FR3044787A1

FR3044787A1 - ESTIMATING THE RELIABILITY OF AN INDUSTRIAL SYSTEM

Info

Publication number: FR3044787A1
Application number: FR1561819A
Authority: FR
Inventors: Marc Bouissou; Olga Hernu
Original assignee: Electricite de France SA
Current assignee: Electricite de France SA
Priority date: 2015-12-03
Filing date: 2015-12-03
Publication date: 2017-06-09
Also published as: WO2017093560A9; WO2017093560A1

Abstract

La présente invention concerne un procédé d'estimation de la fiabilité d'un système industriel (INS) comprenant une pluralité de composants (Si) réparables, dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont un taux de défaillance λi et un taux de réparation µi, ledit procédé comportant les étapes suivantes : - une construction (S_l) à partir desdits composants (Si) d'un modèle dynamique du type BDMP ; - une génération (S_2) à partir dudit BDMP d'un unique arbre de défaillances représentatif des scénarii de défaillance des composants (Si) pouvant conduire ledit système d'un état normal à un état de défaillance ; - une détermination (S_3) d'un CMS à partir des coupes minimales dudit arbre de défaillances ; - une estimation (S_4) de la défiabilité R(t) dudit système à un instant t en fonction du taux de défaillance λei de chaque évènement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.The present invention relates to a method of estimating the reliability of an industrial system (INS) comprising a plurality of components (Si) repairable, dependent on each other and each having certain reliability parameters including a failure rate λi and a repair rate μi, said method comprising the following steps: - a construction (S_l) from said components (Si) of a dynamic model of the BDMP type; a generation (S_2) from said BDMP of a single fault tree representative of the failure scenarios of the components (Si) that can lead said system from a normal state to a state of failure; - a determination (S_3) of a CMS from the minimum cuts of said fault tree; an estimate (S_4) of the unreliability R (t) of said system at an instant t as a function of the failure rate λei of each initiating event ei and the sum pei of the failure probabilities obtained for the k minimum products corresponding thereto.

Description

ESTIMATION DE LA FIABILITE D’UN SYSTEME INDUSTRIEL Domaine technique et art antérieur L’objet de la présente invention concerne le domaine de la sûreté et de la sécurité des systèmes industriels complexes réparables. L’objet la présente invention concerne plus particulièrement l’estimation de la sûreté et de la sécurité d’un système industriel complexe tel que par exemple une centrale nucléaire.The field of the present invention relates to the field of safety and security of complex repairable industrial systems. BACKGROUND OF THE INVENTION The subject of the present invention relates more particularly to the estimation of the safety and security of a complex industrial system such as for example a nuclear power station.

Un des objectifs de la présente invention est de fournir un outil permettant d’estimer avec une bonne précision et un minimum de temps de calcul la fiabilité d’un système industriel complexe réparable.One of the objectives of the present invention is to provide a tool for estimating with a good accuracy and a minimum calculation time the reliability of a repairable complex industrial system.

La présente invention trouve une application particulièrement avantageuse dans le domaine du nucléaire en permettant l’évaluation de la sûreté et de la sécurité d’une centrale nucléaire, notamment pour : l’optimisation de la conception de la centrale afin de décider du nombre de redondances à prévoir dans les systèmes de sûreté et de sécurité ; l’évaluation des niveaux de risque de défaillance de la centrale en cours d’exploitation («risk monitoring») afin de déterminer les situations dans lesquelles il faut ou non arrêter la centrale ; l’estimation de l’augmentation du risque liée à certaines situations exceptionnelles (comme par exemple l’indisponibilité longue durée d’un composant) afin de pouvoir obtenir de la part des autorités de sûreté compétentes les dérogations nécessaires pour continuer l’exploitation de la centrale.The present invention finds a particularly advantageous application in the nuclear field by enabling the evaluation of the safety and security of a nuclear power plant, in particular for: optimizing the design of the plant in order to decide on the number of redundancies to be provided in safety and security systems; the evaluation of the risk of failure of the plant during operation ("risk monitoring") in order to determine the situations in which the plant must be shut down or not; the estimation of the increase of the risk related to certain exceptional situations (for example the long-term unavailability of a component) in order to be able to obtain from the competent safety authorities the necessary derogations to continue the exploitation of the Central.

On pourra comprendre ici que d’autres applications avantageuses dans le monde industriel pourront également être envisageables dans le cadre de la présente invention, ceci sans pour autant sortir du champ de la protection recherchée.It will be understood here that other advantageous applications in the industrial world may also be possible within the scope of the present invention, without departing from the scope of protection sought.

Ainsi, la présente invention pourra trouver une application avantageuse dans la modélisation des centres de contrôle aérien, des aéroports, des réseaux ferrés, ou encore dans la modélisation des raffineries. Bien évidemment, il s’agit ici d’exemples d’applications possibles parmi d’autres.Thus, the present invention may find an advantageous application in the modeling of air traffic control centers, airports, rail networks, or in the modeling of refineries. Of course, these are examples of possible applications among others.

Le Demandeur précise ici que la présente invention concerne principalement les systèmes qui sont réparables. On notera que la présente invention n’a pas d’intérêt pour estimer la sûreté d’un système non-réparable comme par exemple la sûreté d'un avion en vol ou d’un satellite.The Applicant here clarifies that the present invention relates primarily to systems that are repairable. Note that the present invention is not relevant for estimating the safety of a non-repairable system such as for example the safety of an aircraft in flight or a satellite.

On connaît dans le domaine de la sûreté et de la sécurité des centrales nucléaires plusieurs méthodes probabilistes visant à déterminer la probabilité associée à un accident dans une centrale nucléaire (par exemple la fusion du cœur de réacteur).Several probabilistic methods are known in the field of nuclear power plant safety and security to determine the probability associated with an accident in a nuclear power plant (eg reactor core melting).

Les méthodes de calcul permettant d’aboutir à un résultat fiable pour évaluer le risque associé à un tel accident doivent nécessairement prendre en considération un très grand nombre de composants pour être aussi proche que possible de la réalité.Calculation methods that lead to a reliable result for assessing the risk associated with such an accident must necessarily take into consideration a very large number of components to be as close to reality as possible.

Idéalement, ces méthodes requièrent une détermination de tous les scénarii de défaillances possibles à partir des composants du système à étudier.Ideally, these methods require a determination of all possible failure scenarios from the components of the system to be studied.

On comprend aisément que ces méthodes impliquent très souvent un temps de calcul très long et très coûteux d’un point de vue des ressources informatiques.It is easy to understand that these methods very often involve a very long calculation time and very expensive from a point of view of computing resources.

Il existe différentes approches qui s’emploient toutes à réduire ces temps de calcul, ceci tant pour des raisons économiques que pour des raisons sécuritaires.There are different approaches that are all working to reduce these computing times, both for economic reasons and for security reasons.

Classiquement, les méthodes probabilistes utilisées pour estimer la fiabilité d’une centrale nucléaire utilisent des modèles du type arbres de défaillances et arbres d’évènements.Classically, the probabilistic methods used to estimate the reliability of a nuclear power plant use models of the type of failure trees and event trees.

Ces méthodes, également connues sous l’acronyme EPS (pour Etudes Probabiliste de Sûreté), reposent sur des hypothèses simplificatrices et des approximations pour réduire les temps de calcul.These methods, also known by the acronym EPS (for Probabilistic Safety Studies), are based on simplifying assumptions and approximations to reduce calculation times.

Dans ces méthodes, la plupart des dépendances entre les composants d’un système n’est pas prise en considération dans l’estimation.In these methods, most dependencies between system components are not considered in the estimate.

De la même façon, les temps de réparation associés à chacun des composants du système ne sont pas pris en considération.Similarly, the repair times associated with each of the system components are not taken into consideration.

Pour pallier ces approximations, on introduit la notion de temps de scrutation.To overcome these approximations, we introduce the notion of polling time.

Ce temps de scrutation peut se définir comme suit :This polling time can be defined as follows:

Si, après un évènement initiateur faisant sortir la centrale nucléaire d’un état stable, la fusion du réacteur ne s’est pas produite avant ce temps de scrutation, il est alors communément convenu que la centrale reviendra rapidement à l’état initial. D’après un consensus international adopté par l’ensemble des acteurs de l’industrie du nucléaire, la valeur universellement retenue pour ce temps de scrutation est 24 heures.If, after an initiating event bringing the nuclear plant out of a steady state, the reactor melting has not occurred before this polling time, then it is commonly agreed that the plant will return quickly to the initial state. According to an international consensus adopted by all players in the nuclear industry, the universally accepted value for this polling time is 24 hours.

Cette notion de temps de scrutation et la valeur retenue par la communauté scientifique peuvent paraître assez arbitraires et peu rigoureuses sur le plan mathématique.This notion of time of search and the value retained by the scientific community may seem rather arbitrary and not rigorous in mathematical terms.

On notera néanmoins que cette approche est la seule permettant jusqu’à présent de traiter efficacement les modèles prenant en considération plusieurs milliers de défaillances de composants.It should be noted, however, that this approach is the only one that has so far been able to efficiently handle models that take into account several thousand component failures.

En effet, grâce aux différentes approximations décrites ci-dessus, il devient possible de quantifier, en un temps raisonnable et sur un ordinateur personnel, un modèle présentant de l’ordre d’une centaine de milliers de scénarii de défaillance (ou coupes minimales).Indeed, thanks to the various approximations described above, it becomes possible to quantify, in a reasonable time and on a personal computer, a model having the order of a hundred thousand failure scenarios (or minimum cuts) .

Alternativement, on connaît également des méthodes dites dynamiques qui utilisent des modèles basés sur des fonctions booléennes et des processus de Markov.Alternatively, so-called dynamic methods are also known that use models based on Boolean functions and Markov processes.

Ces modèles sont connus sous l’acronyme BDMP (pour « Boolean logic DrivenThese models are known by the acronym BDMP (for "Boolean logic Driven

Markov Processes »).Markov Processes ").

Contrairement aux méthodes EPS classiques, l’utilisation d’un BDMP permet de modéliser les dépendances entre les composants et de tenir compte des réparations.Unlike traditional EPS methods, the use of a BDMP can model dependencies between components and allow for repair.

Les BDMP constituent ainsi un outil de modélisation puissant pour l’analyse de la sûreté et de la sécurité des systèmes dynamiques.BDMPs are a powerful modeling tool for analyzing the safety and security of dynamic systems.

Ils sont utilisés depuis plusieurs années pour évaluer la fiabilité, la disponibilité et la sûreté de systèmes complexes reconfigurables. A présent, on peut considérer que les BDMP peuvent servir de formalisme commun pour la modélisation conjointe de risques de sûreté et de sécurité. A titre d’exemple, ils ont déjà été appliqués pour l’étude de sûreté d’un pipeline industriel pour modéliser des scénarii de sûreté et de sécurité menant à un événement relatif à la sûreté.They have been used for several years to evaluate the reliability, availability and safety of reconfigurable complex systems. At present, BDMPs can be considered as a common formalism for joint modeling of safety and security risks. For example, they have already been applied for the safety study of an industrial pipeline to model safety and security scenarios leading to a safety event.

Toutefois, ces méthodes sont pour l’instant inexploitables pour les systèmes présentant un trop grand nombre de composants, comme par exemple une centrale nucléaire.However, these methods are currently unusable for systems with too many components, such as a nuclear power plant.

Un BDMP avec n feuilles spécifie un modèle markovien (un processus de Markov à temps continu) présentant une taille d’environ 0(2n).A BDMP with n leaves specifies a Markov model (a continuous time Markov process) with a size of about 0 (2n).

Alors que la taille du BDMP croît linéairement avec la taille du système à modéliser, la taille des données servant de support aux calculs augmente exponentiellement.While the size of the BDMP grows linearly with the size of the system to be modeled, the size of the data serving as a support for calculations grows exponentially.

Une méthode efficace pour réaliser un calcul de fiabilité à partir d’un tel modèle BDMP peut consister en l’exploration et la quantification des séquences menant à la réalisation de l’évènement indésirable.An effective method for performing a reliability calculation from such a BDMP model may be to explore and quantify the sequences leading to the occurrence of the undesirable event.

On peut imposer une insensibilité à l’ordre de grandeur des probabilités en ne retenant que les séquences prédominantes dont la probabilité est bien plus grande que celles de toutes les autres séquences.We can impose an insensitivity to the order of magnitude of the probabilities by retaining only the predominant sequences whose probability is much greater than those of all the other sequences.

Dans ce cas, on peut traiter un BDMP contenant typiquement 150 à 200 feuilles.In this case, a BDMP containing typically 150 to 200 leaves can be processed.

Un BDMP peut aussi être quantifié par simulation de Monté Carlo, mais lorsque les probabilités à évaluer sont trop petites, les temps de calcul deviennent inacceptables. C’est typiquement ce qui se produit dans le contexte des EPS.A BDMP can also be quantified by Monte Carlo simulation, but when the probabilities to be evaluated are too small, the calculation times become unacceptable. This is typically what happens in the context of PSE.

Pour une application dans le domaine du nucléaire, les deux approches ci-dessus (par exploration de séquences et par simulation de Monté Carlo) ne peuvent être utilisées que pour certaines études et, en aucun cas, pour un système de grande taille tel que par exemple une centrale nucléaire ; ceci n’est pas entièrement satisfaisant.For an application in the nuclear field, the two approaches above (by sequence exploration and by Monte Carlo simulation) can only be used for certain studies and, under no circumstances, for a large system such as by example a nuclear power station; this is not entirely satisfactory.

Ainsi, le Demandeur soumet que l’état de la technique ne propose pas de solution entièrement satisfaisante permettant d’estimer rapidement et avec une bonne précision la sûreté d’un système dynamique réparable de grande taille.Thus, the Applicant submits that the state of the art does not provide a fully satisfactory solution for estimating quickly and accurately the safety of a large repairable dynamic system.

Objet et résumé de la présente invention L’objet de la présente invention vise à améliorer la situation actuelle. A cet effet, l’objet de la présente invention propose une estimation de la fiabilité d’un système industriel comprenant une pluralité de composants réparables permettant de remédier aux différents inconvénients mentionnés ci-dessus.OBJECT AND SUMMARY OF THE PRESENT INVENTION The object of the present invention is to improve the present situation. For this purpose, the object of the present invention provides an estimate of the reliability of an industrial system comprising a plurality of repairable components to overcome the various disadvantages mentioned above.

Plus particulièrement, la présente invention concerne selon un premier aspect un procédé d’estimation de la fiabilité d’un système industriel comprenant une pluralité de composants réparables, dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont notamment un taux de défaillance λ, et un taux de réparation pbMore particularly, the present invention relates, in a first aspect, to a method for estimating the reliability of an industrial system comprising a plurality of repairable components, dependent on each other and each having certain reliability parameters, including a failure rate. λ, and a repair rate pb

Selon l’invention, le procédé est mis en œuvre par des moyens informatiques et comporte les étapes suivantes : - une étape de construction à partir des composants d’un modèle dynamique représentatif du système tenant compte des dépendances entre les composants ; - une étape de génération à partir du modèle construit d’un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d’un état normal à un état de défaillance ; - une étape de détermination d’un contenu minimal des séquences, dit CMS, à partir des coupes minimales de l’arbre de défaillances généré, ledit CMS comprenant une liste de produits minimaux c se présentant sous la forme d’une combinaison de composants et comprenant, pour chaque produit minimal, un unique évènement initiateur, noté ici ei, et m de défaillances en fonctionnement ou à la sollicitation, m étant ici un nombre entier positif ; - une étape d’estimation de la défiabilité R(t) dudit système à un instant t en fonction du taux de défaillance de chaque évènement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.According to the invention, the method is implemented by computer means and comprises the following steps: a construction step from the components of a representative dynamic model of the system taking into account the dependencies between the components; a generation step from the constructed model of a single failure tree representative of the failure scenarios of the components that can lead said system from a normal state to a failure state; a step of determining a minimum content of the sequences, said CMS, from the minimal sections of the generated fault tree, said CMS comprising a list of minimal products c in the form of a combination of components and comprising, for each minimal product, a single initiating event, denoted here ei, and m of failures in operation or at solicitation, m being here a positive integer; a step of estimating the unreliability R (t) of said system at a time t as a function of the failure rate of each initiating event ei and the sum of the probabilities of failure obtained for the k minimum products corresponding thereto.

Selon des caractéristiques optionnelles de l’invention prises seules ou en combinaison : lors de l’étape de construction, le modèle est un modèle du type BDMP basé sur des fonctions booléennes et processus de Markov associés aux composants du système ; alternativement, lors de l’étape de construction, le modèle est un modèle du type EPS composé d’arbres d’événements et d’arbres de défaillances, l’estimation de la défiabilité R du système à un instant t est calculée selon la formule suivante :According to optional features of the invention taken alone or in combination: during the construction step, the model is a model of the BDMP type based on Boolean functions and Markov processes associated with the system components; alternatively, during the construction stage, the model is an EPS type model composed of event trees and failure trees, the estimate of the system's R degradability at a time t is calculated according to the formula next :

- le procédé comprend une estimation de la probabilité de défaillance pei du système suite à un évènement initiateur ei en fonction de la somme de la défiabilité Rc à l’infini de chacun des k produits minimaux c appartenant au CMS et contenant l’évènement initiateur ei, ladite estimation étant calculée selon la formule suivante :the method comprises an estimation of the probability of failure of the system following an initiating event ei as a function of the sum of the defiability Rc at infinity of each of the k minimal products c belonging to the CMS and containing the initiating event ei said estimate being calculated according to the following formula:

la somme de la défiabilité Rc à l’infini de chacun des k produits minimaux est estimée par l’espérance mathématique Ec du nombre de défaillances pour chaque produit minimal c ; l’espérance mathématique Ec(N(t)) du nombre de défaillances JV à un instant t pour chaque produit minimal c est calculée en fonction des intensités de défaillance inconditionnelles VKj(t) et des indisponibilités Q;(t) des composants, l’intensité de défaillance inconditionnelle VKj(t) étant telle que est le nombre moyen de défaillances d’un composant entre les instants t et t+Δί, et l’indisponibilité Q;(t) étant la probabilité qu’un composant soit dans un état de défaillance à un instant t ; l’intensité de défaillance inconditionnelle VKj(t) et l’indisponibilité Qi(t) de chacun des composants sont fonction des taux de défaillance λ, et de réparation μ; ; selon le type d'un événement de base, l’intensité de défaillance inconditionnelle Wi(t) et l’indisponibilité Çj(t) sont données par les expressions suivantes : événement initiateur :the sum of the Rc infinite defiability of each of the k minimum products is estimated by the mathematical expectation Ec of the number of failures for each minimal product c; the mathematical expectation Ec (N (t)) of the number of failures JV at a time t for each minimal product c is calculated as a function of the unconditional failure intensities VKj (t) and the unavailabilities Q; (t) of the components, l unconditional failure intensity VKj (t) being such that is the average number of failures of a component between instants t and t + Δί, and the unavailability Q; (t) being the probability that a component is in a state of failure at a time t; the unconditional failure intensity VKj (t) and the unavailability Qi (t) of each of the components are a function of the failure rate λ, and the repair rate μ; ; depending on the type of a base event, the unconditional failure intensity Wi (t) and the unavailability Çj (t) are given by the following expressions: initiating event:

Wt(t) = 0 défaillance en fonctionnement :Wt (t) = 0 failure in operation:

Wi(t)= Aj(l-Çj(t)) - l’espérance mathématique Ec(N(t)) du nombre de défaillances N dans l'intervalle de temps [0, t] pour chaque produit minimal c est calculée selon la formule suivante :Wi (t) = Aj (l-Çj (t)) - the expectation Ec (N (t)) of the number of failures N in the time interval [0, t] for each minimal product c is calculated according to the following formula:

lorsque le produit minimal c ne contient qu’un évènement initiateur ei et des défaillances à la sollicitation, l’espérance mathématique Ec(N(t)) du nombre de défaillances N dans l'intervalle de temps [0, t] pour chaque produit minimal c est calculée selon la formule suivante :when the minimum product c contains only one initiating event ei and solicitation failures, the expected number Ec (N (t)) of the number of failures N in the time interval [0, t] for each product minimum c is calculated according to the following formula:

dans laquelle yci est le taux de défaillance à la sollicitation d’un produit minimal c.where yci is the failure rate at solicitation of a minimum product c.

Corrélativement, l’objet de la présente invention concerne selon un deuxième aspect un programme d’ordinateur qui comporte des instructions adaptées pour l’exécution des étapes du procédé tel que décrit ci-dessus, ceci notamment lorsque ledit programme d’ordinateur est exécuté par au moins un processeur.Correlatively, the subject of the present invention relates, according to a second aspect, to a computer program which comprises instructions adapted to the execution of the steps of the method as described above, this in particular when said computer program is executed by at least one processor.

Un tel programme d’ordinateur peut utiliser n’importe quel langage de programmation, et être sous la forme d’un code source, d’un code objet, ou d’un code intermédiaire entre un code source et un code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.Such a computer program can use any programming language, and be in the form of a source code, an object code, or an intermediate code between a source code and an object code, such as in a partially compiled form, or in any other desirable form.

De même, l’objet de la présente invention concerne selon un troisième aspect un support d’enregistrement lisible par un ordinateur sur lequel est enregistré un programme d’ordinateur comprenant des instructions pour l’exécution des étapes du procédé tel que décrit ci-dessus. D’une part, le support d’enregistrement peut être n'importe quel entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une mémoire ROM, par exemple un CD-ROM ou une mémoire ROM de type circuit microélectronique, ou encore un moyen d'enregistrement magnétique ou un disque dur. D'autre part, ce support d’enregistrement peut également être un support transmissible tel qu'un signal électrique ou optique, un tel signal pouvant être acheminé via un câble électrique ou optique, par radio classique ou hertzienne ou par faisceau laser autodirigé ou par d'autres moyens. Le programme d’ordinateur selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.Similarly, according to a third aspect, the object of the present invention relates to a computer-readable recording medium on which is recorded a computer program comprising instructions for carrying out the steps of the method as described above. . On the one hand, the recording medium can be any entity or device capable of storing the program. For example, the medium may comprise storage means, such as a ROM, for example a CD-ROM or a microelectronic circuit type ROM, or a magnetic recording means or a hard disk. On the other hand, this recording medium can also be a transmissible medium such as an electrical or optical signal, such a signal can be conveyed via an electric or optical cable, by conventional radio or radio or by self-directed laser beam or by other ways. The computer program according to the invention can in particular be downloaded to an Internet type network.

Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel le programme d’ordinateur est incorporé, le circuit intégré étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question. L’objet de la présente invention concerne selon un quatrième aspect l’utilisation du procédé d’estimation tel que décrit ci-dessus pour évaluer la sûreté et la sécurité d’une centrale nucléaire.Alternatively, the recording medium may be an integrated circuit in which the computer program is incorporated, the integrated circuit being adapted to execute or to be used in the execution of the method in question. The object of the present invention relates, according to a fourth aspect, to the use of the estimation method as described above for evaluating the safety and security of a nuclear power station.

Enfin, l’objet de la présente invention concerne selon un cinquième aspect un système informatique d’estimation comprenant des moyens informatiques configurés pour la mise en œuvre des étapes du procédé tel que celui décrit ci-dessus.Finally, according to a fifth aspect, the subject of the present invention relates to a computer estimation system comprising computer resources configured for implementing the steps of the method such as that described above.

Plus particulièrement, le système selon la présente invention est un système d’évaluation de la fiabilité d’un système industriel comprenant une pluralité de composants réparables dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont un taux de défaillance constant λ, et réparation μι.More particularly, the system according to the present invention is a system for evaluating the reliability of an industrial system comprising a plurality of repairable components dependent on each other and each having certain reliability parameters including a constant failure rate λ, and repair μι.

Selon l’invention, le système comporte : - un module informatique de modélisation configuré pour construire un modèle dynamique du système tenant compte des dépendances entre les composants ; - un module informatique de génération configuré pour générer à partir dudit modèle construit un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d’un état normal à un état de défaillance ; - un module informatique de traitement configuré pour déterminer à partir des coupes minimales dudit arbre de défaillances un contenu minimal des séquences, dit CMS, comprenant une liste de produits minimaux c se présentant sous la forme d’une combinaison de composants et comprenant, pour chaque produit minimal, un unique évènement initiateur, noté ici ei, et un nombre m de défaillances en fonctionnement ou à la sollicitation, m étant ici un nombre entier positif ; - un module informatique d’estimation configuré pour estimer la défiabilité R(t) du système à un instant t en fonction du taux de défaillance de chaque évènement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.According to the invention, the system comprises: a modeling computer module configured to construct a dynamic model of the system taking into account the dependencies between the components; a generation computer module configured to generate from said model constructs a single fault tree representative of the failure scenarios of the components that can lead said system from a normal state to a state of failure; a processing computer module configured to determine from minimum sections of said fault tree a minimum content of the sequences, said CMS, comprising a list of minimal products c in the form of a combination of components and comprising, for each minimal product, a single initiating event, denoted here ei, and a number m of failures in operation or at solicitation, m being here a positive integer; an estimation computer module configured to estimate the system's R (t) defiability at a time t as a function of the failure rate of each initiating event ei and the sum of the probabilities of failure obtained for the minimum products corresponding thereto; .

Ainsi, l’objet de la présente invention, par ses différents aspects fonctionnels et structurels décrits ci-dessus, permet d’obtenir en un minimum de calculs une estimation fiable et précise de la fiabilité d’un système dynamique réparable comprenant une pluralité de composants réparables dépendants les uns des autres.Thus, the object of the present invention, by its various functional and structural aspects described above, makes it possible to obtain in a minimum of calculations a reliable and accurate estimate of the reliability of a repairable dynamic system comprising a plurality of components. repairable depending on each other.

Brève description des figures annexées D’autres caractéristiques et avantages de la présente invention ressortiront de la description ci-dessous, en référence aux figures 1 à 12 annexées qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif et sur lesquelles : la figure 1 représente un graphe d’état (ou DF A) d’un système comprenant trois composants ; la figure 2 représente un BDMP décrivant la logique d’un autre système comprenant trois composants avec des redondances passives ; la figure 3 représente la chaîne de Markov correspondant à un BDMP conforme à celui de la figure 2 ; la figure 4 représente un exemple d’un BDMP décrivant la logique pour un système de pompage avec un secours ; la figure 5 représente un tableau comparatif dans lequel figurent les taux de défaillance équivalents (en h'1) calculés selon plusieurs méthodes pour un système de pompage avec un secours conforme à l’exemple de la figure 4 ; la figure 6 représente un exemple d’un BDMP décrivant la logique pour un système électrique avec un secours ; la figure 7 représente un tableau comparatif dans lequel figurent les taux de défaillance équivalents (en h'1) pour un système avec un secours pour des paramètres divers conforme à l’exemple de la figure 6 ; la figure 8 représente un exemple d’installation consistant en un système d’alimentation des jeux de barres 6.6 kV secourus d’une centrale nucléaire ; la figure 9 représente un exemple d’un BDMP décrivant la logique pour un système conforme à la figure 8 ; la figure 10 représente un tableau comparatif dans lequel figurent les taux de défaillance équivalents (en h'1) pour un système conforme à l’exemple de la figure 8; la figure 11 représente un organigramme reprenant les principales étapes d’un exemple de réalisation d’un procédé d’estimation selon la présente invention ; la figure 12 représente de façon schématique un exemple de système informatique pour estimer la fiabilité d’un système dynamique complexe et réparable comprenant plusieurs composants.Brief description of the appended figures Other characteristics and advantages of the present invention will emerge from the description below, with reference to Figures 1 to 12 attached which illustrate an embodiment having no limiting character and in which: Figure 1 represents a state graph (or DF A) of a system comprising three components; Figure 2 shows a BDMP describing the logic of another system comprising three components with passive redundancies; FIG. 3 represents the Markov chain corresponding to a BDMP conforming to that of FIG. 2; Fig. 4 shows an example of a BDMP describing the logic for a pumping system with a backup; FIG. 5 represents a comparative table in which the equivalent failure rates (in h'1) calculated according to several methods for a pumping system with a backup according to the example of FIG. 4; Fig. 6 shows an example of a BDMP describing the logic for an electrical system with a backup; FIG. 7 represents a comparative table in which the equivalent failure rates (in h '1) for a system with a backup for various parameters according to the example of FIG. FIG. 8 represents an example of an installation consisting of a power supply system for the 6.6 kV busbars rescued from a nuclear power station; Fig. 9 shows an example of a BDMP describing the logic for a system according to Fig. 8; FIG. 10 represents a comparative table showing the equivalent failure rates (in h -1) for a system according to the example of FIG. 8; FIG. 11 represents a flow chart showing the main steps of an exemplary embodiment of an estimation method according to the present invention; Figure 12 schematically shows an exemplary computer system for estimating the reliability of a complex and repairable dynamic system comprising a plurality of components.

Description détaillée de l ’inventionDetailed description of the invention

Un procédé d’estimation ainsi que le système informatique d’estimation qui lui est associé vont maintenant être décrits dans les différents chapitres ci-dessous en faisant référence conjointement aux figures 1 à 12. A. Article scientifique de J.Collet et concept général de la présente invention :An estimation method and the associated computerized estimation system will now be described in the various chapters below with reference in conjunction with Figures 1 to 12. A. J.Collet's scientific article and general concept of the present invention:

La présente invention est une amélioration de la méthode proposée par J. Collet en 1994 dans son article intitulé “De l’étude de systèmes dynamiques par des méthodes booléennes”.The present invention is an improvement of the method proposed by J. Collet in 1994 in his article entitled "The study of dynamic systems by Boolean methods".

Dans cet article, l’auteur conjecture que, afin de calculer la fiabilité d’un système avec des redondances passives, une bonne approximation peut être de prendre en compte seulement un niveau de dépendance entre les composants.In this article, the author conjectures that, in order to calculate the reliability of a system with passive redundancies, a good approximation may be to take into account only a level of dependence between the components.

En d’autres termes, celui-ci considère qu’il est possible de distinguer les défaillances des composants « normaux » (opérationnels la plupart du temps) et les défaillances des composants de secours (qui fonctionnent seulement en cas de défaillance des composants normaux).In other words, it considers that it is possible to distinguish failures from "normal" (mostly operational) components and failures of backup components (which only work in case of failure of normal components). .

En revanche, il n’est pas possible de faire la différence entre un composant de « secours primaire » (qui assure le fonctionnement du système après défaillance du composant normal correspondant) et un composant de « secours secondaire » (qui entre en fonctionnement seulement après une défaillance du composant de secours primaire).On the other hand, it is not possible to differentiate between a "primary backup" component (which ensures the operation of the system after failure of the corresponding normal component) and a "secondary backup" component (which comes into operation only after failure of the primary emergency component).

En termes de probabilités, cela signifie qu’après la défaillance d’un composant normal (ci-après dénommée « événement initiateur »), toutes les défaillances de composants de secours, menant à une défaillance du système entier, sont considérées comme indépendantes.In terms of probabilities, this means that after failure of a normal component (hereinafter referred to as the "initiating event"), all failures of spare components, leading to a failure of the entire system, are considered independent.

Partant de ceci, deux approximations ont été suggérées par J. Collet :Starting from this, two approximations have been suggested by J. Collet:

Approximation 0 : Lors de la survenance d’un événement initiateur, tous les composants de remplacement sont supposés commencer leur fonctionnement (ou éventuellement refusent de démarrer) immédiatement après l’événement initiateur ; ensuite, ils peuvent défaillir et être réparés indépendamment des uns des autres jusqu’à ce que l’événement initiateur soit réparé.Approximation 0: Upon the occurrence of an initiator event, all replacement components are expected to begin operation (or possibly refuse to start) immediately after the initiating event; then they can fail and be repaired independently of each other until the initiating event is repaired.

Approximation 1 : Lorsqu’un événement initiateur est réparé, le système ne peut plus tomber en panne, quoi qu’il arrive.Approximation 1: When an initiating event is repaired, the system can no longer fail, whatever happens.

La méthode proposée dans cet article datant de f994 repose donc sur une quantification des coupes minimales.The method proposed in this article dating from f994 is based on a quantification of the minimal cuts.

Le Demandeur considère que la prise en considération de ces coupes minimales ne conduit pas à des résultats totalement satisfaisants.The Applicant considers that the consideration of these minimum cuts does not lead to totally satisfactory results.

Le procédé selon la présente invention vise à améliorer l’estimation proposée par J. Collet en rapprochant ce modèle du système réel.The method according to the present invention aims at improving the estimate proposed by J. Collet by bringing this model closer to the real system.

Ainsi, dans le cadre de la présente invention, le procédé proposé prend en compte les caractéristiques de l’ensemble des scenarii de défaillance pour améliorer la justesse des résultats.Thus, in the context of the present invention, the proposed method takes into account the characteristics of the set of failure scenarios to improve the accuracy of the results.

Dans ce cas, une définition conventionnelle des coupes n’est pas suffisante pour mettre en place cette méthode.In this case, a conventional definition of the cuts is not sufficient to implement this method.

En premier lieu, il est d’une importance primordiale de distinguer les événements initiateurs des autres événements de base.In the first place, it is of paramount importance to distinguish initiating events from other basic events.

Deuxièmement, une coupe minimale peut correspondre à une séquence ou plus du modèle dynamique. De ce fait, pour chaque événement de base dans une coupe minimale, il est nécessaire de trouver les autres événements de base, s’il y en a, qui sont nécessaires à son déclenchement.Second, a minimal cut may correspond to one or more sequences of the dynamic model. Therefore, for each basic event in a minimum cut, it is necessary to find the other basic events, if any, that are necessary to trigger it.

La présente invention propose ainsi d’utiliser le même appareil mathématique que celui décrit ci-dessus en y introduisant en outre la notion « contenu minimal des séquences », ci-après dénommé CMS. B. Postulat de travail concernant les systèmes à étudier :The present invention thus proposes to use the same mathematical apparatus as that described above by introducing therein addition the notion "minimal content of the sequences", hereinafter referred to as CMS. B. Postulate of work concerning the systems to be studied:

Il est considéré au préalable que le système à étudier est cohérent et est spécifié par un BDMP contenant des feuilles réparables, correspondant à des défaillances en fonctionnement et à la sollicitation (voir "A new formalism that combines advantages of fault-trees and Markov models: Boolean logic driven Markov Processes," Reliability Engineering and System Safety, vol. 82, pp. 149-163, 2003, M. BOUISSOU). L’avantage de partir d’un tel modèle est qu’il a une définition mathématique complète.It is considered beforehand that the system to be studied is coherent and is specified by a BDMP containing repairable leaves, corresponding to failures in operation and to stress (see "A new formalism that combines advantages of fault-trees and Markov models: Boolean logic driven Markov Processes, "Reliability Engineering and System Safety, 82, pp. 149-163, 2003, M. BOUISSOU). The advantage of starting from such a model is that it has a complete mathematical definition.

Habituellement, les systèmes étudiés sont très redondants. La plupart du temps, de tels systèmes fonctionnent parfaitement (tous les composants normaux fonctionnent), et de temps en temps un incident a lieu (défaillance d’un composant normal).Usually, the studied systems are very redundant. Most of the time, such systems work perfectly (all normal components work), and occasionally an incident occurs (failure of a normal component).

Alors, le fonctionnement du système repose sur les composants de secours.So, the operation of the system relies on the backup components.

Le temps moyen pour réparer un composant en panne (MTTR) est généralement bien inférieur au temps moyen avant sa défaillance, si bien que la probabilité qu'un composant en panne soit réparé avant qu’un autre composant, qui le remplace, tombe en panne est assez élevée.The average time to repair a failed component (MTTR) is usually well below the average time to failure, so the likelihood of a failed component being repaired before another component, which replaces it, breaks down. is quite high.

Cependant, un accident (la défaillance du système entier) reste possible.However, an accident (the failure of the entire system) remains possible.

Toutes les trajectoires, ou défaillances successives de composants, ayant pour résultat la défaillance du système ou un retour à un état de fonctionnement parfait sont relativement rapides : leur durée est la somme de plusieurs MTTRs qui sont plutôt courts.All the trajectories, or successive failures of components, resulting in system failure or a return to a perfect operating state are relatively fast: their duration is the sum of several MTTRs which are rather short.

Si l’on considère un tel système sur un temps important t, la durée de ces trajectoires est négligeable par rapport au temps passé dans l’état parfait.If we consider such a system over a significant time t, the duration of these trajectories is negligible compared to the time spent in the perfect state.

Alors, sa défiabilité R(t) à un instant t peut être estimée avec la formule suivante :Then, its R (t) at a moment t can be estimated with the following formula:

où A est la fréquence d’incidents (la somme des taux de toutes les transitions sortant de l’état initial) et p est la probabilité que les incidents mènent à un accident avant que le système ne retourne à un état parfait.where A is the frequency of incidents (the sum of the rates of all transitions leaving the initial state) and p is the probability that the incidents lead to an accident before the system returns to a perfect state.

Cette formule correspond à ce que l’on appelle l’approximation SRI (« Sans Retour à l’état Initial »). C. Implémentation de la méthode I&AB : L’objet de la présente invention consiste donc en un procédé, dénommé “Initiator & AilBarriers” ou I&AB, qui est un perfectionnement de l’approche proposée par J. Collet.This formula corresponds to what is called the SRI approximation ("Without Return to Initial State"). C. Implementation of the I & AB Method: The object of the present invention is therefore a process, referred to as "Initiator & AilBarriers "or I & AB, which is a refinement of the approach proposed by J. Collet.

Comme illustré en figure 12, le système industriel à étudier, noté INS, est donc un système industriel dynamique et complexe comprenant une pluralité de composants Si (i étant un nombre entier positif). Il peut s’agir par exemple d’une centrale nucléaire.As illustrated in FIG. 12, the industrial system to be studied, denoted INS, is therefore a dynamic and complex industrial system comprising a plurality of components Si (i being a positive integer). It can be for example a nuclear power station.

Les composants Si de ce système INS sont réparables, dépendants les uns des autres et présentent chacun des paramètres de fiabilité parmi les trois suivants : - un taux de défaillance en fonctionnement Xi, - un taux de défaillance à la sollicitation γ,, et - un taux de réparation μ;.The components Si of this system INS are repairable, dependent on each other and each have reliability parameters among the following three: - a failure rate in operation Xi, - a failure rate at the stress γ ,, and - a μ repair rate;

Les principales étapes du procédé selon l’invention sont décrites ci-dessous (voir également en figure 11) :The main steps of the process according to the invention are described below (see also FIG. 11):

Lors d’une étape de construction S_l, on construit à partir des composants Si un modèle dynamique représentatif du système INS en tenant compte des dépendances entre les composants Si.During a construction step S_l, one builds from the components Si a representative dynamic model of the INS system taking into account the dependencies between the components Si.

De préférence, pour réaliser cette étape de construction S_l, on combine à partir des composants Si des fonctions booléennes avec des processus de Markov pour construire un modèle du type BDMP.Preferably, to carry out this construction step S_1, one combines from the components Si Boolean functions with Markov processes to build a model of the BDMP type.

Le Demandeur précise ici que la construction d’un tel BDMP peut être réalisée par un utilisateur à l’aide d’un module informatique 10.The Applicant specifies here that the construction of such a BDMP can be performed by a user using a computer module 10.

Ce module peut être par exemple l’outil KB3. On comprendra ici que l’utilisation d’autres outils informatiques prévus à cet effet pourra également être envisagée pour construire ce BDMP.This module can be for example the KB3 tool. It will be understood here that the use of other computer tools provided for this purpose may also be considered to build this BDMP.

Considérons dans un exemple que le système est composé de trois composants SI, S2, et S3, avec des taux de défaillance et de réparation constants (λ; = 10"Vh et gi = 0.1/h).Consider in an example that the system is composed of three components SI, S2, and S3, with constant failure and repair rates (λ; = 10 "Vh and gi = 0.1 / h).

La logique de défaillance d’un tel système est décrite par un BDMP illustré en figure 2. A la lecture de cette figure 2, on peut comprendre que, dans un état dit parfait, le composant SI est opérationnel et les composants S2 et S3 sont en attente. Dès que le composant SI tombe en panne, le composant S2 commence à fonctionner ; il peut donc tomber en panne.The failure logic of such a system is described by a BDMP illustrated in FIG. 2. On reading this FIG. 2, it can be understood that, in a state called perfect, the component S1 is operational and the components S2 and S3 are waiting. As soon as the SI component fails, the component S2 begins to operate; it can therefore break down.

Lorsque les composants SI et S2 sont en panne, c’est le composant S3 qui les remplace. De la même façon, S3 peut lui aussi à son tour tomber en panne.When the SI and S2 components are down, the S3 component replaces them. In the same way, S3 can also break down.

Il en résulte que la seule trajectoire possible résultant dans l’événement sommet est la suite des défaillances de SI, S2 et S3.As a result, the only possible trajectory resulting in the vertex event is the result of the failures of SI, S2 and S3.

On notera ici qu’alternativement, il est également possible de construire un modèle classique du type EPS composé d’arbres d’événements et d’arbres de défaillances.It will be noted here that alternatively, it is also possible to construct a classical model of the EPS type composed of event trees and failure trees.

Le graphe d'états de la figure 3 décrit le comportement du système.The state graph of Figure 3 describes the behavior of the system.

Dans cette figure, les caractères en gras sont utilisés pour des composants en fonctionnement et les caractères normaux sont utilisés pour des composants en attente.In this figure, bold characters are used for components in operation, and normal characters are used for pending components.

De la même façon, les chiffres avec barres indiquent les composants en panne.In the same way, the numbers with bars indicate the failed components.

Dans cet exemple, il n'y a qu'un seul composant en fonctionnement dans chaque état.In this example, there is only one component running in each state.

Ce graphe de Markov prend en compte les réparations de tous les composants et, par conséquent, le fait que le système peut revenir à plusieurs reprises dans l'état parfait pendant le temps de la mission.This Markov graph takes into account the repairs of all components and, therefore, the fact that the system can repeatedly return to the perfect state during the mission time.

Lors d’une étape S_2, un module informatique de génération 20, encore appelé générateur d’arbres, génère à partir dudit modèle un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d’un état normal à un état de défaillance.During a step S_2, a generation computer module 20, also called tree generator, generates from said model a single fault tree representative of failure scenarios of the components that can lead said system from a normal state to a state of failure.

Ce module 20 permet ainsi de générer à partir du BDMP l’ensemble des scénarii de défaillances possibles pour le système.This module 20 thus makes it possible to generate from the BDMP the set of possible failure scenarios for the system.

La transformation d’un BDMP en un arbre de défaillances sera décrite en détails dans le chapitre « Transformation d’un BDMP en un arbre de défaillances ».The transformation of a BDMP into a fault tree will be described in detail in the chapter "Transformation of a BDMP into a fault tree".

Le Demandeur précise ici qu’il est également prévu de générer cet arbre de défaillances à l’aide de l’outil informatique KB3. De la même façon, d’autres outils informatiques pourront également être envisagés.The Applicant specifies here that it is also planned to generate this fault tree using the computer tool KB3. In the same way, other computer tools can also be considered.

Il est ensuite prévu une étape de détermination S_3 au cours de laquelle le module informatique de traitement 30 recherche à partir dudit arbre de défaillances un contenu minimal des séquences, dit CMS.There is then provided a determination step S_3 during which the processing computer module 30 looks for from said fault tree a minimum content of the sequences, said CMS.

Le CMS comprend une liste de produits minimaux c se présentant sous la forme d’une combinaison de composants Si et comprenant, pour chaque produit minimal, un unique évènement initiateur ei et un nombre m de défaillances en fonctionnement ou à la sollicitation (m étant ici un nombre entier positif).The CMS comprises a list of minimal products c in the form of a combination of components Si and comprising, for each minimal product, a single initiating event ei and a number m of failures in operation or at the request (m being here a positive integer).

Dans l’exemple du système ayant trois composants avec des redondances passives, le CMS ne comprend qu’un seul produit minimal {S1////Ï, S2, S3}.In the example of the three-component system with passive redundancies, the CMS has only one minimal product {S1 //// Ï, S2, S3}.

On notera ici que le suffixe « init » permet de distinguer l’initiateur, ici SI.It will be noted here that the suffix "init" makes it possible to distinguish the initiator, here SI.

Le Demandeur soumet que les règles dans la base de connaissances du BDMP sont façonnées afin de créer un arbre de défaillances dont les coupes minimales correspondent au CMS du modèle dynamique.The Applicant submits that the rules in the BDMP knowledge base are fashioned to create a fault tree whose minimum cuts correspond to the CMS of the dynamic model.

Le chapitre « Contenu Minimal des Séquences ou CMS » ci-dessous donne une définition complète de ce qu’on entend ici par CMS au sens de la présente invention.The chapter "Minimal Content of Sequences or CMS" below gives a complete definition of what is meant here by CMS in the sense of the present invention.

Le procédé prévoit ensuite une étape d’estimation S_4 de la défiabilité R(t) du système à un instant t sur la base des produits minimaux du CMS.The method then provides an estimation step S_4 of the system R (t) defiability at a time t based on the minimum products of the CMS.

Cette estimation S_4 réalisée par un module informatique d’estimation 40 (programmé par exemple en Python) en fonction du taux de défaillance de chaque évènement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.This estimation S_4 carried out by an estimation computer module 40 (programmed for example in Python) as a function of the failure rate of each initiating event ei and the sum pei of the failure probabilities obtained for the k minimum products corresponding thereto.

Les calculs d’estimation seront donnés plus en détails dans le chapitre « Technique de calcul dans le cas général ».The estimation calculations will be given in more detail in the chapter "Calculation technique in the general case".

On notera que, pour une meilleure efficacité des calculs, il est souhaitable de combiner les étapes S_3 et S_4 au sein d’un algorithme unique de recherche et de quantification des produits minimaux. Il est ainsi possible d’éliminer les produits minimaux de probabilité inférieure à un seuil que l’on se fixe, ce qui fait gagner du temps de calcul et de la place en mémoire. D. Transformation d’un BDMP en un arbre de défaillances :It should be noted that, for a better efficiency of the calculations, it is desirable to combine the steps S_3 and S_4 within a single algorithm for finding and quantifying the minimum products. It is thus possible to eliminate the minimal products of probability lower than a threshold that one fixes, which saves computation time and place in memory. D. Transformation of a BDMP into a fault tree:

Considérons un système dynamique de composants réparables.Consider a dynamic system of repairable components.

On sait que certains des composants du système peuvent avoir des défaillances en fonctionnement, le reste à la sollicitation.It is known that some of the components of the system may have failures in operation, the rest at the solicitation.

Le BDMP correspondant comprend donc les types de feuilles suivants : 1) Feuille de type F associée à un composant qui peut tomber en panne avec un taux λ pendant son fonctionnement et être réparé avec un taux μ. 2) Feuille de type / associée à un composant qui peut tomber en panne avec une probabilité de défaillance instantanée à la sollicitation γ et être réparé avec un taux μ.The corresponding BDMP therefore comprises the following types of sheets: 1) F type sheet associated with a component that can fail with a rate λ during its operation and be repaired with a rate μ. 2) Type / component type sheet that can fail with an instantaneous failure probability at the bias γ and be repaired with a rate μ.

Chaque événement initiateur du BDMP original est associé à deux feuilles caractérisées par les paramètres suivants:Each initiating event of the original BDMP is associated with two sheets characterized by the following parameters:

Feuille £μ γ = 1 λ = Ο, μ = μ*Sheet £ μ γ = 1 λ = Ο, μ = μ *

Feuille £μ γ = Ο λ = λ; μ = μ*Sheet £ μ γ = Ο λ = λ; μ = μ *

Une telle attribution de deux feuilles à chaque événement initiateur permet de traiter le même événement de base en tant qu’initiateur ou bien en tant que défaillance en fonctionnement ordinaire.Such an allocation of two sheets to each initiating event makes it possible to treat the same basic event as an initiator or as a failure in ordinary operation.

Ainsi, la structure de sous arbre pour remplacer un événement initiateur doit contenir les deux types de feuilles.Thus, the subtree structure to replace an initiating event must contain both types of sheets.

En outre, cette structure doit répondre à deux conditions : 1) un produit minimal ne peut contenir qu'un seul événement initiateur ; 2) un produit minimal ne peut pas contenir deux feuilles des types E et F, liées au même événement initiateur.In addition, this structure must satisfy two conditions: 1) a minimum product may contain only one initiating event; 2) a minimum product can not contain two sheets of types E and F, related to the same initiating event.

Ces deux conditions sont satisfaites dans la sous-arborescence suivante : ev. init. i -» (Fj ET NON ev. init. sauf i) OU (Fj ET ev. init. sauf i) où ev. init. sauf i = E1 OU E2 OU ... OU Ei_± OU Ei+1 OU ... OU EkThese two conditions are met in the following subtree: ev. init. i - »(Fj AND NOT ev init except i) OR (Fj AND ev.initial except i) where ev. init. except i = E1 OR E2 OR ... OR Ei_ ± OR Ei + 1 OR ... OR Ek

Les autres composants du système, non liés à des événements initiateurs, restent inchangés (feuilles de type F ou 1). E. Définitions : Contenu Minimal des Séquences ou CMS : Définition 1: Formellement, un automate fini déterministe ou DFA (pour « Deterministic Finite Automaton ») est un quintuple (S, Σ, Ί\ s, A) dont les éléments sont: • un ensemble d’états (F), • un alphabet (Σ), • une fonction de transition (T: S χ Σ —> S), • un état de départ (s e S), • un ensemble d’états acceptants (A a S). L’automate DFA permet de décider pour toute suite de symboles pris dans l’alphabet si cette suite est acceptable ou non (on dit aussi : si la suite de symboles appartient ou non au langage défini par l’automate).The other components of the system, not related to initiating events, remain unchanged (type F or 1 sheets). E. Definitions: Minimum Content of Sequences or CMS: Definition 1: Formally, a Deterministic Finite Automaton (DFA) is a quintuple (S, Σ, Ί \ s, A) whose elements are: • a set of states (F), • an alphabet (Σ), • a transition function (T: S χ Σ -> S), • a starting state (se S), • a set of accepting states ( A to S). The DFA automaton makes it possible to decide for any sequence of symbols taken in the alphabet whether this sequence is acceptable or not (it is also said: whether the sequence of symbols belongs to the language defined by the automaton or not).

Dans l’invention, ce concept est appliqué à la recherche de séquences menant un système de son état initial à un état cible.In the invention, this concept is applied to the search for sequences leading a system from its initial state to a target state.

Avec les notations données ci-dessus, nous pouvons associer S à l’ensemble des états du système, les transitions T aux évènements (panne, réparation, etc.) qui constituent l’alphabet Σ, et A à l’état cible du système.With the notations given above, we can associate S with all the states of the system, the transitions T with the events (breakdown, repair, etc.) which constitute the alphabet Σ, and A with the target state of the system .

Dans le cadre de la présente invention, nous nous intéressons aux séquences qui mènent à la première entrée dans un état cible.In the context of the present invention, we are interested in sequences that lead to the first entry into a target state.

Le DFA est donc ici défini pour accepter des séquences dont la dernière transition fait entrer le système dans son état cible pour la première fois. Définition 2 : Une séquence sans boucle est une séquence qui ne passe pas deux fois par le même état du DFA. Dans un DFA, le nombre de séquences sans boucle est fini. Définition 3 : Une séquence minimale est une séquence acceptable telle que si l’on retire un sous-ensemble non vide quelconque des transitions de la séquence, on obtient une séquence refusée par le DFA.The DFA is here defined to accept sequences whose last transition brings the system into its target state for the first time. Definition 2: A sequence without a loop is a sequence that does not pass twice by the same state of the DFA. In a DFA, the number of sequences without a loop is finite. Definition 3: A minimal sequence is an acceptable sequence such that if any non-empty subset of the transitions of the sequence is removed, a sequence refused by the DFA is obtained.

Les séquences minimales possèdent deux propriétés évidentes : 1) toute séquence minimale est sans boucle, et 2) toute séquence acceptée par le DFA contient au moins une séquence minimale. Définition 4 : Soit xt une variable Booléenne associée au symbole i de l’alphabet Σ du DFA G. La projection de la séquence w (acceptée par le G) sur Σ est la fonction Booléenne :The minimal sequences have two obvious properties: 1) any minimal sequence is without a loop, and 2) any sequence accepted by the DFA contains at least one minimal sequence. Definition 4: Let xt be a Boolean variable associated with the symbol i of the alphabet Σ of the DFA G. The projection of the sequence w (accepted by the G) on Σ is the Boolean function:

Cette fonction est un moyen de représenter le sous-ensemble des symboles de Σ qui figurent dans la séquence w. Elle indique si une transition apparaît dans w ou non, mais pas combien de fois.This function is a means of representing the subset of the symbols of Σ that appear in the sequence w. It indicates if a transition appears in w or not, but not how many times.

Il est à noter que les séquences ne différant que par l'ordre selon lequel les transitions se succèdent ont la même projection.It should be noted that the sequences differing only in the order in which the transitions follow each other have the same projection.

Sur la base des notions introduites ci-dessus, on peut formuler la définition d'un contenu minimal des séquences. Définition 5 : Le contenu minimal des séquences ou CMS du DF A G est la fonction Booléenne définie comme la somme des projections des séquences minimales ; par conséquent, il prend la forme :On the basis of the concepts introduced above, it is possible to formulate the definition of a minimal content of the sequences. Definition 5: The minimal content of the sequences or CMS of the DF A G is the Boolean function defined as the sum of the projections of the minimal sequences; therefore, it takes the form:

où SG est l’ensemble des séquences minimales du DF A.where SG is the set of minimal sequences of DF A.

Cette fonction est monotone et peut donc être représentée de manière canonique par une somme de produits minimaux (l’équivalent de ce que l’on appelle les coupes minimales pour un arbre de défaillances).This function is monotonous and can therefore be canonically represented by a sum of minimal products (the equivalent of what are called minimum cuts for a fault tree).

Considérons l’exemple de la figure 1 dans laquelle on dispose d’un système avec deux composants en parallèle, 1 et 2, alimentés par une alimentation électrique commune c.Consider the example of Figure 1 in which there is a system with two components in parallel, 1 and 2, fed by a common power supply c.

Dans cette figure 1, / et rl sont la défaillance et la réparation du composant i, respectivement, et fc est la défaillance de la source de courant.In this figure 1, / and rl are the failure and repair of the component i, respectively, and fc is the failure of the current source.

Dans cet exemple, on a donc trois séquences minimales : (fc), (/1,/2), et (/2,/1), les deux dernières ayant la même projection.In this example, we have three minimal sequences: (fc), (/ 1, / 2), and (/ 2, / 1), the last two having the same projection.

Ici, le contenu minimal des séquences ou CMS est : fc + (/1-/2) + (/2 · fi) =fc + (fi - /2)Here, the minimal content of the sequences or CMS is: fc + (/ 1- / 2) + (/ 2 · fi) = fc + (fi - / 2)

Le Demandeur soumet que les définitions données ci-dessus figurent dans l’article « Détermination efficace de scenarii minimaux de défaillance pour des systèmes séquentiels » par M. BOUISSOU, 15ème colloque de fiabilité et maintenabilité, Lille, 2006. F. Technique de calcul dans le cas généralThe Applicant submits that the definitions given above appear in the article "Effective Determination of Minimum Failure Scenarios for Sequential Systems" by Mr. BOUISSOU, 15th Colloquium on Reliability and Maintainability, Lille, 2006. F. Calculation technique in the general case

Dans ce chapitre, nous allons établir une formule pour la défiabilité R(t) d'un système dans le cas général, quand il contient des composants avec des défaillances aussi bien en fonctionnement qu’à la sollicitation.In this chapter, we will establish a formula for the R (t) defiability of a system in the general case, when it contains components with failures both in operation and solicitation.

Supposons ici qu'il y a n événements initiateurs ei qui peuvent faire sortir le système de son état parfait.Suppose here that there are n initiating events which can bring the system out of its perfect state.

Alors, selon la formule ci-dessus, la défiabilité R(t) du système à un instant t peut être estimée selon la formule suivante :Then, according to the formula above, the system R (t) at a moment t can be estimated according to the following formula:

où Xei est le taux de défaillance de l’événement initiateur ei et pei est la somme des probabilités obtenues pour les k produits minimaux lui correspondant.where Xei is the failure rate of the initiating event ei and pei is the sum of the probabilities obtained for the k minimum products corresponding to it.

Dans les calculs suivants, on peut distinguer deux intervalles de temps : - le premier intervalle de temps correspond à la mission : c’est l’instant t. - le deuxième intervalle de temps est infini (noté oo) et commence une fois que l'événement initiateur ei a eu lieu.In the following calculations, two time intervals can be distinguished: - the first time interval corresponds to the mission: it is the moment t. the second time interval is infinite (noted oo) and begins once the initiating event ei has taken place.

Ainsi, la probabilité que tous les composants dans un produit minimal c tombent en panne à l'intérieur de l'intervalle de temps [0, oo) est la défiabilité à l’infini d'un système parallèle fait de ces composants.Thus, the probability that all components in a minimum product c will fail within the time interval [0, oo] is the infinite defiability of a parallel system made of these components.

On notera cette défiabilité Æc(oo).We will note this defiability Æc (oo).

Il est tout à fait possible d’estimer la probabilité pei en fonction de la somme des défiabilités à l’infini Rc(oo) des k produits minimaux :It is quite possible to estimate the probability pei as a function of the sum of the infinite defabilities Rc (oo) of the k minimal products:

Considérons d'abord un cas ou un proaun minimal ne contient pas de défaillance à la sollicitation.Consider first a case where a minimum proaun does not contain a failure to the solicitation.

Les caractéristiques de fiabilité d'un événement de base sont les suivantes : l’indisponibilité Ç(t) est la probabilité qu’un composant soit dans un état de défaillance à un instant t ; l’intensité de défaillance inconditionnelle W(t) est telle que W(t)At est le nombre moyen de défaillances d'un composant entre t et t + Δt.The reliability characteristics of a basic event are as follows: the unavailability Ç (t) is the probability that a component is in a state of failure at a time t; the unconditional failure intensity W (t) is such that W (t) Δt is the average number of failures of a component between t and t + Δt.

Selon le type d'un événement de base, ces quantités Ç(t) et W(t) sont données par les expressions suivantes :Depending on the type of a base event, these quantities Ç (t) and W (t) are given by the following expressions:

Evénement initiateur : <?(0 = βχρ(-μί) W(t) = 0 Défaillance en fonctionnement :Initiating event: <? (0 = βχρ (-μί) W (t) = 0 Failure in operation:

Dans la mesure où l’on considère qu’il n'y a pas de défaillance à la sollicitation, on a :Insofar as we consider that there is no failure to the solicitation, we have:

équation (1) où le nombre moyen de défaillances du produit minimal c contenant (m + 1) événements de base dans l'intervalle [0, t] prend la forme suivante en termes d’indisponibilités et d'intensités de défaillance inconditionnelle :equation (1) where the average number of minimum product failures c containing (m + 1) basic events in the interval [0, t] takes the following form in terms of unavailability and intensity of unconditional failure:

Ainsi, la probabilité pei pour passer de l'état où le système est juste après l'événement initiateur ei à l'état de défaillance est estimée par :Thus, the probability pei to go from the state where the system is right after the initiating event ei to the state of failure is estimated by:

On peut également introduire la notion de « taux de défaillance équivalent », noté Xeq, qui est une quantité souvent utilisée dans les EPS, on a alors :We can also introduce the notion of "equivalent failure rate", noted Xeq, which is an amount often used in EPS, then we have:

Ensuite, la défiabilité R(t) du système à l’instant t est déterminée comme suit :Then, the system R (t) defiability at time t is determined as follows:

Intéressons-nous maintenant au cas général, quand un système contient à la fois des défaillances en fonctionnement et à la sollicitation.Let us now consider the general case, when a system contains both failures in operation and solicitation.

Il est maintenant supposé qu'un composant tombé en panne à la sollicitation peut être réparé une fois. Après une telle réparation, le système passe dans un état absorbant.It is now assumed that a component that has failed at the request can be repaired once. After such repair, the system goes into an absorbing state.

Outre un évènement initiateur et m défaillances en fonctionnement, le produit minimal c contient également l événements de base correspondant à des défaillances à la sollicitation.In addition to an initiating event and failures in operation, the minimal product c also contains the basic events corresponding to failures to the solicitation.

La probabilité Prc que le produit minimal c conduise à l'événement sommet est donnée par :The probability Prc that the minimum product c leads to the peak event is given by:

La probabilité que l'événement sommet soit vrai étant donné qu’au moins l'un des l composants fonctionne est égale à zéro, donc seul le premier terme reste.The probability that the vertex event is true since at least one of the components is working is zero, so only the first term remains.

La défiabilité pour le produit minimal c peut être estimée à partir de Y équation (1) ci-dessus, où l’espérance mathématique Ec du nombre de défaillances N(t) à un instant t prend la forme suivante :The defeasibility for the minimal product c can be estimated from Y equation (1) above, where the mathematical expectation Ec of the number of failures N (t) at a time t takes the following form:

Reprenons maintenant l’exemple décrit précédemment avec un système comprenant trois composants SI, S2 et S3 avec des redondances passives pour appliquer la défiabilité du système.Let us now return to the example described above with a system comprising three components SI, S2 and S3 with passive redundancies to apply the system's defiability.

Pour mémoire, dans cet exemple, la défaillance du composant SI est le seul événement initiateur possible.For the record, in this example, the SI component failure is the only initiating event possible.

Si l’on reprend la formule pour l’estimation de la défiabilité R(t) d’un système à un instant t, on a :If we use the formula for the estimation of the R (t) degradability of a system at a time t, we have:

où le paramètre Λ est ici égal à λι et p est la probabilité qu’à partir de l’état (SI, S2, S3) à t = 0 le système passe à l'état de défaillance (SI, S2, S3) dans l'intervalle [0, oo).where the parameter Λ is here equal to λι and p is the probability that from the state (SI, S2, S3) to t = 0 the system goes to the state of failure (SI, S2, S3) in the interval [0, oo].

Si le sommet de l'arbre de défaillance correspondant prend la valeur VRAI au temps t, cela signifie que le composant SI n’est pas encore réparé à cet instant et que les composants 52 et S3 sont déjà tombés en panne.If the top of the corresponding failure tree takes the value TRUE at time t, it means that the component SI is not yet repaired at this time and that the components 52 and S3 have already failed.

Pour obtenir p dans cet exemple, il suffit ici de déterminer la défiabilité /?i(co) pour un système constitué de trois composants indépendants avec les caractéristiques suivantes : SI: Y = 1 λ = 0 μ = μι S2: γ = 0 λ = λ2 μ = μ2 S3: γ = 0 λ = λ3 μ = μ3To obtain p in this example, it is sufficient here to determine the degradability /? I (co) for a system consisting of three independent components with the following characteristics: SI: Y = 1 λ = 0 μ = μι S2: γ = 0 λ = λ2 μ = μ2 S3: γ = 0 λ = λ3 μ = μ3

On suppose que l'événement initiateur (une défaillance de SI) se produit à t = 0. L'évolution temporelle du système ne dépend uniquement que des composants S2 et 53 et de la réparation de SI.It is assumed that the initiating event (an IF failure) occurs at t = 0. The time evolution of the system depends only on components S2 and 53 and IS repair.

Dans cet exemple, pour éviter un calcul coûteux basé sur une chaîne de Markov, nous utilisons l’approximation de Murchland :In this example, to avoid an expensive calculation based on a Markov chain, we use the Murchland approximation:

Le premier terme de l’équation ci-dessus est nul parce qu'il n'y a pas de défaillance à la sollicitation de S2 ou S3. L’espérance mathématique du nombre des défaillances N(t) du système dans l'intervalle de temps [0, t] est donnée par :The first term of the equation above is zero because there is no failure in the solicitation of S2 or S3. The expected number of system failures N (t) in the time interval [0, t] is given by:

où Aj est le taux de défaillance du composant i et Pj représente la probabilité d'un état critique, i.e. un état à partir duquel une seule transition peut mener à l'événement indésirable. L'indépendance des événements de base après un événement initiateur implique que, dans de tels états, tous les composants sauf un sont en panne.where Aj is the failure rate of the component i and Pj represents the probability of a critical state, i.e. a state from which a single transition can lead to the adverse event. The independence of basic events after an initiating event implies that, in such states, all but one component fails.

La sommation est effectuée sur tous les éléments dans le seul produit minimal c, à l'exclusion de l'initiateur.The summation is performed on all elements in the only minimal product c, excluding the initiator.

Dans cet exemple, les états d'intérêt sont (SI, S2, S3) et (SI, S2, S3).In this example, the states of interest are (SI, S2, S3) and (SI, S2, S3).

On a donc :So we have :

où Qi est l'indisponibilité du composant i et Qi(x) = exp(—μχχ) est l'indisponibilité de l’initiateur.where Qi is the unavailability of component i and Qi (x) = exp (-μχχ) is the unavailability of the initiator.

Dans cet exemple, la défiabilité du système est donc estimée selon la formule suivante :In this example, the system's defiability is estimated according to the following formula:

G. Mise en œuvre du calcul de la défiabilité du systèmeG. Implementation of the calculation of the system's defiability

Les principales étapes pour le calcul de la défiabilité du système sont les suivantes : 1- Lecture des fichiers d'entrée.The main steps for calculating the system's reliability are as follows: 1- Reading the input files.

Il y a deux fichiers d'entrée. L'un d'eux contient les noms et les paramètres de fiabilité de tous les composants dans le système étudié. Cette information est supposée être stockée sous la forme de chaînes de caractères au format suivant : law composant GLM 0.0 1.0E-4 0.1There are two input files. One of them contains the names and the parameters of reliability of all the components in the studied system. This information is supposed to be stored in the form of character strings in the following format: GLM 0.0 1.0E-4 0.1

Les trois derniers éléments d'une telle chaîne sont les valeurs de la probabilité à la sollicitation γ, du taux de défaillance λ, et du taux de réparation μ. Le deuxième fichier d'entrée stocke le contenu minimal des séquences. La liste de produits minimaux (un par ligne) se présente selon le format suivant : composant_ 1 composant_2,... ^composant_n 2- Affectation des valeurs de paramètres à chaque élément d'un produit minimal, avec une discrimination entre l'événement initiateur ei, les défaillances en fonctionnement, et les défaillances à la sollicitation. 3- Calcul de l’espérance mathématique £'c(iV(t))du nombre de défaillances A(t)pour chaque produit minimal c. 4- Calcul de la défiabilité R(t) du système à un instant t et du taux de défaillance équivalent Xeq.The last three elements of such a chain are the values of the bias probability γ, the failure rate λ, and the repair rate μ. The second input file stores the minimum content of the sequences. The list of minimal products (one per line) is in the following format: component_ 1 component_2, ... ^ component_n 2- Assignment of parameter values to each element of a minimal product, with discrimination between the initiator event ei, failures in operation, and failures to solicitation. 3- Calculation of the expectation c (iV (t)) of the number of failures A (t) for each minimal product c. 4- Calculation of the R (t) system defiability at time t and the equivalent failure rate Xeq.

On notera ici que ces différentes phases pour le calcul de la défiabilité du système sont mises en œuvre par le module informatique 40.It will be noted here that these different phases for calculating the system's defiability are implemented by the computer module 40.

Pour calculer la défiabilité du système, il existe plusieurs approches dont la principale différence réside dans la façon de calculer les probabilités pei utilisées dans l’approximation :To calculate the system's defiability, there are several approaches whose main difference lies in the way of calculating the probabilities pei used in the approximation:

Selon une première approche, on utilise une intégration numérique de l’espérance mathématique du nombre de défaillances qui est réalisée en utilisant la méthode d’intégration par trapèzes. L’avantage de cette méthode est qu’elle permet éventuellement de limiter la borne d’intégration à la valeur que l’on souhaite. Cela permet de réintroduire si nécessaire la notion de temps de scrutation en plus de la prise en compte des réparations.According to a first approach, a numerical integration of the mathematical expectation of the number of failures is performed using the trapezoid integration method. The advantage of this method is that it can possibly limit the integration terminal to the desired value. This makes it possible to reintroduce if necessary the notion of polling time in addition to the consideration of the repairs.

On a donc :So we have :

Une deuxième approche tire avantage des expressions analytiques données dans le chapitre ci-dessous. H. Formules analytiques pour l’espérance mathématique du nombre de défaillances pour un produit minimal :A second approach takes advantage of the analytic expressions given in the chapter below. H. Analytical formulas for the expected number of failures for a minimum product:

Considérons d'abord le cas où le produit minimal c est composé d’un événement initiateur ei et de m défaillances en fonctionnement.Consider first the case where the minimal product c is composed of an initiating event ei and m malfunctions in operation.

Alors, en utilisant la définition de l'intensité de défaillances inconditionnelle W(t), on peut réécrire la formule ci-dessus comme suit :Then, using the definition of the unconditional intensity of failures W (t), we can rewrite the formula above as follows:

Dans la suite, pour des raisons de compréhension, nous omettons la notation « c », en sous-entendant que l’espérance mathématique £c(lV(t))du nombre de défaillances A(t)est appliquée au produit minimal c, et nous procédons à une intégration jusqu’à l'infini, ainsi qu’il est dit dans la méthode I&AB.In the following, for reasons of comprehension, we omit the notation "c", implying that the expectation c (lV (t)) of the number of failures A (t) is applied to the minimal product c, and we proceed to an integration to infinity, as it is said in method I & AB.

Nous obtenons alors :We then get:

dans laquelle t}· est égal à la somme des taux de défaillance et de réparation.where t} · is equal to the sum of the failure and repair rates.

Chaque intégrant comprend un produit de fonctions qui peut être représenté de la façon suivante :Each integrator includes a product of functions that can be represented as follows:

Par conséquent, après l'intégration de 0 à l'infini, on obtient une série alternée dont chaque terme, à son tour, est une somme de fractions. Par exemple, la deuxième intégrale conduit àTherefore, after the integration of 0 to infinity, we obtain an alternating series of which each term, in turn, is a sum of fractions. For example, the second integral leads to

La première intégrale est calculée de la même façon, la seule différence est que l'on doit exclure l’élément courant i du produit.The first integral is calculated in the same way, the only difference being that the current element i of the product must be excluded.

Supposons maintenant que le produit minimal c contient à la fois des défaillances en fonctionnement et des défaillances à la sollicitation (en nombre Z).Suppose now that the minimal product c contains both operational failures and solicitation failures (Z number).

Rappelons que l’espérance mathématique du nombre de défaillances dans ce cas est décrite par la formule :Recall that the mathematical expectation of the number of failures in this case is described by the formula:

Afin d'obtenir l'expression analytique correspondante, on remplace \\.ie dans Y équation (2) par :In order to obtain the corresponding analytic expression, we replace \\ ie in Y equation (2) with:

et de prendre en compte le produit des probabilités instantanéesand take into account the product of instant probabilities

Ces formules analytiques peuvent sembler complexes ; le demandeur soumet toutefois qu’elles permettent de réduire considérablement le temps de traitement par rapport à une intégration numérique, tout en améliorant la précision.These analytic formulas may seem complex; however, the Applicant submits that they significantly reduce processing time compared to digital integration, while improving accuracy.

En tant qu’une illustration, retournons à l’exemple du système comprenant trois composants dans lequel il n'y a qu'un seul événement initiateur ei et un seul produit minimal qui lui correspond.As an illustration, let us return to the example of the three-component system in which there is only one initiating event ei and one minimal product corresponding to it.

Dans cet exemple, nous pouvons immédiatement écrire la formule analytique pour le taux de défaillance équivalent Xeq :In this example, we can immediately write the analytic formula for the equivalent failure rate Xeq:

Un tel calcul est très facile à réaliser. I. Exemples de mise en œuvreSuch a calculation is very easy to perform. I. Examples of implementation

Dans la suite, nous considérons plusieurs exemples de complexité croissante.In the following, we consider several examples of increasing complexity.

Dans ces exemples, le taux de défaillance de tous les composants est égal à ÎO-4!!"1 ; les valeurs des probabilités de défaillance à la sollicitation et des taux de réparation sont variées. 1) Exemple 1 - Système de pompage avec une voie de secours :In these examples, the failure rate of all the components is equal to 10-4! "1, the values of the probabilities of solicitation failure and repair rates are varied: 1) Example 1 - Pumping system with a escape route:

Ce premier exemple permet de mettre en évidence l'importance de la prise en compte des gâchettes dans la génération du CMS.This first example makes it possible to highlight the importance of taking into account triggers in the generation of the CMS.

Dans cet exemple, on suppose qu'un système de pompage comprend une pompe principale Cl et une voie de secours avec deux pompes en parallèle, C2 et C3, reliées en série à une pompe C4 qui fonctionne seulement à une température déterminée.In this example, it is assumed that a pumping system comprises a main pump C1 and an emergency route with two pumps in parallel, C2 and C3, connected in series with a pump C4 which operates only at a predetermined temperature.

Dans cet exemple, on suppose également que l'une des pompes en parallèle (par exemple C3) fournit l'eau de refroidissement à C4. De ce fait, une défaillance de C3 provoque immédiatement une défaillance de C4 (supposée non-réparable) en raison de l’absence de refroidissement.In this example, it is also assumed that one of the pumps in parallel (for example C3) supplies the cooling water to C4. As a result, a failure of C3 immediately causes a C4 failure (assumed to be unrepairable) due to the lack of cooling.

Le BDMP correspondant à un tel système est illustré en figure 4.The BDMP corresponding to such a system is illustrated in FIG.

Selon la méthode I&AB présentée dans le cadre de la présente demande, les défaillances de tous les composants après un événement initiateur ei sont indépendantes, ce qui est équivalent à un modèle sans la gâchette inférieure.According to the method I & AB presented in the context of the present application, the failures of all the components after an initiating event ei are independent, which is equivalent to a model without the lower trigger.

Les coupes minimales de ce BDMP, obtenues en tenant compte uniquement de la structure de l’arbre, sans les gâchettes sont donc : {Cljnit, C2 JailF, C3 JailF}, {Cl init, C4 JailF}, et {Cl init, C4 lack of coolingjaill}The minimal cuts of this BDMP, obtained taking into account only the structure of the tree, without the triggers are thus: {Cljnit, C2 JailF, C3 JailF}, {Cl init, C4 JailF}, and {Cl init, C4 lack of coolingjaill}

Le suffixe « init » permet de distinguer clairement l'événement initiateur des autres défaillances (« failF » or « faill »).The suffix "init" clearly distinguishes the initiating event from other failures ("failF" or "fail").

Cependant, l’arbre de défaillances généré prend la gâchette inférieure en compte.However, the generated fault tree takes the lower trigger into account.

Le CMS dudit modèle prend donc la forme suivante : {Cl init, C2 JailF, C3 JailF} + {Cl init, C4 JailF} + {Cl init, C3 JailF, C4 lack of coolingjaill}.The CMS of this model thus takes the following form: {Cl init, C2 JailF, C3 JailF} + {Cl init, C4 JailF} + {Cl init, C3 JailF, C4 lack of coolingjaill}.

La présence de l'élément « C3 JailF » dans le troisième produit minimal est simplement une conséquence du fait que, dans notre modèle, une défaillance de C4 par suite de l’absence de refroidissement n’est possible qu’après une défaillance de C3.The presence of the element "C3 JailF" in the third minimal product is simply a consequence of the fact that, in our model, a failure of C4 due to the absence of cooling is possible only after a failure of C3 .

Comparons maintenant le taux de défaillance équivalent obtenu en utilisant les coupes minimales et le contenu minimal des séquences dans le cadre de la méthode I&AB à celui calculé par une méthode classique.Let us now compare the equivalent failure rate obtained by using the minimum cuts and the minimum content of the sequences in the framework of the I & AB method to that calculated by a conventional method.

Dans les calculs, la probabilité de défaillance à la sollicitation pour la feuille « C4Jack of cooling » est égale à 1 afin de modéliser une défaillance immédiate de C4 après la perte de refroidissement. Dans le cas de l'utilisation des coupes minimales, {Cl init, C4Jack of coolingjaill} comprend comme seul événement de base (en dehors de l’initiateur) - la défaillance à la sollicitation de « C4 lack of cooling ».In the calculations, the probability of failure at the load for the sheet "C4Jack of cooling" is equal to 1 in order to model an immediate failure of C4 after the loss of cooling. In the case of the use of minimum cuts, {Cl init, C4Jack of coolingjaill} includes as the only basic event (outside the initiator) - the failure to solicit "C4 lack of cooling".

On obtient donc :We thus obtain:

et Xeq est principalement déterminé par le taux de défaillance de l'événement initiateurand Xeq is mainly determined by the failure rate of the initiator event

ce qui crée une grande différence avec la réalité dans les résultats.which creates a big difference with the reality in the results.

Au contraire, l'application des produits minimaux des séquences dans la méthode I&AB nous permet d’obtenir des résultats de calculs plus proches de la réalité.On the contrary, the application of the minimal sequence products in the I & AB method allows us to obtain results of calculations closer to reality.

Les résultats de ces calculs figurent dans le tableau de la figure 5. 2) Exemple 2 - Système électrique avec une voie de secours :The results of these calculations are shown in the table in Figure 5. 2) Example 2 - Electrical system with emergency escape route:

Considérons maintenant un deuxième exemple avec un système d'alimentation pour un jeu de barres électrique.Now consider a second example with a power system for an electric busbar.

Au début, le système est alimenté par un réseau (la voie normale) connecté par l'intermédiaire d'un disjoncteur CB1. Une alimentation auxiliaire du jeu de barre est fournie par un générateur diesel (la voie de secours) connecté par l'intermédiaire d'un disjoncteur CB2.At the beginning, the system is powered by a network (the normal channel) connected via a CB1 circuit breaker. An auxiliary power supply to the busbar is provided by a diesel generator (the emergency route) connected via a CB2 circuit breaker.

Si le réseau tombe en panne, une ouverture automatique de CB1 et une fermeture automatique subséquente de CB2 sont lancées. Le générateur diesel fournit le jeu de barres jusqu'à ce qu'il tombe en panne ou que le réseau soit réparé.If the network goes down, an automatic opening of CB1 and a subsequent automatic closing of CB2 are started. The diesel generator supplies the busbar until it breaks down or the network is repaired.

Des défaillances simultanées du réseau et du générateur diesel aboutissent à l’événement indésirable.Simultaneous failures of the grid and diesel generator result in the adverse event.

Le BDMP pour ce système électrique est représenté sur la figure 6.The BDMP for this electrical system is shown in Figure 6.

Une possible ouverture intempestive de CB1 est aussi incluse dans la voie normale.A possible unintentional opening of CB1 is also included in the normal way.

Les autres incidents éventuels liés à la commutation automatique (un refus d’ouverture de CB1 et un refus de fermeture de CB2) sont compris dans la voie de secours.Other possible incidents related to automatic switching (a refusal to open CB1 and a refusal to close CB2) are included in the escape route.

Le générateur diesel présente deux modes de défaillance : à la sollicitation et en fonctionnement.The diesel generator has two failure modes: on demand and in operation.

Physiquement, la tentative d’ouverture de CB1 est suivie par la tentative de fermeture de CB2, qui elle-même est suivie par la tentative de démarrage du générateur diesel.Physically, the attempt to open CB1 is followed by the attempt to close CB2, which itself is followed by the attempt to start the diesel generator.

Par ailleurs, une ouverture intempestive de CB1 exclut la possibilité d’un refus de son ouverture ; ce fait est modélisé par une gâchette inversée entre CBl_IO et CBl_RO.In addition, an inadvertent opening of CB1 excludes the possibility of a refusal of its opening; this fact is modeled by an inverted trigger between CBl_IO and CBl_RO.

Dans la méthode I&AB, cette relation est prise en compte par l'élimination du produit minimal {CB1 10 init, CB1 RO Jaill}.In method I & AB, this relation is taken into account by the elimination of the minimum product {CB1 init, CB1 RO Jaill}.

Le BDMP décrivant la logique d’un tel système est représenté en figure 6.The BDMP describing the logic of such a system is shown in Figure 6.

Le taux de défaillance équivalent du système pour différentes valeurs de paramètres μ et γ est présenté dans le tableau de la figure 7.The equivalent system failure rate for different parameter values μ and γ is presented in the table of Figure 7.

Les mêmes valeurs de μ et γ sont prises pour tous les composants et ceux avec des défaillances à la sollicitation, respectivement.The same values of μ and γ are taken for all components and those with solicitation failures, respectively.

Les résultats obtenus avec les méthodes de quantification classiques pour le modèle dynamique sont en bon accord avec ceux obtenus avec I&AB-a pour le modèle intermédiaire, notamment dans le cas le plus plausible (μ = 0.1 h'1 et γ = 104).The results obtained with classical quantization methods for the dynamic model are in good agreement with those obtained with I-AB-a for the intermediate model, especially in the most plausible case (μ = 0.1 h'1 and γ = 104). .

La plus grande différence relative entre les résultats est 14%. 3) Exemple 3 - Alimentation 6.6 kVsecourue :The biggest relative difference between the results is 14%. 3) Example 3 - 6.6 kV Power Supply:

Ce troisième exemple concerne un système d'alimentation des jeux de barres 6.6 kV secourus dans une centrale nucléaire.This third example concerns a feeding system for 6.6 kV busbars rescued in a nuclear power plant.

Un tel système est illustré en figure 8.Such a system is illustrated in FIG.

Dans un tel système, les jeux de barres jouent un rôle crucial dans la sûreté de la centrale, car ils alimentent des systèmes de contrôle-commande et des composants nécessaires pour refroidir le cœur. Donc, ils sont alimentés avec beaucoup de redondance.In such a system, busbars play a crucial role in the safety of the plant, as they power control systems and components needed to cool the core. So, they are powered with a lot of redundancy.

Dans une situation normale, ils prélèvent une certaine puissance de la sortie de la centrale par le transformateur de soutirage TS.In a normal situation, they take a certain power from the output of the plant by the withdrawal transformer TS.

Lorsque la centrale ne produit pas, c’est le réseau qui alimente le système par la ligne principale.When the plant does not produce, it is the network that feeds the system through the main line.

En cas de perte de la ligne principale, une autre prend le relais.In case of loss of the main line, another takes over.

Lorsque que, à partir de l’état normal, une perte du réseau se produit, une autoalimentation de la centrale peut être essayée, grâce à un fonctionnement dit « en îlotage ».When, from the normal state, a loss of the network occurs, a self-powering of the plant can be tried, thanks to a so-called "islanding" operation.

Enfin, en tant que dernier recours, deux générateurs diesel sont disponibles.Finally, as a last resort, two diesel generators are available.

Ce système est à la fois reconfigurable et réparable, avec un risque de défaillance des reconfigurations (le refus d’ouverture ou de fermeture des disjoncteurs).This system is both reconfigurable and repairable, with a risk of failure reconfigurations (the refusal opening or closing circuit breakers).

Le BDMP pour un modèle simplifié de ce système est donné dans la figure 9. L'événement indésirable de l'arbre de défaillance est une perte simultanée des jeux de barres LH A et LHB.The BDMP for a simplified model of this system is given in Figure 9. The undesirable event of the failure tree is a simultaneous loss of the LH A and LHB busbars.

Chacun des quatre jeux de barres LGD, LGF, LHA et LHB, pris en compte dans ce modèle, peut tomber en panne à cause d'un court-circuit ou cesser d'être alimenté.Each of the four LGD, LGF, LHA and LHB busbars, considered in this model, may fail due to a short circuit or stop being energized.

Il y a deux façons différentes pour les alimenter, numérotées 1 et 2. C’est seulement lorsque l'alimentation 1 n’est pas disponible que les disjoncteurs basculent vers l'alimentation 2.There are two different ways to power them, numbered 1 and 2. It is only when power supply 1 is not available that the circuit breakers switch to power supply 2.

Le chemin normal qui alimente un jeu de barres X peut être perdu à la suite d'une ouverture intempestive du disjoncteur de ce chemin (l'événement de base noté « 10 CB XI ») ; son secours peut être perdu soit pendant une reconfiguration parce que le disjoncteur correspondant refuse de se fermer (l’événement de base noté « RC CB X2 »), soit plus tard par son ouverture intempestive (l’événement de base noté « IO CB X2 »).The normal path that feeds a busbar X may be lost as a result of unintentional opening of the circuit breaker of this path (the basic event noted "10 CB XI"); its help can be lost either during a reconfiguration because the corresponding breaker refuses to close (the basic event noted "RC CB X2"), or later by its untimely opening (the basic event noted "IO CB X2 ").

Chaque diesel peut tomber en panne soit au démarrage soit pendant son fonctionnement.Each diesel can fail either at startup or during operation.

Des défaillances de cause commune sont également modélisées, à la fois au démarrage et pendant le fonctionnement.Common cause failures are also modeled, both at startup and during operation.

Dans le cas d'un démarrage simultané des deux générateurs diesel, plusieurs événements de base changent de mode simultanément.In the case of a simultaneous start of the two diesel generators, several basic events change mode simultaneously.

Dans la figure 9, les liens en pointillés sont utilisés pour imposer l'ordre de prise en compte des événements.In Figure 9, the dashed links are used to dictate the order of consideration of events.

La feuille « demand CCF DG » est considérée au début.The "request CCF DG" sheet is considered at the beginning.

Si l'événement correspondant ne passe pas à vrai, des défaillances indépendantes à la sollicitation des générateurs diesel sont possibles.If the corresponding event does not go to true, independent failures to solicit diesel generators are possible.

Enfin, dans une voie où tout s’est bien passé, la fermeture du disjoncteur est tentée.Finally, in a way where everything went well, the closing of the breaker is attempted.

Dans ce modèle, chaque composant a ses propres valeurs de paramètres.In this model, each component has its own parameter values.

Deux modes de défaillance du réseau, correspondant à des temps de réparation court et long, sont pris en considération.Two modes of network failure, corresponding to short and long repair times, are taken into consideration.

Avec les défaillances de longue durée du réseau, les défaillances à la sollicitation jouent un rôle négligeable par rapport aux défaillances en fonctionnement.With long-term network failures, solicitation failures play a negligible role compared to failures in operation.

Le taux de défaillance équivalent du système est donné dans le tableau de la figure 10 selon que les défaillances à long terme sont conservées dans le modèle ou non.The equivalent system failure rate is given in the table of Figure 10 depending on whether long-term failures are retained in the model or not.

Les résultats obtenus avec les méthodes de quantification classiques et avec la méthode I&AB sont en bon accord.The results obtained with classical quantization methods and with the I & AB method are in good agreement.

En résumé :In summary :

Comme expliqué dans le chapitre A ci-dessus, l’objet de l’invention se présente comme un perfectionnement de la méthode proposée par l’article "de l'étude de systèmes dynamiques par des méthodes booléennes" rédigé par J. Collet.As explained in chapter A above, the object of the invention is presented as an improvement of the method proposed by the article "of the study of dynamical systems by Boolean methods" written by J. Collet.

Les perfectionnements apportés par la présente invention visent notamment les aspects suivants : 1) la prise en compte des défaillances à la sollicitation; 2) l’utilisation du CMS au lieu des coupes minimales; 3) la modélisation des défaillances de cause commune; 4) l’établissement des formules analytiques pour l’espérance mathématique du nombre de défaillances d’un produit minimal.The improvements brought about by the present invention are aimed in particular at the following aspects: 1) the taking into account of failures at the request; 2) the use of CMS instead of minimal cuts; 3) modeling of common cause failures; 4) the establishment of analytical formulas for the mathematical expectation of the number of failures of a minimal product.

La méthode I&AB proposée ici dans le cadre de la présente invention permet ainsi d'élargir le nombre des systèmes qui peuvent être traités : des systèmes complexes avec plusieurs milliers de composants peuvent ainsi être étudiés.The I & AB method proposed here in the context of the present invention thus makes it possible to expand the number of systems that can be processed: complex systems with several thousand components can thus be studied.

Les exemples traités dans le chapitre I mettent en évidence que les résultats obtenus par la méthode proposée ici dans le cadre de l’invention sont très proches de ceux obtenus pour un modèle dynamique.The examples treated in Chapter I show that the results obtained by the method proposed here in the context of the invention are very close to those obtained for a dynamic model.

Par ailleurs, l’utilisation des expressions analytiques définies dans le chapitre H permet de réduire de façon significative les temps de traitement et de calcul et d'en améliorer la précision.In addition, the use of the analytical expressions defined in chapter H significantly reduces the processing and calculation times and improves their accuracy.

Du point de vue qualitatif, il est intéressant pour les analystes d'obtenir un ensemble de produits minimaux avec des événements initiateurs identifiés plutôt qu'un plus grand nombre de séquences, comme cela est le cas quand un BDMP est quantifié avec les méthodes classiques.From a qualitative point of view, it is interesting for analysts to obtain a set of minimal products with identified initiator events rather than a larger number of sequences, as is the case when a BDMP is quantized with conventional methods.

Un domaine d'application privilégié de la méthode I&AB concerne l’estimation de la sûreté et de la sécurité des centrales nucléaires. Comme déjà expliqué précédemment, d’autres domaines d’application pourront également être envisagés dans le cadre de la présente invention.A prime area of application of the I & AB method concerns the estimation of the safety and security of nuclear power plants. As already explained above, other fields of application may also be envisaged in the context of the present invention.

Le demandeur soumet que la méthode I&AB proposée dans le cadre de la présente invention apporte une précision des résultats améliorés notamment grâce au fait que le temps de scrutation n’est plus nécessaire par suite de la possibilité de prendre en compte des temps de réparation réels.The applicant submits that the I & AB method proposed in the context of the present invention provides a precision of the improved results, in particular thanks to the fact that the scanning time is no longer necessary because of the possibility of taking into account repair times. real.

Il devra être observé que cette description détaillée porte sur un exemple de réalisation particulier de la présente invention, mais qu’en aucun cas cette description ne revêt un quelconque caractère limitatif à l’objet de l’invention ; bien au contraire, elle a pour objectif d’ôter toute éventuelle imprécision ou toute mauvaise interprétation des revendications qui suivent.It should be observed that this detailed description relates to a particular embodiment of the present invention, but in no case this description is of any nature limiting to the subject of the invention; on the contrary, its purpose is to remove any imprecision or misinterpretation of the claims that follow.

Il devra également être observé que les signes de références mis entre parenthèses dans les revendications qui suivent ne présentent en aucun cas un caractère limitatif ; ces signes ont pour seul but d’améliorer l’intelligibilité et la compréhension des revendications qui suivent ainsi que la portée de la protection recherchée.It should also be observed that the reference signs in parentheses in the following claims are in no way limiting in nature; these signs are only intended to improve the intelligibility and understanding of the claims that follow as well as the scope of the protection sought.

Claims

REVENDICATIONS E Procédé d’estimation de la fiabilité d’un système industriel (INS) comprenant une pluralité de composants (Si) réparables, dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont notamment un taux de défaillance λί et un taux de réparation μι, ledit procédé mis en œuvre par des moyens informatiques comportant les étapes suivantes : - une étape de construction (S_l) à partir desdits composants (Si) d’un modèle dynamique du système (INS) en tenant compte des dépendances entre lesdits composants (Si) ; - une étape de génération (S_2) à partir dudit modèle d’un unique arbre de défaillances représentatif des scénarii de défaillance des composants (Si) pouvant conduire ledit système d’un état normal à un état de défaillance ; - une étape de détermination (S_3) d’un contenu minimal des séquences, dit CMS, à partir des coupes minimales dudit arbre de défaillances, ledit CMS comprenant une liste de produits minimaux c se présentant sous la forme d’une combinaison de composants (Si) et comprenant, pour chaque produit minimal, un unique évènement initiateur, noté ici ei, et m défaillances en fonctionnement ou à la sollicitation, m étant un nombre entier positif ; - une étape d’estimation (S_4) de la défiabilité R(t) dudit système à un instant t en fonction du taux de défaillance λα de chaque évènement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.Claims A method for estimating the reliability of an industrial system (INS) comprising a plurality of components (Si) repairable, dependent on each other and each having specific reliability parameters, including a failure rate λί and a rate repair method μι, said method implemented by computer means comprising the following steps: - a construction step (S_l) from said components (Si) of a dynamic model of the system (INS) taking into account the dependencies between said components (Si); a step of generating (S_2) from said model a single fault tree representative of the failure scenarios of the components (Si) that can lead said system from a normal state to a state of failure; a step of determining (S_3) a minimum content of the sequences, said CMS, from the minimal sections of said fault tree, said CMS comprising a list of minimal products c in the form of a combination of components ( Si) and comprising, for each minimal product, a single initiating event, noted here ei, and m failures in operation or at the request, m being a positive integer; a step of estimating (S_4) the unreliability R (t) of said system at a time t as a function of the failure rate λα of each initiating event ei and the sum pei of the failure probabilities obtained for the k minimum products him corresponding.

2. Procédé selon la revendication 1, dans lequel, lors de l’étape de construction (S_l), le modèle est un modèle du type BDMP basé sur des fonctions booléennes et processus de Markov associés aux composants (Si) du système.2. Method according to claim 1, wherein, during the construction step (S_l), the model is a model of the BDMP type based on Boolean functions and Markov processes associated with the components (Si) of the system.

3. Procédé selon la revendication 1, dans lequel, lors de l’étape de construction (S_l), le modèle est un modèle du type EPS composé d’arbres d’événements et d’arbres de défaillances.3. Method according to claim 1, wherein, during the construction step (S_l), the model is an EPS type model composed of event trees and failure trees.

4. Procédé selon l’une quelconque des revendications 1 à 3, dans lequel l’estimation de la défiabilité R(t) dudit système à un instant t est calculée selon la formule suivante :4. Method according to any one of claims 1 to 3, wherein the estimate of the unreliability R (t) of said system at a time t is calculated according to the following formula:

5. Procédé selon l’une quelconque des revendications 1 à 4, comprenant une estimation de la probabilité de défaillance pei dudit système suite à un évènement initiateur ei en fonction de la somme de la défiabilité Rc(oo) à l’infini de chacun des k produits minimaux c appartenant au CMS et contenant ledit évènement initiateur ei, ladite estimation étant calculée selon la formule suivante :5. Method according to any one of claims 1 to 4, comprising an estimate of the probability of failure pei said system following an initiator event ei as a function of the sum of the defiability Rc (oo) to infinity of each of k minimal products c belonging to the CMS and containing said initiating event ei, said estimation being calculated according to the following formula:

6. Procédé selon la revendication 5, dans lequel la somme de la défiabilité Æc(oo) à l’infini de chacun des k produits minimaux est estimée par l’espérance mathématique Ec du nombre de défaillances N pour chaque produit minimal c.6. The method according to claim 5, wherein the sum of the unreliability Æc (oo) at infinity of each of the k minimum products is estimated by the mathematical expectation Ec of the number of failures N for each minimum product c.

7. Procédé selon la revendication 6, dans lequel l’espérance mathématique Ec du nombre de défaillances N pour chaque produit minimal c est déterminée en fonction des intensités de défaillance inconditionnelles Wj(t) et des indisponibilités Qi(t) des composants (Si), l’intensité de défaillance inconditionnelle étant telle que est le nombre moyen de défaillances d’un composant (Si) entre les instants t et t+Δί, et l’indisponibilité Qi(t) étant la probabilité qu’un composant (Si) soit dans un état de défaillance à un instant t.7. The method according to claim 6, wherein the mathematical expectation Ec of the number of failures N for each minimum product c is determined as a function of the unconditional failure intensities Wj (t) and of the unavailabilities Qi (t) of the components (Si). , the unconditional failure intensity being such that is the average number of failures of a component (Si) between times t and t + Δί, and the unavailability Qi (t) being the probability that a component (Si) in a state of failure at a time t.

8. Procédé selon la revendication 7, dans lequel l’intensité de défaillance inconditionnelle Wi(t) et l’indisponibilité Qi(t) de chacun des composants (Si) sont fonction desdits taux de défaillance λ* et de réparation μι.8. The method of claim 7, wherein the unconditional failure intensity Wi (t) and the unavailability Qi (t) of each of the components (Si) are a function of said failure rates λ * and repair μι.

9. Procédé selon la revendication 7 ou 8, dans lequel, selon le type d'un événement de base, l’intensité de défaillance inconditionnelle VKj(t) et l’indisponibilité Qi(t) sont données par les expressions suivantes : événement initiateur :The method of claim 7 or 8, wherein, depending on the type of a base event, the unconditional failure intensity VKj (t) and the unavailability Qi (t) are given by the following expressions: initiator event :

Wt(t) = 0 défaillance en fonctionnement :Wt (t) = 0 failure in operation:

Wi(t)= Àj(l - Qi(t))Wi (t) = Àj (l - Qi (t))

10. Procédé selon l’une quelconque des revendications 7 à 9, dans lequel l’espérance mathématique Ec(N(t)) du nombre de défaillances N dans l'intervalle de temps [0, t] pour chaque produit minimal c est calculée selon la formule suivante :The method according to any one of claims 7 to 9, wherein the mathematical expectation Ec (N (t)) of the number of failures N in the time interval [0, t] for each minimal product c is calculated according to the following formula:

dans laquelle / est le nombre de défaillances à la sollicitation, et yCti est le taux de défaillance à la sollicitation du composant (Si).where / is the number of failures at solicitation, and yCti is the failure rate at the solicitation of the component (Si).

11. Procédé selon l’une quelconque des revendications 7 à 9, dans lequel, lorsque le produit minimal c ne contient qu’un évènement initiateur ei et / défaillances à la sollicitation, l’espérance mathématique Ec(N(t)) du nombre de défaillances N dans l'intervalle de temps [0, t] pour ledit produit minimal c est calculée selon la formule suivante :The method according to any one of claims 7 to 9, wherein, when the minimal product c contains only one initiating event ei and / solicitation failures, the expected number Ec (N (t)) of the number of failures N in the time interval [0, t] for said minimum product c is calculated according to the following formula:

dans laquelle yCfi est le taux de défaillance à la sollicitation du composant (Si).where yCfi is the failure rate at the solicitation of the component (Si).

12. Procédé selon l’une quelconque des revendications 7 à 11, dans lequel l’espérance mathématique Ec(n(œ)) du nombre de défaillances N dans l'intervalle de temps [0,oo) pour un produit minimal c est calculée selon la formule suivante :The method according to any one of claims 7 to 11, wherein the mathematical expectation Ec (n (œ)) of the number of failures N in the time interval [0, oo) for a minimal product c is calculated according to the following formula:

dans laquelle r;· est égal à la somme des taux de défaillance et de réparation du composant (Sj) avec les formules analytiques suivantes :where r; · is equal to the sum of the failure and repair rates of the component (Sj) with the following analytic formulas:

13. Procédé selon l’une quelconque dés revendications précédentes, dans lequel le système industriel est une centrale nucléaire.13. A method according to any one of the preceding claims, wherein the industrial system is a nuclear power station.

14. Programme d’ordinateur comportant des instructions adaptées pour l’exécution des étapes du procédé selon l’une quelconque des revendications 1 à 13 lorsque ledit programme d’ordinateur est exécuté par au moins un processeur.14. Computer program comprising instructions adapted for performing the steps of the method according to any one of claims 1 to 13 when said computer program is executed by at least one processor.

15. Support d’enregistrement lisible par un ordinateur sur lequel est enregistré un programme d’ordinateur comprenant des instructions pour l’exécution des étapes du procédé selon l’une quelconque des revendications 1 à 13.15. A computer-readable recording medium on which is recorded a computer program comprising instructions for performing the steps of the method according to any one of claims 1 to 13.

16. Système informatique (100) d’estimation de la fiabilité d’un système industriel (INS) comprenant une pluralité de composants (Si) réparables dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont notamment un taux de défaillance constant λί et réparation μ;, ledit système (100) comportant : - un module informatique de modélisation (10) configuré pour construire un modèle dynamique du système tenant compte des dépendances entre les composants (SO ; - une module informatique de génération (20) configuré pour générer à partir dudit modèle construit un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d’un état normal à un état de défaillance ; - un module informatique de traitement (30) configuré pour déterminer à partir des coupes minimales dudit arbre de défaillances un contenu minimal des séquences, dit CMS, comprenant une liste de produits minimaux c se présentant sous la forme d’une combinaison de composants (S,) et comprenant, pour chaque produit minimal, un unique évènement initiateur, noté ici ei, et m défaillances en fonctionnement ou à la sollicitation, m étant un nombre entier positif ; - un module informatique d’estimation (40) configuré pour estimer la défîabilité R(t) dudit système (INS) à un instant t en fonction du taux de défaillance Àei de chaque évènement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.16. Computer system (100) for estimating the reliability of an industrial system (INS) comprising a plurality of repairable components (Si) dependent on each other and each having reliability parameters determined including a constant failure rate λί and repair μ ;, said system (100) comprising: - a modeling computer module (10) configured to build a dynamic model of the system taking into account the dependencies between the components (SO; - a configured computer generation module (20) to generate from said model a single fault tree representative of failure scenarios of the components capable of leading said system from a normal state to a failure state; a computer processing module (30) configured to determine from the sections of said fault tree a minimum content of the sequences, said CMS, comprising a list of minimal products c in the form of a combination of components (S,) and comprising, for each minimal product, a single initiating event, noted here ei, and m failures in operation or at the request, m being a number positive integer; an estimation computer module (40) configured to estimate the defiability R (t) of said system (INS) at a time t as a function of the failure rate λei of each initiating event ei and the sum pei of the failure probabilities obtained. for the k minimal products corresponding to it.

17. Système selon la revendication 16 comprenant des moyens informatiques configurés pour la mise en œuvre des étapes du procédé selon l’une quelconque des revendications 2 à 13.17. System according to claim 16 comprising computer means configured for implementing the steps of the method according to any one of claims 2 to 13.