FR3044787A1 - Estimation de la fiabilite d'un systeme industriel - Google Patents

Estimation de la fiabilite d'un systeme industriel Download PDF

Info

Publication number
FR3044787A1
FR3044787A1 FR1561819A FR1561819A FR3044787A1 FR 3044787 A1 FR3044787 A1 FR 3044787A1 FR 1561819 A FR1561819 A FR 1561819A FR 1561819 A FR1561819 A FR 1561819A FR 3044787 A1 FR3044787 A1 FR 3044787A1
Authority
FR
France
Prior art keywords
failure
components
failures
minimal
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR1561819A
Other languages
English (en)
Inventor
Marc Bouissou
Olga Hernu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electricite de France SA
Original Assignee
Electricite de France SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electricite de France SA filed Critical Electricite de France SA
Priority to FR1561819A priority Critical patent/FR3044787A1/fr
Priority to PCT/EP2016/079739 priority patent/WO2017093560A1/fr
Publication of FR3044787A1 publication Critical patent/FR3044787A1/fr
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0283Predictive maintenance, e.g. involving the monitoring of a system and, based on the monitoring results, taking decisions on the maintenance schedule of the monitored system; Estimating remaining useful life [RUL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/20Administration of product repair or maintenance
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/16Plc to applications
    • G05B2219/161Nuclear plant
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23447Uses process simulator to develop, simulate faults, fault tree
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0243Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
    • G05B23/0245Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
    • G05B23/0248Causal models, e.g. fault tree; digraphs; qualitative physics
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0243Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
    • G05B23/0245Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
    • G05B23/0251Abstraction hierarchy, e.g. "complex systems", i.e. system is divided in subsystems, subsystems are monitored and results are combined to decide on status of whole system
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/001Computer implemented control
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/04Safety arrangements
    • G21D3/06Safety arrangements responsive to faults within the plant

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computational Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Human Resources & Organizations (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Operations Research (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Probability & Statistics with Applications (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Automation & Control Theory (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Algebra (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Marketing (AREA)
  • Quality & Reliability (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

La présente invention concerne un procédé d'estimation de la fiabilité d'un système industriel (INS) comprenant une pluralité de composants (Si) réparables, dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont un taux de défaillance λi et un taux de réparation µi, ledit procédé comportant les étapes suivantes : - une construction (S_l) à partir desdits composants (Si) d'un modèle dynamique du type BDMP ; - une génération (S_2) à partir dudit BDMP d'un unique arbre de défaillances représentatif des scénarii de défaillance des composants (Si) pouvant conduire ledit système d'un état normal à un état de défaillance ; - une détermination (S_3) d'un CMS à partir des coupes minimales dudit arbre de défaillances ; - une estimation (S_4) de la défiabilité R(t) dudit système à un instant t en fonction du taux de défaillance λei de chaque évènement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.

Description

ESTIMATION DE LA FIABILITE D’UN SYSTEME INDUSTRIEL Domaine technique et art antérieur L’objet de la présente invention concerne le domaine de la sûreté et de la sécurité des systèmes industriels complexes réparables. L’objet la présente invention concerne plus particulièrement l’estimation de la sûreté et de la sécurité d’un système industriel complexe tel que par exemple une centrale nucléaire.
Un des objectifs de la présente invention est de fournir un outil permettant d’estimer avec une bonne précision et un minimum de temps de calcul la fiabilité d’un système industriel complexe réparable.
La présente invention trouve une application particulièrement avantageuse dans le domaine du nucléaire en permettant l’évaluation de la sûreté et de la sécurité d’une centrale nucléaire, notamment pour : l’optimisation de la conception de la centrale afin de décider du nombre de redondances à prévoir dans les systèmes de sûreté et de sécurité ; l’évaluation des niveaux de risque de défaillance de la centrale en cours d’exploitation («risk monitoring») afin de déterminer les situations dans lesquelles il faut ou non arrêter la centrale ; l’estimation de l’augmentation du risque liée à certaines situations exceptionnelles (comme par exemple l’indisponibilité longue durée d’un composant) afin de pouvoir obtenir de la part des autorités de sûreté compétentes les dérogations nécessaires pour continuer l’exploitation de la centrale.
On pourra comprendre ici que d’autres applications avantageuses dans le monde industriel pourront également être envisageables dans le cadre de la présente invention, ceci sans pour autant sortir du champ de la protection recherchée.
Ainsi, la présente invention pourra trouver une application avantageuse dans la modélisation des centres de contrôle aérien, des aéroports, des réseaux ferrés, ou encore dans la modélisation des raffineries. Bien évidemment, il s’agit ici d’exemples d’applications possibles parmi d’autres.
Le Demandeur précise ici que la présente invention concerne principalement les systèmes qui sont réparables. On notera que la présente invention n’a pas d’intérêt pour estimer la sûreté d’un système non-réparable comme par exemple la sûreté d'un avion en vol ou d’un satellite.
On connaît dans le domaine de la sûreté et de la sécurité des centrales nucléaires plusieurs méthodes probabilistes visant à déterminer la probabilité associée à un accident dans une centrale nucléaire (par exemple la fusion du cœur de réacteur).
Les méthodes de calcul permettant d’aboutir à un résultat fiable pour évaluer le risque associé à un tel accident doivent nécessairement prendre en considération un très grand nombre de composants pour être aussi proche que possible de la réalité.
Idéalement, ces méthodes requièrent une détermination de tous les scénarii de défaillances possibles à partir des composants du système à étudier.
On comprend aisément que ces méthodes impliquent très souvent un temps de calcul très long et très coûteux d’un point de vue des ressources informatiques.
Il existe différentes approches qui s’emploient toutes à réduire ces temps de calcul, ceci tant pour des raisons économiques que pour des raisons sécuritaires.
Classiquement, les méthodes probabilistes utilisées pour estimer la fiabilité d’une centrale nucléaire utilisent des modèles du type arbres de défaillances et arbres d’évènements.
Ces méthodes, également connues sous l’acronyme EPS (pour Etudes Probabiliste de Sûreté), reposent sur des hypothèses simplificatrices et des approximations pour réduire les temps de calcul.
Dans ces méthodes, la plupart des dépendances entre les composants d’un système n’est pas prise en considération dans l’estimation.
De la même façon, les temps de réparation associés à chacun des composants du système ne sont pas pris en considération.
Pour pallier ces approximations, on introduit la notion de temps de scrutation.
Ce temps de scrutation peut se définir comme suit :
Si, après un évènement initiateur faisant sortir la centrale nucléaire d’un état stable, la fusion du réacteur ne s’est pas produite avant ce temps de scrutation, il est alors communément convenu que la centrale reviendra rapidement à l’état initial. D’après un consensus international adopté par l’ensemble des acteurs de l’industrie du nucléaire, la valeur universellement retenue pour ce temps de scrutation est 24 heures.
Cette notion de temps de scrutation et la valeur retenue par la communauté scientifique peuvent paraître assez arbitraires et peu rigoureuses sur le plan mathématique.
On notera néanmoins que cette approche est la seule permettant jusqu’à présent de traiter efficacement les modèles prenant en considération plusieurs milliers de défaillances de composants.
En effet, grâce aux différentes approximations décrites ci-dessus, il devient possible de quantifier, en un temps raisonnable et sur un ordinateur personnel, un modèle présentant de l’ordre d’une centaine de milliers de scénarii de défaillance (ou coupes minimales).
Alternativement, on connaît également des méthodes dites dynamiques qui utilisent des modèles basés sur des fonctions booléennes et des processus de Markov.
Ces modèles sont connus sous l’acronyme BDMP (pour « Boolean logic Driven
Markov Processes »).
Contrairement aux méthodes EPS classiques, l’utilisation d’un BDMP permet de modéliser les dépendances entre les composants et de tenir compte des réparations.
Les BDMP constituent ainsi un outil de modélisation puissant pour l’analyse de la sûreté et de la sécurité des systèmes dynamiques.
Ils sont utilisés depuis plusieurs années pour évaluer la fiabilité, la disponibilité et la sûreté de systèmes complexes reconfigurables. A présent, on peut considérer que les BDMP peuvent servir de formalisme commun pour la modélisation conjointe de risques de sûreté et de sécurité. A titre d’exemple, ils ont déjà été appliqués pour l’étude de sûreté d’un pipeline industriel pour modéliser des scénarii de sûreté et de sécurité menant à un événement relatif à la sûreté.
Toutefois, ces méthodes sont pour l’instant inexploitables pour les systèmes présentant un trop grand nombre de composants, comme par exemple une centrale nucléaire.
Un BDMP avec n feuilles spécifie un modèle markovien (un processus de Markov à temps continu) présentant une taille d’environ 0(2n).
Alors que la taille du BDMP croît linéairement avec la taille du système à modéliser, la taille des données servant de support aux calculs augmente exponentiellement.
Une méthode efficace pour réaliser un calcul de fiabilité à partir d’un tel modèle BDMP peut consister en l’exploration et la quantification des séquences menant à la réalisation de l’évènement indésirable.
On peut imposer une insensibilité à l’ordre de grandeur des probabilités en ne retenant que les séquences prédominantes dont la probabilité est bien plus grande que celles de toutes les autres séquences.
Dans ce cas, on peut traiter un BDMP contenant typiquement 150 à 200 feuilles.
Un BDMP peut aussi être quantifié par simulation de Monté Carlo, mais lorsque les probabilités à évaluer sont trop petites, les temps de calcul deviennent inacceptables. C’est typiquement ce qui se produit dans le contexte des EPS.
Pour une application dans le domaine du nucléaire, les deux approches ci-dessus (par exploration de séquences et par simulation de Monté Carlo) ne peuvent être utilisées que pour certaines études et, en aucun cas, pour un système de grande taille tel que par exemple une centrale nucléaire ; ceci n’est pas entièrement satisfaisant.
Ainsi, le Demandeur soumet que l’état de la technique ne propose pas de solution entièrement satisfaisante permettant d’estimer rapidement et avec une bonne précision la sûreté d’un système dynamique réparable de grande taille.
Objet et résumé de la présente invention L’objet de la présente invention vise à améliorer la situation actuelle. A cet effet, l’objet de la présente invention propose une estimation de la fiabilité d’un système industriel comprenant une pluralité de composants réparables permettant de remédier aux différents inconvénients mentionnés ci-dessus.
Plus particulièrement, la présente invention concerne selon un premier aspect un procédé d’estimation de la fiabilité d’un système industriel comprenant une pluralité de composants réparables, dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont notamment un taux de défaillance λ, et un taux de réparation pb
Selon l’invention, le procédé est mis en œuvre par des moyens informatiques et comporte les étapes suivantes : - une étape de construction à partir des composants d’un modèle dynamique représentatif du système tenant compte des dépendances entre les composants ; - une étape de génération à partir du modèle construit d’un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d’un état normal à un état de défaillance ; - une étape de détermination d’un contenu minimal des séquences, dit CMS, à partir des coupes minimales de l’arbre de défaillances généré, ledit CMS comprenant une liste de produits minimaux c se présentant sous la forme d’une combinaison de composants et comprenant, pour chaque produit minimal, un unique évènement initiateur, noté ici ei, et m de défaillances en fonctionnement ou à la sollicitation, m étant ici un nombre entier positif ; - une étape d’estimation de la défiabilité R(t) dudit système à un instant t en fonction du taux de défaillance de chaque évènement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.
Selon des caractéristiques optionnelles de l’invention prises seules ou en combinaison : lors de l’étape de construction, le modèle est un modèle du type BDMP basé sur des fonctions booléennes et processus de Markov associés aux composants du système ; alternativement, lors de l’étape de construction, le modèle est un modèle du type EPS composé d’arbres d’événements et d’arbres de défaillances, l’estimation de la défiabilité R du système à un instant t est calculée selon la formule suivante :
- le procédé comprend une estimation de la probabilité de défaillance pei du système suite à un évènement initiateur ei en fonction de la somme de la défiabilité Rc à l’infini de chacun des k produits minimaux c appartenant au CMS et contenant l’évènement initiateur ei, ladite estimation étant calculée selon la formule suivante :
la somme de la défiabilité Rc à l’infini de chacun des k produits minimaux est estimée par l’espérance mathématique Ec du nombre de défaillances pour chaque produit minimal c ; l’espérance mathématique Ec(N(t)) du nombre de défaillances JV à un instant t pour chaque produit minimal c est calculée en fonction des intensités de défaillance inconditionnelles VKj(t) et des indisponibilités Q;(t) des composants, l’intensité de défaillance inconditionnelle VKj(t) étant telle que est le nombre moyen de défaillances d’un composant entre les instants t et t+Δί, et l’indisponibilité Q;(t) étant la probabilité qu’un composant soit dans un état de défaillance à un instant t ; l’intensité de défaillance inconditionnelle VKj(t) et l’indisponibilité Qi(t) de chacun des composants sont fonction des taux de défaillance λ, et de réparation μ; ; selon le type d'un événement de base, l’intensité de défaillance inconditionnelle Wi(t) et l’indisponibilité Çj(t) sont données par les expressions suivantes : événement initiateur :
Wt(t) = 0 défaillance en fonctionnement :
Wi(t)= Aj(l-Çj(t)) - l’espérance mathématique Ec(N(t)) du nombre de défaillances N dans l'intervalle de temps [0, t] pour chaque produit minimal c est calculée selon la formule suivante :
lorsque le produit minimal c ne contient qu’un évènement initiateur ei et des défaillances à la sollicitation, l’espérance mathématique Ec(N(t)) du nombre de défaillances N dans l'intervalle de temps [0, t] pour chaque produit minimal c est calculée selon la formule suivante :
dans laquelle yci est le taux de défaillance à la sollicitation d’un produit minimal c.
Corrélativement, l’objet de la présente invention concerne selon un deuxième aspect un programme d’ordinateur qui comporte des instructions adaptées pour l’exécution des étapes du procédé tel que décrit ci-dessus, ceci notamment lorsque ledit programme d’ordinateur est exécuté par au moins un processeur.
Un tel programme d’ordinateur peut utiliser n’importe quel langage de programmation, et être sous la forme d’un code source, d’un code objet, ou d’un code intermédiaire entre un code source et un code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.
De même, l’objet de la présente invention concerne selon un troisième aspect un support d’enregistrement lisible par un ordinateur sur lequel est enregistré un programme d’ordinateur comprenant des instructions pour l’exécution des étapes du procédé tel que décrit ci-dessus. D’une part, le support d’enregistrement peut être n'importe quel entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une mémoire ROM, par exemple un CD-ROM ou une mémoire ROM de type circuit microélectronique, ou encore un moyen d'enregistrement magnétique ou un disque dur. D'autre part, ce support d’enregistrement peut également être un support transmissible tel qu'un signal électrique ou optique, un tel signal pouvant être acheminé via un câble électrique ou optique, par radio classique ou hertzienne ou par faisceau laser autodirigé ou par d'autres moyens. Le programme d’ordinateur selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel le programme d’ordinateur est incorporé, le circuit intégré étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question. L’objet de la présente invention concerne selon un quatrième aspect l’utilisation du procédé d’estimation tel que décrit ci-dessus pour évaluer la sûreté et la sécurité d’une centrale nucléaire.
Enfin, l’objet de la présente invention concerne selon un cinquième aspect un système informatique d’estimation comprenant des moyens informatiques configurés pour la mise en œuvre des étapes du procédé tel que celui décrit ci-dessus.
Plus particulièrement, le système selon la présente invention est un système d’évaluation de la fiabilité d’un système industriel comprenant une pluralité de composants réparables dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont un taux de défaillance constant λ, et réparation μι.
Selon l’invention, le système comporte : - un module informatique de modélisation configuré pour construire un modèle dynamique du système tenant compte des dépendances entre les composants ; - un module informatique de génération configuré pour générer à partir dudit modèle construit un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d’un état normal à un état de défaillance ; - un module informatique de traitement configuré pour déterminer à partir des coupes minimales dudit arbre de défaillances un contenu minimal des séquences, dit CMS, comprenant une liste de produits minimaux c se présentant sous la forme d’une combinaison de composants et comprenant, pour chaque produit minimal, un unique évènement initiateur, noté ici ei, et un nombre m de défaillances en fonctionnement ou à la sollicitation, m étant ici un nombre entier positif ; - un module informatique d’estimation configuré pour estimer la défiabilité R(t) du système à un instant t en fonction du taux de défaillance de chaque évènement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.
Ainsi, l’objet de la présente invention, par ses différents aspects fonctionnels et structurels décrits ci-dessus, permet d’obtenir en un minimum de calculs une estimation fiable et précise de la fiabilité d’un système dynamique réparable comprenant une pluralité de composants réparables dépendants les uns des autres.
Brève description des figures annexées D’autres caractéristiques et avantages de la présente invention ressortiront de la description ci-dessous, en référence aux figures 1 à 12 annexées qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif et sur lesquelles : la figure 1 représente un graphe d’état (ou DF A) d’un système comprenant trois composants ; la figure 2 représente un BDMP décrivant la logique d’un autre système comprenant trois composants avec des redondances passives ; la figure 3 représente la chaîne de Markov correspondant à un BDMP conforme à celui de la figure 2 ; la figure 4 représente un exemple d’un BDMP décrivant la logique pour un système de pompage avec un secours ; la figure 5 représente un tableau comparatif dans lequel figurent les taux de défaillance équivalents (en h'1) calculés selon plusieurs méthodes pour un système de pompage avec un secours conforme à l’exemple de la figure 4 ; la figure 6 représente un exemple d’un BDMP décrivant la logique pour un système électrique avec un secours ; la figure 7 représente un tableau comparatif dans lequel figurent les taux de défaillance équivalents (en h'1) pour un système avec un secours pour des paramètres divers conforme à l’exemple de la figure 6 ; la figure 8 représente un exemple d’installation consistant en un système d’alimentation des jeux de barres 6.6 kV secourus d’une centrale nucléaire ; la figure 9 représente un exemple d’un BDMP décrivant la logique pour un système conforme à la figure 8 ; la figure 10 représente un tableau comparatif dans lequel figurent les taux de défaillance équivalents (en h'1) pour un système conforme à l’exemple de la figure 8; la figure 11 représente un organigramme reprenant les principales étapes d’un exemple de réalisation d’un procédé d’estimation selon la présente invention ; la figure 12 représente de façon schématique un exemple de système informatique pour estimer la fiabilité d’un système dynamique complexe et réparable comprenant plusieurs composants.
Description détaillée de l ’invention
Un procédé d’estimation ainsi que le système informatique d’estimation qui lui est associé vont maintenant être décrits dans les différents chapitres ci-dessous en faisant référence conjointement aux figures 1 à 12. A. Article scientifique de J.Collet et concept général de la présente invention :
La présente invention est une amélioration de la méthode proposée par J. Collet en 1994 dans son article intitulé “De l’étude de systèmes dynamiques par des méthodes booléennes”.
Dans cet article, l’auteur conjecture que, afin de calculer la fiabilité d’un système avec des redondances passives, une bonne approximation peut être de prendre en compte seulement un niveau de dépendance entre les composants.
En d’autres termes, celui-ci considère qu’il est possible de distinguer les défaillances des composants « normaux » (opérationnels la plupart du temps) et les défaillances des composants de secours (qui fonctionnent seulement en cas de défaillance des composants normaux).
En revanche, il n’est pas possible de faire la différence entre un composant de « secours primaire » (qui assure le fonctionnement du système après défaillance du composant normal correspondant) et un composant de « secours secondaire » (qui entre en fonctionnement seulement après une défaillance du composant de secours primaire).
En termes de probabilités, cela signifie qu’après la défaillance d’un composant normal (ci-après dénommée « événement initiateur »), toutes les défaillances de composants de secours, menant à une défaillance du système entier, sont considérées comme indépendantes.
Partant de ceci, deux approximations ont été suggérées par J. Collet :
Approximation 0 : Lors de la survenance d’un événement initiateur, tous les composants de remplacement sont supposés commencer leur fonctionnement (ou éventuellement refusent de démarrer) immédiatement après l’événement initiateur ; ensuite, ils peuvent défaillir et être réparés indépendamment des uns des autres jusqu’à ce que l’événement initiateur soit réparé.
Approximation 1 : Lorsqu’un événement initiateur est réparé, le système ne peut plus tomber en panne, quoi qu’il arrive.
La méthode proposée dans cet article datant de f994 repose donc sur une quantification des coupes minimales.
Le Demandeur considère que la prise en considération de ces coupes minimales ne conduit pas à des résultats totalement satisfaisants.
Le procédé selon la présente invention vise à améliorer l’estimation proposée par J. Collet en rapprochant ce modèle du système réel.
Ainsi, dans le cadre de la présente invention, le procédé proposé prend en compte les caractéristiques de l’ensemble des scenarii de défaillance pour améliorer la justesse des résultats.
Dans ce cas, une définition conventionnelle des coupes n’est pas suffisante pour mettre en place cette méthode.
En premier lieu, il est d’une importance primordiale de distinguer les événements initiateurs des autres événements de base.
Deuxièmement, une coupe minimale peut correspondre à une séquence ou plus du modèle dynamique. De ce fait, pour chaque événement de base dans une coupe minimale, il est nécessaire de trouver les autres événements de base, s’il y en a, qui sont nécessaires à son déclenchement.
La présente invention propose ainsi d’utiliser le même appareil mathématique que celui décrit ci-dessus en y introduisant en outre la notion « contenu minimal des séquences », ci-après dénommé CMS. B. Postulat de travail concernant les systèmes à étudier :
Il est considéré au préalable que le système à étudier est cohérent et est spécifié par un BDMP contenant des feuilles réparables, correspondant à des défaillances en fonctionnement et à la sollicitation (voir "A new formalism that combines advantages of fault-trees and Markov models: Boolean logic driven Markov Processes," Reliability Engineering and System Safety, vol. 82, pp. 149-163, 2003, M. BOUISSOU). L’avantage de partir d’un tel modèle est qu’il a une définition mathématique complète.
Habituellement, les systèmes étudiés sont très redondants. La plupart du temps, de tels systèmes fonctionnent parfaitement (tous les composants normaux fonctionnent), et de temps en temps un incident a lieu (défaillance d’un composant normal).
Alors, le fonctionnement du système repose sur les composants de secours.
Le temps moyen pour réparer un composant en panne (MTTR) est généralement bien inférieur au temps moyen avant sa défaillance, si bien que la probabilité qu'un composant en panne soit réparé avant qu’un autre composant, qui le remplace, tombe en panne est assez élevée.
Cependant, un accident (la défaillance du système entier) reste possible.
Toutes les trajectoires, ou défaillances successives de composants, ayant pour résultat la défaillance du système ou un retour à un état de fonctionnement parfait sont relativement rapides : leur durée est la somme de plusieurs MTTRs qui sont plutôt courts.
Si l’on considère un tel système sur un temps important t, la durée de ces trajectoires est négligeable par rapport au temps passé dans l’état parfait.
Alors, sa défiabilité R(t) à un instant t peut être estimée avec la formule suivante :
où A est la fréquence d’incidents (la somme des taux de toutes les transitions sortant de l’état initial) et p est la probabilité que les incidents mènent à un accident avant que le système ne retourne à un état parfait.
Cette formule correspond à ce que l’on appelle l’approximation SRI (« Sans Retour à l’état Initial »). C. Implémentation de la méthode I&AB : L’objet de la présente invention consiste donc en un procédé, dénommé “Initiator & AilBarriers” ou I&AB, qui est un perfectionnement de l’approche proposée par J. Collet.
Comme illustré en figure 12, le système industriel à étudier, noté INS, est donc un système industriel dynamique et complexe comprenant une pluralité de composants Si (i étant un nombre entier positif). Il peut s’agir par exemple d’une centrale nucléaire.
Les composants Si de ce système INS sont réparables, dépendants les uns des autres et présentent chacun des paramètres de fiabilité parmi les trois suivants : - un taux de défaillance en fonctionnement Xi, - un taux de défaillance à la sollicitation γ,, et - un taux de réparation μ;.
Les principales étapes du procédé selon l’invention sont décrites ci-dessous (voir également en figure 11) :
Lors d’une étape de construction S_l, on construit à partir des composants Si un modèle dynamique représentatif du système INS en tenant compte des dépendances entre les composants Si.
De préférence, pour réaliser cette étape de construction S_l, on combine à partir des composants Si des fonctions booléennes avec des processus de Markov pour construire un modèle du type BDMP.
Le Demandeur précise ici que la construction d’un tel BDMP peut être réalisée par un utilisateur à l’aide d’un module informatique 10.
Ce module peut être par exemple l’outil KB3. On comprendra ici que l’utilisation d’autres outils informatiques prévus à cet effet pourra également être envisagée pour construire ce BDMP.
Considérons dans un exemple que le système est composé de trois composants SI, S2, et S3, avec des taux de défaillance et de réparation constants (λ; = 10"Vh et gi = 0.1/h).
La logique de défaillance d’un tel système est décrite par un BDMP illustré en figure 2. A la lecture de cette figure 2, on peut comprendre que, dans un état dit parfait, le composant SI est opérationnel et les composants S2 et S3 sont en attente. Dès que le composant SI tombe en panne, le composant S2 commence à fonctionner ; il peut donc tomber en panne.
Lorsque les composants SI et S2 sont en panne, c’est le composant S3 qui les remplace. De la même façon, S3 peut lui aussi à son tour tomber en panne.
Il en résulte que la seule trajectoire possible résultant dans l’événement sommet est la suite des défaillances de SI, S2 et S3.
On notera ici qu’alternativement, il est également possible de construire un modèle classique du type EPS composé d’arbres d’événements et d’arbres de défaillances.
Le graphe d'états de la figure 3 décrit le comportement du système.
Dans cette figure, les caractères en gras sont utilisés pour des composants en fonctionnement et les caractères normaux sont utilisés pour des composants en attente.
De la même façon, les chiffres avec barres indiquent les composants en panne.
Dans cet exemple, il n'y a qu'un seul composant en fonctionnement dans chaque état.
Ce graphe de Markov prend en compte les réparations de tous les composants et, par conséquent, le fait que le système peut revenir à plusieurs reprises dans l'état parfait pendant le temps de la mission.
Lors d’une étape S_2, un module informatique de génération 20, encore appelé générateur d’arbres, génère à partir dudit modèle un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d’un état normal à un état de défaillance.
Ce module 20 permet ainsi de générer à partir du BDMP l’ensemble des scénarii de défaillances possibles pour le système.
La transformation d’un BDMP en un arbre de défaillances sera décrite en détails dans le chapitre « Transformation d’un BDMP en un arbre de défaillances ».
Le Demandeur précise ici qu’il est également prévu de générer cet arbre de défaillances à l’aide de l’outil informatique KB3. De la même façon, d’autres outils informatiques pourront également être envisagés.
Il est ensuite prévu une étape de détermination S_3 au cours de laquelle le module informatique de traitement 30 recherche à partir dudit arbre de défaillances un contenu minimal des séquences, dit CMS.
Le CMS comprend une liste de produits minimaux c se présentant sous la forme d’une combinaison de composants Si et comprenant, pour chaque produit minimal, un unique évènement initiateur ei et un nombre m de défaillances en fonctionnement ou à la sollicitation (m étant ici un nombre entier positif).
Dans l’exemple du système ayant trois composants avec des redondances passives, le CMS ne comprend qu’un seul produit minimal {S1////Ï, S2, S3}.
On notera ici que le suffixe « init » permet de distinguer l’initiateur, ici SI.
Le Demandeur soumet que les règles dans la base de connaissances du BDMP sont façonnées afin de créer un arbre de défaillances dont les coupes minimales correspondent au CMS du modèle dynamique.
Le chapitre « Contenu Minimal des Séquences ou CMS » ci-dessous donne une définition complète de ce qu’on entend ici par CMS au sens de la présente invention.
Le procédé prévoit ensuite une étape d’estimation S_4 de la défiabilité R(t) du système à un instant t sur la base des produits minimaux du CMS.
Cette estimation S_4 réalisée par un module informatique d’estimation 40 (programmé par exemple en Python) en fonction du taux de défaillance de chaque évènement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.
Les calculs d’estimation seront donnés plus en détails dans le chapitre « Technique de calcul dans le cas général ».
On notera que, pour une meilleure efficacité des calculs, il est souhaitable de combiner les étapes S_3 et S_4 au sein d’un algorithme unique de recherche et de quantification des produits minimaux. Il est ainsi possible d’éliminer les produits minimaux de probabilité inférieure à un seuil que l’on se fixe, ce qui fait gagner du temps de calcul et de la place en mémoire. D. Transformation d’un BDMP en un arbre de défaillances :
Considérons un système dynamique de composants réparables.
On sait que certains des composants du système peuvent avoir des défaillances en fonctionnement, le reste à la sollicitation.
Le BDMP correspondant comprend donc les types de feuilles suivants : 1) Feuille de type F associée à un composant qui peut tomber en panne avec un taux λ pendant son fonctionnement et être réparé avec un taux μ. 2) Feuille de type / associée à un composant qui peut tomber en panne avec une probabilité de défaillance instantanée à la sollicitation γ et être réparé avec un taux μ.
Chaque événement initiateur du BDMP original est associé à deux feuilles caractérisées par les paramètres suivants:
Feuille £μ γ = 1 λ = Ο, μ = μ*
Feuille £μ γ = Ο λ = λ; μ = μ*
Une telle attribution de deux feuilles à chaque événement initiateur permet de traiter le même événement de base en tant qu’initiateur ou bien en tant que défaillance en fonctionnement ordinaire.
Ainsi, la structure de sous arbre pour remplacer un événement initiateur doit contenir les deux types de feuilles.
En outre, cette structure doit répondre à deux conditions : 1) un produit minimal ne peut contenir qu'un seul événement initiateur ; 2) un produit minimal ne peut pas contenir deux feuilles des types E et F, liées au même événement initiateur.
Ces deux conditions sont satisfaites dans la sous-arborescence suivante : ev. init. i -» (Fj ET NON ev. init. sauf i) OU (Fj ET ev. init. sauf i) où ev. init. sauf i = E1 OU E2 OU ... OU Ei_± OU Ei+1 OU ... OU Ek
Les autres composants du système, non liés à des événements initiateurs, restent inchangés (feuilles de type F ou 1). E. Définitions : Contenu Minimal des Séquences ou CMS : Définition 1: Formellement, un automate fini déterministe ou DFA (pour « Deterministic Finite Automaton ») est un quintuple (S, Σ, Ί\ s, A) dont les éléments sont: • un ensemble d’états (F), • un alphabet (Σ), • une fonction de transition (T: S χ Σ —> S), • un état de départ (s e S), • un ensemble d’états acceptants (A a S). L’automate DFA permet de décider pour toute suite de symboles pris dans l’alphabet si cette suite est acceptable ou non (on dit aussi : si la suite de symboles appartient ou non au langage défini par l’automate).
Dans l’invention, ce concept est appliqué à la recherche de séquences menant un système de son état initial à un état cible.
Avec les notations données ci-dessus, nous pouvons associer S à l’ensemble des états du système, les transitions T aux évènements (panne, réparation, etc.) qui constituent l’alphabet Σ, et A à l’état cible du système.
Dans le cadre de la présente invention, nous nous intéressons aux séquences qui mènent à la première entrée dans un état cible.
Le DFA est donc ici défini pour accepter des séquences dont la dernière transition fait entrer le système dans son état cible pour la première fois. Définition 2 : Une séquence sans boucle est une séquence qui ne passe pas deux fois par le même état du DFA. Dans un DFA, le nombre de séquences sans boucle est fini. Définition 3 : Une séquence minimale est une séquence acceptable telle que si l’on retire un sous-ensemble non vide quelconque des transitions de la séquence, on obtient une séquence refusée par le DFA.
Les séquences minimales possèdent deux propriétés évidentes : 1) toute séquence minimale est sans boucle, et 2) toute séquence acceptée par le DFA contient au moins une séquence minimale. Définition 4 : Soit xt une variable Booléenne associée au symbole i de l’alphabet Σ du DFA G. La projection de la séquence w (acceptée par le G) sur Σ est la fonction Booléenne :
Cette fonction est un moyen de représenter le sous-ensemble des symboles de Σ qui figurent dans la séquence w. Elle indique si une transition apparaît dans w ou non, mais pas combien de fois.
Il est à noter que les séquences ne différant que par l'ordre selon lequel les transitions se succèdent ont la même projection.
Sur la base des notions introduites ci-dessus, on peut formuler la définition d'un contenu minimal des séquences. Définition 5 : Le contenu minimal des séquences ou CMS du DF A G est la fonction Booléenne définie comme la somme des projections des séquences minimales ; par conséquent, il prend la forme :
où SG est l’ensemble des séquences minimales du DF A.
Cette fonction est monotone et peut donc être représentée de manière canonique par une somme de produits minimaux (l’équivalent de ce que l’on appelle les coupes minimales pour un arbre de défaillances).
Considérons l’exemple de la figure 1 dans laquelle on dispose d’un système avec deux composants en parallèle, 1 et 2, alimentés par une alimentation électrique commune c.
Dans cette figure 1, / et rl sont la défaillance et la réparation du composant i, respectivement, et fc est la défaillance de la source de courant.
Dans cet exemple, on a donc trois séquences minimales : (fc), (/1,/2), et (/2,/1), les deux dernières ayant la même projection.
Ici, le contenu minimal des séquences ou CMS est : fc + (/1-/2) + (/2 · fi) =fc + (fi - /2)
Le Demandeur soumet que les définitions données ci-dessus figurent dans l’article « Détermination efficace de scenarii minimaux de défaillance pour des systèmes séquentiels » par M. BOUISSOU, 15ème colloque de fiabilité et maintenabilité, Lille, 2006. F. Technique de calcul dans le cas général
Dans ce chapitre, nous allons établir une formule pour la défiabilité R(t) d'un système dans le cas général, quand il contient des composants avec des défaillances aussi bien en fonctionnement qu’à la sollicitation.
Supposons ici qu'il y a n événements initiateurs ei qui peuvent faire sortir le système de son état parfait.
Alors, selon la formule ci-dessus, la défiabilité R(t) du système à un instant t peut être estimée selon la formule suivante :
où Xei est le taux de défaillance de l’événement initiateur ei et pei est la somme des probabilités obtenues pour les k produits minimaux lui correspondant.
Dans les calculs suivants, on peut distinguer deux intervalles de temps : - le premier intervalle de temps correspond à la mission : c’est l’instant t. - le deuxième intervalle de temps est infini (noté oo) et commence une fois que l'événement initiateur ei a eu lieu.
Ainsi, la probabilité que tous les composants dans un produit minimal c tombent en panne à l'intérieur de l'intervalle de temps [0, oo) est la défiabilité à l’infini d'un système parallèle fait de ces composants.
On notera cette défiabilité Æc(oo).
Il est tout à fait possible d’estimer la probabilité pei en fonction de la somme des défiabilités à l’infini Rc(oo) des k produits minimaux :
Considérons d'abord un cas ou un proaun minimal ne contient pas de défaillance à la sollicitation.
Les caractéristiques de fiabilité d'un événement de base sont les suivantes : l’indisponibilité Ç(t) est la probabilité qu’un composant soit dans un état de défaillance à un instant t ; l’intensité de défaillance inconditionnelle W(t) est telle que W(t)At est le nombre moyen de défaillances d'un composant entre t et t + Δt.
Selon le type d'un événement de base, ces quantités Ç(t) et W(t) sont données par les expressions suivantes :
Evénement initiateur : <?(0 = βχρ(-μί) W(t) = 0 Défaillance en fonctionnement :
Dans la mesure où l’on considère qu’il n'y a pas de défaillance à la sollicitation, on a :
équation (1) où le nombre moyen de défaillances du produit minimal c contenant (m + 1) événements de base dans l'intervalle [0, t] prend la forme suivante en termes d’indisponibilités et d'intensités de défaillance inconditionnelle :
Ainsi, la probabilité pei pour passer de l'état où le système est juste après l'événement initiateur ei à l'état de défaillance est estimée par :
On peut également introduire la notion de « taux de défaillance équivalent », noté Xeq, qui est une quantité souvent utilisée dans les EPS, on a alors :
Ensuite, la défiabilité R(t) du système à l’instant t est déterminée comme suit :
Intéressons-nous maintenant au cas général, quand un système contient à la fois des défaillances en fonctionnement et à la sollicitation.
Il est maintenant supposé qu'un composant tombé en panne à la sollicitation peut être réparé une fois. Après une telle réparation, le système passe dans un état absorbant.
Outre un évènement initiateur et m défaillances en fonctionnement, le produit minimal c contient également l événements de base correspondant à des défaillances à la sollicitation.
La probabilité Prc que le produit minimal c conduise à l'événement sommet est donnée par :
La probabilité que l'événement sommet soit vrai étant donné qu’au moins l'un des l composants fonctionne est égale à zéro, donc seul le premier terme reste.
La défiabilité pour le produit minimal c peut être estimée à partir de Y équation (1) ci-dessus, où l’espérance mathématique Ec du nombre de défaillances N(t) à un instant t prend la forme suivante :
Reprenons maintenant l’exemple décrit précédemment avec un système comprenant trois composants SI, S2 et S3 avec des redondances passives pour appliquer la défiabilité du système.
Pour mémoire, dans cet exemple, la défaillance du composant SI est le seul événement initiateur possible.
Si l’on reprend la formule pour l’estimation de la défiabilité R(t) d’un système à un instant t, on a :
où le paramètre Λ est ici égal à λι et p est la probabilité qu’à partir de l’état (SI, S2, S3) à t = 0 le système passe à l'état de défaillance (SI, S2, S3) dans l'intervalle [0, oo).
Si le sommet de l'arbre de défaillance correspondant prend la valeur VRAI au temps t, cela signifie que le composant SI n’est pas encore réparé à cet instant et que les composants 52 et S3 sont déjà tombés en panne.
Pour obtenir p dans cet exemple, il suffit ici de déterminer la défiabilité /?i(co) pour un système constitué de trois composants indépendants avec les caractéristiques suivantes : SI: Y = 1 λ = 0 μ = μι S2: γ = 0 λ = λ2 μ = μ2 S3: γ = 0 λ = λ3 μ = μ3
On suppose que l'événement initiateur (une défaillance de SI) se produit à t = 0. L'évolution temporelle du système ne dépend uniquement que des composants S2 et 53 et de la réparation de SI.
Dans cet exemple, pour éviter un calcul coûteux basé sur une chaîne de Markov, nous utilisons l’approximation de Murchland :
Le premier terme de l’équation ci-dessus est nul parce qu'il n'y a pas de défaillance à la sollicitation de S2 ou S3. L’espérance mathématique du nombre des défaillances N(t) du système dans l'intervalle de temps [0, t] est donnée par :
où Aj est le taux de défaillance du composant i et Pj représente la probabilité d'un état critique, i.e. un état à partir duquel une seule transition peut mener à l'événement indésirable. L'indépendance des événements de base après un événement initiateur implique que, dans de tels états, tous les composants sauf un sont en panne.
La sommation est effectuée sur tous les éléments dans le seul produit minimal c, à l'exclusion de l'initiateur.
Dans cet exemple, les états d'intérêt sont (SI, S2, S3) et (SI, S2, S3).
On a donc :
où Qi est l'indisponibilité du composant i et Qi(x) = exp(—μχχ) est l'indisponibilité de l’initiateur.
Dans cet exemple, la défiabilité du système est donc estimée selon la formule suivante :
G. Mise en œuvre du calcul de la défiabilité du système
Les principales étapes pour le calcul de la défiabilité du système sont les suivantes : 1- Lecture des fichiers d'entrée.
Il y a deux fichiers d'entrée. L'un d'eux contient les noms et les paramètres de fiabilité de tous les composants dans le système étudié. Cette information est supposée être stockée sous la forme de chaînes de caractères au format suivant : law composant GLM 0.0 1.0E-4 0.1
Les trois derniers éléments d'une telle chaîne sont les valeurs de la probabilité à la sollicitation γ, du taux de défaillance λ, et du taux de réparation μ. Le deuxième fichier d'entrée stocke le contenu minimal des séquences. La liste de produits minimaux (un par ligne) se présente selon le format suivant : composant_ 1 composant_2,... ^composant_n 2- Affectation des valeurs de paramètres à chaque élément d'un produit minimal, avec une discrimination entre l'événement initiateur ei, les défaillances en fonctionnement, et les défaillances à la sollicitation. 3- Calcul de l’espérance mathématique £'c(iV(t))du nombre de défaillances A(t)pour chaque produit minimal c. 4- Calcul de la défiabilité R(t) du système à un instant t et du taux de défaillance équivalent Xeq.
On notera ici que ces différentes phases pour le calcul de la défiabilité du système sont mises en œuvre par le module informatique 40.
Pour calculer la défiabilité du système, il existe plusieurs approches dont la principale différence réside dans la façon de calculer les probabilités pei utilisées dans l’approximation :
Selon une première approche, on utilise une intégration numérique de l’espérance mathématique du nombre de défaillances qui est réalisée en utilisant la méthode d’intégration par trapèzes. L’avantage de cette méthode est qu’elle permet éventuellement de limiter la borne d’intégration à la valeur que l’on souhaite. Cela permet de réintroduire si nécessaire la notion de temps de scrutation en plus de la prise en compte des réparations.
On a donc :
Une deuxième approche tire avantage des expressions analytiques données dans le chapitre ci-dessous. H. Formules analytiques pour l’espérance mathématique du nombre de défaillances pour un produit minimal :
Considérons d'abord le cas où le produit minimal c est composé d’un événement initiateur ei et de m défaillances en fonctionnement.
Alors, en utilisant la définition de l'intensité de défaillances inconditionnelle W(t), on peut réécrire la formule ci-dessus comme suit :
Dans la suite, pour des raisons de compréhension, nous omettons la notation « c », en sous-entendant que l’espérance mathématique £c(lV(t))du nombre de défaillances A(t)est appliquée au produit minimal c, et nous procédons à une intégration jusqu’à l'infini, ainsi qu’il est dit dans la méthode I&amp;AB.
Nous obtenons alors :
dans laquelle t}· est égal à la somme des taux de défaillance et de réparation.
Chaque intégrant comprend un produit de fonctions qui peut être représenté de la façon suivante :
Par conséquent, après l'intégration de 0 à l'infini, on obtient une série alternée dont chaque terme, à son tour, est une somme de fractions. Par exemple, la deuxième intégrale conduit à
La première intégrale est calculée de la même façon, la seule différence est que l'on doit exclure l’élément courant i du produit.
Supposons maintenant que le produit minimal c contient à la fois des défaillances en fonctionnement et des défaillances à la sollicitation (en nombre Z).
Rappelons que l’espérance mathématique du nombre de défaillances dans ce cas est décrite par la formule :
Afin d'obtenir l'expression analytique correspondante, on remplace \\.ie dans Y équation (2) par :
et de prendre en compte le produit des probabilités instantanées
Ces formules analytiques peuvent sembler complexes ; le demandeur soumet toutefois qu’elles permettent de réduire considérablement le temps de traitement par rapport à une intégration numérique, tout en améliorant la précision.
En tant qu’une illustration, retournons à l’exemple du système comprenant trois composants dans lequel il n'y a qu'un seul événement initiateur ei et un seul produit minimal qui lui correspond.
Dans cet exemple, nous pouvons immédiatement écrire la formule analytique pour le taux de défaillance équivalent Xeq :
Un tel calcul est très facile à réaliser. I. Exemples de mise en œuvre
Dans la suite, nous considérons plusieurs exemples de complexité croissante.
Dans ces exemples, le taux de défaillance de tous les composants est égal à ÎO-4!!"1 ; les valeurs des probabilités de défaillance à la sollicitation et des taux de réparation sont variées. 1) Exemple 1 - Système de pompage avec une voie de secours :
Ce premier exemple permet de mettre en évidence l'importance de la prise en compte des gâchettes dans la génération du CMS.
Dans cet exemple, on suppose qu'un système de pompage comprend une pompe principale Cl et une voie de secours avec deux pompes en parallèle, C2 et C3, reliées en série à une pompe C4 qui fonctionne seulement à une température déterminée.
Dans cet exemple, on suppose également que l'une des pompes en parallèle (par exemple C3) fournit l'eau de refroidissement à C4. De ce fait, une défaillance de C3 provoque immédiatement une défaillance de C4 (supposée non-réparable) en raison de l’absence de refroidissement.
Le BDMP correspondant à un tel système est illustré en figure 4.
Selon la méthode I&amp;AB présentée dans le cadre de la présente demande, les défaillances de tous les composants après un événement initiateur ei sont indépendantes, ce qui est équivalent à un modèle sans la gâchette inférieure.
Les coupes minimales de ce BDMP, obtenues en tenant compte uniquement de la structure de l’arbre, sans les gâchettes sont donc : {Cljnit, C2 JailF, C3 JailF}, {Cl init, C4 JailF}, et {Cl init, C4 lack of coolingjaill}
Le suffixe « init » permet de distinguer clairement l'événement initiateur des autres défaillances (« failF » or « faill »).
Cependant, l’arbre de défaillances généré prend la gâchette inférieure en compte.
Le CMS dudit modèle prend donc la forme suivante : {Cl init, C2 JailF, C3 JailF} + {Cl init, C4 JailF} + {Cl init, C3 JailF, C4 lack of coolingjaill}.
La présence de l'élément « C3 JailF » dans le troisième produit minimal est simplement une conséquence du fait que, dans notre modèle, une défaillance de C4 par suite de l’absence de refroidissement n’est possible qu’après une défaillance de C3.
Comparons maintenant le taux de défaillance équivalent obtenu en utilisant les coupes minimales et le contenu minimal des séquences dans le cadre de la méthode I&amp;AB à celui calculé par une méthode classique.
Dans les calculs, la probabilité de défaillance à la sollicitation pour la feuille « C4Jack of cooling » est égale à 1 afin de modéliser une défaillance immédiate de C4 après la perte de refroidissement. Dans le cas de l'utilisation des coupes minimales, {Cl init, C4Jack of coolingjaill} comprend comme seul événement de base (en dehors de l’initiateur) - la défaillance à la sollicitation de « C4 lack of cooling ».
On obtient donc :
et Xeq est principalement déterminé par le taux de défaillance de l'événement initiateur
ce qui crée une grande différence avec la réalité dans les résultats.
Au contraire, l'application des produits minimaux des séquences dans la méthode I&amp;AB nous permet d’obtenir des résultats de calculs plus proches de la réalité.
Les résultats de ces calculs figurent dans le tableau de la figure 5. 2) Exemple 2 - Système électrique avec une voie de secours :
Considérons maintenant un deuxième exemple avec un système d'alimentation pour un jeu de barres électrique.
Au début, le système est alimenté par un réseau (la voie normale) connecté par l'intermédiaire d'un disjoncteur CB1. Une alimentation auxiliaire du jeu de barre est fournie par un générateur diesel (la voie de secours) connecté par l'intermédiaire d'un disjoncteur CB2.
Si le réseau tombe en panne, une ouverture automatique de CB1 et une fermeture automatique subséquente de CB2 sont lancées. Le générateur diesel fournit le jeu de barres jusqu'à ce qu'il tombe en panne ou que le réseau soit réparé.
Des défaillances simultanées du réseau et du générateur diesel aboutissent à l’événement indésirable.
Le BDMP pour ce système électrique est représenté sur la figure 6.
Une possible ouverture intempestive de CB1 est aussi incluse dans la voie normale.
Les autres incidents éventuels liés à la commutation automatique (un refus d’ouverture de CB1 et un refus de fermeture de CB2) sont compris dans la voie de secours.
Le générateur diesel présente deux modes de défaillance : à la sollicitation et en fonctionnement.
Physiquement, la tentative d’ouverture de CB1 est suivie par la tentative de fermeture de CB2, qui elle-même est suivie par la tentative de démarrage du générateur diesel.
Par ailleurs, une ouverture intempestive de CB1 exclut la possibilité d’un refus de son ouverture ; ce fait est modélisé par une gâchette inversée entre CBl_IO et CBl_RO.
Dans la méthode I&amp;AB, cette relation est prise en compte par l'élimination du produit minimal {CB1 10 init, CB1 RO Jaill}.
Le BDMP décrivant la logique d’un tel système est représenté en figure 6.
Le taux de défaillance équivalent du système pour différentes valeurs de paramètres μ et γ est présenté dans le tableau de la figure 7.
Les mêmes valeurs de μ et γ sont prises pour tous les composants et ceux avec des défaillances à la sollicitation, respectivement.
Les résultats obtenus avec les méthodes de quantification classiques pour le modèle dynamique sont en bon accord avec ceux obtenus avec I&amp;AB-a pour le modèle intermédiaire, notamment dans le cas le plus plausible (μ = 0.1 h'1 et γ = 104).
La plus grande différence relative entre les résultats est 14%. 3) Exemple 3 - Alimentation 6.6 kVsecourue :
Ce troisième exemple concerne un système d'alimentation des jeux de barres 6.6 kV secourus dans une centrale nucléaire.
Un tel système est illustré en figure 8.
Dans un tel système, les jeux de barres jouent un rôle crucial dans la sûreté de la centrale, car ils alimentent des systèmes de contrôle-commande et des composants nécessaires pour refroidir le cœur. Donc, ils sont alimentés avec beaucoup de redondance.
Dans une situation normale, ils prélèvent une certaine puissance de la sortie de la centrale par le transformateur de soutirage TS.
Lorsque la centrale ne produit pas, c’est le réseau qui alimente le système par la ligne principale.
En cas de perte de la ligne principale, une autre prend le relais.
Lorsque que, à partir de l’état normal, une perte du réseau se produit, une autoalimentation de la centrale peut être essayée, grâce à un fonctionnement dit « en îlotage ».
Enfin, en tant que dernier recours, deux générateurs diesel sont disponibles.
Ce système est à la fois reconfigurable et réparable, avec un risque de défaillance des reconfigurations (le refus d’ouverture ou de fermeture des disjoncteurs).
Le BDMP pour un modèle simplifié de ce système est donné dans la figure 9. L'événement indésirable de l'arbre de défaillance est une perte simultanée des jeux de barres LH A et LHB.
Chacun des quatre jeux de barres LGD, LGF, LHA et LHB, pris en compte dans ce modèle, peut tomber en panne à cause d'un court-circuit ou cesser d'être alimenté.
Il y a deux façons différentes pour les alimenter, numérotées 1 et 2. C’est seulement lorsque l'alimentation 1 n’est pas disponible que les disjoncteurs basculent vers l'alimentation 2.
Le chemin normal qui alimente un jeu de barres X peut être perdu à la suite d'une ouverture intempestive du disjoncteur de ce chemin (l'événement de base noté « 10 CB XI ») ; son secours peut être perdu soit pendant une reconfiguration parce que le disjoncteur correspondant refuse de se fermer (l’événement de base noté « RC CB X2 »), soit plus tard par son ouverture intempestive (l’événement de base noté « IO CB X2 »).
Chaque diesel peut tomber en panne soit au démarrage soit pendant son fonctionnement.
Des défaillances de cause commune sont également modélisées, à la fois au démarrage et pendant le fonctionnement.
Dans le cas d'un démarrage simultané des deux générateurs diesel, plusieurs événements de base changent de mode simultanément.
Dans la figure 9, les liens en pointillés sont utilisés pour imposer l'ordre de prise en compte des événements.
La feuille « demand CCF DG » est considérée au début.
Si l'événement correspondant ne passe pas à vrai, des défaillances indépendantes à la sollicitation des générateurs diesel sont possibles.
Enfin, dans une voie où tout s’est bien passé, la fermeture du disjoncteur est tentée.
Dans ce modèle, chaque composant a ses propres valeurs de paramètres.
Deux modes de défaillance du réseau, correspondant à des temps de réparation court et long, sont pris en considération.
Avec les défaillances de longue durée du réseau, les défaillances à la sollicitation jouent un rôle négligeable par rapport aux défaillances en fonctionnement.
Le taux de défaillance équivalent du système est donné dans le tableau de la figure 10 selon que les défaillances à long terme sont conservées dans le modèle ou non.
Les résultats obtenus avec les méthodes de quantification classiques et avec la méthode I&amp;AB sont en bon accord.
En résumé :
Comme expliqué dans le chapitre A ci-dessus, l’objet de l’invention se présente comme un perfectionnement de la méthode proposée par l’article "de l'étude de systèmes dynamiques par des méthodes booléennes" rédigé par J. Collet.
Les perfectionnements apportés par la présente invention visent notamment les aspects suivants : 1) la prise en compte des défaillances à la sollicitation; 2) l’utilisation du CMS au lieu des coupes minimales; 3) la modélisation des défaillances de cause commune; 4) l’établissement des formules analytiques pour l’espérance mathématique du nombre de défaillances d’un produit minimal.
La méthode I&amp;AB proposée ici dans le cadre de la présente invention permet ainsi d'élargir le nombre des systèmes qui peuvent être traités : des systèmes complexes avec plusieurs milliers de composants peuvent ainsi être étudiés.
Les exemples traités dans le chapitre I mettent en évidence que les résultats obtenus par la méthode proposée ici dans le cadre de l’invention sont très proches de ceux obtenus pour un modèle dynamique.
Par ailleurs, l’utilisation des expressions analytiques définies dans le chapitre H permet de réduire de façon significative les temps de traitement et de calcul et d'en améliorer la précision.
Du point de vue qualitatif, il est intéressant pour les analystes d'obtenir un ensemble de produits minimaux avec des événements initiateurs identifiés plutôt qu'un plus grand nombre de séquences, comme cela est le cas quand un BDMP est quantifié avec les méthodes classiques.
Un domaine d'application privilégié de la méthode I&amp;AB concerne l’estimation de la sûreté et de la sécurité des centrales nucléaires. Comme déjà expliqué précédemment, d’autres domaines d’application pourront également être envisagés dans le cadre de la présente invention.
Le demandeur soumet que la méthode I&amp;AB proposée dans le cadre de la présente invention apporte une précision des résultats améliorés notamment grâce au fait que le temps de scrutation n’est plus nécessaire par suite de la possibilité de prendre en compte des temps de réparation réels.
Il devra être observé que cette description détaillée porte sur un exemple de réalisation particulier de la présente invention, mais qu’en aucun cas cette description ne revêt un quelconque caractère limitatif à l’objet de l’invention ; bien au contraire, elle a pour objectif d’ôter toute éventuelle imprécision ou toute mauvaise interprétation des revendications qui suivent.
Il devra également être observé que les signes de références mis entre parenthèses dans les revendications qui suivent ne présentent en aucun cas un caractère limitatif ; ces signes ont pour seul but d’améliorer l’intelligibilité et la compréhension des revendications qui suivent ainsi que la portée de la protection recherchée.

Claims (17)

  1. REVENDICATIONS E Procédé d’estimation de la fiabilité d’un système industriel (INS) comprenant une pluralité de composants (Si) réparables, dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont notamment un taux de défaillance λί et un taux de réparation μι, ledit procédé mis en œuvre par des moyens informatiques comportant les étapes suivantes : - une étape de construction (S_l) à partir desdits composants (Si) d’un modèle dynamique du système (INS) en tenant compte des dépendances entre lesdits composants (Si) ; - une étape de génération (S_2) à partir dudit modèle d’un unique arbre de défaillances représentatif des scénarii de défaillance des composants (Si) pouvant conduire ledit système d’un état normal à un état de défaillance ; - une étape de détermination (S_3) d’un contenu minimal des séquences, dit CMS, à partir des coupes minimales dudit arbre de défaillances, ledit CMS comprenant une liste de produits minimaux c se présentant sous la forme d’une combinaison de composants (Si) et comprenant, pour chaque produit minimal, un unique évènement initiateur, noté ici ei, et m défaillances en fonctionnement ou à la sollicitation, m étant un nombre entier positif ; - une étape d’estimation (S_4) de la défiabilité R(t) dudit système à un instant t en fonction du taux de défaillance λα de chaque évènement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.
  2. 2. Procédé selon la revendication 1, dans lequel, lors de l’étape de construction (S_l), le modèle est un modèle du type BDMP basé sur des fonctions booléennes et processus de Markov associés aux composants (Si) du système.
  3. 3. Procédé selon la revendication 1, dans lequel, lors de l’étape de construction (S_l), le modèle est un modèle du type EPS composé d’arbres d’événements et d’arbres de défaillances.
  4. 4. Procédé selon l’une quelconque des revendications 1 à 3, dans lequel l’estimation de la défiabilité R(t) dudit système à un instant t est calculée selon la formule suivante :
  5. 5. Procédé selon l’une quelconque des revendications 1 à 4, comprenant une estimation de la probabilité de défaillance pei dudit système suite à un évènement initiateur ei en fonction de la somme de la défiabilité Rc(oo) à l’infini de chacun des k produits minimaux c appartenant au CMS et contenant ledit évènement initiateur ei, ladite estimation étant calculée selon la formule suivante :
  6. 6. Procédé selon la revendication 5, dans lequel la somme de la défiabilité Æc(oo) à l’infini de chacun des k produits minimaux est estimée par l’espérance mathématique Ec du nombre de défaillances N pour chaque produit minimal c.
  7. 7. Procédé selon la revendication 6, dans lequel l’espérance mathématique Ec du nombre de défaillances N pour chaque produit minimal c est déterminée en fonction des intensités de défaillance inconditionnelles Wj(t) et des indisponibilités Qi(t) des composants (Si), l’intensité de défaillance inconditionnelle étant telle que est le nombre moyen de défaillances d’un composant (Si) entre les instants t et t+Δί, et l’indisponibilité Qi(t) étant la probabilité qu’un composant (Si) soit dans un état de défaillance à un instant t.
  8. 8. Procédé selon la revendication 7, dans lequel l’intensité de défaillance inconditionnelle Wi(t) et l’indisponibilité Qi(t) de chacun des composants (Si) sont fonction desdits taux de défaillance λ* et de réparation μι.
  9. 9. Procédé selon la revendication 7 ou 8, dans lequel, selon le type d'un événement de base, l’intensité de défaillance inconditionnelle VKj(t) et l’indisponibilité Qi(t) sont données par les expressions suivantes : événement initiateur :
    Wt(t) = 0 défaillance en fonctionnement :
    Wi(t)= Àj(l - Qi(t))
  10. 10. Procédé selon l’une quelconque des revendications 7 à 9, dans lequel l’espérance mathématique Ec(N(t)) du nombre de défaillances N dans l'intervalle de temps [0, t] pour chaque produit minimal c est calculée selon la formule suivante :
    dans laquelle / est le nombre de défaillances à la sollicitation, et yCti est le taux de défaillance à la sollicitation du composant (Si).
  11. 11. Procédé selon l’une quelconque des revendications 7 à 9, dans lequel, lorsque le produit minimal c ne contient qu’un évènement initiateur ei et / défaillances à la sollicitation, l’espérance mathématique Ec(N(t)) du nombre de défaillances N dans l'intervalle de temps [0, t] pour ledit produit minimal c est calculée selon la formule suivante :
    dans laquelle yCfi est le taux de défaillance à la sollicitation du composant (Si).
  12. 12. Procédé selon l’une quelconque des revendications 7 à 11, dans lequel l’espérance mathématique Ec(n(œ)) du nombre de défaillances N dans l'intervalle de temps [0,oo) pour un produit minimal c est calculée selon la formule suivante :
    dans laquelle r;· est égal à la somme des taux de défaillance et de réparation du composant (Sj) avec les formules analytiques suivantes :
  13. 13. Procédé selon l’une quelconque dés revendications précédentes, dans lequel le système industriel est une centrale nucléaire.
  14. 14. Programme d’ordinateur comportant des instructions adaptées pour l’exécution des étapes du procédé selon l’une quelconque des revendications 1 à 13 lorsque ledit programme d’ordinateur est exécuté par au moins un processeur.
  15. 15. Support d’enregistrement lisible par un ordinateur sur lequel est enregistré un programme d’ordinateur comprenant des instructions pour l’exécution des étapes du procédé selon l’une quelconque des revendications 1 à 13.
  16. 16. Système informatique (100) d’estimation de la fiabilité d’un système industriel (INS) comprenant une pluralité de composants (Si) réparables dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont notamment un taux de défaillance constant λί et réparation μ;, ledit système (100) comportant : - un module informatique de modélisation (10) configuré pour construire un modèle dynamique du système tenant compte des dépendances entre les composants (SO ; - une module informatique de génération (20) configuré pour générer à partir dudit modèle construit un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d’un état normal à un état de défaillance ; - un module informatique de traitement (30) configuré pour déterminer à partir des coupes minimales dudit arbre de défaillances un contenu minimal des séquences, dit CMS, comprenant une liste de produits minimaux c se présentant sous la forme d’une combinaison de composants (S,) et comprenant, pour chaque produit minimal, un unique évènement initiateur, noté ici ei, et m défaillances en fonctionnement ou à la sollicitation, m étant un nombre entier positif ; - un module informatique d’estimation (40) configuré pour estimer la défîabilité R(t) dudit système (INS) à un instant t en fonction du taux de défaillance Àei de chaque évènement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.
  17. 17. Système selon la revendication 16 comprenant des moyens informatiques configurés pour la mise en œuvre des étapes du procédé selon l’une quelconque des revendications 2 à 13.
FR1561819A 2015-12-03 2015-12-03 Estimation de la fiabilite d'un systeme industriel Pending FR3044787A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR1561819A FR3044787A1 (fr) 2015-12-03 2015-12-03 Estimation de la fiabilite d'un systeme industriel
PCT/EP2016/079739 WO2017093560A1 (fr) 2015-12-03 2016-12-05 Estimation de la fiabilite d'un systeme industriel

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1561819A FR3044787A1 (fr) 2015-12-03 2015-12-03 Estimation de la fiabilite d'un systeme industriel

Publications (1)

Publication Number Publication Date
FR3044787A1 true FR3044787A1 (fr) 2017-06-09

Family

ID=56321980

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1561819A Pending FR3044787A1 (fr) 2015-12-03 2015-12-03 Estimation de la fiabilite d'un systeme industriel

Country Status (2)

Country Link
FR (1) FR3044787A1 (fr)
WO (1) WO2017093560A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110598158A (zh) * 2018-07-02 2019-12-20 长江勘测规划设计研究有限责任公司 地下核电站密封隔离***可靠性评估方法
FR3107403A1 (fr) * 2020-02-19 2021-08-20 Schneider Electric Industries Sas Détermination d’un état de fiabilité d’un réseau électrique

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107783851B (zh) * 2017-09-22 2020-06-02 北京航空航天大学 一种服务器集群稳态可用度马氏建模方法
CN107992451B (zh) * 2017-11-24 2021-04-13 中核控制***工程有限公司 一种反应堆保护***拒动概率计算方法
CN111291987A (zh) * 2020-01-23 2020-06-16 广东电网有限责任公司计量中心 一种互感器寿命预测方法及装置
CN113051747B (zh) * 2021-03-19 2024-02-09 北京圣涛平试验工程技术研究院有限责任公司 一种飞机可靠性数据资产模型构建方法及装置
CN113589780B (zh) * 2021-06-30 2022-12-20 国网电力科学研究院武汉能效测评有限公司 基于组件架构的用能控制***的可靠性分析***及方法
CN113589191B (zh) * 2021-07-07 2024-03-01 郴州雅晶源电子有限公司 一种电源故障诊断***及方法
CN114970090B (zh) * 2022-04-15 2024-05-10 金华市鑫科家居有限公司 一种基于竞争性故障的智能家居传感***可靠性分析方法
CN114936466B (zh) * 2022-06-06 2024-04-16 天津大学 一种面向工业母线的在线监控方法
CN115310048B (zh) * 2022-10-08 2023-01-03 中国人民解放军海军工程大学 一种设备在期望时间内完成修复概率的计算方法和***

Non-Patent Citations (8)

* Cited by examiner, † Cited by third party
Title
"System Software Reliability", 2006, SPRINGER-VERLAG LONDON, ISBN: 978-1-84628-295-9, article HOANG PHAM: "System Reliability Concepts", pages: 9 - 75, XP055316974, DOI: 10.1007/1-84628-295-0 *
JAN KRCAL ET AL: "Scalable Analysis of Fault Trees with Dynamic Features", 2015 45TH ANNUAL IEEE/IFIP INTERNATIONAL CONFERENCE ON DEPENDABLE SYSTEMS AND NETWORKS, June 2015 (2015-06-01), pages 89 - 100, XP055314767, ISBN: 978-1-4799-8629-3, DOI: 10.1109/DSN.2015.29 *
LUDOVIC PIE GBP TRE-CAMBACEDE GBP S ET AL: "Beyond Attack Trees: Dynamic Security Modeling with Boolean Logic Driven Markov Processes (BDMP)", DEPENDABLE COMPUTING CONFERENCE (EDCC), 2010 EUROPEAN, IEEE, PISCATAWAY, NJ, USA, 28 April 2010 (2010-04-28), pages 199 - 208, XP031682056, ISBN: 978-0-7695-4007-8 *
LUDOVIC PIETRE-CAMBACEDES ET AL: "Modeling safety and security interdependencies with BDMP (Boolean logic Driven Markov Processes)", SYSTEMS MAN AND CYBERNETICS (SMC), 2010 IEEE INTERNATIONAL CONFERENCE ON, IEEE, PISCATAWAY, NJ, USA, 10 October 2010 (2010-10-10), pages 2852 - 2861, XP031805872, ISBN: 978-1-4244-6586-6 *
RUIJTERS ENNO ET AL: "Fault tree analysis: A survey of the state-of-the-art in modeling, analysis and tools", COMPUTER SCIENCE REVIEW, vol. 15, 5 May 2015 (2015-05-05), pages 29 - 62, XP029174059, ISSN: 1574-0137, DOI: 10.1016/J.COSREV.2015.03.001 *
SIWAR KRIAA ET AL: "A survey of approaches combining safety and security for industrial control systems", RELIABILITY ENGINEERING AND SYSTEM SAFETY., vol. 139, 5 March 2015 (2015-03-05), GB, pages 156 - 178, XP055316986, ISSN: 0951-8320, DOI: 10.1016/j.ress.2015.02.008 *
SIWAR KRIAA ET AL: "Modeling the Stuxnet attack with BDMP: Towards more formal risk assessments", 2012 7TH INTERNATIONAL CONFERENCE ON RISKS AND SECURITY OF INTERNET AND SYSTEMS (CRISIS), October 2012 (2012-10-01), pages 1 - 8, XP055314762, ISBN: 978-1-4673-3088-6, DOI: 10.1109/CRISIS.2012.6378942 *
UNKNOWN: "Reliability Prediction Basics", RELIABILITY ENGINEERING WEBPAGE, 2007, pages 1 - 9, XP055317483, Retrieved from the Internet <URL:https://web.archive.org/web/20141031024002/http://www.reliabilityeducation.com/ReliabilityPredictionBasics.pdf> [retrieved on 20161108] *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110598158A (zh) * 2018-07-02 2019-12-20 长江勘测规划设计研究有限责任公司 地下核电站密封隔离***可靠性评估方法
CN110598158B (zh) * 2018-07-02 2023-03-24 长江勘测规划设计研究有限责任公司 地下核电站密封隔离***可靠性评估方法
FR3107403A1 (fr) * 2020-02-19 2021-08-20 Schneider Electric Industries Sas Détermination d’un état de fiabilité d’un réseau électrique
EP3869285A1 (fr) * 2020-02-19 2021-08-25 Schneider Electric Industries SAS Détermination d'un état de fiabilité d'un réseau électrique
US11609808B2 (en) 2020-02-19 2023-03-21 Schneider Electric Industries Sas Determination of a reliability state of an electrical network

Also Published As

Publication number Publication date
WO2017093560A9 (fr) 2017-09-21
WO2017093560A1 (fr) 2017-06-08

Similar Documents

Publication Publication Date Title
FR3044787A1 (fr) Estimation de la fiabilite d&#39;un systeme industriel
CA2826641C (fr) Prevision d&#39;operations de maintenance sur un moteur d&#39;aeronef
FR2938676A1 (fr) Procede de reconnaissance de motifs sequentiels pour procede de traitement des messages de pannes
Certa et al. A multi-objective approach to optimize a periodic maintenance policy
Kumar et al. Sentimental analysis of social media using R language and Hadoop: Rhadoop
EP3869285B1 (fr) Détermination d&#39;un état de fiabilité d&#39;un réseau électrique
FR2910986A1 (fr) Methode de prediction de la fiabilite operationnelle d&#39;un systeme avionique.
EP2109979B1 (fr) Procédé et dispositif de gestion de connexions dans un réseau de télécommunications
FR2958470A1 (fr) Procede d&#39;estimation de la fiabilite d&#39;un circuit electronique, systeme informatique et produit programme d&#39;ordinateur correspondants
EP3216170B1 (fr) Procédé de reconfiguration rapide d&#39;un routage sur panne d&#39;un port d&#39;un commutateur
FR3091385A1 (fr) Méthode de développement d’un procédé de compilation d’un circuit quantique sur un processeur quantique et un tel procédé
Camisullis et al. Détermination des stocks de sécurité dans une chaîne logistique-amont dédiée à une production de masse de produits fortement diversifiés
WO2022229135A1 (fr) Système de supervision de l&#39;exploitation et de la maintenance d&#39;équipements industriels
FR2944117A1 (fr) Procedes et dispositifs de gestion d&#39;evenements lies a la securite des systemes informatiques d&#39;aeronefs
WO2016107840A1 (fr) Procédé de gestion automatique de la consommation électrique d&#39;une grappe de serveurs
Rankooh et al. New encoding methods for sat-based temporal planning
FR3024567A1 (fr) Procede de determination automatique de causes de dysfonctionnement d&#39;un systeme compose d&#39;une pluralite de composants materiels ou logiciels
Bishop MC/DC based estimation and detection of residual faults in PLC logic networks
WO2015063744A1 (fr) Architecture de test de protocoles
EP1794685A2 (fr) Dispositif et procede d&#39;analyse et de diagnostic d&#39;un systeme
Le Guyadec et al. Determination of the load factor of an industrial installation: application to the Silva process
FR3024788A1 (fr) Procede de verification de tracabilite de premieres instructions en un langage de programmation procedurale generees a partir de secondes instructions en un langage de modelisation
CA2892502C (fr) Procede de durcissement logique par partitionnement d&#39;un circuit electronique
Brezillon The SEPT application: Appraisal of an experiment
Ocnasu Distribution power system reliability assessment using Monte Carlo simulation: optimal maintenance strategy application

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20170609

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8