WO2017093560A9 - Estimating the reliability of an industrial system - Google Patents

Estimating the reliability of an industrial system Download PDF

Info

Publication number
WO2017093560A9
WO2017093560A9 PCT/EP2016/079739 EP2016079739W WO2017093560A9 WO 2017093560 A9 WO2017093560 A9 WO 2017093560A9 EP 2016079739 W EP2016079739 W EP 2016079739W WO 2017093560 A9 WO2017093560 A9 WO 2017093560A9
Authority
WO
WIPO (PCT)
Prior art keywords
failure
components
minimal
failures
event
Prior art date
Application number
PCT/EP2016/079739
Other languages
French (fr)
Other versions
WO2017093560A1 (en
Inventor
Marc BOUISSOU
Olga HERNU
Original Assignee
Electricite De France
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electricite De France filed Critical Electricite De France
Publication of WO2017093560A1 publication Critical patent/WO2017093560A1/en
Publication of WO2017093560A9 publication Critical patent/WO2017093560A9/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0283Predictive maintenance, e.g. involving the monitoring of a system and, based on the monitoring results, taking decisions on the maintenance schedule of the monitored system; Estimating remaining useful life [RUL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/20Administration of product repair or maintenance
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/16Plc to applications
    • G05B2219/161Nuclear plant
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23447Uses process simulator to develop, simulate faults, fault tree
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0243Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
    • G05B23/0245Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
    • G05B23/0248Causal models, e.g. fault tree; digraphs; qualitative physics
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0243Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
    • G05B23/0245Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
    • G05B23/0251Abstraction hierarchy, e.g. "complex systems", i.e. system is divided in subsystems, subsystems are monitored and results are combined to decide on status of whole system
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/001Computer implemented control
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/04Safety arrangements
    • G21D3/06Safety arrangements responsive to faults within the plant

Definitions

  • the object of the present invention relates to the field of safety and security of complex repairable industrial systems.
  • the subject of the present invention relates more particularly to the estimation of the safety and security of a complex industrial system such as for example a nuclear power station.
  • One of the objectives of the present invention is to provide a tool for estimating with a good accuracy and a minimum calculation time the reliability of a repairable complex industrial system.
  • the present invention finds a particularly advantageous application in the nuclear field by enabling the evaluation of the safety and security of a nuclear power plant, in particular for:
  • risk monitoring the evaluation of the risk of failure of the plant during operation
  • the present invention may find an advantageous application in the modeling of air traffic control centers, airports, rail networks, or in the modeling of refineries.
  • these are examples of possible applications among others.
  • This polling time can be defined as follows:
  • BDMP can model dependencies between components and allow for repair.
  • BDMPs are a powerful modeling tool for analyzing the safety and security of dynamic systems.
  • BDMPs can be considered as a common formalism for joint modeling of safety and security risks.
  • a BDMP with n leaves specifies a Markov model (a continuous time Markov process) with a size of about 0 (2 n ).
  • An effective method for performing a reliability calculation from such a BDMP model may be to explore and quantify the sequences leading to the occurrence of the adverse event. We can impose an insensitivity to the order of magnitude of the probabilities by retaining only the predominant sequences whose probability is much greater than those of all the other sequences.
  • BDMP containing typically 150 to 200 leaves can be processed.
  • a BDMP can also be quantified by Monte Carlo simulation, but when the probabilities to be evaluated are too small, the calculation times become unacceptable. This is typically what happens in the context of PSE.
  • the object of the present invention is to improve the present situation.
  • the object of the present invention provides an estimate of the reliability of an industrial system comprising a plurality of repairable components to overcome the various disadvantages mentioned above.
  • the present invention relates, in a first aspect, to a method for estimating the reliability of an industrial system comprising a plurality of repairable components, dependent on each other and each having certain reliability parameters, including a failure rate.
  • Xi and a repair rate ⁇ the method is implemented by computer means and comprises the following steps:
  • a construction step from the components of a representative dynamic model of the system taking into account the dependencies between the components; a generation step from the constructed model of a single failure tree representative of failure scenarios of the components that can drive said system from a normal state to a failure state;
  • the model is a BDMP type model based on Boolean functions and Markov processes associated with the system components;
  • the model is an EPS type model composed of event trees and failure trees
  • the method comprises an estimation of the probability of failure p e i of the system following an initiator event ei as a function of the sum of the defiability R c at infinity of each k minimal products c belonging to the CMS and containing the event initiator ei, said estimate being calculated according to the following formula:
  • the mathematical expectation E c (N ⁇ t) ⁇ ) of the number of failures N at a time t for each minimal product c is calculated as a function of the unconditional failure intensities Wi (t) and the unavailability Qt (t) of the components, the unconditional failure intensity (t) being such that W ⁇ t) At is the average number of failures of a component between the instants t and t + ⁇ , and the unavailability Qt (t) being the probability that a component is in a state of failure at a time t;
  • the intensity of unconditional failure Wi (t) and the unavailability Qt (t) of each of the components are a function of the failure rates Xi and repair ⁇ ; ; depending on the type of a base event, the unconditional failure intensity Wi (t) and the unavailability Qt (t) are given by the following expressions:
  • ci is the default rate of solicitation of a minimum product c.
  • the subject of the present invention relates, according to a second aspect, to a computer program which comprises instructions adapted to the execution of the steps of the method as described above, this in particular when said computer program is executed by at least one processor.
  • a computer program can use any programming language, and be in the form of a source code, an object code, or an intermediate code between a source code and an object code, such as in a partially compiled form, or in any other desirable form.
  • the object of the present invention relates to a computer-readable recording medium on which is recorded a computer program comprising instructions for carrying out the steps of the method as described above. .
  • the recording medium can be any entity or device capable of storing the program.
  • the medium may comprise storage means, such as a ROM, for example a CD-ROM or a microelectronic circuit type ROM, or a magnetic recording means or a hard disk.
  • this recording medium can also be a transmissible medium such as an electrical or optical signal, such a signal can be conveyed via an electric or optical cable, by conventional radio or radio or by self-directed laser beam or by other ways.
  • the computer program according to the invention can in particular be downloaded to an Internet type network.
  • the recording medium may be an integrated circuit in which the computer program is incorporated, the integrated circuit being adapted to execute or to be used in the execution of the method in question.
  • the object of the present invention relates, according to a fourth aspect, to the use of the estimation method as described above for evaluating the safety and security of a nuclear power station.
  • the subject of the present invention relates to a computer estimation system comprising computer resources configured for implementing the steps of the method such as that described above.
  • the system according to the present invention is a system for evaluating the reliability of an industrial system comprising a plurality of repairable components that are dependent on each other and each having certain reliability parameters, including a constant failure and repair rate. ⁇ ; .
  • the system comprises:
  • a modeling computer module configured to build a dynamic model of the system taking into account the dependencies between the components;
  • a generation computer module configured to generate from said model constructs a single fault tree representative of the failure scenarios of the components that can drive said system from a normal state to a failure state;
  • a processing computer module configured to determine from minimum sections of said fault tree a minimum content of the sequences, said CMS, comprising a list of minimal products c in the form of a combination of components and comprising, for each minimal product, a single initiating event, denoted here ei, and a number m of failures in operation or at the solicitation, m being here a positive integer; an estimation computer module configured to estimate the system R (t) defiability at a time t as a function of the failure rate Aei of each initiating event ei and the sum p ei of the failure probabilities obtained for the k minimum products it corresponding.
  • the object of the present invention makes it possible to obtain in a minimum of calculations a reliable and accurate estimate of the reliability of a repairable dynamic system comprising a plurality of components. repairable depending on each other.
  • FIGS. 1 to 12 illustrate an example of embodiment that is devoid of any limiting character and on which:
  • FIG. 1 represents a state graph (or DFA) of a system comprising three components
  • FIG. 2 shows a BDMP describing the logic of another system comprising three components with passive redundancies
  • FIG. 3 represents the Markov chain corresponding to a BDMP conforming to that of FIG. 2;
  • Fig. 4 shows an example of a BDMP describing the logic for a pumping system with a backup
  • FIG. 5 represents a comparative table in which the equivalent failure rates (in h -1 ) calculated according to several methods for a pumping system with a backup according to the example of FIG. 4;
  • Fig. 6 shows an example of a BDMP describing the logic for an electrical system with a backup
  • FIG. 7 represents a comparative table in which the equivalent failure rates (in h -1 ) for a system with a backup for various parameters according to the example of FIG.
  • FIG. 8 represents an example of an installation consisting of a power supply system for the 6.6 kV busbars rescued from a nuclear power station;
  • Fig. 9 shows an example of a BDMP describing the logic for a system according to Fig. 8.
  • FIG. 10 represents a comparative table showing the equivalent failure rates (in h -1 ) for a system according to the example of FIG. 8;
  • FIG. 11 represents a flow chart showing the main steps of an exemplary embodiment of an estimation method according to the present invention
  • Figure 12 schematically shows an exemplary computer system for estimating the reliability of a complex and repairable dynamic system comprising a plurality of components.
  • the present invention is an improvement of the method proposed by J. Collet in 1994 in his article entitled "The study of dynamic systems by Boolean methods".
  • Approximation 0 Upon the occurrence of an initiator event, all replacement components are expected to begin operation (or possibly refuse to start) immediately after the initiating event; then they can fail and be repaired independently of each other until the initiating event is repaired.
  • Approximation 1 When an initiating event is repaired, the system can no longer fail, whatever happens.
  • the method according to the present invention aims at improving the estimate proposed by J. Collet by bringing this model closer to the real system.
  • the proposed method takes into account the characteristics of the set of failure scenarios to improve the accuracy of the results.
  • a minimal cut may correspond to one or more sequences of the dynamic model. Therefore, for each basic event in a minimum cut, it is necessary to find the other basic events, if any, that are necessary to trigger it.
  • the present invention thus proposes to use the same mathematical apparatus as that described above by introducing therein addition the notion "minimal content of the sequences", hereinafter referred to as CMS.
  • the average time to repair a failed component is usually well below the average time to failure, so the likelihood of a failed component being repaired before another component, which replaces it, breaks down. is quite high.
  • A is the frequency of incidents (the sum of the rates of all transitions leaving the initial state) and p is the probability that the incidents lead to an accident before the system returns to a perfect state.
  • the object of the present invention is therefore a process, called Initiator & AU Barriers or I & AB, which is an improvement of the approach proposed by J. Collet.
  • the industrial system to be studied is therefore a dynamic and complex industrial system comprising a plurality of components S; (i being a positive integer). It can be for example a nuclear power station.
  • the components Si of this system INS are repairable, dependent on each other and each have reliability parameters among the following three:
  • a construction step S_l one builds from the components S; a dynamic model representative of the INS system taking into account the dependencies between the components Sj.
  • the components S are combined; Boolean functions with Markov processes to build a model like BDMP.
  • the Applicant specifies here that the construction of such a BDMP can be performed by a user using a computer module 10.
  • This module can be for example the KB3 tool. It will be understood here that the use of other computer tools provided for this purpose may also be considered to build this BDMP.
  • the failure logic of such a system is described by a BDMP shown in FIG.
  • the component S2 begins to operate; it can therefore break down.
  • the state graph of Figure 3 describes the behavior of the system.
  • This Markov graph takes into account the repairs of all components and, therefore, the fact that the system can repeatedly return to the perfect state during the mission time.
  • a generation computer module 20 also called tree generator, generates from said model a single fault tree representative of failure scenarios of the components that can lead said system from a normal state to a state of failure.
  • This module 20 thus makes it possible to generate from the BDMP the set of possible failure scenarios for the system.
  • the Applicant specifies here that it is also planned to generate this fault tree using the computer tool KB3. In the same way, other computer tools can also be considered.
  • the CMS comprises a list of minimal products c in the form of a combination of components Si and comprising, for each minimal product, a single initiating event ei and a number m of failures in operation or at the request (m being here a positive integer).
  • CMS has only one minimal product ⁇ Sl_ rat, S2, S3 ⁇ .
  • the Applicant submits that the rules in the BDMP knowledge base are fashioned to create a fault tree whose minimum cuts correspond to the CMS of the dynamic model.
  • the method then provides an estimation step S_4 of the system R (t) defiability at a time t based on the minimum products of the CMS.
  • This estimation S_4 carried out by an estimation computer module 40 (programmed for example in Python) as a function of the failure rate of each initiating event ei and the sum p ei of the failure probabilities obtained for the k minimum products corresponding thereto.
  • the corresponding BDMP thus includes the following types of sheets:
  • F type sheet associated with a component that can fail with a rate ⁇ during its operation and be repaired with a rate ⁇ .
  • Type / component type sheet that can fail with an instantaneous failure probability at the bias ⁇ and be repaired with a rate ⁇ .
  • the subtree structure to replace an initiating event must contain both types of sheets.
  • a minimum product may contain only one initiating event
  • DFA deterministic finite automaton
  • the DFA automaton makes it possible to decide for any sequence of symbols taken in the alphabet whether this sequence is acceptable or not (it is also said: whether the sequence of symbols belongs to the language defined by the automaton or not).
  • this concept is applied to the search for sequences leading a system from its initial state to a target state.
  • S we can associate S with all the states of the system, the transitions T with the events (breakdown, repair, etc.) which constitute the alphabet, and A with the target state of the system .
  • the DFA is here defined to accept sequences whose last transition brings the system into its target state for the first time.
  • a sequence without a loop is a sequence that does not pass twice by the same state of the DFA.
  • the number of sequences without a loop is finite.
  • a minimal sequence is an acceptable sequence such that if any non-empty subset of the transitions of the sequence is removed, a sequence refused by the DFA is obtained.
  • any sequence accepted by the DFA contains at least one minimal sequence.
  • This function is a means of representing the subset of the symbols of ⁇ that appear in the sequence w. It indicates if a transition appears in w or not, but not how many times.
  • Definition 5 The minimal content of the sequences or CMS of the DFA G is the function
  • SG is the set of minimal sequences of DFA.
  • This function is monotonous and can therefore be canonically represented by a sum of minimal products (the equivalent of what are called minimum cuts for a fault tree).
  • the first time interval corresponds to the mission: it is the instant t.
  • the second time interval is infinite (noted) and begins once the initiating event ei has taken place.
  • the unavailability Q (t is the probability that a component is in a state of failure at a time t;
  • the unconditional failure intensity W (t) is such that W (t) ⁇ t is the average number of failures of a component between t and t + ⁇ t.
  • the probability p ei to go from the state where the system is right after the initiating event ei to the failure state is estimated by:
  • the minimum product c In addition to an initiating event and m malfunctions in operation, the minimum product c also contains the basic events corresponding to solicitation failures.
  • the failure of the component S I is the only initiating event possible.
  • the expected number of system failures N (t) in the time interval [0, t] is given by: where ⁇ is the failure rate of the component i and P t represents the probability of a critical state, ie a state from which a single transition can lead to the undesirable event.
  • the summation is performed on all elements in the only minimal product c, excluding the initiator.
  • the states of interest are (SI, S2, S3) and (SI, S2, S3).
  • the last three elements of such a chain are the values of the bias probability ⁇ , the failure rate ⁇ , and the repair rate ⁇ .
  • the second input file stores the minimal content of the sequences.
  • the list of minimum products (one per line) is in the following format:
  • a numerical integration of the mathematical expectation of the number of failures is performed using the trapezoid integration method.
  • the advantage of this method is that it can possibly limit the integration terminal to the desired value. This makes it possible to reintroduce if necessary the notion of polling time in addition to the consideration of the repairs.
  • Each integrator includes a product of functions that can be represented as follows:
  • the first integral is calculated in the same way, the only difference being that the current element i of the product must be excluded.
  • the minimal product c contains both operational failures and solicitation failures (in number l).
  • the failure rate of all components is 10 -4 h -1
  • the values of the probabilities of solicitation failure and repair rates are varied.
  • This first example makes it possible to highlight the importance of taking into account triggers in the generation of the CMS.
  • a pumping system comprises a main pump C1 and an emergency route with two pumps in parallel, C2 and C3, connected in series with a pump C4 which operates only at a predetermined temperature.
  • one of the pumps in parallel for example C3 supplies the cooling water to C4.
  • the BDMP corresponding to such a system is illustrated in FIG.
  • the failures of all components after an initiating event ei are independent, which is equivalent to a model without the lower trigger.
  • the CMS of this model thus takes the following form:
  • the probability of failure at the request for the sheet "C4_lack_of_cooling” is equal to 1 in order to model an immediate failure of C4 after the loss of cooling.
  • ⁇ Cljnit, C4_lack_of_cooling_fa ⁇ ll] understands as only basic event (outside the initiator) - the failure to the solicitation of "C4_lack_of_cooling”.
  • R c ( ⁇ ) 1
  • the system is powered by a network (the normal channel) connected via a CBl circuit breaker.
  • An auxiliary power supply to the busbar is provided by a diesel generator (the emergency route) connected via a CB2 circuit breaker.
  • the BDMP for this electrical system is shown in Figure 6.
  • the diesel generator has two failure modes: on demand and in operation.
  • an untimely opening of CBl excludes the possibility of a refusal of its opening; this fact is modeled by an inverted trigger between CBl_IO and CBl_RO.
  • This third example concerns a feeding system for 6.6 kV busbars rescued in a nuclear power plant.
  • FIG. 1 Such a system is illustrated in FIG.
  • busbars play a crucial role in the safety of the plant, as they power control systems and components needed to cool the core. So, they are powered with a lot of redundancy.
  • This system is both reconfigurable and repairable, with a risk of failure reconfigurations (the refusal opening or closing circuit breakers).
  • the undesirable event of the failure tree is a simultaneous loss of the LHA and LHB busbars.
  • Each of the four LGD, LGF, LHA and LHB busbars, considered in this model, may fail due to a short circuit or stop being energized.
  • the normal path that feeds a busbar X may be lost as a result of unintentional opening of the circuit breaker of this path (the basic event noted “IO_CB_Xl”); its help can be lost either during a reconfiguration because the corresponding circuit-breaker refuses to close (the basic event noted “RC_CB_X2”), or later by its untimely opening (the basic event noted “IO_CB_X2").
  • Each diesel can fail either at startup or during operation.
  • the improvements provided by the present invention include the following aspects:
  • the I & AB method proposed here in the context of the present invention thus makes it possible to expand the number of systems that can be processed: complex systems with several thousand components can thus be studied.
  • a prime area of application of the I & AB method concerns the estimation of the safety and security of nuclear power plants.
  • other fields of application may also be envisaged in the context of the present invention.
  • the applicant submits that the I & AB method proposed in the context of the present invention provides a precision of the improved results, in particular because the scanning time is no longer necessary because of the possibility of taking into account real repair times.
  • the method according to the invention comprises a step during which one intervenes on the system in response to the analysis carried out, in particular in step S_4. For example, during this intervention, we intervene on the system to change the configuration and / or operation.
  • the modification of the system configuration includes at least one of: a modification of the relative arrangement of components that it comprises, the replacement or repair of at least one component, the addition of at least one a component, the removal of at least one component.
  • the modification of the operation of the system includes, for example, the modification of at least one of its operating parameters, which can in particular correspond to a shutdown of the system.
  • the method can intervene in the context of the design of a system.
  • the method comprises a step during which a system design scheme is constructed or modified according to the result of the analysis conducted, and the system is constructed according to this design scheme.
  • This scheme includes, for example, elements of redundancies of elements of the system determined according to the result of the analysis conducted.
  • the method advantageously comprises a step during which the configuration or operation of the system is modified as a function of step S4, the system is at least temporarily piloted according to a determined operating diagram in whole or in part from the analysis conducted, and / or modifies a system design scheme based on the analysis conducted and manufactures all or part of the system according to said design scheme.

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computational Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Human Resources & Organizations (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Operations Research (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Probability & Statistics with Applications (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Automation & Control Theory (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Algebra (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Marketing (AREA)
  • Quality & Reliability (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

The present invention relates to a method for estimating the reliability of an industrial system (INS) including a plurality of repairable components (Si) which are dependent on one another and each have predetermined reliability parameters, including a failure rate λi and a repair rate μi , said method comprising the following steps: building (S_1) from said components (Si) a BDMP-type dynamic model; generating (S_2) from said BDMP a single failure tree representing component (Si) failure scenarios which can convey said system from a normal state to a faulty state; determining (S_3) a CMS from minimal interruptions of said failure tree; estimating (S_4) the lack of reliability R (t) of said system at a time t as a function of the failure rate λi of each initiating event ei and the sum p ei of the likelihoods of failure obtained for the k minimal products which correspond to same.

Description

ESTIMATION DE LA FIABILITE D'UN SYSTEME INDUSTRIEL  ESTIMATING THE RELIABILITY OF AN INDUSTRIAL SYSTEM
Domaine technique et art antérieur Technical field and prior art
L'objet de la présente invention concerne le domaine de la sûreté et de la sécurité des systèmes industriels complexes réparables.  The object of the present invention relates to the field of safety and security of complex repairable industrial systems.
L'objet la présente invention concerne plus particulièrement l'estimation de la sûreté et de la sécurité d'un système industriel complexe tel que par exemple une centrale nucléaire.  The subject of the present invention relates more particularly to the estimation of the safety and security of a complex industrial system such as for example a nuclear power station.
Un des objectifs de la présente invention est de fournir un outil permettant d'estimer avec une bonne précision et un minimum de temps de calcul la fiabilité d'un système industriel complexe réparable.  One of the objectives of the present invention is to provide a tool for estimating with a good accuracy and a minimum calculation time the reliability of a repairable complex industrial system.
La présente invention trouve une application particulièrement avantageuse dans le domaine du nucléaire en permettant l'évaluation de la sûreté et de la sécurité d'une centrale nucléaire, notamment pour : The present invention finds a particularly advantageous application in the nuclear field by enabling the evaluation of the safety and security of a nuclear power plant, in particular for:
- l'optimisation de la conception de la centrale afin de décider du nombre de redondances à prévoir dans les systèmes de sûreté et de sécurité ;  - optimizing the design of the plant to decide on the number of redundancies to be expected in the safety and security systems;
l'évaluation des niveaux de risque de défaillance de la centrale en cours d'exploitation (« risk monitoring ») afin de déterminer les situations dans lesquelles il faut ou non arrêter la centrale ;  the evaluation of the risk of failure of the plant during operation ("risk monitoring") in order to determine the situations in which the plant must be shut down or not;
- l'estimation de l'augmentation du risque liée à certaines situations exceptionnelles - the estimate of the increase in risk related to certain exceptional situations
(comme par exemple l'indisponibilité longue durée d'un composant) afin de pouvoir obtenir de la part des autorités de sûreté compétentes les dérogations nécessaires pour continuer l'exploitation de la centrale. On pourra comprendre ici que d'autres applications avantageuses dans le monde industriel pourront également être envisageables dans le cadre de la présente invention, ceci sans pour autant sortir du champ de la protection recherchée. (such as the long-term unavailability of a component) in order to obtain the necessary exemptions from the relevant safety authorities to continue the operation of the plant. It will be understood here that other advantageous applications in the industrial world may also be possible within the scope of the present invention, without departing from the scope of protection sought.
Ainsi, la présente invention pourra trouver une application avantageuse dans la modélisation des centres de contrôle aérien, des aéroports, des réseaux ferrés, ou encore dans la modélisation des raffineries. Bien évidemment, il s'agit ici d'exemples d'applications possibles parmi d'autres.  Thus, the present invention may find an advantageous application in the modeling of air traffic control centers, airports, rail networks, or in the modeling of refineries. Of course, these are examples of possible applications among others.
Le Demandeur précise ici que la présente invention concerne principalement les systèmes qui sont réparables. On notera que la présente invention n'a pas d'intérêt pour estimer la sûreté d'un système non-réparable comme par exemple la sûreté d'un avion en vol ou d'un satellite. The Applicant here clarifies that the present invention relates primarily to systems that are repairable. It should be noted that the present invention is not of interest for estimate the safety of a non-repairable system such as the safety of an airplane in flight or a satellite.
On connaît dans le domaine de la sûreté et de la sécurité des centrales nucléaires plusieurs méthodes probabilistes visant à déterminer la probabilité associée à un accident dans une centrale nucléaire (par exemple la fusion du cœur de réacteur). Several probabilistic methods are known in the field of nuclear power plant safety and security to determine the probability associated with an accident in a nuclear power plant (eg reactor core melting).
Les méthodes de calcul permettant d'aboutir à un résultat fiable pour évaluer le risque associé à un tel accident doivent nécessairement prendre en considération un très grand nombre de composants pour être aussi proche que possible de la réalité.  Calculation methods that lead to a reliable result for assessing the risk associated with such an accident must necessarily take into consideration a very large number of components to be as close to reality as possible.
Idéalement, ces méthodes requièrent une détermination de tous les scénarii de défaillances possibles à partir des composants du système à étudier.  Ideally, these methods require a determination of all possible failure scenarios from the components of the system to be studied.
On comprend aisément que ces méthodes impliquent très souvent un temps de calcul très long et très coûteux d'un point de vue des ressources informatiques. II existe différentes approches qui s'emploient toutes à réduire ces temps de calcul, ceci tant pour des raisons économiques que pour des raisons sécuritaires.  It is easy to understand that these methods very often involve a very long calculation time and very expensive from a point of view of computing resources. There are different approaches that are all working to reduce these computing times, both for economic reasons and for security reasons.
Classiquement, les méthodes probabilistes utilisées pour estimer la fiabilité d'une centrale nucléaire utilisent des modèles du type arbres de défaillances et arbres d'événements. Classically, the probabilistic methods used to estimate the reliability of a nuclear power plant use models such as failure trees and event trees.
Ces méthodes, également connues sous l'acronyme EPS (pour Etudes Probabiliste de These methods, also known by the acronym EPS (for Probabilistic Studies of
Sûreté), reposent sur des hypothèses simplificatrices et des approximations pour réduire les temps de calcul. Safety), rely on simplifying assumptions and approximations to reduce calculation times.
Dans ces méthodes, la plupart des dépendances entre les composants d'un système n'est pas prise en considération dans l'estimation.  In these methods, most dependencies between system components are not considered in the estimate.
De la même façon, les temps de réparation associés à chacun des composants du système ne sont pas pris en considération.  Similarly, the repair times associated with each of the system components are not taken into consideration.
Pour pallier ces approximations, on introduit la notion de temps de scrutation.  To overcome these approximations, we introduce the notion of polling time.
Ce temps de scrutation peut se définir comme suit :  This polling time can be defined as follows:
Si, après un événement initiateur faisant sortir la centrale nucléaire d'un état stable, la fusion du réacteur ne s'est pas produite avant ce temps de scrutation, il est alors communément convenu que la centrale reviendra rapidement à l'état initial.  If, after an initiating event bringing the nuclear plant out of a steady state, the reactor melting has not occurred before this polling time, then it is commonly agreed that the plant will quickly return to the initial state.
D'après un consensus international adopté par l'ensemble des acteurs de l'industrie du nucléaire, la valeur universellement retenue pour ce temps de scrutation est 24 heures. Cette notion de temps de scrutation et la valeur retenue par la communauté scientifique peuvent paraître assez arbitraires et peu rigoureuses sur le plan mathématique. According to an international consensus adopted by all players in the nuclear industry, the universally accepted value for this polling time is 24 hours. This notion of time of search and the value retained by the scientific community may seem rather arbitrary and not rigorous in mathematical terms.
On notera néanmoins que cette approche est la seule permettant jusqu'à présent de traiter efficacement les modèles prenant en considération plusieurs milliers de défaillances de composants.  It should be noted, however, that this approach is the only one that has so far been able to efficiently handle models that take into account several thousand component failures.
En effet, grâce aux différentes approximations décrites ci-dessus, il devient possible de quantifier, en un temps raisonnable et sur un ordinateur personnel, un modèle présentant de l'ordre d'une centaine de milliers de scénarii de défaillance (ou coupes minimales). Alternativement, on connaît également des méthodes dites dynamiques qui utilisent des modèles basés sur des fonctions booléennes et des processus de Markov.  Indeed, thanks to the various approximations described above, it becomes possible to quantify, in a reasonable time and on a personal computer, a model having the order of a hundred thousand failure scenarios (or minimum cuts) . Alternatively, so-called dynamic methods are also known that use models based on Boolean functions and Markov processes.
Ces modèles sont connus sous l'acronyme BDMP (pour « Boolean logic Driven Markov Processes »).  These models are known by the acronym BDMP (for "Boolean logic Driven Markov Processes").
Contrairement aux méthodes EPS classiques, l'utilisation d'un BDMP permet de modéliser les dépendances entre les composants et de tenir compte des réparations.  Unlike traditional EPS methods, the use of a BDMP can model dependencies between components and allow for repair.
Les BDMP constituent ainsi un outil de modélisation puissant pour l'analyse de la sûreté et de la sécurité des systèmes dynamiques.  BDMPs are a powerful modeling tool for analyzing the safety and security of dynamic systems.
Ils sont utilisés depuis plusieurs années pour évaluer la fiabilité, la disponibilité et la sûreté de systèmes complexes reconfigurables.  They have been used for several years to evaluate the reliability, availability and safety of reconfigurable complex systems.
A présent, on peut considérer que les BDMP peuvent servir de formalisme commun pour la modélisation conjointe de risques de sûreté et de sécurité.  At present, BDMPs can be considered as a common formalism for joint modeling of safety and security risks.
A titre d'exemple, ils ont déjà été appliqués pour l'étude de sûreté d'un pipeline industriel pour modéliser des scénarii de sûreté et de sécurité menant à un événement relatif à la sûreté.  For example, they have already been applied for the safety study of an industrial pipeline to model safety and security scenarios leading to a safety event.
Toutefois, ces méthodes sont pour l'instant inexploitables pour les systèmes présentant un trop grand nombre de composants, comme par exemple une centrale nucléaire.  However, these methods are currently unusable for systems with too many components, such as a nuclear power plant.
Un BDMP avec n feuilles spécifie un modèle markovien (un processus de Markov à temps continu) présentant une taille d'environ 0(2n). A BDMP with n leaves specifies a Markov model (a continuous time Markov process) with a size of about 0 (2 n ).
Alors que la taille du BDMP croît linéairement avec la taille du système à modéliser, la taille des données servant de support aux calculs augmente exponentiellement.  While the size of the BDMP grows linearly with the size of the system to be modeled, the size of the data serving as a support for calculations grows exponentially.
Une méthode efficace pour réaliser un calcul de fiabilité à partir d'un tel modèle BDMP peut consister en l'exploration et la quantification des séquences menant à la réalisation de l'événement indésirable. On peut imposer une insensibilité à l'ordre de grandeur des probabilités en ne retenant que les séquences prédominantes dont la probabilité est bien plus grande que celles de toutes les autres séquences. An effective method for performing a reliability calculation from such a BDMP model may be to explore and quantify the sequences leading to the occurrence of the adverse event. We can impose an insensitivity to the order of magnitude of the probabilities by retaining only the predominant sequences whose probability is much greater than those of all the other sequences.
Dans ce cas, on peut traiter un BDMP contenant typiquement 150 à 200 feuilles. Un BDMP peut aussi être quantifié par simulation de Monté Carlo, mais lorsque les probabilités à évaluer sont trop petites, les temps de calcul deviennent inacceptables. C'est typiquement ce qui se produit dans le contexte des EPS.  In this case, a BDMP containing typically 150 to 200 leaves can be processed. A BDMP can also be quantified by Monte Carlo simulation, but when the probabilities to be evaluated are too small, the calculation times become unacceptable. This is typically what happens in the context of PSE.
Pour une application dans le domaine du nucléaire, les deux approches ci-dessus (par exploration de séquences et par simulation de Monté Carlo) ne peuvent être utilisées que pour certaines études et, en aucun cas, pour un système de grande taille tel que par exemple une centrale nucléaire ; ceci n'est pas entièrement satisfaisant.  For an application in the nuclear field, the two approaches above (by sequence exploration and by Monte Carlo simulation) can only be used for certain studies and, under no circumstances, for a large system such as by example a nuclear power station; this is not entirely satisfactory.
Ainsi, le Demandeur soumet que l'état de la technique ne propose pas de solution entièrement satisfaisante permettant d'estimer rapidement et avec une bonne précision la sûreté d'un système dynamique réparable de grande taille.  Thus, the Applicant submits that the state of the art does not provide a fully satisfactory solution for estimating quickly and accurately the safety of a large repairable dynamic system.
Objet et résumé de la présente invention Object and summary of the present invention
L'objet de la présente invention vise à améliorer la situation actuelle.  The object of the present invention is to improve the present situation.
A cet effet, l'objet de la présente invention propose une estimation de la fiabilité d'un système industriel comprenant une pluralité de composants réparables permettant de remédier aux différents inconvénients mentionnés ci-dessus.  For this purpose, the object of the present invention provides an estimate of the reliability of an industrial system comprising a plurality of repairable components to overcome the various disadvantages mentioned above.
Plus particulièrement, la présente invention concerne selon un premier aspect un procédé d'estimation de la fiabilité d'un système industriel comprenant une pluralité de composants réparables, dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont notamment un taux de défaillance Xi et un taux de réparation μ;, Selon l'invention, le procédé est mis en œuvre par des moyens informatiques et comporte les étapes suivantes :  More particularly, the present invention relates, in a first aspect, to a method for estimating the reliability of an industrial system comprising a plurality of repairable components, dependent on each other and each having certain reliability parameters, including a failure rate. Xi and a repair rate μ ;, according to the invention, the method is implemented by computer means and comprises the following steps:
une étape de construction à partir des composants d'un modèle dynamique représentatif du système tenant compte des dépendances entre les composants ; une étape de génération à partir du modèle construit d'un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d'un état normal à un état de défaillance ;  a construction step from the components of a representative dynamic model of the system taking into account the dependencies between the components; a generation step from the constructed model of a single failure tree representative of failure scenarios of the components that can drive said system from a normal state to a failure state;
une étape de détermination d'un contenu minimal des séquences, dit CMS, à partir des coupes minimales de l'arbre de défaillances généré, ledit CMS comprenant une liste de produits minimaux c se présentant sous la forme d'une combinaison de composants et comprenant, pour chaque produit minimal, un unique événement initiateur, noté ici ei, et m de défaillances en fonctionnement ou à la sollicitation, m étant ici un nombre entier positif ; a step of determining a minimum content of the sequences, said CMS, from the minimal sections of the generated failure tree, said CMS comprising a list of minimal products c in the form of a combination of components and comprising, for each minimal product, a single initiating event, denoted here ei, and m of failures in operation or at loading, m being here a positive integer;
une étape d'estimation de la défiabilité R (t) dudit système à un instant t en fonction du taux de défaillance de chaque événement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant. a step of estimating the unreliability R (t) of said system at a time t as a function of the failure rate of each initiating event ei and the sum p ei of the failure probabilities obtained for the k minimum products corresponding thereto.
Selon des caractéristiques optionnelles de l'invention prises seules ou en combinaison : According to optional features of the invention taken alone or in combination:
lors de l'étape de construction, le modèle est un modèle du type BDMP basé sur des fonctions booléennes et processus de Markov associés aux composants du système ;  during the construction stage, the model is a BDMP type model based on Boolean functions and Markov processes associated with the system components;
alternativement, lors de l'étape de construction, le modèle est un modèle du type EPS composé d'arbres d'événements et d'arbres de défaillances,  alternatively, during the construction stage, the model is an EPS type model composed of event trees and failure trees,
l'estimation de la défiabilité R du système à un instant t est calculée selon la formule suivante :
Figure imgf000007_0001
the estimate of the system's R degradability at a time t is calculated according to the following formula:
Figure imgf000007_0001
le procédé comprend une estimation de la probabilité de défaillance pei du système suite à un événement initiateur ei en fonction de la somme de la défiabilité Rc à l'infini de chacun des k produits minimaux c appartenant au CMS et contenant l'événement initiateur ei, ladite estimation étant calculée selon la formule suivante : the method comprises an estimation of the probability of failure p e i of the system following an initiator event ei as a function of the sum of the defiability R c at infinity of each k minimal products c belonging to the CMS and containing the event initiator ei, said estimate being calculated according to the following formula:
k
Figure imgf000007_0002
k
Figure imgf000007_0002
la somme de la défiabilité Rc à l'infini de chacun des k produits minimaux est estimée par l'espérance mathématique Ec du nombre de défaillances pour chaque produit minimal c ; the sum of the indefeasibility R c at infinity of each of the k minimum products is estimated by the expected number of failures E c for each minimum product c;
l'espérance mathématique Ec (N{t)~) du nombre de défaillances N à un instant t pour chaque produit minimal c est calculée en fonction des intensités de défaillance inconditionnelles Wi (t) et des indisponibilités Qt (t) des composants, l'intensité de défaillance inconditionnelle (t) étant telle que W^t) At est le nombre moyen de défaillances d'un composant entre les instants t et t+Δί, et l'indisponibilité Qt (t) étant la probabilité qu'un composant soit dans un état de défaillance à un instant t ; the mathematical expectation E c (N {t) ~ ) of the number of failures N at a time t for each minimal product c is calculated as a function of the unconditional failure intensities Wi (t) and the unavailability Qt (t) of the components, the unconditional failure intensity (t) being such that W ^ t) At is the average number of failures of a component between the instants t and t + Δί, and the unavailability Qt (t) being the probability that a component is in a state of failure at a time t;
l'intensité de défaillance inconditionnelle Wi (t) et l'indisponibilité Qt (t) de chacun des composants sont fonction des taux de défaillance Xi et de réparation μ; ; selon le type d'un événement de base, l'intensité de défaillance inconditionnelle Wi (t) et l'indisponibilité Qt (t) sont données par les expressions suivantes :  the intensity of unconditional failure Wi (t) and the unavailability Qt (t) of each of the components are a function of the failure rates Xi and repair μ; ; depending on the type of a base event, the unconditional failure intensity Wi (t) and the unavailability Qt (t) are given by the following expressions:
événement initiateur : initiator event:
Figure imgf000008_0001
Figure imgf000008_0001
défaillance en fonctionnement :  failure in operation:
Qi W = r Α; + μ;i1 - £(-(λί+μί)ί)] w = ί (ΐ - Q ; l'espérance mathématique Ec (N(t)) du nombre de défaillances N dans l'intervalle de temps [0, t] pour chaque produit minimal c est calculée selon la formule suivante : Qi W = r Α ; + μ ; i 1 - £ ( - (λί + μί) ί) ] w = ί (ΐ - Q , the mathematical expectation E c (N (t)) of the number of failures N in the time interval [0, t] for each minimum product c is calculated according to the following formula:
Ec {N {t ) = QCJ (x- dx
Figure imgf000008_0002
E c {N {t) = Q CJ (x-dx
Figure imgf000008_0002
lorsque le produit minimal c ne contient qu'un événement initiateur ei et des défaillances à la sollicitation, l'espérance mathématique £" c (N(t)) du nombre de défaillances N dans l'intervalle de temps [0, t] pour chaque produit minimal c est calculée selon la formule suivante :
Figure imgf000008_0003
when the minimum product c contains only initiating event ei and malfunctions to the solicitation, the mathematical expectation £ "c (N (t)) of the N number of failures in the time interval [0, t] for each minimum product c is calculated according to the following formula:
Figure imgf000008_0003
dans laquelle c i est le taux de défaillance à la sollicitation d'un produit minimal c. in which ci is the default rate of solicitation of a minimum product c.
Corrélativement, l'objet de la présente invention concerne selon un deuxième aspect un programme d'ordinateur qui comporte des instructions adaptées pour l'exécution des étapes du procédé tel que décrit ci-dessus, ceci notamment lorsque ledit programme d'ordinateur est exécuté par au moins un processeur. Un tel programme d'ordinateur peut utiliser n'importe quel langage de programmation, et être sous la forme d'un code source, d'un code objet, ou d'un code intermédiaire entre un code source et un code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable. Correlatively, the subject of the present invention relates, according to a second aspect, to a computer program which comprises instructions adapted to the execution of the steps of the method as described above, this in particular when said computer program is executed by at least one processor. Such a computer program can use any programming language, and be in the form of a source code, an object code, or an intermediate code between a source code and an object code, such as in a partially compiled form, or in any other desirable form.
De même, l'objet de la présente invention concerne selon un troisième aspect un support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes du procédé tel que décrit ci-dessus. Similarly, according to a third aspect, the object of the present invention relates to a computer-readable recording medium on which is recorded a computer program comprising instructions for carrying out the steps of the method as described above. .
D'une part, le support d'enregistrement peut être n'importe quel entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une mémoire ROM, par exemple un CD-ROM ou une mémoire ROM de type circuit microélectronique, ou encore un moyen d'enregistrement magnétique ou un disque dur.  On the one hand, the recording medium can be any entity or device capable of storing the program. For example, the medium may comprise storage means, such as a ROM, for example a CD-ROM or a microelectronic circuit type ROM, or a magnetic recording means or a hard disk.
D'autre part, ce support d'enregistrement peut également être un support transmissible tel qu'un signal électrique ou optique, un tel signal pouvant être acheminé via un câble électrique ou optique, par radio classique ou hertzienne ou par faisceau laser autodirigé ou par d'autres moyens. Le programme d'ordinateur selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.  On the other hand, this recording medium can also be a transmissible medium such as an electrical or optical signal, such a signal can be conveyed via an electric or optical cable, by conventional radio or radio or by self-directed laser beam or by other ways. The computer program according to the invention can in particular be downloaded to an Internet type network.
Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel le programme d'ordinateur est incorporé, le circuit intégré étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.  Alternatively, the recording medium may be an integrated circuit in which the computer program is incorporated, the integrated circuit being adapted to execute or to be used in the execution of the method in question.
L'objet de la présente invention concerne selon un quatrième aspect l'utilisation du procédé d'estimation tel que décrit ci-dessus pour évaluer la sûreté et la sécurité d'une centrale nucléaire. The object of the present invention relates, according to a fourth aspect, to the use of the estimation method as described above for evaluating the safety and security of a nuclear power station.
Enfin, l'objet de la présente invention concerne selon un cinquième aspect un système informatique d'estimation comprenant des moyens informatiques configurés pour la mise en œuvre des étapes du procédé tel que celui décrit ci-dessus. Finally, according to a fifth aspect, the subject of the present invention relates to a computer estimation system comprising computer resources configured for implementing the steps of the method such as that described above.
Plus particulièrement, le système selon la présente invention est un système d'évaluation de la fiabilité d'un système industriel comprenant une pluralité de composants réparables dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont un taux de défaillance constant et réparation μ;. Selon l'invention, le système comporte : More particularly, the system according to the present invention is a system for evaluating the reliability of an industrial system comprising a plurality of repairable components that are dependent on each other and each having certain reliability parameters, including a constant failure and repair rate. μ ; . According to the invention, the system comprises:
un module informatique de modélisation configuré pour construire un modèle dynamique du système tenant compte des dépendances entre les composants ; un module informatique de génération configuré pour générer à partir dudit modèle construit un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d'un état normal à un état de défaillance ;  a modeling computer module configured to build a dynamic model of the system taking into account the dependencies between the components; a generation computer module configured to generate from said model constructs a single fault tree representative of the failure scenarios of the components that can drive said system from a normal state to a failure state;
- un module informatique de traitement configuré pour déterminer à partir des coupes minimales dudit arbre de défaillances un contenu minimal des séquences, dit CMS, comprenant une liste de produits minimaux c se présentant sous la forme d'une combinaison de composants et comprenant, pour chaque produit minimal, un unique événement initiateur, noté ici ei, et un nombre m de défaillances en fonctionnement ou à la sollicitation, m étant ici un nombre entier positif ; un module informatique d'estimation configuré pour estimer la défiabilité R (t) du système à un instant t en fonction du taux de défaillance Àei de chaque événement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant. a processing computer module configured to determine from minimum sections of said fault tree a minimum content of the sequences, said CMS, comprising a list of minimal products c in the form of a combination of components and comprising, for each minimal product, a single initiating event, denoted here ei, and a number m of failures in operation or at the solicitation, m being here a positive integer; an estimation computer module configured to estimate the system R (t) defiability at a time t as a function of the failure rate Aei of each initiating event ei and the sum p ei of the failure probabilities obtained for the k minimum products it corresponding.
Ainsi, l'objet de la présente invention, par ses différents aspects fonctionnels et structurels décrits ci-dessus, permet d'obtenir en un minimum de calculs une estimation fiable et précise de la fiabilité d'un système dynamique réparable comprenant une pluralité de composants réparables dépendants les uns des autres. Thus, the object of the present invention, by its various functional and structural aspects described above, makes it possible to obtain in a minimum of calculations a reliable and accurate estimate of the reliability of a repairable dynamic system comprising a plurality of components. repairable depending on each other.
Brève description des figures annexées Brief description of the attached figures
D'autres caractéristiques et avantages de la présente invention res sortiront de la description ci-dessous, en référence aux figures 1 à 12 annexées qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif et sur lesquelles :  Other characteristics and advantages of the present invention will emerge from the description below, with reference to FIGS. 1 to 12, which illustrate an example of embodiment that is devoid of any limiting character and on which:
- la figure 1 représente un graphe d'état (ou DFA) d'un système comprenant trois composants ;  FIG. 1 represents a state graph (or DFA) of a system comprising three components;
la figure 2 représente un BDMP décrivant la logique d'un autre système comprenant trois composants avec des redondances passives ; la figure 3 représente la chaîne de Markov correspondant à un BDMP conforme à celui de la figure 2 ; Figure 2 shows a BDMP describing the logic of another system comprising three components with passive redundancies; FIG. 3 represents the Markov chain corresponding to a BDMP conforming to that of FIG. 2;
la figure 4 représente un exemple d'un BDMP décrivant la logique pour un système de pompage avec un secours ;  Fig. 4 shows an example of a BDMP describing the logic for a pumping system with a backup;
la figure 5 représente un tableau comparatif dans lequel figurent les taux de défaillance équivalents (en h"1) calculés selon plusieurs méthodes pour un système de pompage avec un secours conforme à l'exemple de la figure 4 ; FIG. 5 represents a comparative table in which the equivalent failure rates (in h -1 ) calculated according to several methods for a pumping system with a backup according to the example of FIG. 4;
la figure 6 représente un exemple d'un BDMP décrivant la logique pour un système électrique avec un secours ;  Fig. 6 shows an example of a BDMP describing the logic for an electrical system with a backup;
la figure 7 représente un tableau comparatif dans lequel figurent les taux de défaillance équivalents (en h"1) pour un système avec un secours pour des paramètres divers conforme à l'exemple de la figure 6 ; FIG. 7 represents a comparative table in which the equivalent failure rates (in h -1 ) for a system with a backup for various parameters according to the example of FIG.
la figure 8 représente un exemple d'installation consistant en un système d'alimentation des jeux de barres 6.6 kV secourus d'une centrale nucléaire ;  FIG. 8 represents an example of an installation consisting of a power supply system for the 6.6 kV busbars rescued from a nuclear power station;
la figure 9 représente un exemple d'un BDMP décrivant la logique pour un système conforme à la figure 8 ;  Fig. 9 shows an example of a BDMP describing the logic for a system according to Fig. 8;
la figure 10 représente un tableau comparatif dans lequel figurent les taux de défaillance équivalents (en h"1) pour un système conforme à l'exemple de la figure 8 ; FIG. 10 represents a comparative table showing the equivalent failure rates (in h -1 ) for a system according to the example of FIG. 8;
la figure 11 représente un organigramme reprenant les principales étapes d'un exemple de réalisation d'un procédé d'estimation selon la présente invention ; la figure 12 représente de façon schématique un exemple de système informatique pour estimer la fiabilité d'un système dynamique complexe et réparable comprenant plusieurs composants.  FIG. 11 represents a flow chart showing the main steps of an exemplary embodiment of an estimation method according to the present invention; Figure 12 schematically shows an exemplary computer system for estimating the reliability of a complex and repairable dynamic system comprising a plurality of components.
Description détaillée de l 'invention Detailed description of the invention
Un procédé d'estimation ainsi que le système informatique d'estimation qui lui est associé vont maintenant être décrits dans les différents chapitres ci-dessous en faisant référence conjointement aux figures 1 à 12. A. Article scientifique de J. Collet et concept général de la présente invention : An estimation method and the associated estimation computer system will now be described in the various chapters below with reference to Figures 1 to 12. A. Scientific article by J. Collet and general concept of the present invention:
La présente invention est une amélioration de la méthode proposée par J. Collet en 1994 dans son article intitulé "De l'étude de systèmes dynamiques par des méthodes booléennes". The present invention is an improvement of the method proposed by J. Collet in 1994 in his article entitled "The study of dynamic systems by Boolean methods".
Dans cet article, l'auteur conjecture que, afin de calculer la fiabilité d'un système avec des redondances passives, une bonne approximation peut être de prendre en compte seulement un niveau de dépendance entre les composants.  In this article, the author conjectures that, in order to calculate the reliability of a system with passive redundancies, a good approximation may be to take into account only a level of dependence between the components.
En d'autres termes, celui-ci considère qu'il est possible de distinguer les défaillances des composants « normaux » (opérationnels la plupart du temps) et les défaillances des composants de secours (qui fonctionnent seulement en cas de défaillance des composants normaux).  In other words, it considers that it is possible to distinguish failures from "normal" (mostly operational) components and failures of backup components (which only work in case of failure of normal components). .
En revanche, il n'est pas possible de faire la différence entre un composant de « secours primaire » (qui assure le fonctionnement du système après défaillance du composant normal correspondant) et un composant de « secours secondaire » (qui entre en fonctionnement seulement après une défaillance du composant de secours primaire).  On the other hand, it is not possible to differentiate between a "primary backup" component (which ensures the operation of the system after failure of the corresponding normal component) and a "secondary backup" component (which comes into operation only after failure of the primary emergency component).
En termes de probabilités, cela signifie qu'après la défaillance d'un composant normal (ci-après dénommée « événement initiateur »), toutes les défaillances de composants de secours, menant à une défaillance du système entier, sont considérées comme indépendantes.  In terms of probabilities, this means that after failure of a normal component (hereinafter referred to as the "initiating event"), all failures of spare components, leading to a failure of the entire system, are considered independent.
Partant de ceci, deux approximations ont été suggérées par J. Collet : Starting from this, two approximations have been suggested by J. Collet:
Approximation 0 : Lors de la survenance d'un événement initiateur, tous les composants de remplacement sont supposés commencer leur fonctionnement (ou éventuellement refusent de démarrer) immédiatement après l'événement initiateur ; ensuite, ils peuvent défaillir et être réparés indépendamment des uns des autres jusqu'à ce que l'événement initiateur soit réparé. Approximation 0: Upon the occurrence of an initiator event, all replacement components are expected to begin operation (or possibly refuse to start) immediately after the initiating event; then they can fail and be repaired independently of each other until the initiating event is repaired.
Approximation 1 : Lorsqu'un événement initiateur est réparé, le système ne peut plus tomber en panne, quoi qu'il arrive. Approximation 1: When an initiating event is repaired, the system can no longer fail, whatever happens.
La méthode proposée dans cet article datant de 1994 repose donc sur une quantification des coupes minimales. Le Demandeur considère que la prise en considération de ces coupes minimales ne conduit pas à des résultats totalement satisfaisants. The method proposed in this article dating from 1994 is based on a quantification of minimum cuts. The Applicant considers that the consideration of these minimum cuts does not lead to totally satisfactory results.
Le procédé selon la présente invention vise à améliorer l'estimation proposée par J. Collet en rapprochant ce modèle du système réel. The method according to the present invention aims at improving the estimate proposed by J. Collet by bringing this model closer to the real system.
Ainsi, dans le cadre de la présente invention, le procédé proposé prend en compte les caractéristiques de l'ensemble des scenarii de défaillance pour améliorer la justesse des résultats. Thus, in the context of the present invention, the proposed method takes into account the characteristics of the set of failure scenarios to improve the accuracy of the results.
Dans ce cas, une définition conventionnelle des coupes n'est pas suffisante pour mettre en place cette méthode.  In this case, a conventional definition of the cuts is not sufficient to implement this method.
En premier lieu, il est d'une importance primordiale de distinguer les événements initiateurs des autres événements de base.  In the first place, it is of paramount importance to distinguish initiating events from other basic events.
Deuxièmement, une coupe minimale peut correspondre à une séquence ou plus du modèle dynamique. De ce fait, pour chaque événement de base dans une coupe minimale, il est nécessaire de trouver les autres événements de base, s'il y en a, qui sont nécessaires à son déclenchement.  Second, a minimal cut may correspond to one or more sequences of the dynamic model. Therefore, for each basic event in a minimum cut, it is necessary to find the other basic events, if any, that are necessary to trigger it.
La présente invention propose ainsi d'utiliser le même appareil mathématique que celui décrit ci-dessus en y introduisant en outre la notion « contenu minimal des séquences », ci-après dénommé CMS. The present invention thus proposes to use the same mathematical apparatus as that described above by introducing therein addition the notion "minimal content of the sequences", hereinafter referred to as CMS.
B. Postulat de travail concernant les systèmes à étudier : II est considéré au préalable que le système à étudier est cohérent et est spécifié par unB. Postulate of work concerning the systems to be studied: It is considered beforehand that the system to be studied is coherent and is specified by a
BDMP contenant des feuilles réparables, correspondant à des défaillances en fonctionnement et à la sollicitation (voir "A new formalism that combines advantages of fault-trees and Markov models: Boolean logic driven Markov Processes," Reliability Engineering and System Safety, vol. 82, pp. 149-163, 2003, M. BOUISSOU). BDMP containing repairable sheets, corresponding to malfunctions in operation and to stress (see "A new formalism that combines advantages of fault-trees and Markov models: Boolean logic driven Markov Processes," Reliability Engineering and System Safety, Vol 82, pp. 149-163, 2003, M. BOUISSOU).
L'avantage de partir d'un tel modèle est qu'il a une définition mathématique complète.  The advantage of starting from such a model is that it has a complete mathematical definition.
Habituellement, les systèmes étudiés sont très redondants. La plupart du temps, de tels systèmes fonctionnent parfaitement (tous les composants normaux fonctionnent), et de temps en temps un incident a lieu (défaillance d'un composant normal). Alors, le fonctionnement du système repose sur les composants de secours. Usually, the studied systems are very redundant. Most of the time, such systems work perfectly (all normal components work), and occasionally an incident occurs (failure of a normal component). So, the operation of the system relies on the backup components.
Le temps moyen pour réparer un composant en panne (MTTR) est généralement bien inférieur au temps moyen avant sa défaillance, si bien que la probabilité qu'un composant en panne soit réparé avant qu'un autre composant, qui le remplace, tombe en panne est assez élevée.  The average time to repair a failed component (MTTR) is usually well below the average time to failure, so the likelihood of a failed component being repaired before another component, which replaces it, breaks down. is quite high.
Cependant, un accident (la défaillance du système entier) reste possible.  However, an accident (the failure of the entire system) remains possible.
Toutes les trajectoires, ou défaillances successives de composants, ayant pour résultat la défaillance du système ou un retour à un état de fonctionnement parfait sont relativement rapides : leur durée est la somme de plusieurs MTTRs qui sont plutôt courts.  All the trajectories, or successive failures of components, resulting in system failure or a return to a perfect operating state are relatively fast: their duration is the sum of several MTTRs which are rather short.
Si l'on considère un tel système sur un temps important t, la durée de ces trajectoires est négligeable par rapport au temps passé dans l'état parfait.  If we consider such a system over a significant time t, the duration of these trajectories is negligible compared to the time spent in the perfect state.
Alors, sa défiabilité R (t) à un instant t peut être estimée avec la formule suivante :  Then, its R (t) at a moment t can be estimated with the following formula:
R (t) < 1 - exp(-Apt)  R (t) <1 - exp (-Apt)
où A est la fréquence d'incidents (la somme des taux de toutes les transitions sortant de l'état initial) et p est la probabilité que les incidents mènent à un accident avant que le système ne retourne à un état parfait. where A is the frequency of incidents (the sum of the rates of all transitions leaving the initial state) and p is the probability that the incidents lead to an accident before the system returns to a perfect state.
Cette formule correspond à ce que l'on appelle l'approximation SRI (« Sans Retour à l'état Initial »).  This formula corresponds to what is called the SRI approximation ("Without Return to Initial State").
C. Imylémentation de la méthode I&AB : C. Imylation of the I & AB method:
L'objet de la présente invention consiste donc en un procédé, dénommé Initiator & AU Barriers" ou I&AB, qui est un perfectionnement de l'approche proposée par J. Collet. The object of the present invention is therefore a process, called Initiator & AU Barriers or I & AB, which is an improvement of the approach proposed by J. Collet.
Comme illustré en figure 12, le système industriel à étudier, noté INS, est donc un système industriel dynamique et complexe comprenant une pluralité de composants S; (i étant un nombre entier positif). Il peut s'agir par exemple d'une centrale nucléaire. As illustrated in FIG. 12, the industrial system to be studied, denoted INS, is therefore a dynamic and complex industrial system comprising a plurality of components S; (i being a positive integer). It can be for example a nuclear power station.
Les composants Si de ce système INS sont réparables, dépendants les uns des autres et présentent chacun des paramètres de fiabilité parmi les trois suivants :  The components Si of this system INS are repairable, dependent on each other and each have reliability parameters among the following three:
un taux de défaillance en fonctionnement λ,,  a failure rate in operation λ ,,
- un taux de défaillance à la sollicitation γΐ5 et a failure rate at the load γ ΐ 5 and
un taux de réparation μ;. Les principales étapes du procédé selon l'invention sont décrites ci-dessous (voir également en figure 11) : a repair rate μ ; . The main steps of the process according to the invention are described below (see also FIG. 11):
Lors d'une étape de construction S_l, on construit à partir des composants S; un modèle dynamique représentatif du système INS en tenant compte des dépendances entre les composants Sj. During a construction step S_l, one builds from the components S; a dynamic model representative of the INS system taking into account the dependencies between the components Sj.
De préférence, pour réaliser cette étape de construction S_l, on combine à partir des composants S; des fonctions booléennes avec des processus de Markov pour construire un modèle du type BDMP.  Preferably, to carry out this construction step S11, the components S are combined; Boolean functions with Markov processes to build a model like BDMP.
Le Demandeur précise ici que la construction d'un tel BDMP peut être réalisée par un utilisateur à l'aide d'un module informatique 10.  The Applicant specifies here that the construction of such a BDMP can be performed by a user using a computer module 10.
Ce module peut être par exemple l'outil KB3. On comprendra ici que l'utilisation d'autres outils informatiques prévus à cet effet pourra également être envisagée pour construire ce BDMP.  This module can be for example the KB3 tool. It will be understood here that the use of other computer tools provided for this purpose may also be considered to build this BDMP.
Considérons dans un exemple que le système est composé de trois composants SI, S2, et S3, avec des taux de défaillance et de réparation constants (λ, = 10-4/h et μ; = 0.1/h).  Consider in an example that the system is composed of three components SI, S2, and S3, with constant failure and repair rates (λ, = 10-4 / h and μ; = 0.1 / h).
La logique de défaillance d'un tel système est décrite par un BDMP illustré en figure The failure logic of such a system is described by a BDMP shown in FIG.
2. A la lecture de cette figure 2, on peut comprendre que, dans un état dit parfait, le composant SI est opérationnel et les composants S2 et S3 sont en attente. 2. When reading this FIG. 2, it can be understood that, in a state called perfect, the component S1 is operational and the components S2 and S3 are waiting.
Dès que le composant SI tombe en panne, le composant S2 commence à fonctionner ; il peut donc tomber en panne.  As soon as the SI component fails, the component S2 begins to operate; it can therefore break down.
Lorsque les composants SI et S2 sont en panne, c'est le composant S3 qui les remplace. De la même façon, S3 peut lui aussi à son tour tomber en panne.  When the SI and S2 components are down, the S3 component replaces them. In the same way, S3 can also break down.
Il en résulte que la seule trajectoire possible résultant dans l'événement sommet est la suite des défaillances de SI, S2 et S3.  As a result, the only possible trajectory resulting in the vertex event is the result of the failures of SI, S2 and S3.
On notera ici qu'alternativement, il est également possible de construire un modèle classique du type EPS composé d'arbres d'événements et d'arbres de défaillances. It will be noted here that alternatively, it is also possible to construct a classical model of the EPS type composed of event trees and failure trees.
Le graphe d'états de la figure 3 décrit le comportement du système. The state graph of Figure 3 describes the behavior of the system.
Dans cette figure, les caractères en gras sont utilisés pour des composants en fonctionnement et les caractères normaux sont utilisés pour des composants en attente. De la même façon, les chiffres avec barres indiquent les composants en panne. In this figure, bold characters are used for components in operation, and normal characters are used for pending components. In the same way, the numbers with bars indicate the failed components.
Dans cet exemple, il n'y a qu'un seul composant en fonctionnement dans chaque état. In this example, there is only one component running in each state.
Ce graphe de Markov prend en compte les réparations de tous les composants et, par conséquent, le fait que le système peut revenir à plusieurs reprises dans l'état parfait pendant le temps de la mission. This Markov graph takes into account the repairs of all components and, therefore, the fact that the system can repeatedly return to the perfect state during the mission time.
Lors d'une étape S_2, un module informatique de génération 20, encore appelé générateur d'arbres, génère à partir dudit modèle un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d'un état normal à un état de défaillance.  During a step S_2, a generation computer module 20, also called tree generator, generates from said model a single fault tree representative of failure scenarios of the components that can lead said system from a normal state to a state of failure.
Ce module 20 permet ainsi de générer à partir du BDMP l'ensemble des scénarii de défaillances possibles pour le système.  This module 20 thus makes it possible to generate from the BDMP the set of possible failure scenarios for the system.
La transformation d'un BDMP en un arbre de défaillances sera décrite en détails dans le chapitre « Transformation d'un BDMP en un arbre de défaillances ».  The transformation of a BDMP into a fault tree will be described in detail in the chapter "Transformation of a BDMP into a fault tree".
Le Demandeur précise ici qu'il est également prévu de générer cet arbre de défaillances à l'aide de l'outil informatique KB3. De la même façon, d'autres outils informatiques pourront également être envisagés.  The Applicant specifies here that it is also planned to generate this fault tree using the computer tool KB3. In the same way, other computer tools can also be considered.
Il est ensuite prévu une étape de détermination S_3 au cours de laquelle le module informatique de traitement 30 recherche à partir dudit arbre de défaillances un contenu minimal des séquences, dit CMS. There is then provided a determination step S_3 during which the processing computer module 30 looks for from said fault tree a minimum content of the sequences, said CMS.
Le CMS comprend une liste de produits minimaux c se présentant sous la forme d'une combinaison de composants Si et comprenant, pour chaque produit minimal, un unique événement initiateur ei et un nombre m de défaillances en fonctionnement ou à la sollicitation (m étant ici un nombre entier positif).  The CMS comprises a list of minimal products c in the form of a combination of components Si and comprising, for each minimal product, a single initiating event ei and a number m of failures in operation or at the request (m being here a positive integer).
Dans l'exemple du système ayant trois composants avec des redondances passives, le In the example of the system having three components with passive redundancies, the
CMS ne comprend qu'un seul produit minimal {Sl_ rat, S2, S3}. CMS has only one minimal product {Sl_ rat, S2, S3}.
On notera ici que le suffixe « _init » permet de distinguer l'initiateur, ici SI.  It will be noted here that the suffix "_init" makes it possible to distinguish the initiator, here SI.
Le Demandeur soumet que les règles dans la base de connaissances du BDMP sont façonnées afin de créer un arbre de défaillances dont les coupes minimales correspondent au CMS du modèle dynamique. The Applicant submits that the rules in the BDMP knowledge base are fashioned to create a fault tree whose minimum cuts correspond to the CMS of the dynamic model.
Le chapitre « Contenu Minimal des Séquences ou CMS » ci-dessous donne une définition complète de ce qu'on entend ici par CMS au sens de la présente invention. Le procédé prévoit ensuite une étape d'estimation S_4 de la défiabilité R (t) du système à un instant t sur la base des produits minimaux du CMS. The chapter "Minimal Content of Sequences or CMS" below gives a complete definition of what is meant here by CMS in the sense of the present invention. The method then provides an estimation step S_4 of the system R (t) defiability at a time t based on the minimum products of the CMS.
Cette estimation S_4 réalisée par un module informatique d'estimation 40 (programmé par exemple en Python) en fonction du taux de défaillance de chaque événement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant. This estimation S_4 carried out by an estimation computer module 40 (programmed for example in Python) as a function of the failure rate of each initiating event ei and the sum p ei of the failure probabilities obtained for the k minimum products corresponding thereto.
Les calculs d'estimation seront donnés plus en détails dans le chapitre « Technique de calcul dans le cas général ». The estimation calculations will be given in more detail in the chapter "Calculation technique in the general case".
On notera que, pour une meilleure efficacité des calculs, il est souhaitable de combiner les étapes S_3 et S_4 au sein d'un algorithme unique de recherche et de quantification des produits minimaux. Il est ainsi possible d'éliminer les produits minimaux de probabilité inférieure à un seuil que l'on se fixe, ce qui fait gagner du temps de calcul et de la place en mémoire.  It should be noted that, for a better efficiency of the calculations, it is desirable to combine the steps S_3 and S_4 within a single algorithm for finding and quantifying the minimum products. It is thus possible to eliminate the minimal products of probability lower than a threshold that one fixes, which saves computation time and place in memory.
D. Transformation d'un BDMP en un arbre de défaillances : D. Transformation of a BDMP into a fault tree:
Considérons un système dynamique de composants réparables. Consider a dynamic system of repairable components.
On sait que certains des composants du système peuvent avoir des défaillances en fonctionnement, le reste à la sollicitation. It is known that some of the components of the system may have failures in operation, the rest at the solicitation.
Le BDMP correspondant comprend donc les types de feuilles suivants : The corresponding BDMP thus includes the following types of sheets:
1) Feuille de type F associée à un composant qui peut tomber en panne avec un taux λ pendant son fonctionnement et être réparé avec un taux μ. 1) F type sheet associated with a component that can fail with a rate λ during its operation and be repaired with a rate μ.
2) Feuille de type / associée à un composant qui peut tomber en panne avec une probabilité de défaillance instantanée à la sollicitation γ et être réparé avec un taux μ. 2) Type / component type sheet that can fail with an instantaneous failure probability at the bias γ and be repaired with a rate μ.
Chaque événement initiateur du BDMP original est associé à deux feuilles caractérisées par les paramètres suivants: Feuille E . γ = 1, λ = 0, μ = μέ, Each initiating event of the original BDMP is associated with two sheets characterized by the following parameters: Sheet E. γ = 1, λ = 0, μ = μ έ ,
Feuille F . γ = 0, λ = Xit μ = μ^. Sheet F. γ = 0, λ = X it μ = μ ^.
Une telle attribution de deux feuilles à chaque événement initiateur permet de traiter le même événement de base en tant qu'initiateur ou bien en tant que défaillance en  Such an allocation of two sheets to each initiating event makes it possible to treat the same basic event as an initiator or as a failure in
fonctionnement ordinaire. ordinary operation.
Ainsi, la structure de sous arbre pour remplacer un événement initiateur doit contenir les deux types de feuilles.  Thus, the subtree structure to replace an initiating event must contain both types of sheets.
En outre, cette structure doit répondre à deux conditions :  In addition, this structure must meet two conditions:
1) un produit minimal ne peut contenir qu'un seul événement initiateur ;  1) a minimum product may contain only one initiating event;
2) un produit minimal ne peut pas contenir deux feuilles des types E et F, liées au même événement initiateur.  2) a minimum product can not contain two sheets of types E and F, related to the same initiating event.
Ces deux conditions sont satisfaites dans la sous-arborescence suivante :  Both conditions are met in the following subtree:
ev. init. i→ (βι ET NON ev. init. sauf i) OU (F£ ET ev. init. sauf V), où ev. init. i → (βι AND NOT ev.initial except i) OR (F £ AND ev.initial except V), where
ev. init. sauf i = Ei OU E2 OU ... OU Et_x OU Ei+1 OU ... OU Ek. Les autres composants du système, non liés à des événements initiateurs, restent inchangés (feuilles de type F ou i). ev. init. except i = E i OR E 2 OR ... OR E t _ x OR E i + 1 OR ... OR E k . The other components of the system, not related to initiating events, remain unchanged (type F or i sheets).
E. Définitions : Contenu Minimal des Séquences ou CMS : E. Definitions: Minimum Content of Sequences or CMS:
Définition 1: Formellement, un automate fini déterministe ou DFA (pour « Deterministic Finite Automaton ») est un quintuple (S,∑, T, s, A) dont les éléments sont: Definition 1: Formally, a deterministic finite automaton (DFA) is a quintuple (S, Σ, T, s, A) whose elements are:
• un ensemble d'états (S),  A set of states (S),
• un alphabet (∑),  • an alphabet (Σ),
• une fonction de transition (T: S x∑— > S),  A transition function (T: S xΣ-> S),
• un état de départ (s G S),  • a starting state (s G S),
• un ensemble d'états acceptants (A c S).  • a set of accepting states (A c S).
L'automate DFA permet de décider pour toute suite de symboles pris dans l'alphabet si cette suite est acceptable ou non (on dit aussi : si la suite de symboles appartient ou non au langage défini par l'automate). The DFA automaton makes it possible to decide for any sequence of symbols taken in the alphabet whether this sequence is acceptable or not (it is also said: whether the sequence of symbols belongs to the language defined by the automaton or not).
Dans l'invention, ce concept est appliqué à la recherche de séquences menant un système de son état initial à un état cible. Avec les notations données ci-dessus, nous pouvons associer S à l'ensemble des états du système, les transitions T aux événements (panne, réparation, etc.) qui constituent l'alphabet∑, et A à l'état cible du système. In the invention, this concept is applied to the search for sequences leading a system from its initial state to a target state. With the notations given above, we can associate S with all the states of the system, the transitions T with the events (breakdown, repair, etc.) which constitute the alphabet, and A with the target state of the system .
Dans le cadre de la présente invention, nous nous intéressons aux séquences qui mènent à la première entrée dans un état cible.  In the context of the present invention, we are interested in sequences that lead to the first entry into a target state.
Le DFA est donc ici défini pour accepter des séquences dont la dernière transition fait entrer le système dans son état cible pour la première fois.  The DFA is here defined to accept sequences whose last transition brings the system into its target state for the first time.
Définition 2 : Une séquence sans boucle est une séquence qui ne passe pas deux fois par le même état du DFA. Dans un DFA, le nombre de séquences sans boucle est fini. Definition 2: A sequence without a loop is a sequence that does not pass twice by the same state of the DFA. In a DFA, the number of sequences without a loop is finite.
Définition 3 : Une séquence minimale est une séquence acceptable telle que si l'on retire un sous-ensemble non vide quelconque des transitions de la séquence, on obtient une séquence refusée par le DFA. Definition 3: A minimal sequence is an acceptable sequence such that if any non-empty subset of the transitions of the sequence is removed, a sequence refused by the DFA is obtained.
Les séquences minimales possèdent deux propriétés évidentes :  The minimal sequences have two obvious properties:
1) toute séquence minimale est sans boucle, et  1) any minimal sequence is without a loop, and
2) toute séquence acceptée par le DFA contient au moins une séquence minimale.  2) any sequence accepted by the DFA contains at least one minimal sequence.
Définition 4 : Soit x£ une variable Booléenne associée au symbole i de l'alphabet∑ du DFA G. La projection de la séquence w (acceptée par le G) sur∑ est la fonction Booléenne :Definition 4: Let x £ be a Boolean variable associated with the symbol i of the alphabetΣ of the DFA G. The projection of the sequence w (accepted by the G) onΣ is the Boolean function:
Figure imgf000019_0001
Figure imgf000019_0001
Cette fonction est un moyen de représenter le sous-ensemble des symboles de∑ qui figurent dans la séquence w. Elle indique si une transition apparaît dans w ou non, mais pas combien de fois. This function is a means of representing the subset of the symbols ofΣ that appear in the sequence w. It indicates if a transition appears in w or not, but not how many times.
Il est à noter que les séquences ne différant que par l'ordre selon lequel les transitions se succèdent ont la même projection.  It should be noted that the sequences differing only in the order in which the transitions follow each other have the same projection.
Sur la base des notions introduites ci-dessus, on peut formuler la définition d'un contenu minimal des séquences. Définition 5 : Le contenu minimal des séquences ou CMS du DFA G est la fonction On the basis of the concepts introduced above, it is possible to formulate the definition of a minimal content of the sequences. Definition 5: The minimal content of the sequences or CMS of the DFA G is the function
Booléenne définie comme la somme des projections des séquences minimales ; par conséquent, il prend la forme : Boolean defined as the sum of the projections of the minimal sequences; therefore, it takes the form:
MCS(G) = ^ TI (W) = ^ xi> MCS (G) = ^ TI (W) = ^ x i>
weSG weSG iew  weSG weSG iew
où SG est l'ensemble des séquences minimales du DFA. where SG is the set of minimal sequences of DFA.
Cette fonction est monotone et peut donc être représentée de manière canonique par une somme de produits minimaux (l'équivalent de ce que l'on appelle les coupes minimales pour un arbre de défaillances).  This function is monotonous and can therefore be canonically represented by a sum of minimal products (the equivalent of what are called minimum cuts for a fault tree).
Considérons l'exemple de la figure 1 dans laquelle on dispose d'un système avec deux composants en parallèle, 1 et 2, alimentés par une alimentation électrique commune c.  Consider the example of Figure 1 in which there is a system with two components in parallel, 1 and 2, fed by a common power supply c.
Dans cette figure 1, /£ et rt sont la défaillance et la réparation du composant i, respectivement, et fc est la défaillance de la source de courant. In this figure 1 / £ r and t are the failure and repair of the component i, respectively, and f c is the failure of the current source.
Dans cet exemple, on a donc trois séquences minimales : (fc), 1, /2), et (f2, fi), les deux dernières ayant la même projection. In this example, therefore, there are three minimum sequences: (f c), 1, / 2), and (f 2, fi), the last two having the same projection.
Ici, le contenu minimal des séquences ou CMS est :  Here, the minimal content of the sequences or CMS is:
/C + (A - /2) + (/2 - A) = /c + (/l - /2)- / C + (A - / 2) + (/ 2 - A) = / c + (/ l - / 2 ) -
Le Demandeur soumet que les définitions données ci-dessus figurent dans l'article « Détermination efficace de scenarii minimaux de défaillance pour des systèmes séquentiels » par M. BOUISSOU, 15ème colloque de fiabilité et maintenabilité, Lille, 2006. F. Technique de calcul dans le cas général The Applicant submits that the definitions given above appear in the article "Effective Determination of Minimum Failure Scenarios for Sequential Systems" by Mr. BOUISSOU, 15th Colloquium on Reliability and Maintainability, Lille, 2006. F. Calculation technique in the general case
Dans ce chapitre, nous allons établir une formule pour la défiabilité R(t) d'un système dans le cas général, quand il contient des composants avec des défaillances aussi bien en fonctionnement qu'à la sollicitation. In this chapter, we will establish a formula for the R (t) defiability of a system in the general case, when it contains components with failures both in operation and solicitation.
Supposons ici qu'il y a n événements initiateurs ei qui peuvent faire sortir le système de son état parfait. Suppose here that there are n initiating events which can bring the system out of its perfect state.
Alors, selon la formule ci-dessus, la défiabilité R(t) du système à un instant t peut être estimée selon la formule suivante :  Then, according to the formula above, the system R (t) at a moment t can be estimated according to the following formula:
K (t) < 1 - exp(- t∑n ei=1 eipei) où Xei est le taux de défaillance de l'événement initiateur ei et pei est la somme des probabilités obtenues pour les k produits minimaux lui correspondant. K (t) <1 - exp (- tΣ n ei = 1 ei p e ) where X ei is the failure rate of the initiating event ei and p ei is the sum of the probabilities obtained for the k minimal products corresponding to it.
Dans les calculs suivants, on peut distinguer deux intervalles de temps :  In the following calculations, two time intervals can be distinguished:
le premier intervalle de temps correspond à la mission : c'est l'instant t. le deuxième intervalle de temps est infini (noté∞) et commence une fois que l'événement initiateur ei a eu lieu.  the first time interval corresponds to the mission: it is the instant t. the second time interval is infinite (noted) and begins once the initiating event ei has taken place.
Ainsi, la probabilité que tous les composants dans un produit minimal c tombent en panne à l'intérieur de l'intervalle de temps [0,∞) est la défiabilité à l'infini d'un système parallèle fait de ces composants.  Thus, the probability that all components in a minimal product c will fail within the time interval [0, ∞) is the infinite defiability of a parallel system made of these components.
On notera cette défiabilité Rc (∞) . We will note this defiability R c (∞).
Il est tout à fait possible d'estimer la probabilité pei en fonction de la somme des défiabilités à l'infini Rc (°°) des k produits minimaux : It is quite possible to estimate the probability p ei as a function of the sum of the infinite defabilities R c (°°) of the k minimal products:
k  k
pei≤^ RC ~(∞). p ei ≤ ^ R C ~ (∞).
c=l  c =
Considérons d'abord un cas où un produit minimal ne contient pas de défaillance à la sollicitation.  Consider first a case where a minimum product does not contain a failure to the solicitation.
Les caractéristiques de fiabilité d'un événement de base sont les suivantes :  The reliability characteristics of a basic event are as follows:
l'indisponibilité Q (t est la probabilité qu'un composant soit dans un état de défaillance à un instant t ;  the unavailability Q (t is the probability that a component is in a state of failure at a time t;
l'intensité de défaillance inconditionnelle W(t) est telle que W(t)At est le nombre moyen de défaillances d'un composant entre t et t + At.  the unconditional failure intensity W (t) is such that W (t) Δt is the average number of failures of a component between t and t + Δt.
Selon le type d'un événement de base, ces quantités Q (t) et W(t) sont données par les expressions suivantes :  Depending on the type of a base event, these quantities Q (t) and W (t) are given by the following expressions:
Evénement initiateur :  Initiating event:
Q (t) = θχρ (-μί) W(t = 0  Q (t) = θχρ (-μί) W (t = 0
Défaillance en fonctionnement : Failure in operation:
Q ) = ^ [1 - exp(- (À + μ)ί)] W(t) = λ(ΐ - Q (t)) Dans la mesure où l'on considère qu'il n'y a pas de défaillance à la sollicitation, on a :  Q) = ^ [1 - exp (- (A + μ) ί)] W (t) = λ (ΐ - Q (t)) Since we consider that there is no failure at the request, we have:
Rc~ (t) < Ec (N (t) ) équation (1 ) Rc ~ (t) <E c (N (t)) equation (1)
où le nombre moyen de défaillances du produit minimal c contenant (m + 1) événements de base dans l'intervalle [0, t] prend la forme suivante en termes d'indisponibilités et d'intensités de défaillance inconditionnelle : Ec (N(t)) = Qg W
Figure imgf000022_0001
where the average number of minimum product failures c containing (m + 1) basic events in the interval [0, t] takes the following form in terms of unavailability and intensity of unconditional failure: E c (N (t)) = Q g W
Figure imgf000022_0001
Ainsi, la probabilité pei pour passer de l'état où le système est juste après l'événement initiateur ei à l'état de défaillance est estimée par : Thus, the probability p ei to go from the state where the system is right after the initiating event ei to the failure state is estimated by:
k  k
Pei ≤ Ec (N (∞)) . Pe ≤ E c (N (∞)).
C = l  C = l
On peut également introduire la notion de « taux de défaillance équivalent », noté λ, est une quantité souvent utilisée dans les EPS, on a alors :
Figure imgf000022_0002
We can also introduce the notion of "equivalent failure rate", noted λ, is an amount often used in EPS, we then:
Figure imgf000022_0002
Ensuite, la défiabilité R(t) du système à l'instant t est déterminée comme suit : Then, the system R (t) defiability at time t is determined as follows:
R it) < 1 - exp(- Àe(?t). R it) <1 - exp (- To e (? T).
Intéressons-nous maintenant au cas général, quand un système contient à la fois des défaillances en fonctionnement et à la sollicitation. Let us now consider the general case, when a system contains both failures in operation and solicitation.
Il est maintenant supposé qu'un composant tombé en panne à la sollicitation peut être réparé une fois. Après une telle réparation, le système passe dans un état absorbant.  It is now assumed that a component that has failed at the request can be repaired once. After such repair, the system goes into an absorbing state.
Outre un événement initiateur et m défaillances en fonctionnement, le produit minimal c contient également l événements de base correspondant à des défaillances à la sollicitation.  In addition to an initiating event and m malfunctions in operation, the minimum product c also contains the basic events corresponding to solicitation failures.
La probabilité Prc que le produit minimal c conduise à l'événement sommet est donnée par : The probability Pr c that the minimum product c leads to the peak event is given by:
Prc = r(top = vrai | tous les compsants i tombent en panne à t = 0, i = 1, ... , l) Pr c = r (top = true | all compsants i fail at t = 0, i = 1, ..., l)
1 X Pr(top = vrai | au moins un des composants i démarre à t = 0, i = 1, ... , l).
Figure imgf000022_0003
1 X Pr (top = true | at least one of the components i starts at t = 0, i = 1, ..., l).
Figure imgf000022_0003
La probabilité que l'événement sommet soit vrai étant donné qu'au moins l'un des l composants fonctionne est égale à zéro, donc seul le premier terme reste. La défiabilité pour le produit minimal c peut être estimée à partir de équation (1) ci- dessus, où l'espérance mathématique Ec du nombre de défaillances N(t) à un instant t prend la forme suivante :
Figure imgf000023_0001
The probability that the vertex event is true since at least one of the components is working is zero, so only the first term remains. The defeasibility for the minimal product c can be estimated from equation (1) above, where the mathematical expectation E c of the number of failures N (t) at a time t takes the following form:
Figure imgf000023_0001
Reprenons maintenant l'exemple décrit précédemment avec un système comprenant trois composants S I, S2 et S3 avec des redondances passives pour appliquer la défiabilité du système. Let us now return to the example described above with a system comprising three components S I, S2 and S3 with passive redundancies to apply the system's defiability.
Pour mémoire, dans cet exemple, la défaillance du composant S I est le seul événement initiateur possible. For the record, in this example, the failure of the component S I is the only initiating event possible.
Si l'on reprend la formule pour l'estimation de la défiabilité R (t) d'un système à un instant t, on a :  If we use the formula for the estimation of the R (t) degradability of a system at a time t, we have:
R (t) ≤ 1 - exp (-Apt)  R (t) ≤ 1 - exp (-Apt)
où le paramètre Λ est ici égal à λι et p est la probabilité qu'à partir de l'état (SI, S2, S3) à t = 0 le système passe à l'état de défaillance (SI, S2, S3) dans l'intervalle [0,∞) . where the parameter Λ is here equal to λι and p is the probability that from the state (SI, S2, S3) to t = 0 the system goes to the state of failure (SI, S2, S3) in the interval [0, ∞].
Si le sommet de l'arbre de défaillance correspondant prend la valeur VRAI au temps t, cela signifie que le composant S I n'est pas encore réparé à cet instant et que les composantsIf the vertex of the corresponding failure tree takes the value TRUE at time t, it means that component S I is not yet repaired at this time and that the components
52 et S3 sont déjà tombés en panne. 52 and S3 have already broken down.
Pour obtenir p dans cet exemple, il suffit ici de déterminer la défiabilité R-^ (∞) pour un système constitué de trois composants indépendants avec les caractéristiques suivantes :  To obtain p in this example, it is sufficient here to determine the unreliability R- ^ (∞) for a system consisting of three independent components with the following characteristics:
S I : γ = 1, λ = 0, μ = μι ; SI: γ = 1, λ = 0, μ = μ ι;
S2: γ = 0, λ = λ2, μ = μ2; S2: γ = 0, λ = λ 2 , μ = μ 2 ;
S3: γ = 0, λ = λ3, μ = μ3- On suppose que l'événement initiateur (une défaillance de S I) se produit à t = 0. S3: γ = 0, λ = λ 3 , μ = μ 3 - Assume that the initiating event (a failure of SI) occurs at t = 0.
L'évolution temporelle du système ne dépend uniquement que des composants S2 et The temporal evolution of the system depends only on the components S2 and
53 et de la réparation de S I . 53 and the repair of S I.
Dans cet exemple, pour éviter un calcul coûteux basé sur une chaîne de Markov, nous utilisons l'approximation de Murchland :  In this example, to avoid an expensive calculation based on a Markov chain, we use the Murchland approximation:
Â^(t) < Pr(top = vrai à t = 0) + £" (N(t)). Le premier terme de l'équation ci-dessus est nul parce qu'il n'y a pas de défaillance à la sollicitation de S2 ou S3. Â ^ (t) <Pr (top = true at t = 0) + £ " (N (t)). The first term of the equation above is zero because there is no failure in the solicitation of S2 or S3.
L'espérance mathématique du nombre des défaillances N(t) du système dans l'intervalle de temps [0, t] est donnée par :
Figure imgf000024_0001
où λι est le taux de défaillance du composant i et Pt représente la probabilité d'un état critique, i.e. un état à partir duquel une seule transition peut mener à l'événement indésirable. The expected number of system failures N (t) in the time interval [0, t] is given by:
Figure imgf000024_0001
where λι is the failure rate of the component i and P t represents the probability of a critical state, ie a state from which a single transition can lead to the undesirable event.
L'indépendance des événements de base après un événement initiateur implique que, dans de tels états, tous les composants sauf un sont en panne.  The independence of basic events after an initiating event implies that, in such states, all but one component fails.
La sommation est effectuée sur tous les éléments dans le seul produit minimal c, à l'exclusion de l'initiateur.  The summation is performed on all elements in the only minimal product c, excluding the initiator.
Dans cet exemple, les états d'intérêt sont (SI, S2, S3) et (SI, S2, S3) .  In this example, the states of interest are (SI, S2, S3) and (SI, S2, S3).
On a donc :  So we have :
dE(N(x))  dE (N (x))
= θχρ(-μι χ) (λ2 (ΐ - Ç2 (x))Ç3 W + λ3(ΐ - Ç3(x))Ç2(*))> = θ χ ρ (- μι χ ) (λ 2 (ΐ - 2 2 (x)) 3 3 W + λ 3 (ΐ - 3 3 (x)) 2 2 (*))>
dx  dx
où Qi est l'indisponibilité du composant i et Qi(x) = exp(— μ χ) est l'indisponibilité de l'initiateur. where Qi is the unavailability of the component i and Qi (x) = exp (- μ χ) is the unavailability of the initiator.
Dans cet exemple, la défiabilité du système est donc estimée selon la formule suivante : In this example, the system's defiability is estimated according to the following formula:
Figure imgf000024_0002
Figure imgf000024_0002
G. Mise en œuyre du calcul de la défiabilité du système G. Implementation of the calculation of the system's defiability
Les principales étapes pour le calcul de la défiabilité du système sont les suivantes The main steps for calculating the system's defiability are as follows
1- Lecture des fichiers d'entrée. 1- Reading input files.
Il y a deux fichiers d'entrée. L'un d'eux contient les noms et les paramètres de fiabilité de tous les composants dans le système étudié. Cette information est supposée être stockée sous la forme de chaînes de caractères au format suivant :  There are two input files. One of them contains the names and the parameters of reliability of all the components in the studied system. This information is supposed to be stored as strings in the following format:
law composant GLM 0.0 1.0E-4 0.1 ;  law component GLM 0.0 1.0E-4 0.1;
Les trois derniers éléments d'une telle chaîne sont les valeurs de la probabilité à la sollicitation γ, du taux de défaillance λ, et du taux de réparation μ. Le deuxième fichier d'entrée stocke le contenu minimal des séquences. La liste de produits minimaux (un par ligne) se présente selon le format suivant : The last three elements of such a chain are the values of the bias probability γ, the failure rate λ, and the repair rate μ. The second input file stores the minimal content of the sequences. The list of minimum products (one per line) is in the following format:
composant _1 , composant _2, ... ,composant_n  component _1, component _2, ..., component_n
2- Affectation des valeurs de paramètres à chaque élément d'un produit minimal, avec une discrimination entre l'événement initiateur ei, les défaillances en fonctionnement, et les défaillances à la sollicitation. 2- Assignment of parameter values to each element of a minimal product, with discrimination between initiator event ei, malfunctions during operation, and solicitation failures.
3- Calcul de l'espérance mathématique £" c (N (t))du nombre de défaillances N(t)pour chaque produit minimal c. 3- Calculation of the expected £ "c (N (t)) of the number of failures N (t) for each minimal product c.
4- Calcul de la défiabilité R (t) du système à un instant t et du taux de défaillance équivalent Xeq . 4- Calculation of the system R (t) defiability at time t and the equivalent failure rate X eq .
On notera ici que ces différentes phases pour le calcul de la défiabilité du système sont mises en œuvre par le module informatique 40. It will be noted here that these different phases for calculating the system's defiability are implemented by the computer module 40.
Pour calculer la défiabilité du système, il existe plusieurs approches dont la principale différence réside dans la façon de calculer les probabilités pei utilisées dans l'approximation :
Figure imgf000025_0001
To calculate the unreliability of the system, there are several approaches that the main difference lies in how to calculate the probability p ei used in the approximation:
Figure imgf000025_0001
Selon une première approche, on utilise une intégration numérique de l'espérance mathématique du nombre de défaillances qui est réalisée en utilisant la méthode d'intégration par trapèzes.  According to a first approach, a numerical integration of the mathematical expectation of the number of failures is performed using the trapezoid integration method.
L'avantage de cette méthode est qu'elle permet éventuellement de limiter la borne d'intégration à la valeur que l'on souhaite. Cela permet de réintroduire si nécessaire la notion de temps de scrutation en plus de la prise en compte des réparations.  The advantage of this method is that it can possibly limit the integration terminal to the desired value. This makes it possible to reintroduce if necessary the notion of polling time in addition to the consideration of the repairs.
On a donc :  So we have :
Çcj ( ) dx
Figure imgf000025_0002
Ç c j () dx
Figure imgf000025_0002
j≠i j≠i {N(t ) = QcJ (x) d
Figure imgf000026_0001
ij ≠ i ≠ j {N (t) = Q cJ (x) d
Figure imgf000026_0001
J≠l  J ≠ l
Une deuxième approche tire avantage des expressions analytiques données dans le chapitre ci-dessous. A second approach takes advantage of the analytic expressions given in the chapter below.
H. Formules analytiques pour l'espérance mathématique du nombre de défaillances H. Analytical formulas for the expected number of failures
Considérons d'abord le cas où le produit minimal c est composé d'un événement initiateur ei et de m défaillances en fonctionnement. Consider first the case where the minimal product c is composed of an initiating event ei and m malfunctions in operation.
Alors, en utilisant la définition de l'intensité de défaillances inconditionnelle W(t) , on peut réécrire la formule ci-dessus comme suit :  Then, using the definition of the unconditional intensity of failures W (t), we can rewrite the formula above as follows:
t m m  t m m
Ec {N (t)) = j θχρ(- με ^χ) ^ WCii {x) QcJ (x) dx E c {N (t)) = j θ χ ρ (- μ ε ^ χ) ^ W Cii {x) Q cJ (x) dx
0 t=l j=l 0 t = lj = l
j≠i  i ≠ j
t m m u 1=1 J=l  t m m u 1 = 1 J = l
j≠i  i ≠ j
Dans la suite, pour des raisons de compréhension, nous omettons la notation « c », en sous-entendant que l'espérance mathématique £" c (N(t))du nombre de défaillances N(t)est appliquée au produit minimal c, et nous procédons à une intégration jusqu'à l'infini, ainsi qu'il est dit dans la méthode I&AB. In the following, for reasons of understanding, we omit the notation "c" by implying that the expected £ "c (N (t)) of the number of failures N (t) is applied to the minimum product c , and we proceed to an integration to infinity, as it is said in the method I & AB.
Nous obtenons alors :  We then get:
Figure imgf000026_0002
Figure imgf000026_0002
dans laquelle η est égal à la somme des taux de défaillance et de réparation. Chaque intégrant comprend un produit de fonctions qui peut être représenté de la façon suivante : where η is equal to the sum of the failure and repair rates. Each integrator includes a product of functions that can be represented as follows:
Figure imgf000027_0001
Figure imgf000027_0001
Par conséquent, après l'intégration de 0 à l'infini, on obtient une série alternée dont chaque terme, à son tour, est une somme de fractions. Par exemple, la deuxième intégrale conduit à  Therefore, after the integration of 0 to infinity, we obtain an alternating series of which each term, in turn, is a sum of fractions. For example, the second integral leads to
p m u ;=i  p m u; = i
1 « ∑ i=l « + n +∑ i=l∑>i βί + + r J; i=l _/>i k>_/' J \ i=l / 1 "Σ i = l" + n + Σ i = lΣ> i β ί + + r J ; i = l _ / > i k> _ / ' J \ i = l /
La première intégrale est calculée de la même façon, la seule différence est que l'on doit exclure l'élément courant i du produit.  The first integral is calculated in the same way, the only difference being that the current element i of the product must be excluded.
Supposons maintenant que le produit minimal c contient à la fois des défaillances en fonctionnement et des défaillances à la sollicitation (en nombre l).  Suppose now that the minimal product c contains both operational failures and solicitation failures (in number l).
Rappelons que l'espérance mathématique du nombre de défaillances dans ce cas est décrite par la formule :
Figure imgf000027_0002
Recall that the mathematical expectation of the number of failures in this case is described by the formula:
Figure imgf000027_0002
Afin d'obtenir l'expression analytique correspondante, on remplace μίβ dans In order to obtain the corresponding analytic expression, we replace μ ίβ in
Y équation (2) par : Y equation (2) by:
i  i
Vie + ^ V-i  Life + ^ V-i
t = l  t = l
et de prendre en compte le produit des probabilités instantanées γ.. and take into account the product of instantaneous probabilities γ ..
Ces formules analytiques peuvent sembler complexes ; le demandeur soumet toutefois qu'elles permettent de réduire considérablement le temps de traitement par rapport à une intégration numérique, tout en améliorant la précision. En tant qu'une illustration, retournons à l'exemple du système comprenant trois composants dans lequel il n'y a qu'un seul événement initiateur ei et un seul produit minimal qui lui correspond. These analytic formulas may seem complex; however, the Applicant submits that they significantly reduce processing time compared to digital integration, while improving accuracy. As an illustration, let us return to the example of the three-component system in which there is only one initiating event ei and one minimal product corresponding to it.
Dans cet exemple, nous pouvons immédiatement écrire la formule analytique pour le taux de défaillance équivalent Xeq : In this example, we can immediately write the analytic formula for the equivalent failure rate X eq :
Figure imgf000028_0001
Figure imgf000028_0001
λιλ2— (— ) + — (— ) λιλ 2 - (-) + - (-)
r3
Figure imgf000028_0002
J r 3
Figure imgf000028_0002
J
Un tel calcul est très facile à réaliser. Such a calculation is very easy to perform.
/. Exemples de mise en œuyre /. Examples of implementation
Dans la suite, nous considérons plusieurs exemples de complexité croissante. In the following, we consider several examples of increasing complexity.
Dans ces exemples, le taux de défaillance de tous les composants est égal à 10"4h_1 ; les valeurs des probabilités de défaillance à la sollicitation et des taux de réparation sont variées. In these examples, the failure rate of all components is 10 -4 h -1 , the values of the probabilities of solicitation failure and repair rates are varied.
1) Exemple 1 - Système de pompage avec une voie de secours : 1) Example 1 - Pumping system with an escape route:
Ce premier exemple permet de mettre en évidence l'importance de la prise en compte des gâchettes dans la génération du CMS. This first example makes it possible to highlight the importance of taking into account triggers in the generation of the CMS.
Dans cet exemple, on suppose qu'un système de pompage comprend une pompe principale Cl et une voie de secours avec deux pompes en parallèle, C2 et C3, reliées en série à une pompe C4 qui fonctionne seulement à une température déterminée. Dans cet exemple, on suppose également que l'une des pompes en parallèle (par exemple C3) fournit l'eau de refroidissement à C4. De ce fait, une défaillance de C3 provoque immédiatement une défaillance de C4 (supposée non-réparable) en raison de l'absence de refroidissement. In this example, it is assumed that a pumping system comprises a main pump C1 and an emergency route with two pumps in parallel, C2 and C3, connected in series with a pump C4 which operates only at a predetermined temperature. In this example, it is also assumed that one of the pumps in parallel (for example C3) supplies the cooling water to C4. As a result, a failure of C3 immediately causes a C4 failure (assumed to be unrepairable) due to the lack of cooling.
Le BDMP correspondant à un tel système est illustré en figure 4.  The BDMP corresponding to such a system is illustrated in FIG.
Selon la méthode I&AB présentée dans le cadre de la présente demande, les défaillances de tous les composants après un événement initiateur ei sont indépendantes, ce qui est équivalent à un modèle sans la gâchette inférieure. According to the I & AB method presented in the present application, the failures of all components after an initiating event ei are independent, which is equivalent to a model without the lower trigger.
Les coupes minimales de ce BDMP, obtenues en tenant compte uniquement de la structure de l'arbre, sans les gâchettes sont donc :  The minimum cuts of this BDMP, obtained taking into account only the structure of the tree, without the triggers are:
{ Cljtnit, C2_failF, C3_failF}, { Cljtnit, C4_failF}, et { Cljinit, C4_lack_of_cooling_faill}  {Cljtnit, C2_failF, C3_failF}, {Cljtnit, C4_failF}, and {Cljinit, C4_lack_of_cooling_faill}
Le suffixe « _init » permet de distinguer clairement l'événement initiateur des autres défaillances (« _failF » or « _faill »). The suffix "_init" clearly distinguishes the initiating event from other failures ("_failF" or "_faill").
Cependant, l'arbre de défaillances généré prend la gâchette inférieure en compte. Le CMS dudit modèle prend donc la forme suivante :  However, the generated fault tree takes the lower trigger into account. The CMS of this model thus takes the following form:
(Cljnit, C2JailF, C3JailF} + (Cljnit, C4JailFJ + (Cljnit, C2JailF, C3JailF} + (Cljnit, C4JailFJ +
{ Cljtnit, C3_failF, C4_lack_of_cooling_faill}. {Cljtnit, C3_failF, C4_lack_of_cooling_faill}.
La présence de l'élément « C3_faïlF » dans le troisième produit minimal est simplement une conséquence du fait que, dans notre modèle, une défaillance de C4 par suite de l'absence de refroidissement n'est possible qu'après une défaillance de C3.  The presence of the element "C3_faïlF" in the third minimal product is simply a consequence of the fact that, in our model, a failure of C4 due to the absence of cooling is possible only after a failure of C3.
Comparons maintenant le taux de défaillance équivalent obtenu en utilisant les coupes minimales et le contenu minimal des séquences dans le cadre de la méthode I&AB à celui calculé par une méthode classique. Let us now compare the equivalent failure rate obtained by using the minimum cuts and the minimum content of the sequences in the framework of the I & AB method to that calculated by a conventional method.
Dans les calculs, la probabilité de défaillance à la sollicitation pour la feuille « C4_lack_of_cooling » est égale à 1 afin de modéliser une défaillance immédiate de C4 après la perte de refroidissement. Dans le cas de l'utilisation des coupes minimales, {Cljnit, C4_lack_of_cooling_faïll] comprend comme seul événement de base (en dehors de l'initiateur) - la défaillance à la sollicitation de « C4_lack_of_cooling ». On obtient donc : Rc(∞) = 1 et Xeq est principalement déterminé par le taux de défaillance de l'événement initiateur (Xie = 10~4 h"1), ce qui crée une grande différence avec la réalité dans les résultats. In the calculations, the probability of failure at the request for the sheet "C4_lack_of_cooling" is equal to 1 in order to model an immediate failure of C4 after the loss of cooling. In the case of the use of the minimal cuts, {Cljnit, C4_lack_of_cooling_faïll] understands as only basic event (outside the initiator) - the failure to the solicitation of "C4_lack_of_cooling". We thus obtain: R c (∞) = 1 and X eq is mainly determined by the failure rate of the initiating event (X ie = 10 ~ 4 h "1 ), which creates a big difference with the reality in the results.
Au contraire, l'application des produits minimaux des séquences dans la méthode I&AB nous permet d'obtenir des résultats de calculs plus proches de la réalité.  On the contrary, the application of the minimal sequence products in the I & AB method allows us to obtain results of calculations closer to reality.
Les résultats de ces calculs figurent dans le tableau de la figure 5.  The results of these calculations are shown in the table in Figure 5.
2) Exemple 2 - Système électrique avec une voie de secours : 2) Example 2 - Electrical system with an escape route:
Considérons maintenant un deuxième exemple avec un système d'alimentation pour un jeu de barres électrique. Now consider a second example with a power system for an electric busbar.
Au début, le système est alimenté par un réseau (la voie normale) connecté par l'intermédiaire d'un disjoncteur CBl. Une alimentation auxiliaire du jeu de barre est fournie par un générateur diesel (la voie de secours) connecté par l'intermédiaire d'un disjoncteur CB2.  At the beginning, the system is powered by a network (the normal channel) connected via a CBl circuit breaker. An auxiliary power supply to the busbar is provided by a diesel generator (the emergency route) connected via a CB2 circuit breaker.
Si le réseau tombe en panne, une ouverture automatique de CBl et une fermeture automatique subséquente de CB2 sont lancées. Le générateur diesel fournit le jeu de barres jusqu'à ce qu'il tombe en panne ou que le réseau soit réparé.  If the network goes down, an automatic opening of CB1 and a subsequent automatic closing of CB2 are started. The diesel generator supplies the busbar until it breaks down or the network is repaired.
Des défaillances simultanées du réseau et du générateur diesel aboutissent à l'événement indésirable.  Simultaneous failures of the grid and diesel generator result in the adverse event.
Le BDMP pour ce système électrique est représenté sur la figure 6.  The BDMP for this electrical system is shown in Figure 6.
Une possible ouverture intempestive de CBl est aussi incluse dans la voie normale. A possible unintentional opening of CBl is also included in the normal way.
Les autres incidents éventuels liés à la commutation automatique (un refus d'ouverture de CBl et un refus de fermeture de CB2) sont compris dans la voie de secours. Other possible incidents related to automatic switching (a refusal to open CBl and a refusal to close CB2) are included in the escape route.
Le générateur diesel présente deux modes de défaillance : à la sollicitation et en fonctionnement.  The diesel generator has two failure modes: on demand and in operation.
Physiquement, la tentative d'ouverture de CBl est suivie par la tentative de fermeture de CB2, qui elle-même est suivie par la tentative de démarrage du générateur diesel.  Physically, the attempt to open CBl is followed by the attempt to close CB2, which itself is followed by the attempt to start the diesel generator.
Par ailleurs, une ouverture intempestive de CBl exclut la possibilité d'un refus de son ouverture ; ce fait est modélisé par une gâchette inversée entre CBl_IO et CBl_RO.  In addition, an untimely opening of CBl excludes the possibility of a refusal of its opening; this fact is modeled by an inverted trigger between CBl_IO and CBl_RO.
Dans la méthode I&AB, cette relation est prise en compte par l'élimination du produit minimal (CBlJOJnit, CBl _RO Jaill} . Le BDMP décrivant la logique d'un tel système est représenté en figure 6. In the I & AB method, this relation is taken into account by the elimination of the minimum product (CBlJOJnit, CBl _RO Jaill}. The BDMP describing the logic of such a system is shown in Figure 6.
Le taux de défaillance équivalent du système pour différentes valeurs de paramètres μ et γ est présenté dans le tableau de la figure 7.  The equivalent system failure rate for different parameter values μ and γ is presented in the table of Figure 7.
Les mêmes valeurs de μ et γ sont prises pour tous les composants et ceux avec des défaillances à la sollicitation, respectivement.  The same values of μ and γ are taken for all components and those with solicitation failures, respectively.
Les résultats obtenus avec les méthodes de quantification classiques pour le modèle dynamique sont en bon accord avec ceux obtenus avec I&AB-a pour le modèle intermédiaire, notamment dans le cas le plus plausible (μ = 0.1 h"1 et γ = 10~4). The results obtained with classical quantization methods for the dynamic model are in good agreement with those obtained with I & AB-a for the intermediate model, especially in the most plausible case (μ = 0.1 h -1 and γ = 10 -4 ). .
La plus grande différence relative entre les résultats est 14%.  The biggest relative difference between the results is 14%.
3) Exemple 3 - Alimentation 6.6 kV secourue : 3) Example 3 - 6.6 kV power supply:
Ce troisième exemple concerne un système d'alimentation des jeux de barres 6.6 kV secourus dans une centrale nucléaire. This third example concerns a feeding system for 6.6 kV busbars rescued in a nuclear power plant.
Un tel système est illustré en figure 8.  Such a system is illustrated in FIG.
Dans un tel système, les jeux de barres jouent un rôle crucial dans la sûreté de la centrale, car ils alimentent des systèmes de contrôle-commande et des composants nécessaires pour refroidir le cœur. Donc, ils sont alimentés avec beaucoup de redondance.  In such a system, busbars play a crucial role in the safety of the plant, as they power control systems and components needed to cool the core. So, they are powered with a lot of redundancy.
Dans une situation normale, ils prélèvent une certaine puissance de la sortie de la centrale par le transformateur de soutirage TS.  In a normal situation, they take a certain power from the output of the plant by the withdrawal transformer TS.
Lorsque la centrale ne produit pas, c'est le réseau qui alimente le système par la ligne principale.  When the plant does not produce, it is the network that feeds the system through the main line.
En cas de perte de la ligne principale, une autre prend le relais.  In case of loss of the main line, another takes over.
Lorsque que, à partir de l'état normal, une perte du réseau se produit, une autoalimentation de la centrale peut être essayée, grâce à un fonctionnement dit « en îlotage ».  When, from the normal state, a loss of the network occurs, a self-powering of the plant can be tried, thanks to a so-called "islanding" operation.
Enfin, en tant que dernier recours, deux générateurs diesel sont disponibles.  Finally, as a last resort, two diesel generators are available.
Ce système est à la fois reconfigurable et réparable, avec un risque de défaillance des reconfigurations (le refus d'ouverture ou de fermeture des disjoncteurs). This system is both reconfigurable and repairable, with a risk of failure reconfigurations (the refusal opening or closing circuit breakers).
Le BDMP pour un modèle simplifié de ce système est donné dans la figure 9.  The BDMP for a simplified model of this system is given in Figure 9.
L'événement indésirable de l'arbre de défaillance est une perte simultanée des jeux de barres LHA et LHB. Chacun des quatre jeux de barres LGD, LGF, LHA et LHB, pris en compte dans ce modèle, peut tomber en panne à cause d'un court-circuit ou cesser d'être alimenté. The undesirable event of the failure tree is a simultaneous loss of the LHA and LHB busbars. Each of the four LGD, LGF, LHA and LHB busbars, considered in this model, may fail due to a short circuit or stop being energized.
Il y a deux façons différentes pour les alimenter, numérotées 1 et 2.  There are two different ways to feed them, numbered 1 and 2.
C'est seulement lorsque l'alimentation 1 n'est pas disponible que les disjoncteurs basculent vers l'alimentation 2.  It is only when the power supply 1 is not available that the circuit breakers switch to the power supply 2.
Le chemin normal qui alimente un jeu de barres X peut être perdu à la suite d'une ouverture intempestive du disjoncteur de ce chemin (l'événement de base noté « IO_CB_Xl ») ; son secours peut être perdu soit pendant une reconfiguration parce que le disjoncteur correspondant refuse de se fermer (l'événement de base noté « RC_CB_X2 »), soit plus tard par son ouverture intempestive (l'événement de base noté « IO_CB_X2 »).  The normal path that feeds a busbar X may be lost as a result of unintentional opening of the circuit breaker of this path (the basic event noted "IO_CB_Xl"); its help can be lost either during a reconfiguration because the corresponding circuit-breaker refuses to close (the basic event noted "RC_CB_X2"), or later by its untimely opening (the basic event noted "IO_CB_X2").
Chaque diesel peut tomber en panne soit au démarrage soit pendant son fonctionnement.  Each diesel can fail either at startup or during operation.
Des défaillances de cause commune sont également modélisées, à la fois au démarrage et pendant le fonctionnement.  Common cause failures are also modeled, both at startup and during operation.
Dans le cas d'un démarrage simultané des deux générateurs diesel, plusieurs événements de base changent de mode simultanément.  In the case of a simultaneous start of the two diesel generators, several basic events change mode simultaneously.
Dans la figure 9, les liens en pointillés sont utilisés pour imposer l'ordre de prise en compte des événements.  In Figure 9, the dashed links are used to dictate the order of consideration of events.
La feuille « demandjCCF _DG » est considérée au début.  The sheet "requestjCCF _DG" is considered at the beginning.
Si l'événement correspondant ne passe pas à vrai, des défaillances indépendantes à la sollicitation des générateurs diesel sont possibles.  If the corresponding event does not go to true, independent failures to solicit diesel generators are possible.
Enfin, dans une voie où tout s'est bien passé, la fermeture du disjoncteur est tentée. Dans ce modèle, chaque composant a ses propres valeurs de paramètres.  Finally, in a way where everything went well, the closing of the breaker is attempted. In this model, each component has its own parameter values.
Deux modes de défaillance du réseau, correspondant à des temps de réparation court et long, sont pris en considération.  Two modes of network failure, corresponding to short and long repair times, are taken into consideration.
Avec les défaillances de longue durée du réseau, les défaillances à la sollicitation jouent un rôle négligeable par rapport aux défaillances en fonctionnement.  With long-term network failures, solicitation failures play a negligible role compared to failures in operation.
Le taux de défaillance équivalent du système est donné dans le tableau de la figure 10 selon que les défaillances à long terme sont conservées dans le modèle ou non.  The equivalent system failure rate is given in the table of Figure 10 depending on whether long-term failures are retained in the model or not.
Les résultats obtenus avec les méthodes de quantification classiques et avec la méthode I&AB sont en bon accord. En résumé : The results obtained with classical quantification methods and with the I & AB method are in good agreement. In summary :
Comme expliqué dans le chapitre A ci-dessus, l'objet de l'invention se présente comme un perfectionnement de la méthode proposée par l'article "de l'étude de systèmes dynamiques par des méthodes booléennes" rédigé par J. Collet.  As explained in chapter A above, the object of the invention is presented as an improvement of the method proposed by the article "of the study of dynamical systems by Boolean methods" written by J. Collet.
Les perfectionnements apportés par la présente invention visent notamment les aspects suivants :  The improvements provided by the present invention include the following aspects:
1) la prise en compte des défaillances à la sollicitation;  1) taking into account deficiencies in the solicitation;
2) l'utilisation du CMS au lieu des coupes minimales;  2) the use of CMS instead of minimal cuts;
3) la modélisation des défaillances de cause commune;  3) modeling of common cause failures;
4) l'établissement des formules analytiques pour l'espérance mathématique du nombre de défaillances d'un produit minimal. 4) the establishment of analytical formulas for the mathematical expectation of the number of failures of a minimal product.
La méthode I&AB proposée ici dans le cadre de la présente invention permet ainsi d'élargir le nombre des systèmes qui peuvent être traités : des systèmes complexes avec plusieurs milliers de composants peuvent ainsi être étudiés.  The I & AB method proposed here in the context of the present invention thus makes it possible to expand the number of systems that can be processed: complex systems with several thousand components can thus be studied.
Les exemples traités dans le chapitre I mettent en évidence que les résultats obtenus par la méthode proposée ici dans le cadre de l'invention sont très proches de ceux obtenus pour un modèle dynamique.  The examples treated in Chapter I show that the results obtained by the method proposed here in the context of the invention are very close to those obtained for a dynamic model.
Par ailleurs, l'utilisation des expressions analytiques définies dans le chapitre H permet de réduire de façon significative les temps de traitement et de calcul et d'en améliorer la précision.  In addition, the use of the analytical expressions defined in chapter H significantly reduces the processing and calculation times and improves their accuracy.
Du point de vue qualitatif, il est intéressant pour les analystes d'obtenir un ensemble de produits minimaux avec des événements initiateurs identifiés plutôt qu'un plus grand nombre de séquences, comme cela est le cas quand un BDMP est quantifié avec les méthodes classiques.  From a qualitative point of view, it is interesting for analysts to obtain a set of minimal products with identified initiator events rather than a larger number of sequences, as is the case when a BDMP is quantized with conventional methods.
Un domaine d'application privilégié de la méthode I&AB concerne l'estimation de la sûreté et de la sécurité des centrales nucléaires. Comme déjà expliqué précédemment, d'autres domaines d'application pourront également être envisagés dans le cadre de la présente invention.  A prime area of application of the I & AB method concerns the estimation of the safety and security of nuclear power plants. As already explained above, other fields of application may also be envisaged in the context of the present invention.
Le demandeur soumet que la méthode I&AB proposée dans le cadre de la présente invention apporte une précision des résultats améliorés notamment grâce au fait que le temps de scrutation n'est plus nécessaire par suite de la possibilité de prendre en compte des temps de réparation réels.  The applicant submits that the I & AB method proposed in the context of the present invention provides a precision of the improved results, in particular because the scanning time is no longer necessary because of the possibility of taking into account real repair times.
Il devra être observé que cette description détaillée porte sur un exemple de réalisation particulier de la présente invention, mais qu'en aucun cas cette description ne revêt un quelconque caractère limitatif à l'objet de l'invention ; bien au contraire, elle a pour objectif d'ôter toute éventuelle imprécision ou toute mauvaise interprétation des revendications qui suivent. It should be observed that this detailed description relates to a particular embodiment of the present invention, but in no case does this description take any limiting character to the subject of the invention; on the contrary, its purpose is to remove any imprecision or misinterpretation of the claims that follow.
Il devra également être observé que les signes de références mis entre parenthèses dans les revendications qui suivent ne présentent en aucun cas un caractère limitatif ; ces signes ont pour seul but d'améliorer l'intelligibilité et la compréhension des revendications qui suivent ainsi que la portée de la protection recherchée.  It should also be observed that the reference signs in parentheses in the following claims are in no way limiting in nature; these signs are only intended to improve the intelligibility and understanding of the claims that follow as well as the scope of the protection sought.
On remarque qu'en écho aux applications listées ci-dessus, avantageusement, le procédé selon l'invention comprend une étape au cours de laquelle on intervient sur le système en réponse à l'analyse menée, en particulier à l'étape S_4. Par exemple, lors de cette intervention, on intervient sur le système pour en modifier la configuration et/ou le fonctionnement.  It is noted that, in echo with the applications listed above, advantageously, the method according to the invention comprises a step during which one intervenes on the system in response to the analysis carried out, in particular in step S_4. For example, during this intervention, we intervene on the system to change the configuration and / or operation.
Par exemple, la modification de la configuration du système inclut au moins un élément parmi : une modification de l'agencement relatif de composants qu'il comprend, le remplacement ou la réparation d'au moins un composant, l'ajout d'au moins un composant, la suppression d'au moins un composant.  For example, the modification of the system configuration includes at least one of: a modification of the relative arrangement of components that it comprises, the replacement or repair of at least one component, the addition of at least one a component, the removal of at least one component.
La modification du fonctionnement du système inclut par exemple la modification d'au moins un de ses paramètres de fonctionnement, pouvant notamment correspondre à une mise à l'arrêt du système.  The modification of the operation of the system includes, for example, the modification of at least one of its operating parameters, which can in particular correspond to a shutdown of the system.
On remarque qu'il peut alternativement ou parallèlement comprendre la détermination d'un schéma de fonctionnement du système incluant un ou plusieurs états du système à observer en réponse à la vérification d'au moins une condition portant typiquement sur le système, et le pilotage du système en fonction de ce schéma, notamment de façon à ce que le système passe dans l'état correspondant en réponse à la vérification de la ou les conditions associées. Ce schéma comprend avantageusement un état correspondant à un état à l'arrêt du système. La modification du fonctionnement envisagée ci-dessus correspond par exemple au basculement du système dans un état du schéma de fonctionnement.  Note that it can alternatively or in parallel include the determination of a scheme of operation of the system including one or more states of the system to be observed in response to the verification of at least one condition typically bearing on the system, and the steering of the system. system according to this scheme, in particular so that the system goes into the corresponding state in response to the verification of the or the associated conditions. This scheme advantageously comprises a state corresponding to a state at shutdown of the system. The modification of the operation envisaged above corresponds, for example, to the switching of the system into a state of the operating diagram.
On remarque que le procédé peut intervenir dans le cadre de la conception d'un système. Dans ce contexte, avantageusement, le procédé comprend une étape au cours de laquelle on construit ou on modifie un schéma de conception du système en fonction du résultat de l'analyse menée, et on construit le système selon ce schéma de conception. Ce schéma inclut par exemple des éléments de redondances d'éléments du système déterminés en fonction du résultat de l'analyse menée. Au vu de ces éléments, de manière générale, le procédé comprend avantageusement une étape au cours de laquelle on modifie la configuration ou le fonctionnement du système en fonction de l'étape S4, on pilote au moins temporairement le système selon un schéma de fonctionnement déterminé en tout ou partie à partir de l'analyse menée, et/ou on modifie un schéma de conception du système en fonction de l'analyse menée et on fabrique tout ou partie du système en fonction dudit schéma de conception. It is noted that the method can intervene in the context of the design of a system. In this context, advantageously, the method comprises a step during which a system design scheme is constructed or modified according to the result of the analysis conducted, and the system is constructed according to this design scheme. This scheme includes, for example, elements of redundancies of elements of the system determined according to the result of the analysis conducted. In view of these elements, in general, the method advantageously comprises a step during which the configuration or operation of the system is modified as a function of step S4, the system is at least temporarily piloted according to a determined operating diagram in whole or in part from the analysis conducted, and / or modifies a system design scheme based on the analysis conducted and manufactures all or part of the system according to said design scheme.

Claims

REVENDICATIONS
Procédé d'estimation de la fiabilité d'un système industriel (INS) comprenant une pluralité de composants (Si) réparables, dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont notamment un taux de défaillance λί et un taux de réparation μ;, Method for estimating the reliability of an industrial system (INS) comprising a plurality of repairable components (Si), dependent on each other and each presenting determined reliability parameters including in particular a failure rate λ ί and a failure rate repair μ;,
ledit procédé mis en œuvre par des moyens informatiques comportant les étapes suivantes : said method implemented by computer means comprising the following steps:
- une étape de construction (S_l) à partir desdits composants (Si) d'un modèle dynamique du système (INS) en tenant compte des dépendances entre lesdits composants (Si) ; - a construction step (S_l) from said components (Si) of a dynamic model of the system (INS) taking into account the dependencies between said components (Si);
- une étape de génération - a generation step
(S_2) à partir dudit modèle d'un unique arbre de défaillances représentatif des scénarii de défaillance des composants (Si) pouvant conduire ledit système d'un état normal à un état de défaillance ; (S_2) from said model of a single fault tree representative of the failure scenarios of the components (Si) capable of leading said system from a normal state to a failure state;
- une étape de détermination - a determination step
(S_3) d'un contenu minimal des séquences, dit CMS, à partir des coupes minimales dudit arbre de défaillances, ledit CMS comprenant une liste de produits minimaux c se présentant sous la forme d'une combinaison de composants (Si) et comprenant, pour chaque produit minimal, un unique événement initiateur, noté ici ei, et m défaillances en fonctionnement ou à la sollicitation, m étant un nombre entier positif ; (S_3) of a minimal content of the sequences, called CMS, from the minimum cuts of said fault tree, said CMS comprising a list of minimal products c in the form of a combination of components (Si) and comprising, for each minimal product, a single initiating event, denoted here ei, and m failures in operation or upon request, m being a positive integer;
- une étape d'estimation - an estimation step
(S_4) de la défiabilité R (t) dudit système à un instant t en fonction du taux de défaillance λεί de chaque événement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant. (S_4) of the defiability R (t) of said system at a time t as a function of the failure rate λ εί of each initiating event ei and the sum p ei of the failure probabilities obtained for the k minimum products corresponding to it.
Procédé selon la revendication 1, dans lequel, lors de l'étape de construction (S_l), le modèle est un modèle du type BDMP basé sur des fonctions booléennes et processus de Markov associés aux composants (Si) du système. Method according to claim 1, in which, during the construction step (S_l), the model is a BDMP type model based on Boolean functions and Markov processes associated with the components (Si) of the system.
Procédé selon la revendication 1, dans lequel, lors de l'étape de construction (S_l), le modèle est un modèle du type EPS composé d'arbres d'événements et d'arbres de défaillances. Procédé selon l'une quelconque des revendications 1 à 3, dans lequel l'estimation de la défiabilité R (t) dudit s lon la formule suivante :
Figure imgf000037_0001
Method according to claim 1, in which, during the construction step (S_l), the model is an EPS type model composed of event trees and fault trees. Method according to any one of claims 1 to 3, in which the estimation of the defiability R (t) of said s according to the following formula:
Figure imgf000037_0001
5. Procédé selon l'une quelconque des revendications 1 à 4, comprenant une estimation de la probabilité de défaillance pei dudit système suite à un événement initiateur ei en fonction de la somme de la défiabilité Rc (°°) à l'infini de chacun des k produits minimaux c appartenant au CMS et contenant ledit événement initiateur ei, ladite estimation étant calculée selon la formule suivante :
Figure imgf000037_0002
5. Method according to any one of claims 1 to 4, comprising an estimate of the probability of failure p ei of said system following an initiating event ei as a function of the sum of the defiability R c (°°) to infinity of each of the k minimal products c belonging to the CMS and containing said initiating event ei, said estimate being calculated according to the following formula:
Figure imgf000037_0002
6. Procédé selon la revendication 5, dans lequel la somme de la défiabilité Rc (∞) à l'infini de chacun des k produits minimaux est estimée par l'espérance mathématique Ec du nombre de défaillances N pour chaque produit minimal c. 6. Method according to claim 5, in which the sum of the defiability R c (∞) at infinity of each of the k minimal products is estimated by the mathematical expectation E c of the number of failures N for each minimal product c.
7. Procédé selon la revendication 6, 7. Method according to claim 6,
dans lequel l'espérance mathématique Ec du nombre de défaillances N pour chaque produit minimal c est déterminée en fonction des intensités de défaillance inconditionnelles Wi (t) et des indisponibilités Qt (t) des composants (Si), in which the mathematical expectation E c of the number of failures N for each minimal product c is determined as a function of the unconditional failure intensities Wi (t) and the unavailabilities Qt (t) of the components (Si),
l'intensité de défaillance inconditionnelle Wi (t) étant telle que I ^ (t)At est le nombre moyen de défaillances d'un composant (Si) entre les instants t et t+Δί, et l'indisponibilité Q; (t) étant la probabilité qu'un composant (Si) soit dans un état de défaillance à un instant t. the unconditional failure intensity Wi (t) being such that I ^ (t)At is the average number of failures of a component (Si) between times t and t+Δί, and the unavailability Q; (t) being the probability that a component (Si) is in a failure state at a time t.
8. Procédé selon la revendication 7, dans lequel l'intensité de défaillance inconditionnelle Wi (t) et l'indisponibilité Q; (t) de chacun des composants (Si) sont fonction desdits taux de défaillance Xi et de réparation μ;, 8. Method according to claim 7, wherein the unconditional failure intensity Wi (t) and the unavailability Q; (t) of each of the components (Si) are a function of said failure rates Xi and repair μ ; ,
9. Procédé selon la revendication 7 ou 8, dans lequel, selon le type d'un événement de base, l'intensité de défaillance inconditionnelle Wi (t) et l'indisponibilité Qt (t) sont données par les expressions suivantes : 9. Method according to claim 7 or 8, in which, depending on the type of a basic event, the unconditional failure intensity Wi (t) and the unavailability Qt (t) are given by the following expressions:
événement initiateur : initiating event:
Figure imgf000038_0001
Figure imgf000038_0001
défaillance en fonctionnement : failure in operation:
Α;; Α ;;
10. Procédé selon l'une quelconque des revendications 7 à 9, dans lequel l'espérance mathématique Ec (N(t)) du nombre de défaillances N dans l'intervalle de temps [0, t] pour chaque produit minimal c est calculée selon la formule suivante : 10. Method according to any one of claims 7 to 9, in which the mathematical expectation E c (N(t)) of the number of failures N in the time interval [0, t] for each minimal product c is calculated according to the following formula:
l t m m l t mm
Ec {N {t ) = YYc>i j e- ^eix e-x∑J= ^J WCii (x) [ QCJ (x- dx E c {N {t ) = Y Yc>i j e- ^ei x e- x∑ J= ^JW Cii (x) [ Q CJ (x- dx
i=l 0 t=l j=l i=l 0 t=lj=l
j≠i j≠i
dans laquelle / est le nombre de défaillances à la sollicitation, et c i est le taux de défaillance à la sollicitation du composant (Si). in which / is the number of failures upon loading, and ci is the failure rate upon loading of the component (Si).
11. Procédé selon l'une quelconque des revendications 7 à 9, dans lequel, lorsque le produit minimal c ne contient qu'un événement initiateur ei et / défaillances à la sollicitation, l'espérance mathématique Ec (N{t)~) du nombre de défaillances N dans l'intervalle de temps [0, t] pour ledit produit minimal c est calculée selon la formule suivante : 11. Method according to any one of claims 7 to 9, in which, when the minimal product c only contains an initiating event ei and/failures upon request, the mathematical expectation E c (N{t) ~ ) of the number of failures N in the time interval [0, t] for said minimum product c is calculated according to the following formula:
i
Figure imgf000038_0002
 i
Figure imgf000038_0002
dans laquelle c i est le taux de défaillance à la sollicitation du composant (Si). in which ci is the failure rate when the component is loaded (Si).
12. Procédé selon l'une quelconque des revendications 7 à 11, dans lequel l'espérance mathématique £" c (iV(∞)) du nombre de défaillances N dans l'intervalle de temps [0,∞) pour un produit minimal c est calculée selon la formule suivante :
Figure imgf000039_0001
12. Method according to any one of claims 7 to 11, in which the mathematical expectation £ " c (iV(∞)) of the number of failures N in the time interval [0,∞) for a minimal product c is calculated according to the following formula:
Figure imgf000039_0001
dans laquelle Tj est égal à la somme des taux de défaillance et de réparation du composant (Sj) in which Tj is equal to the sum of the failure and repair rates of the component (S j )
avec les formules analytiques suivantes : with the following analytical formulas:
Figure imgf000039_0002
Figure imgf000039_0002
13. Programme d'ordinateur comportant des instructions adaptées pour l'exécution des étapes du procédé selon l'une quelconque des revendications 1 à 12 lorsque ledit programme d'ordinateur est exécuté par au moins un processeur. 13. Computer program comprising instructions adapted for the execution of the steps of the method according to any one of claims 1 to 12 when said computer program is executed by at least one processor.
14. Support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes du procédé selon l'une quelconque des revendications 1 à 12. 14. Computer-readable recording medium on which is recorded a computer program comprising instructions for executing the steps of the method according to any one of claims 1 to 12.
15. Utilisation du procédé d'estimation selon l'une quelconque des revendications 1 à 12 pour évaluer la sûreté et la sécurité d'une centrale nucléaire (INS). 15. Use of the estimation method according to any one of claims 1 to 12 to evaluate the safety and security of a nuclear power plant (INS).
16. Système informatique (100) d'estimation de la fiabilité d'un système industriel (INS) comprenant une pluralité de composants (Si) réparables dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont notamment un taux de défaillance constant et réparation μ;, 16. Computer system (100) for estimating the reliability of an industrial system (INS) comprising a plurality of repairable components (Si) dependent on each other and each presenting determined reliability parameters including in particular a constant failure rate and repair μ ; ,
ledit système (100) comportant : said system (100) comprising:
- un module informatique de modélisation (10) configuré pour construire un modèle dynamique du système tenant compte des dépendances entre les composants - a computer modeling module (10) configured to construct a dynamic model of the system taking into account the dependencies between the components
- une module informatique de génération (20) configuré pour générer à partir dudit modèle construit un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d'un état normal à un état de défaillance ; - a computer generation module (20) configured to generate from said constructed model a single fault tree representative of the component failure scenarios capable of leading said system from a normal state to a failure state;
- un module informatique de traitement (30) configuré pour déterminer à partir des coupes minimales dudit arbre de défaillances un contenu minimal des séquences, dit CMS, comprenant une liste de produits minimaux c se présentant sous la forme d'une combinaison de composants (Si) et comprenant, pour chaque produit minimal, un unique événement initiateur, noté ici ei, et m défaillances en fonctionnement ou à la sollicitation, m étant un nombre entier positif ; - a computer processing module (30) configured to determine from the minimum cuts of said fault tree a minimum content of the sequences, called CMS, comprising a list of minimal products c in the form of a combination of components (Si ) and comprising, for each minimal product, a single initiating event, denoted here ei, and m failures in operation or upon request, m being a positive integer;
- un module informatique d'estimation (40) configuré pour estimer la défiabilité R (t) dudit système (INS) à un instant t en fonction du taux de défaillance Àei de chaque événement initiateur ei et de la somme pei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant. - an estimation computer module (40) configured to estimate the defiability R (t) of said system (INS) at a time t as a function of the failure rate Àei of each initiating event ei and the sum p ei of the failure probabilities obtained for the k minimal products corresponding to it.
17. Système selon la revendication 16 comprenant des moyens informatiques configurés pour la mise en œuvre des étapes du procédé selon l'une quelconque des revendications 2 à 12. 17. System according to claim 16 comprising computer means configured for implementing the steps of the method according to any one of claims 2 to 12.
PCT/EP2016/079739 2015-12-03 2016-12-05 Estimating the reliability of an industrial system WO2017093560A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1561819 2015-12-03
FR1561819A FR3044787A1 (en) 2015-12-03 2015-12-03 ESTIMATING THE RELIABILITY OF AN INDUSTRIAL SYSTEM

Publications (2)

Publication Number Publication Date
WO2017093560A1 WO2017093560A1 (en) 2017-06-08
WO2017093560A9 true WO2017093560A9 (en) 2017-09-21

Family

ID=56321980

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/079739 WO2017093560A1 (en) 2015-12-03 2016-12-05 Estimating the reliability of an industrial system

Country Status (2)

Country Link
FR (1) FR3044787A1 (en)
WO (1) WO2017093560A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107783851A (en) * 2017-09-22 2018-03-09 北京航空航天大学 A kind of server cluster Steady temperature field geneva modeling method
CN107992451A (en) * 2017-11-24 2018-05-04 中核控制***工程有限公司 A kind of reactor protection system tripping method for calculating probability

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110598158B (en) * 2018-07-02 2023-03-24 长江勘测规划设计研究有限责任公司 Reliability evaluation method for underground nuclear power station seal isolation system
CN111291987A (en) * 2020-01-23 2020-06-16 广东电网有限责任公司计量中心 Method and device for predicting service life of mutual inductor
FR3107403B1 (en) * 2020-02-19 2023-01-13 Schneider Electric Ind Sas Determination of a state of reliability of an electrical network
CN113051747B (en) * 2021-03-19 2024-02-09 北京圣涛平试验工程技术研究院有限责任公司 Method and device for constructing aircraft reliability data asset model
CN113589780B (en) * 2021-06-30 2022-12-20 国网电力科学研究院武汉能效测评有限公司 Reliability analysis system and method of energy utilization control system based on component architecture
CN113589191B (en) * 2021-07-07 2024-03-01 郴州雅晶源电子有限公司 Power failure diagnosis system and method
CN114970090B (en) * 2022-04-15 2024-05-10 金华市鑫科家居有限公司 Intelligent home sensing system reliability analysis method based on competitive faults
CN114936466B (en) * 2022-06-06 2024-04-16 天津大学 Industrial bus-oriented online monitoring method
CN115310048B (en) * 2022-10-08 2023-01-03 中国人民解放军海军工程大学 Method and system for calculating repair probability of equipment in expected time

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107783851A (en) * 2017-09-22 2018-03-09 北京航空航天大学 A kind of server cluster Steady temperature field geneva modeling method
CN107783851B (en) * 2017-09-22 2020-06-02 北京航空航天大学 Markov modeling method for steady-state availability of server cluster
CN107992451A (en) * 2017-11-24 2018-05-04 中核控制***工程有限公司 A kind of reactor protection system tripping method for calculating probability

Also Published As

Publication number Publication date
FR3044787A1 (en) 2017-06-09
WO2017093560A1 (en) 2017-06-08

Similar Documents

Publication Publication Date Title
WO2017093560A9 (en) Estimating the reliability of an industrial system
Kwon et al. A fast post-training pruning framework for transformers
CA2826641C (en) Forecasting maintenance operations for an aircraft engine
FR2938676A1 (en) METHOD FOR RECOGNIZING SEQUENTIAL PATTERNS FOR METHOD OF PROCESSING FAULT MESSAGES
FR3091387A1 (en) Method for developing a method for compiling a quantum circuit on a quantum processor and such a method
FR2997774A1 (en) METHOD, DEVICE AND COMPUTER PROGRAM FOR PLACING TASKS IN A MULTI-HEART SYSTEM
EP3869285B1 (en) Determination of a reliability state of an electrical network
FR2910986A1 (en) Avionics system&#39;s operational reliability predicting method for aircraft, involves estimating terminals of probabilities from terminals estimated by initialization of probabilities and estimated terminals of failure probability
FR3098318A1 (en) Method for estimating a residual life of subject equipment
EP2864201B1 (en) Electric circuit for cutting off an electric power supply comprising transistors and fuses having redundant logic
EP2109979B1 (en) Method and device for connection management in a telecommunication network
EP3674996A1 (en) Method for the development of a method for compilation of a quantum circuit on a quantum processor and such a method
FR2958470A1 (en) METHOD OF ESTIMATING THE RELIABILITY OF AN ELECTRONIC CIRCUIT, COMPUTER SYSTEM AND CORRESPONDING COMPUTER PROGRAM PRODUCT
WO2022229135A1 (en) System for supervision of the operation and maintenance of industrial equipment
EP3729273B1 (en) System and method for formulating and executing fonctional tests for cluster de servers
WO2013050282A1 (en) Devices for learning and/or decoding sequential messages using a neural network, learning and decoding methods, and corresponding computer programs
FR2944117A1 (en) METHODS AND DEVICES FOR MANAGING EVENTS RELATING TO THE SAFETY OF COMPUTER AIRCRAFT SYSTEMS
FR2973131A1 (en) METHOD AND DEVICE FOR DETECTING INCOMPATIBILITIES OF LOGIC INTERFACES OF ONBOARD SYSTEM EQUIPMENT
Bousshoua et al. Reliability Analysis of Electrical Power System Analyse de la Fiabilité des Réseaux de Production-Transport d’Energie Electrique
Le Guyadec et al. Determination of the load factor of an industrial installation: application to the Silva process
FR3024788A1 (en) METHOD OF VERIFYING TRACEABILITY OF FIRST INSTRUCTIONS IN A PROCEDURAL PROGRAMMING LANGUAGE GENERATED FROM SECOND INSTRUCTIONS IN A MODELING LANGUAGE
EP1794685A2 (en) Device and method for a system analysis and diagnosis
EP2926277B1 (en) Method for the radiation hardening of an electronic circuit by partitioning
FR3101458A1 (en) Control of a software update deployment campaign on a fleet of devices
FR3125341A1 (en) Method for estimating the reliability of at least one safety system of a nuclear device

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16806074

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16806074

Country of ref document: EP

Kind code of ref document: A1