibilit ou la fiabilit.
Protection
Commande
Fig. 20 : chane d'alimentation d'un moteur.

L'vnement indsirable est : le moteur ne dmarre pas.
Le moteur
est arrt
et ne
dmarre pas
Moteur
dfaillant
Puissance
non
applique
Causes
immdiates
Pas de
liaison
+ / moteur
Pas de
liaison
- / moteur
Batterie
vide
Causes de
niveau
infrieur
Protec.
bloque
Fil
coup
Cde
dfaillante
Fil
coup
Fig. 21 : arbre de dfaillance du circuit de la figure 20.
Deux exemples simples de quantification :

v un rtroprojecteur avec une lampe en place et
une lampe de rechange. Lvnement
indsirable est : panne de lampe projecteur
(cf. figure 22 ).
Loprateur a deux chances sur mille dtre en
panne de lampe.
v l'alimentation dune ampoule 220V.
Lvnement indsirable est : la lampe ne
sallume pas (cf. figure 23 ).
On constate que la probabilit de panne est
environ de 0,001. On a une chance sur mille que
la lampe ne sallume pas. Lvnement lampe
grille est prpondrant.
Il est bien sr possible deffectuer un calcul
mathmatiquement exact de la probabilit
doccurrence. Il se base sur une mthode
rcursive sans utiliser les coupes : on
applique les formules de calcul des probabilits
pour chaque porte partir du calcul ralis pour
les sous arbres entrant dans la porte.
Lhypothse dindpendance des vnements
doit tre vrifie mais le calcul est exact. Ce
calcul exact permet de valider le calcul
approch, mais il est rarement effectu en
pratique : en gnral, les combinaisons autres
que les coupes minimales ont des probabilits
d'occurrence trs faibles car elles sont
composes d'un bon nombre d'vnements
lmentaires ; il est donc souvent inutile et
coteux en temps de calculer ces probabilits.
Application de larbre de dfaillance avec
utilisation des coupes : disponibilit dun
rseau de distribution lectrique BT.
La page suivante donne larbre de dfaillance
construit pour tudier la disponibilit sur un
dpart du rseau dessin ci-dessous
(cf. figure 24 ). On sintresse la disponibilit
en nergie lectrique en considrant uniquement
deux niveaux dnergie : correct (prsence
dnergie), dfaillant (absence dnergie).
Lvnement sommet indsirable est labsence
dnergie sur le dpart not E.
La construction de larbre (cf. figure 25 )
correspond certaines hypothses :
c on a considr uniquement 2 modes de
dfaillance pour les disjoncteurs : ouverture
intempestive et refus douverture sur courtcircuit.
Panne de
lampe
P1
Probabilit de
non fonctionnement : P
P2 2 lampe
grille ou
absente
Lampe
grille
Une coupe
minimale
d'ordre 2
P = P1 x P2 = 0,05 x 0,04 = 2.10-3
Fig. 22 : arbre de dfaillance d'un rtro projecteur.
Pas de
lumire
P1
P2
Absence
220V
Probabilit de
non fonctionnement : P
Deux coupes
minimales
d'ordre 1
Lampe
grille
1 - P = (1 - P1) (1 - P2) = (1 - 10-4) (1 - 10-3) = 0,9989
Fig. 23 : arbre de dfaillance d'un clairage.
B
JDB 1
D
JDB 2
JDB 3
E
Fig. 24 : rseau de distribution BT.
Absence
nergie
dpart E
G11*
JDB 3
non
aliment
Df.
JDB 3
G22*
2*1*
Df.
cble
Ouvert.
intemp.
disj. D
3*1*
3*2*
Remonte
CC aval
par F
Ouvert.
intemp.
disj. E
G24*
2*3*
Absence
nergie
JDB 1
G33*
Non ouv.
disj. F
sur CC
CC en
aval
de F
3*4*
3*5*
Remonte
CC aval
par C
JDB 1
non
aliment
Df.
JDB 1
G42*
G43*
4*1*
Deux
lignes
dfail.
Court
circuit
aval C
Absence
nergie
EDF HT
G51*
Non ouv.
disj. C
sur CC
G53*
5*2*
5*4*
Ligne B
Ligne A
G61*
Cble
JDB 2
6*3*
6*4*
G62*
Transfo.
A
Disj. A
Transfo.
B
Disj. B
7*1*
7*2*
7*3*
7*4*
Fig. 25 : arbre de dfaillance correspondant au rseau de la figure 24.
c Chaque voie transformateur peut alimenter

seule lensemble du rseau prioritaire dont le
dpart E fait partie.
c Les deux arrives EDF sont supposes prises
sur deux postes diffrents.
Ceci rduit le mode de dfaillance commun
lindisponibilit de EDF en haute tension.
A chaque vnement de larbre correspond une
probabilit doccurrence qui est dans ce cas une
indisponibilit. Celle des vnements
lmentaires est calcule par la formule
ID . MTTR, avec :
: le taux de dfaillance de llment, pour un
mode de dfaillance donn, obtenu par recueils
des retours dexprience ;
MTTR : le temps moyen de rparation qui
dpend de llment et de linstallation
(technologie, localisation gographique,
contrat).
Parfois on majore une probabilit quand celle-ci
est inconnue. On a pris par exemple 10-2 comme
majorant de la probabilit dapparition dun courtcircuit en aval de F.
La figure 26 donne le rsultat obtenu pour
lindisponibilit sur le dpart E, soit environ 10-5,
ce qui correspond 5 mn par an. La recherche
des coupes minimales permet non seulement
dobtenir la probabilit doccurrence de
lvnement sommet mais aussi la contribution
de chacune des coupes. La mme figure 26
donne la liste des coupes minimales et leur
contribution exprime en %. Cette mesure de la
contribution est appele importance.
Lexamen des importances relatives montre que
le cble reliant le jeu de barres 1 au jeu de
barres 3, (3e coupe minimale), est critique ainsi
que, dans une moindre mesure, les deux jeux de
barres auxquels il est reli. On constate de plus
que lamlioration de ces lments rendra la
rseau EDF critique. Pour amliorer encore la
disponibilit il faudra faire appel une source de
Indisponibilit : 1,1 10-3

Liste des coupes minimales (indiques sur
l'arbre) et contribution en % :
1
2
3
4
5
6
7
8
9
10
11
12
13
:
:
:
:
:
:
:
:
:
:
:
:
:
2*1*
2*3*
3*1*
3*2*
3*4*, 3*5*
4*1*
5*2*
5*4*, 6*3*
5*4*, 6*4*
7*1*, 7*3*
7*1*, 7*4*
7*2*, 7*3*
7*2*, 7*4*
:
:
:
:
:
:
:
:
:
:
:
:
:
9,5
1,6
68
1,6
,013
9,5
9,9
9,1 E - 6
3,2 E - 6
,00058
1,3 E - 5
1,3 E - 5
2,7 E - 7
Fig. 26 : contribution des lments du rseau

l'indisponibilit.
secours autonome du type gnrateur diesel.

Ltude de la disponibilit dune alimentation
lectrique est dtaille dans le Cahier Technique
Schneider Electric n 184 intitul Etude de
sret des installations lectriques .
Remarque sur les arbres de dfaillance
Les systmes avec reconfiguration et stratgies
de maintenance complexes sont difficilement
modlisables par un arbre de dfaillance. Par
exemple, lorsque deux composants sont en
redondance, la dfaillance du deuxime
composant n'a un sens que s'il y a auparavent
dfaillance du premier composant. Cet aspect
temporel de des pannes ne peut pas tre pris en
compte dans les arbres de dfaillances,
contrairement aux graphes d'tat et rseaux de
Ptri prsents ci-aprs.
5.6 Les graphes dtats

Les graphes dtats (appels aussi graphes de
Markov) permettent une modlisation sous
certaines hypothses. Les tapes successives
sont la construction dun graphe, la rsolution
des quations de base et linterprtation des
rsultats en terme de fiabilit et de disponibilit.
La rsolution est grandement simplifie par un
calcul limit aux grandeurs indpendantes du
temps.
transitions entre tats correspondent aux

vnements affectant le fonctionnement des
composants du systme. Ces vnements sont
en gnral des dfaillances ou des rparations.
Il en rsulte que les taux de transition entre tats
sont essentiellement composs de taux de
dfaillance ou de rparation (parfois pondrs
par des probabilits du type refus de dmarrage
la sollicitation).
Construction du graphe
Le graphe reprsente tous les tats du systme
et les transitions possibles entre ces tats. Les
Le graphe de la figure 27 reprsente le

comportement dun systme comprenant un
unique lment rparable.
c le temps moyen doccupation dun

tat i :
: taux de dfaillance
Etat de
marche
Etat de
panne
: taux de rparation
Ti =
c la frquence doccupation de ltat i :

fi =
Fig. 27 : graphe d'tat lmentaire.
Hypothses
Un modle de fonctionnement est dit Markovien
si les conditions suivantes sont vrifies :
c lvolution du systme ne dpend que de ltat
quil occupe et non du pass,
c les transitions se ralisent suivant des lois
exponentielles. Les taux sont constants,
c le nombre dtats est fini,
c deux transitions ne peuvent tre simultanes.
Equations
Sous les hypothses dcrites au paragraphe
prcdent la probabilit dtre dans ltat Ei
linstant t + dt scrit :
Pi (t+dt) =P (le systme est dans ltat Ei
linstant t et y reste) + P (le systme vient dun
autre tat Ej).
Pour un graphe de n tats on obtient n quations
diffrentielles qui donnent lquation suivante :
d(t)
= (t) . [ A ]
dt
o : (t) = [P1(t), P2 (t), K, Pn (t)]
[A] est appele matrice de transition du graphe.
La rsolution informatique de cette quation
sous forme matricielle permet donc dobtenir la
probabilit Pi(t) dtre dans ltat i linstant t
connaissant les taux de transition du graphe et
ltat de dpart.
Calcul des diffrentes grandeurs
La disponibilit est la probabilit de se trouver
dans un tat de marche on a donc :
D(t) =
P(t)
i
i
Pi = probabilit dans ltat de marche Ei.

La fiabilit est la probabilit dtre dans un tat
de marche sans jamais tre pass par un tat de
panne.
On construit un graphe o lon supprime toutes
les transitions sortant dun tat de panne vers un
tat de marche et on obtient des probabilits
Pi(t) et on a alors :
R(t) =
Pi' (t)
1
(Taux sortant de l'tat i)
Pi
Ti
Le calcul en temps moyens MTTF, MTTR, MUT,

MDT, MTBF se fait par calcul matriciel et en
utilisant certaines relations vues au paragraphe 3.
Pour le MTTF il faut choisir une distribution
initiale des probabilits dtre dans chacun des
tats.
Applications : onduleurs en parallle
Un onduleur est un appareil permettant
damliorer la qualit de lnergie lectrique. Il se
place en amont de rcepteurs sensibles tels que
les ordinateurs et leurs priphriques. On tudie
ici un ensemble donduleurs en redondance 2/3.
Lindisponibilit nest plus la seule grandeur
considrer : le MTTF permet de connatre le
temps moyen avant la premire coupure sur
lapplication. On est amen construire le
graphe dtats. Les trois onduleurs sont
identiques ce qui permet de grouper les tats
correspondant au mme nombre donduleurs en
panne. Les taux de dfaillance et de rparation
des onduleurs sont nots et (cf. figure 28 ).
Le numro de ltat correspond au nombre
donduleurs en panne. Chaque onduleur qui
fonctionne dans un tat Ei ajoute un taux de
sortie l vers ltat Ei+1.
Ces taux sont respectivement 3, 2 et . En
effet, pour passer de l'tat 0 l'tat 1 il y a trois
possibilits de panne ; pour passer de l'tat 1
l'tat 2 il y a deux possibilits de panne, etc.
Les tats de marche sont les tats 0 et 1. Par
hypothse le nombre de rparateurs est
suffisant pour que trois rparations puissent tre
en cours simultanment. Les taux de transition
correspondant aux rparations sont donc
proportionnels au nombre donduleurs en panne
dans ltat considr. Les donnes numriques
sont les suivantes :
= 2.10-5 h-1 ; = 10-1 h-1
3
Etat 0
2
Etat 1
Etat 2
Etat 3
3
Il est noter que deux grandeurs sont obtenues

simplement :
Fig. 28 : onduleurs en parallle.
Paramtres constants :
Indisponibilit
MTTF
MUT
MTBF
:
:
:
:
1,199360 E-07
4,169167 E+07
4,169167 E+07
4,169167 E+07
Disponibilit
MTTR
MDT
:
:
:
9,999999 E-01
8,333667 E+00
5,000333 E+00
Fig. 29 : valeurs relatives au schma de la figure 28.
La figure 29 donne les rsultats obtenus lors du

calcul des grandeurs indpendantes du temps.
On constate que le MTTF vaut 4,17.107 heures
alors que sans redondance (systme 3/3) le
MTTF vaut 1/3 l = 1,67.104 heures.
Pour lindisponibilit asymptotique on passe de
1,19.10-7 pour le systme tudi 6.10-4 sans
redondance (systme 3/3). La diffrence entre
ces deux valeurs se visualise trs bien sur le

graphe. Dans le cas de la redondance 2/3
lindisponibilit se calcule en sommant les
probabilits des deux tats de panne soit :
ID = P2 + P3 alors que sans redondance on
somme sur trois tats de panne :
ID = P1 + P2 + P3.
5.7 Les rseaux de Ptri

Un systme est reprsent par des places, des
transitions et des jetons. Le franchissement
dune transition par un jeton correspond a un
vnement fonctionnel ou dysfonctionnel
possible du systme. Ces transitions peuvent
tre associes nimporte quel type de loi
probabiliste, contrairement aux graphes dtats
qui supposent des transitions suivant des lois
exponentielles. Seule la simulation permet de
rsoudre de tels calculs.
Le rseau de Ptri de la figure 30 reprsente les
diffrentes dfaillances que le systme
distribution lectrique (dune industrie par
exemple) peut subir. Ce systme est compos
dune arrive EDF et de groupes lectrognes
qui prennent le relais si EDF est dfaillant.
c A la transition n 1 est associe la probabilit
de dfaillance de lalimentation EDF .
c A la transition n 2 est associe les
probabilits de dmarrage et de non dmarrage
des groupes lectrognes.
c A la transition n 3 est associe la probabilit
de dfaillances en fonctionnement des groupes
lectrognes.
La modlisation dun systme par rseau de
Ptri est la modlisation la plus proche du
fonctionnement rel du systme tudi. Par
exemple, un temps de rparation constant est un
cas de figure courant et peut tre modlis tel
quel dans un rseau de Ptri, alors que si lon
modlise par graphes dtat (technique
prcdente), on est oblig de supposer que ce
temps de rparation suit une loi exponentielle.
Dfaillance
EDF
Temps de
rparation
Probabilit 1-P
de dmarrage
des GE
Temps de
rparation
Temps de
rparation
Probabilit P de
non dmarrage
des GE
Dfaillance
des GE en
fonctionnement
Fig. 30 : modlisation de la distribution lectrique par

rseau de Ptri.
Mais compte tenu des limites lies la

simulation, cette technique nest pas utilise
systmatiquement : pour tre prcis, il faut
raliser un grand nombre de simulations et le
temps de calcul peut tre trs long si lestimation
des mesures est lie des vnements rares.
Certes, laugmentation effrne de la puissance
des ordinateurs de bureau tend gommer cet
inconvnient.
5.8 Choix dune technique de modlisation

On trouvera un tableau dtaill pour faire ce
choix dans le Cahier Technique n 184
Etudes de sret des installations
lectriques mais on peut retenir la faiblesse
principale de chacune des trois mthodes
utilises (arbres de dfaillances, graphes
dtat, rseau de Ptri), les diagrammes de
fiabilit se cantonnant des systmes que
lon rencontre rarement dans la complexit
industrielle daujourdhui, savoir :
c les arbres de dfaillance ne peuvent traiter
laspect temporel des pannes donc les
reconfigurations, pourtant frquentes, en
particulier dans la distribution lectrique,
c les graphes dtat supposent que les dures
de vie et de rparation des composants du
systme suivent toutes une loi exponentielle,
ce qui est peu raliste dans certains cas

(dure de vie de composants mcaniques
soumis usure, temps de rparation
constant),
c les rseaux de Ptri sont plus compliqus
mettre en uvre, la traabilit des erreurs
faite lors de la modlisation nest pas trs
bonne et les temps de simulation peuvent tre
trs longs lorsque des vnements rares sont
impliqus.
Etant donn lamlioration des moyens de
calcul, la tendance est lutilisation de plus en
plus intensive de la simulation par rseau de
Ptri, sauf dans le cas de systmes assez
simples o la mise en uvre des deux autres
mthodes est plus rapide pour un rsultat
quivalent.
6 Maintenance et logistique : de plus en plus complexe
Dans la conception de la sret intervient la

maintenance : il est plus tolrable qu'un systme
tombe frquemment en panne sil est rparable
instantanment. Ainsi, pour un risque de panne
donn il existe un optimum en terme de

maintenance et de stock de pices de rechange
pour garantir un niveau de fiabilit et/ou de
disponibilit donn.
6.1 Optimisation de la Maintenance par la Fiabilit (O.M.F.)

Cette mthode apparu dans les annes 60 dans
le domaine aronautique, a t reprise par EDF
en 1990 pour la maintenance du parc nuclaire
et tend sappliquer dans bon nombre de sites
industriels complexes o des oprations de
maintenance sont faites. Cette mthode poursuit
trois buts :
c rduire des cots de maintenance sans
dgradation de la fiabilit,
c amliorer la scurit et la disponibilit des
installations (en tant plus pertinent sur les
priodicits et les lments maintenir),
c matriser la dure de vie des quipements
(parfois suprieure la dure de carrire des
oprateurs de maintenance).
Elle sappuie sur deux rgles de bon sens :

c classer les dfaillances du systme par ordre
de priorit pour leur assigner une maintenance
adapte : sil est ncessaire de dtecter la
dfaillance, la maintenance doit tre prventive ;
sil suffit de rparer la dfaillance, la
maintenance peut ntre que corrective,
c utiliser les retours dexpriences sur les
dfaillances passes pour axer la maintenance
sur les composants les moins fiables.
6.2 Soutien Logistique Intgr (S.L.I.)

Cette dmarche devient indispensable lorsquon
doit par exemple assurer la disponibilit de
plusieurs systmes partir de centres
logistiques gographiquement distants : combien
de pices de rechange doit-on prvoir pour
lensemble des systmes ? Vaut-il mieux stocker
ces pices de rechange auprs de chacun des
systmes ou les stocker en un seul endroit ?
Le S.L.I. a donc pour objectifs de :
c Matriser le rapport cot global de
possession/disponibilit oprationnelle .
c Prendre en compte des exigences de soutien
ds la conception du systme (do le terme
intgr ).
Cette dmarche trs globale se traduit en

particulier par des optimisations complexes des
lots de rechange, optimisations impossibles
faire la main , avec une feuille de papier et
un crayon. Ces calculs sont effectus laide de
programmes informatiques faisant appel
plusieurs domaines des mathmatiques
appliques (probabilits, recherche
oprationnelle).
Pour plus de dtails, on pourra consulter
Lanalyse du soutien logistique et son
enregistrement (voir bibliographie).
7 Conclusion
La sret, notion de plus en plus importante en

terme de confort, defficacit, de scurit, se
matrise et se calcule. Elle se conoit travers
les appareils, les architectures, les systmes.
Elle fait de plus en plus partie des cahiers des
charges et des clauses contractuelles.
Lexistence des mthodes et outils de la sret
permettent aujourdhui de rendre systmatique
les tudes de sret la conception et lors des
actions dassurance qualit.
Lapproche intuitive, les calculs approchs et
exacts permettent en se combinant de
comparer les configurations, de chiffrer le risque
pour la meilleure performance, cest--dire celle
qui correspond au besoin clairement exprim.
Enfin, des mthodes d'optimisation permettent
d'allger les cots de maintenance et de
logistique tout en maintenant le niveau de sret
exig.
Bibliographie et normes
Normes
c CEI 60191/UTEC20310 : Liste des termes de
base, dfinitions et mathmatiques applicables
la fiabilit.
c CEI 362/UTEC20313 : Guide pour lacquisition
des donnes de fiabilit, de disponibilit et de
maintenabilit partir des rsultats dexploitation
des dispositifs lectroniques.
c CEI 305/UTE C20321 20327 : Essai de
fiabilit des quipements.
c CEI 706/X 60310 ET 60312 : Guide
maintenabilit de matriel.
c CEI 812/x 60510 : Techniques danalyse de la
fiabilit des systmes.
Procdure dAnalyse des Modes de Dfaillance
et de leurs Effets (AMDE).
c CEI 863/x 60520 : Prvision des
caractristiques de fiabilit, maintenabilit et
disponibilit.
c CEI 61508 : Scurit fonctionnelle des
systmes lectriques/lectroniques/lectroniques
programmables relatifs la scurit.
Cahiers techniques Schneider Electric
c Etude de sret des installations lectriques.
S. LOGIACO 1999, Cahier technique n 184.
Participation de Schneider Electric
diffrents groupes de travail :
c Groupe statistiques du comit 56 (normes de
fiabilit) de la CEI.
c Sret du logiciel au groupe Europen
EWICS - TC7 : computer and critical
applications.
Ouvrages divers
c Military Handbook 217 F (notice 2)
Department of Defense (US) - 1995.
c Recueil de donnes de fiabilit du CNET
(Centre National dEtudes des
Tlcommunications) - 1999.
c Documents Std 493 et 500 de lIEEE
(Institute of Electrical and Electronics Engineers)
1984 et 1997.
c Document NPRD97 (Nonelectronics Parts
Reliability Data du Reliability Analysis Center
(Department of Defense US) - 1997.
c Fiabilit des systmes
A. PAGS et M. GONDRAN - Eyrolles 1983.
c Sret de fonctionnement des systmes
industriels
A. VILLEMEUR - Eyrolles 1988.
c Vocabulaire Electrotechnique International
VEI 191 - Juin 1988.
c Actes de la 15e confrence Inter Ram
Portland, Oregon - Juin 1988.
c Techniques de fiabilit en mcanique
Cl. MARCOVICI et J. Cl. LIGERON - Pic 1974.
c L'analyse du soutien logistique et son
enregistrement .
M. PREVOST et C. WAROQUIER
Technique et Documentation (Lavoisier 1994).
62589
Direction Scientifique et Technique,

Service Communication Technique
F-38050 Grenoble cedex 9
Tlcopie : (33) 04 76 57 98 60
1999 Schneider Electric
Schneider Electric
Ralisation : AXESS - Saint-Pray (07).

Edition : Schneider Electric
Impression : Imprimerie du Pont de Claix - Claix - 1000.
- 100 FF06-99

CT144 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CT144 PDF

Uploaded by

Copyright:

Available Formats

Collection Technique ..........................................................................

Cahier technique n 144

Les Cahiers Techniques constituent une collection dune centaine de titres

CT 144 dition juin 1999

Cahier Technique Schneider Electric n 144 / p.2

Introduction la conception de la sret

1.1 Dans le logement

2 Les grandeurs de la sret

3 Relations entre les grandeurs

3.1 Des grandeurs interactives

3.2 Des grandeurs qui peuvent sopposer

4 Les types de dfaut

4.1 Les dfauts physiques

5.1 Les bases de donnes sur les composants des systmes

6.1 Optimisation de la maintenance par la fiabilit (O.M.F)

6.2 Soutien logistique intgr (S.L.I)

Cahier Technique Schneider Electric n 144 / p.3

L'homme des cavernes devait tre sr de son

doit tre sr, ceci s'il veut qu'ils concourent

1.1 Dans le logement

c la rparabilit de son conglateur ou de sa

1.2 Dans le tertiaire

c la rparabilit des ascenseurs,

1.3 Dans lindustrie

Cahier Technique Schneider Electric n 144 / p.4

se ralisent en terme darchitecture et de choix

2 Les grandeurs de la sret

Plusieurs notions sont fondamentales dans cette

2.2 Taux de dfaillance

Ainsi, le taux de dfaillance qui mesure la

Fig. 1 : courbe en baignoire.

du fait du vieillissement augmente. Lexprience

Cahier Technique Schneider Electric n 144 / p.5

Pendant la priode de vie utile le taux est

de leur emploi, lusure peuvent suivre une autre

Fig. 2 : fiabilit exponentielle.

Fig. 3 : courbe de fiabilit avec usure.

Cahier Technique Schneider Electric n 144 / p.6

Fig. 4 : disponibilit en fontion du temps.

rparation. La fiabilit a toujours une limite nulle

Dfinition : la maintenabilit est la probabilit

Fig. 5 : le niveau de risque est fonction du couple :

Cahier Technique Schneider Electric n 144 / p.7

3 Relations entre les grandeurs de la sret

3.1 Des grandeurs interactives

Fig. 6 : les composantes de la sret.

On dsigne parfois la sret par les initiales de

3.2 Des grandeurs qui peuvent sopposer

Cahier Technique Schneider Electric n 144 / p.8

Le temps coul avant de quitter ltat A est

Fig. 7 : panne sre : disponibilit !

3.3 Des grandeurs fonction des temps moyens

cours de la vie dun systme sont rappels

Cahier Technique Schneider Electric n 144 / p.9

Quelques relations et valeurs numriques

Cette formule illustre linterprtation de la

Lindisponibilit asymptotique est en gnral

Pour des lois exponentielles avec les relations

est souvent ngligeable devant puisque le

Cette dernire formule chiffre dans le cas de lois

Fusible et disj. forte

entre 10-7 et 10-6

entre 100 et 1000 ans