Domaine technique et art antérieur

L'objet de la présente invention concerne le domaine de la sûreté et de la sécurité des systèmes industriels complexes réparables.

L'objet la présente invention concerne plus particulièrement l'estimation de la sûreté et de la sécurité d'un système industriel complexe tel que par exemple une centrale nucléaire.

Un des objectifs de la présente invention est de fournir un outil permettant d'estimer avec une bonne précision et un minimum de temps de calcul la fiabilité d'un système industriel complexe réparable.

La présente invention trouve une application particulièrement avantageuse dans le domaine du nucléaire en permettant l'évaluation de la sûreté et de la sécurité d'une centrale nucléaire, notamment pour :

- l'optimisation de la conception de la centrale afin de décider du nombre de redondances à prévoir dans les systèmes de sûreté et de sécurité ;

l'évaluation des niveaux de risque de défaillance de la centrale en cours d'exploitation (« risk monitoring ») afin de déterminer les situations dans lesquelles il faut ou non arrêter la centrale ;

- l'estimation de l'augmentation du risque liée à certaines situations exceptionnelles

(comme par exemple l'indisponibilité longue durée d'un composant) afin de pouvoir obtenir de la part des autorités de sûreté compétentes les dérogations nécessaires pour continuer l'exploitation de la centrale. On pourra comprendre ici que d'autres applications avantageuses dans le monde industriel pourront également être envisageables dans le cadre de la présente invention, ceci sans pour autant sortir du champ de la protection recherchée.

Ainsi, la présente invention pourra trouver une application avantageuse dans la modélisation des centres de contrôle aérien, des aéroports, des réseaux ferrés, ou encore dans la modélisation des raffineries. Bien évidemment, il s'agit ici d'exemples d'applications possibles parmi d'autres.

Le Demandeur précise ici que la présente invention concerne principalement les systèmes qui sont réparables. On notera que la présente invention n'a pas d'intérêt pour estimer la sûreté d'un système non-réparable comme par exemple la sûreté d'un avion en vol ou d'un satellite.

On connaît dans le domaine de la sûreté et de la sécurité des centrales nucléaires plusieurs méthodes probabilistes visant à déterminer la probabilité associée à un accident dans une centrale nucléaire (par exemple la fusion du cœur de réacteur).

Les méthodes de calcul permettant d'aboutir à un résultat fiable pour évaluer le risque associé à un tel accident doivent nécessairement prendre en considération un très grand nombre de composants pour être aussi proche que possible de la réalité.

Idéalement, ces méthodes requièrent une détermination de tous les scénarii de défaillances possibles à partir des composants du système à étudier.

On comprend aisément que ces méthodes impliquent très souvent un temps de calcul très long et très coûteux d'un point de vue des ressources informatiques. II existe différentes approches qui s'emploient toutes à réduire ces temps de calcul, ceci tant pour des raisons économiques que pour des raisons sécuritaires.

Classiquement, les méthodes probabilistes utilisées pour estimer la fiabilité d'une centrale nucléaire utilisent des modèles du type arbres de défaillances et arbres d'événements.

Ces méthodes, également connues sous l'acronyme EPS (pour Etudes Probabiliste de

Sûreté), reposent sur des hypothèses simplificatrices et des approximations pour réduire les temps de calcul.

Dans ces méthodes, la plupart des dépendances entre les composants d'un système n'est pas prise en considération dans l'estimation.

De la même façon, les temps de réparation associés à chacun des composants du système ne sont pas pris en considération.

Pour pallier ces approximations, on introduit la notion de temps de scrutation.

Ce temps de scrutation peut se définir comme suit :

Si, après un événement initiateur faisant sortir la centrale nucléaire d'un état stable, la fusion du réacteur ne s'est pas produite avant ce temps de scrutation, il est alors communément convenu que la centrale reviendra rapidement à l'état initial.

D'après un consensus international adopté par l'ensemble des acteurs de l'industrie du nucléaire, la valeur universellement retenue pour ce temps de scrutation est 24 heures. Cette notion de temps de scrutation et la valeur retenue par la communauté scientifique peuvent paraître assez arbitraires et peu rigoureuses sur le plan mathématique.

On notera néanmoins que cette approche est la seule permettant jusqu'à présent de traiter efficacement les modèles prenant en considération plusieurs milliers de défaillances de composants.

En effet, grâce aux différentes approximations décrites ci-dessus, il devient possible de quantifier, en un temps raisonnable et sur un ordinateur personnel, un modèle présentant de l'ordre d'une centaine de milliers de scénarii de défaillance (ou coupes minimales). Alternativement, on connaît également des méthodes dites dynamiques qui utilisent des modèles basés sur des fonctions booléennes et des processus de Markov.

Ces modèles sont connus sous l'acronyme BDMP (pour « Boolean logic Driven Markov Processes »).

Contrairement aux méthodes EPS classiques, l'utilisation d'un BDMP permet de modéliser les dépendances entre les composants et de tenir compte des réparations.

Les BDMP constituent ainsi un outil de modélisation puissant pour l'analyse de la sûreté et de la sécurité des systèmes dynamiques.

Ils sont utilisés depuis plusieurs années pour évaluer la fiabilité, la disponibilité et la sûreté de systèmes complexes reconfigurables.

A présent, on peut considérer que les BDMP peuvent servir de formalisme commun pour la modélisation conjointe de risques de sûreté et de sécurité.

A titre d'exemple, ils ont déjà été appliqués pour l'étude de sûreté d'un pipeline industriel pour modéliser des scénarii de sûreté et de sécurité menant à un événement relatif à la sûreté.

Toutefois, ces méthodes sont pour l'instant inexploitables pour les systèmes présentant un trop grand nombre de composants, comme par exemple une centrale nucléaire.

Un BDMP avec n feuilles spécifie un modèle markovien (un processus de Markov à temps continu) présentant une taille d'environ 0(2 ⁿ ).

Alors que la taille du BDMP croît linéairement avec la taille du système à modéliser, la taille des données servant de support aux calculs augmente exponentiellement.

Une méthode efficace pour réaliser un calcul de fiabilité à partir d'un tel modèle BDMP peut consister en l'exploration et la quantification des séquences menant à la réalisation de l'événement indésirable. On peut imposer une insensibilité à l'ordre de grandeur des probabilités en ne retenant que les séquences prédominantes dont la probabilité est bien plus grande que celles de toutes les autres séquences.

Dans ce cas, on peut traiter un BDMP contenant typiquement 150 à 200 feuilles. Un BDMP peut aussi être quantifié par simulation de Monté Carlo, mais lorsque les probabilités à évaluer sont trop petites, les temps de calcul deviennent inacceptables. C'est typiquement ce qui se produit dans le contexte des EPS.

Pour une application dans le domaine du nucléaire, les deux approches ci-dessus (par exploration de séquences et par simulation de Monté Carlo) ne peuvent être utilisées que pour certaines études et, en aucun cas, pour un système de grande taille tel que par exemple une centrale nucléaire ; ceci n'est pas entièrement satisfaisant.

Ainsi, le Demandeur soumet que l'état de la technique ne propose pas de solution entièrement satisfaisante permettant d'estimer rapidement et avec une bonne précision la sûreté d'un système dynamique réparable de grande taille.

Objet et résumé de la présente invention

L'objet de la présente invention vise à améliorer la situation actuelle.

A cet effet, l'objet de la présente invention propose une estimation de la fiabilité d'un système industriel comprenant une pluralité de composants réparables permettant de remédier aux différents inconvénients mentionnés ci-dessus.

Plus particulièrement, la présente invention concerne selon un premier aspect un procédé d'estimation de la fiabilité d'un système industriel comprenant une pluralité de composants réparables, dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont notamment un taux de défaillance Xi et un taux de réparation μ;, Selon l'invention, le procédé est mis en œuvre par des moyens informatiques et comporte les étapes suivantes :

une étape de construction à partir des composants d'un modèle dynamique représentatif du système tenant compte des dépendances entre les composants ; une étape de génération à partir du modèle construit d'un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d'un état normal à un état de défaillance ;

une étape de détermination d'un contenu minimal des séquences, dit CMS, à partir des coupes minimales de l'arbre de défaillances généré, ledit CMS comprenant une liste de produits minimaux c se présentant sous la forme d'une combinaison de composants et comprenant, pour chaque produit minimal, un unique événement initiateur, noté ici ei, et m de défaillances en fonctionnement ou à la sollicitation, m étant ici un nombre entier positif ;

une étape d'estimation de la défiabilité R (t) dudit système à un instant t en fonction du taux de défaillance de chaque événement initiateur ei et de la somme p _ei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.

Selon des caractéristiques optionnelles de l'invention prises seules ou en combinaison :

lors de l'étape de construction, le modèle est un modèle du type BDMP basé sur des fonctions booléennes et processus de Markov associés aux composants du système ;

alternativement, lors de l'étape de construction, le modèle est un modèle du type EPS composé d'arbres d'événements et d'arbres de défaillances,

l'estimation de la défiabilité R du système à un instant t est calculée selon la formule suivante :

le procédé comprend une estimation de la probabilité de défaillance p _e i du système suite à un événement initiateur ei en fonction de la somme de la défiabilité R _c à l'infini de chacun des k produits minimaux c appartenant au CMS et contenant l'événement initiateur ei, ladite estimation étant calculée selon la formule suivante :

k

la somme de la défiabilité R _c à l'infini de chacun des k produits minimaux est estimée par l'espérance mathématique E _c du nombre de défaillances pour chaque produit minimal c ;

l'espérance mathématique E _c (N{t) ^~ ) du nombre de défaillances N à un instant t pour chaque produit minimal c est calculée en fonction des intensités de défaillance inconditionnelles Wi (t) et des indisponibilités Qt (t) des composants, l'intensité de défaillance inconditionnelle (t) étant telle que W^t) At est le nombre moyen de défaillances d'un composant entre les instants t et t+Δί, et l'indisponibilité Qt (t) étant la probabilité qu'un composant soit dans un état de défaillance à un instant t ;

l'intensité de défaillance inconditionnelle Wi (t) et l'indisponibilité Qt (t) de chacun des composants sont fonction des taux de défaillance Xi et de réparation μ; ; selon le type d'un événement de base, l'intensité de défaillance inconditionnelle Wi (t) et l'indisponibilité Qt (t) sont données par les expressions suivantes :

événement initiateur :

défaillance en fonctionnement :

Qi W = r Α _; + μ _; i ¹ - £ ⁽ - ^{(λί+μί)ί)} ] w = ί (ΐ - Q _; l'espérance mathématique E _c (N(t)) du nombre de défaillances N dans l'intervalle de temps [0, t] pour chaque produit minimal c est calculée selon la formule suivante :

E _c {N {t ) = Q _CJ (x- dx

lorsque le produit minimal c ne contient qu'un événement initiateur ei et des défaillances à la sollicitation, l'espérance mathématique £ ^" _c (N(t)) du nombre de défaillances N dans l'intervalle de temps [0, t] pour chaque produit minimal c est calculée selon la formule suivante :

dans laquelle _{c i} est le taux de défaillance à la sollicitation d'un produit minimal c.

Corrélativement, l'objet de la présente invention concerne selon un deuxième aspect un programme d'ordinateur qui comporte des instructions adaptées pour l'exécution des étapes du procédé tel que décrit ci-dessus, ceci notamment lorsque ledit programme d'ordinateur est exécuté par au moins un processeur. Un tel programme d'ordinateur peut utiliser n'importe quel langage de programmation, et être sous la forme d'un code source, d'un code objet, ou d'un code intermédiaire entre un code source et un code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.

De même, l'objet de la présente invention concerne selon un troisième aspect un support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes du procédé tel que décrit ci-dessus.

D'une part, le support d'enregistrement peut être n'importe quel entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une mémoire ROM, par exemple un CD-ROM ou une mémoire ROM de type circuit microélectronique, ou encore un moyen d'enregistrement magnétique ou un disque dur.

D'autre part, ce support d'enregistrement peut également être un support transmissible tel qu'un signal électrique ou optique, un tel signal pouvant être acheminé via un câble électrique ou optique, par radio classique ou hertzienne ou par faisceau laser autodirigé ou par d'autres moyens. Le programme d'ordinateur selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.

Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel le programme d'ordinateur est incorporé, le circuit intégré étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.

L'objet de la présente invention concerne selon un quatrième aspect l'utilisation du procédé d'estimation tel que décrit ci-dessus pour évaluer la sûreté et la sécurité d'une centrale nucléaire.

Enfin, l'objet de la présente invention concerne selon un cinquième aspect un système informatique d'estimation comprenant des moyens informatiques configurés pour la mise en œuvre des étapes du procédé tel que celui décrit ci-dessus.

Plus particulièrement, le système selon la présente invention est un système d'évaluation de la fiabilité d'un système industriel comprenant une pluralité de composants réparables dépendants les uns des autres et présentant chacun des paramètres de fiabilité déterminés dont un taux de défaillance constant et réparation μ _; . Selon l'invention, le système comporte :

un module informatique de modélisation configuré pour construire un modèle dynamique du système tenant compte des dépendances entre les composants ; un module informatique de génération configuré pour générer à partir dudit modèle construit un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d'un état normal à un état de défaillance ;

- un module informatique de traitement configuré pour déterminer à partir des coupes minimales dudit arbre de défaillances un contenu minimal des séquences, dit CMS, comprenant une liste de produits minimaux c se présentant sous la forme d'une combinaison de composants et comprenant, pour chaque produit minimal, un unique événement initiateur, noté ici ei, et un nombre m de défaillances en fonctionnement ou à la sollicitation, m étant ici un nombre entier positif ; un module informatique d'estimation configuré pour estimer la défiabilité R (t) du système à un instant t en fonction du taux de défaillance Àei de chaque événement initiateur ei et de la somme p _ei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.

Ainsi, l'objet de la présente invention, par ses différents aspects fonctionnels et structurels décrits ci-dessus, permet d'obtenir en un minimum de calculs une estimation fiable et précise de la fiabilité d'un système dynamique réparable comprenant une pluralité de composants réparables dépendants les uns des autres.

Brève description des figures annexées

D'autres caractéristiques et avantages de la présente invention res sortiront de la description ci-dessous, en référence aux figures 1 à 12 annexées qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif et sur lesquelles :

- la figure 1 représente un graphe d'état (ou DFA) d'un système comprenant trois composants ;

la figure 2 représente un BDMP décrivant la logique d'un autre système comprenant trois composants avec des redondances passives ; la figure 3 représente la chaîne de Markov correspondant à un BDMP conforme à celui de la figure 2 ;

la figure 4 représente un exemple d'un BDMP décrivant la logique pour un système de pompage avec un secours ;

la figure 5 représente un tableau comparatif dans lequel figurent les taux de défaillance équivalents (en h ^"1 ) calculés selon plusieurs méthodes pour un système de pompage avec un secours conforme à l'exemple de la figure 4 ;

la figure 6 représente un exemple d'un BDMP décrivant la logique pour un système électrique avec un secours ;

la figure 7 représente un tableau comparatif dans lequel figurent les taux de défaillance équivalents (en h ^"1 ) pour un système avec un secours pour des paramètres divers conforme à l'exemple de la figure 6 ;

la figure 8 représente un exemple d'installation consistant en un système d'alimentation des jeux de barres 6.6 kV secourus d'une centrale nucléaire ;

la figure 9 représente un exemple d'un BDMP décrivant la logique pour un système conforme à la figure 8 ;

la figure 10 représente un tableau comparatif dans lequel figurent les taux de défaillance équivalents (en h ^"1 ) pour un système conforme à l'exemple de la figure 8 ;

la figure 11 représente un organigramme reprenant les principales étapes d'un exemple de réalisation d'un procédé d'estimation selon la présente invention ; la figure 12 représente de façon schématique un exemple de système informatique pour estimer la fiabilité d'un système dynamique complexe et réparable comprenant plusieurs composants.

Description détaillée de l 'invention

Un procédé d'estimation ainsi que le système informatique d'estimation qui lui est associé vont maintenant être décrits dans les différents chapitres ci-dessous en faisant référence conjointement aux figures 1 à 12. A. Article scientifique de J. Collet et concept général de la présente invention :

La présente invention est une amélioration de la méthode proposée par J. Collet en 1994 dans son article intitulé "De l'étude de systèmes dynamiques par des méthodes booléennes".

Dans cet article, l'auteur conjecture que, afin de calculer la fiabilité d'un système avec des redondances passives, une bonne approximation peut être de prendre en compte seulement un niveau de dépendance entre les composants.

En d'autres termes, celui-ci considère qu'il est possible de distinguer les défaillances des composants « normaux » (opérationnels la plupart du temps) et les défaillances des composants de secours (qui fonctionnent seulement en cas de défaillance des composants normaux).

En revanche, il n'est pas possible de faire la différence entre un composant de « secours primaire » (qui assure le fonctionnement du système après défaillance du composant normal correspondant) et un composant de « secours secondaire » (qui entre en fonctionnement seulement après une défaillance du composant de secours primaire).

En termes de probabilités, cela signifie qu'après la défaillance d'un composant normal (ci-après dénommée « événement initiateur »), toutes les défaillances de composants de secours, menant à une défaillance du système entier, sont considérées comme indépendantes.

Partant de ceci, deux approximations ont été suggérées par J. Collet :

Approximation 0 : Lors de la survenance d'un événement initiateur, tous les composants de remplacement sont supposés commencer leur fonctionnement (ou éventuellement refusent de démarrer) immédiatement après l'événement initiateur ; ensuite, ils peuvent défaillir et être réparés indépendamment des uns des autres jusqu'à ce que l'événement initiateur soit réparé.

Approximation 1 : Lorsqu'un événement initiateur est réparé, le système ne peut plus tomber en panne, quoi qu'il arrive.

La méthode proposée dans cet article datant de 1994 repose donc sur une quantification des coupes minimales. Le Demandeur considère que la prise en considération de ces coupes minimales ne conduit pas à des résultats totalement satisfaisants.

Le procédé selon la présente invention vise à améliorer l'estimation proposée par J. Collet en rapprochant ce modèle du système réel.

Ainsi, dans le cadre de la présente invention, le procédé proposé prend en compte les caractéristiques de l'ensemble des scenarii de défaillance pour améliorer la justesse des résultats.

Dans ce cas, une définition conventionnelle des coupes n'est pas suffisante pour mettre en place cette méthode.

En premier lieu, il est d'une importance primordiale de distinguer les événements initiateurs des autres événements de base.

Deuxièmement, une coupe minimale peut correspondre à une séquence ou plus du modèle dynamique. De ce fait, pour chaque événement de base dans une coupe minimale, il est nécessaire de trouver les autres événements de base, s'il y en a, qui sont nécessaires à son déclenchement.

La présente invention propose ainsi d'utiliser le même appareil mathématique que celui décrit ci-dessus en y introduisant en outre la notion « contenu minimal des séquences », ci-après dénommé CMS.

B. Postulat de travail concernant les systèmes à étudier : II est considéré au préalable que le système à étudier est cohérent et est spécifié par un

BDMP contenant des feuilles réparables, correspondant à des défaillances en fonctionnement et à la sollicitation (voir "A new formalism that combines advantages of fault-trees and Markov models: Boolean logic driven Markov Processes," Reliability Engineering and System Safety, vol. 82, pp. 149-163, 2003, M. BOUISSOU).

L'avantage de partir d'un tel modèle est qu'il a une définition mathématique complète.

Habituellement, les systèmes étudiés sont très redondants. La plupart du temps, de tels systèmes fonctionnent parfaitement (tous les composants normaux fonctionnent), et de temps en temps un incident a lieu (défaillance d'un composant normal). Alors, le fonctionnement du système repose sur les composants de secours.

Le temps moyen pour réparer un composant en panne (MTTR) est généralement bien inférieur au temps moyen avant sa défaillance, si bien que la probabilité qu'un composant en panne soit réparé avant qu'un autre composant, qui le remplace, tombe en panne est assez élevée.

Cependant, un accident (la défaillance du système entier) reste possible.

Toutes les trajectoires, ou défaillances successives de composants, ayant pour résultat la défaillance du système ou un retour à un état de fonctionnement parfait sont relativement rapides : leur durée est la somme de plusieurs MTTRs qui sont plutôt courts.

Si l'on considère un tel système sur un temps important t, la durée de ces trajectoires est négligeable par rapport au temps passé dans l'état parfait.

Alors, sa défiabilité R (t) à un instant t peut être estimée avec la formule suivante :

R (t) < 1 - exp(-Apt)

où A est la fréquence d'incidents (la somme des taux de toutes les transitions sortant de l'état initial) et p est la probabilité que les incidents mènent à un accident avant que le système ne retourne à un état parfait.

Cette formule correspond à ce que l'on appelle l'approximation SRI (« Sans Retour à l'état Initial »).

C. Imylémentation de la méthode I&AB :

L'objet de la présente invention consiste donc en un procédé, dénommé Initiator & AU Barriers" ou I&AB, qui est un perfectionnement de l'approche proposée par J. Collet.

Comme illustré en figure 12, le système industriel à étudier, noté INS, est donc un système industriel dynamique et complexe comprenant une pluralité de composants S; (i étant un nombre entier positif). Il peut s'agir par exemple d'une centrale nucléaire.

Les composants Si de ce système INS sont réparables, dépendants les uns des autres et présentent chacun des paramètres de fiabilité parmi les trois suivants :

un taux de défaillance en fonctionnement λ,,

- un taux de défaillance à la sollicitation γ _ΐ5 et

un taux de réparation μ _; . Les principales étapes du procédé selon l'invention sont décrites ci-dessous (voir également en figure 11) :

Lors d'une étape de construction S_l, on construit à partir des composants S; un modèle dynamique représentatif du système INS en tenant compte des dépendances entre les composants Sj.

De préférence, pour réaliser cette étape de construction S_l, on combine à partir des composants S; des fonctions booléennes avec des processus de Markov pour construire un modèle du type BDMP.

Le Demandeur précise ici que la construction d'un tel BDMP peut être réalisée par un utilisateur à l'aide d'un module informatique 10.

Ce module peut être par exemple l'outil KB3. On comprendra ici que l'utilisation d'autres outils informatiques prévus à cet effet pourra également être envisagée pour construire ce BDMP.

Considérons dans un exemple que le système est composé de trois composants SI, S2, et S3, avec des taux de défaillance et de réparation constants (λ, = 10-4/h et μ; = 0.1/h).

La logique de défaillance d'un tel système est décrite par un BDMP illustré en figure

2. A la lecture de cette figure 2, on peut comprendre que, dans un état dit parfait, le composant SI est opérationnel et les composants S2 et S3 sont en attente.

Dès que le composant SI tombe en panne, le composant S2 commence à fonctionner ; il peut donc tomber en panne.

Lorsque les composants SI et S2 sont en panne, c'est le composant S3 qui les remplace. De la même façon, S3 peut lui aussi à son tour tomber en panne.

Il en résulte que la seule trajectoire possible résultant dans l'événement sommet est la suite des défaillances de SI, S2 et S3.

On notera ici qu'alternativement, il est également possible de construire un modèle classique du type EPS composé d'arbres d'événements et d'arbres de défaillances.

Le graphe d'états de la figure 3 décrit le comportement du système.

Dans cette figure, les caractères en gras sont utilisés pour des composants en fonctionnement et les caractères normaux sont utilisés pour des composants en attente. De la même façon, les chiffres avec barres indiquent les composants en panne.

Dans cet exemple, il n'y a qu'un seul composant en fonctionnement dans chaque état.

Ce graphe de Markov prend en compte les réparations de tous les composants et, par conséquent, le fait que le système peut revenir à plusieurs reprises dans l'état parfait pendant le temps de la mission.

Lors d'une étape S_2, un module informatique de génération 20, encore appelé générateur d'arbres, génère à partir dudit modèle un unique arbre de défaillances représentatif des scénarii de défaillance des composants pouvant conduire ledit système d'un état normal à un état de défaillance.

Ce module 20 permet ainsi de générer à partir du BDMP l'ensemble des scénarii de défaillances possibles pour le système.

La transformation d'un BDMP en un arbre de défaillances sera décrite en détails dans le chapitre « Transformation d'un BDMP en un arbre de défaillances ».

Le Demandeur précise ici qu'il est également prévu de générer cet arbre de défaillances à l'aide de l'outil informatique KB3. De la même façon, d'autres outils informatiques pourront également être envisagés.

Il est ensuite prévu une étape de détermination S_3 au cours de laquelle le module informatique de traitement 30 recherche à partir dudit arbre de défaillances un contenu minimal des séquences, dit CMS.

Le CMS comprend une liste de produits minimaux c se présentant sous la forme d'une combinaison de composants Si et comprenant, pour chaque produit minimal, un unique événement initiateur ei et un nombre m de défaillances en fonctionnement ou à la sollicitation (m étant ici un nombre entier positif).

Dans l'exemple du système ayant trois composants avec des redondances passives, le

CMS ne comprend qu'un seul produit minimal {Sl_ rat, S2, S3}.

On notera ici que le suffixe « _init » permet de distinguer l'initiateur, ici SI.

Le Demandeur soumet que les règles dans la base de connaissances du BDMP sont façonnées afin de créer un arbre de défaillances dont les coupes minimales correspondent au CMS du modèle dynamique.

Le chapitre « Contenu Minimal des Séquences ou CMS » ci-dessous donne une définition complète de ce qu'on entend ici par CMS au sens de la présente invention. Le procédé prévoit ensuite une étape d'estimation S_4 de la défiabilité R (t) du système à un instant t sur la base des produits minimaux du CMS.

Cette estimation S_4 réalisée par un module informatique d'estimation 40 (programmé par exemple en Python) en fonction du taux de défaillance de chaque événement initiateur ei et de la somme p _ei des probabilités de défaillance obtenues pour les k produits minimaux lui correspondant.

Les calculs d'estimation seront donnés plus en détails dans le chapitre « Technique de calcul dans le cas général ».

On notera que, pour une meilleure efficacité des calculs, il est souhaitable de combiner les étapes S_3 et S_4 au sein d'un algorithme unique de recherche et de quantification des produits minimaux. Il est ainsi possible d'éliminer les produits minimaux de probabilité inférieure à un seuil que l'on se fixe, ce qui fait gagner du temps de calcul et de la place en mémoire.

D. Transformation d'un BDMP en un arbre de défaillances :

Considérons un système dynamique de composants réparables.

On sait que certains des composants du système peuvent avoir des défaillances en fonctionnement, le reste à la sollicitation.

Le BDMP correspondant comprend donc les types de feuilles suivants :

1) Feuille de type F associée à un composant qui peut tomber en panne avec un taux λ pendant son fonctionnement et être réparé avec un taux μ.

2) Feuille de type / associée à un composant qui peut tomber en panne avec une probabilité de défaillance instantanée à la sollicitation γ et être réparé avec un taux μ.

Chaque événement initiateur du BDMP original est associé à deux feuilles caractérisées par les paramètres suivants: Feuille E . γ = 1, λ = 0, μ = μ _έ ,

Feuille F . γ = 0, λ = X _it μ = μ^.

Une telle attribution de deux feuilles à chaque événement initiateur permet de traiter le même événement de base en tant qu'initiateur ou bien en tant que défaillance en

fonctionnement ordinaire.

Ainsi, la structure de sous arbre pour remplacer un événement initiateur doit contenir les deux types de feuilles.

En outre, cette structure doit répondre à deux conditions :

1) un produit minimal ne peut contenir qu'un seul événement initiateur ;

2) un produit minimal ne peut pas contenir deux feuilles des types E et F, liées au même événement initiateur.

Ces deux conditions sont satisfaites dans la sous-arborescence suivante :

ev. init. i→ (βι ET NON ev. init. sauf i) OU (F _£ ET ev. init. sauf V), où

ev. init. sauf i = E _i OU E ₂ OU ... OU E _t _ _x OU E _i+1 OU ... OU E _k . Les autres composants du système, non liés à des événements initiateurs, restent inchangés (feuilles de type F ou i).

E. Définitions : Contenu Minimal des Séquences ou CMS :

Définition 1: Formellement, un automate fini déterministe ou DFA (pour « Deterministic Finite Automaton ») est un quintuple (S,∑, T, s, A) dont les éléments sont:

• un ensemble d'états (S),

• un alphabet (∑),

• une fonction de transition (T: S x∑— > S),

• un état de départ (s G S),

• un ensemble d'états acceptants (A c S).

L'automate DFA permet de décider pour toute suite de symboles pris dans l'alphabet si cette suite est acceptable ou non (on dit aussi : si la suite de symboles appartient ou non au langage défini par l'automate).

Dans l'invention, ce concept est appliqué à la recherche de séquences menant un système de son état initial à un état cible. Avec les notations données ci-dessus, nous pouvons associer S à l'ensemble des états du système, les transitions T aux événements (panne, réparation, etc.) qui constituent l'alphabet∑, et A à l'état cible du système.

Dans le cadre de la présente invention, nous nous intéressons aux séquences qui mènent à la première entrée dans un état cible.

Le DFA est donc ici défini pour accepter des séquences dont la dernière transition fait entrer le système dans son état cible pour la première fois.

Définition 2 : Une séquence sans boucle est une séquence qui ne passe pas deux fois par le même état du DFA. Dans un DFA, le nombre de séquences sans boucle est fini.

Définition 3 : Une séquence minimale est une séquence acceptable telle que si l'on retire un sous-ensemble non vide quelconque des transitions de la séquence, on obtient une séquence refusée par le DFA.

Les séquences minimales possèdent deux propriétés évidentes :

1) toute séquence minimale est sans boucle, et

2) toute séquence acceptée par le DFA contient au moins une séquence minimale.

Définition 4 : Soit x _£ une variable Booléenne associée au symbole i de l'alphabet∑ du DFA G. La projection de la séquence w (acceptée par le G) sur∑ est la fonction Booléenne :

Cette fonction est un moyen de représenter le sous-ensemble des symboles de∑ qui figurent dans la séquence w. Elle indique si une transition apparaît dans w ou non, mais pas combien de fois.

Il est à noter que les séquences ne différant que par l'ordre selon lequel les transitions se succèdent ont la même projection.

Sur la base des notions introduites ci-dessus, on peut formuler la définition d'un contenu minimal des séquences. Définition 5 : Le contenu minimal des séquences ou CMS du DFA G est la fonction

Booléenne définie comme la somme des projections des séquences minimales ; par conséquent, il prend la forme :

MCS(G) = ^ TI (W) = ^ ^x i>

weSG weSG iew

où SG est l'ensemble des séquences minimales du DFA.

Cette fonction est monotone et peut donc être représentée de manière canonique par une somme de produits minimaux (l'équivalent de ce que l'on appelle les coupes minimales pour un arbre de défaillances).

Considérons l'exemple de la figure 1 dans laquelle on dispose d'un système avec deux composants en parallèle, 1 et 2, alimentés par une alimentation électrique commune c.

Dans cette figure 1, / _£ et r _t sont la défaillance et la réparation du composant i, respectivement, et f _c est la défaillance de la source de courant.

Dans cet exemple, on a donc trois séquences minimales : (f _c ), ₁ , / ₂ ), et (f ₂ , fi), les deux dernières ayant la même projection.

Ici, le contenu minimal des séquences ou CMS est :

/ _C + (A - /2) + (/2 - A) = /c + (/l - / ₂ )-

Le Demandeur soumet que les définitions données ci-dessus figurent dans l'article « Détermination efficace de scenarii minimaux de défaillance pour des systèmes séquentiels » par M. BOUISSOU, 15ème colloque de fiabilité et maintenabilité, Lille, 2006. F. Technique de calcul dans le cas général

Dans ce chapitre, nous allons établir une formule pour la défiabilité R(t) d'un système dans le cas général, quand il contient des composants avec des défaillances aussi bien en fonctionnement qu'à la sollicitation.

Supposons ici qu'il y a n événements initiateurs ei qui peuvent faire sortir le système de son état parfait.

Alors, selon la formule ci-dessus, la défiabilité R(t) du système à un instant t peut être estimée selon la formule suivante :

K (t) < 1 - exp(- t∑ ⁿ _{ei=1 ei} p _ei ) où X _ei est le taux de défaillance de l'événement initiateur ei et p _ei est la somme des probabilités obtenues pour les k produits minimaux lui correspondant.

Dans les calculs suivants, on peut distinguer deux intervalles de temps :

le premier intervalle de temps correspond à la mission : c'est l'instant t. le deuxième intervalle de temps est infini (noté∞) et commence une fois que l'événement initiateur ei a eu lieu.

Ainsi, la probabilité que tous les composants dans un produit minimal c tombent en panne à l'intérieur de l'intervalle de temps [0,∞) est la défiabilité à l'infini d'un système parallèle fait de ces composants.

On notera cette défiabilité R _c (∞) .

Il est tout à fait possible d'estimer la probabilité p _ei en fonction de la somme des défiabilités à l'infini R _c (°°) des k produits minimaux :

k

p _ei ≤^ R _C ^~ (∞).

c=l

Considérons d'abord un cas où un produit minimal ne contient pas de défaillance à la sollicitation.

Les caractéristiques de fiabilité d'un événement de base sont les suivantes :

l'indisponibilité Q (t est la probabilité qu'un composant soit dans un état de défaillance à un instant t ;

l'intensité de défaillance inconditionnelle W(t) est telle que W(t)At est le nombre moyen de défaillances d'un composant entre t et t + At.

Selon le type d'un événement de base, ces quantités Q (t) et W(t) sont données par les expressions suivantes :

Evénement initiateur :

Q (t) = θχρ (-μί) W(t = 0

Défaillance en fonctionnement :

Q ) = ^ [1 - exp(- (À + μ)ί)] W(t) = λ(ΐ - Q (t)) Dans la mesure où l'on considère qu'il n'y a pas de défaillance à la sollicitation, on a :

Rc ^~ (t) < E _c (N (t) ) équation (1 )

où le nombre moyen de défaillances du produit minimal c contenant (m + 1) événements de base dans l'intervalle [0, t] prend la forme suivante en termes d'indisponibilités et d'intensités de défaillance inconditionnelle : E _c (N(t)) = Q _g W

Ainsi, la probabilité p _ei pour passer de l'état où le système est juste après l'événement initiateur ei à l'état de défaillance est estimée par :

k

Pei ≤ E _c (N (∞)) .

C = l

On peut également introduire la notion de « taux de défaillance équivalent », noté λ, est une quantité souvent utilisée dans les EPS, on a alors :

Ensuite, la défiabilité R(t) du système à l'instant t est déterminée comme suit :

R it) < 1 - exp(- À _e(? t).

Intéressons-nous maintenant au cas général, quand un système contient à la fois des défaillances en fonctionnement et à la sollicitation.

Il est maintenant supposé qu'un composant tombé en panne à la sollicitation peut être réparé une fois. Après une telle réparation, le système passe dans un état absorbant.

Outre un événement initiateur et m défaillances en fonctionnement, le produit minimal c contient également l événements de base correspondant à des défaillances à la sollicitation.

La probabilité Pr _c que le produit minimal c conduise à l'événement sommet est donnée par :

Pr _c = r(top = vrai | tous les compsants i tombent en panne à t = 0, i = 1, ... , l)

1 X Pr(top = vrai | au moins un des composants i démarre à t = 0, i = 1, ... , l).

La probabilité que l'événement sommet soit vrai étant donné qu'au moins l'un des l composants fonctionne est égale à zéro, donc seul le premier terme reste. La défiabilité pour le produit minimal c peut être estimée à partir de équation (1) ci- dessus, où l'espérance mathématique E _c du nombre de défaillances N(t) à un instant t prend la forme suivante :

Reprenons maintenant l'exemple décrit précédemment avec un système comprenant trois composants S I, S2 et S3 avec des redondances passives pour appliquer la défiabilité du système.

Pour mémoire, dans cet exemple, la défaillance du composant S I est le seul événement initiateur possible.

Si l'on reprend la formule pour l'estimation de la défiabilité R (t) d'un système à un instant t, on a :

R (t) ≤ 1 - exp (-Apt)

où le paramètre Λ est ici égal à λι et p est la probabilité qu'à partir de l'état (SI, S2, S3) à t = 0 le système passe à l'état de défaillance (SI, S2, S3) dans l'intervalle [0,∞) .

Si le sommet de l'arbre de défaillance correspondant prend la valeur VRAI au temps t, cela signifie que le composant S I n'est pas encore réparé à cet instant et que les composants

52 et S3 sont déjà tombés en panne.

Pour obtenir p dans cet exemple, il suffit ici de déterminer la défiabilité R-^ (∞) pour un système constitué de trois composants indépendants avec les caractéristiques suivantes :

S I : γ = 1, λ = 0, μ = μ _{ι ;}

S2: γ = 0, λ = λ ₂ , μ = μ ₂ ;

S3: γ = 0, λ = λ ₃ , μ = μ ₃ - On suppose que l'événement initiateur (une défaillance de S I) se produit à t = 0.

L'évolution temporelle du système ne dépend uniquement que des composants S2 et

53 et de la réparation de S I .

Dans cet exemple, pour éviter un calcul coûteux basé sur une chaîne de Markov, nous utilisons l'approximation de Murchland :

Â^(t) < Pr(top = vrai à t = 0) + £ ^" (N(t)). Le premier terme de l'équation ci-dessus est nul parce qu'il n'y a pas de défaillance à la sollicitation de S2 ou S3.

L'espérance mathématique du nombre des défaillances N(t) du système dans l'intervalle de temps [0, t] est donnée par : où λι est le taux de défaillance du composant i et P _t représente la probabilité d'un état critique, i.e. un état à partir duquel une seule transition peut mener à l'événement indésirable.

L'indépendance des événements de base après un événement initiateur implique que, dans de tels états, tous les composants sauf un sont en panne.

La sommation est effectuée sur tous les éléments dans le seul produit minimal c, à l'exclusion de l'initiateur.

Dans cet exemple, les états d'intérêt sont (SI, S2, S3) et (SI, S2, S3) .

On a donc :

dE(N(x))

= θ ^χ ρ(- _μι ^χ ) (λ ₂ (ΐ - Ç ₂ (x))Ç ₃ W + λ ₃ (ΐ - Ç ₃ (x))Ç ₂ (*))>

dx

où Qi est l'indisponibilité du composant i et Qi(x) = exp(— μ χ) est l'indisponibilité de l'initiateur.

Dans cet exemple, la défiabilité du système est donc estimée selon la formule suivante :

G. Mise en œuyre du calcul de la défiabilité du système

Les principales étapes pour le calcul de la défiabilité du système sont les suivantes

1- Lecture des fichiers d'entrée.

Il y a deux fichiers d'entrée. L'un d'eux contient les noms et les paramètres de fiabilité de tous les composants dans le système étudié. Cette information est supposée être stockée sous la forme de chaînes de caractères au format suivant :

law composant GLM 0.0 1.0E-4 0.1 ;

Les trois derniers éléments d'une telle chaîne sont les valeurs de la probabilité à la sollicitation γ, du taux de défaillance λ, et du taux de réparation μ. Le deuxième fichier d'entrée stocke le contenu minimal des séquences. La liste de produits minimaux (un par ligne) se présente selon le format suivant :

composant _1 , composant _2, ... ,composant_n

2- Affectation des valeurs de paramètres à chaque élément d'un produit minimal, avec une discrimination entre l'événement initiateur ei, les défaillances en fonctionnement, et les défaillances à la sollicitation.

3- Calcul de l'espérance mathématique £ ^" _c (N (t))du nombre de défaillances N(t)pour chaque produit minimal c.

4- Calcul de la défiabilité R (t) du système à un instant t et du taux de défaillance équivalent X _eq .

On notera ici que ces différentes phases pour le calcul de la défiabilité du système sont mises en œuvre par le module informatique 40.

Pour calculer la défiabilité du système, il existe plusieurs approches dont la principale différence réside dans la façon de calculer les probabilités p _ei utilisées dans l'approximation :

Selon une première approche, on utilise une intégration numérique de l'espérance mathématique du nombre de défaillances qui est réalisée en utilisant la méthode d'intégration par trapèzes.

L'avantage de cette méthode est qu'elle permet éventuellement de limiter la borne d'intégration à la valeur que l'on souhaite. Cela permet de réintroduire si nécessaire la notion de temps de scrutation en plus de la prise en compte des réparations.

On a donc :

Ç _c j ( ) dx

j≠i j≠i {N(t ) = Q _cJ (x) d

J≠l

Une deuxième approche tire avantage des expressions analytiques données dans le chapitre ci-dessous.

H. Formules analytiques pour l'espérance mathématique du nombre de défaillances

Considérons d'abord le cas où le produit minimal c est composé d'un événement initiateur ei et de m défaillances en fonctionnement.

Alors, en utilisant la définition de l'intensité de défaillances inconditionnelle W(t) , on peut réécrire la formule ci-dessus comme suit :

t m m

E _c {N (t)) = j θ ^χ ρ(- μ _ε ^χ) ^ W _Cii {x) Q _cJ (x) dx

⁰ t=l j=l

j≠i

Dans la suite, pour des raisons de compréhension, nous omettons la notation « c », en sous-entendant que l'espérance mathématique £ ^" _c (N(t))du nombre de défaillances N(t)est appliquée au produit minimal c, et nous procédons à une intégration jusqu'à l'infini, ainsi qu'il est dit dans la méthode I&AB.

Nous obtenons alors :

dans laquelle η est égal à la somme des taux de défaillance et de réparation. Chaque intégrant comprend un produit de fonctions qui peut être représenté de la façon suivante :

Par conséquent, après l'intégration de 0 à l'infini, on obtient une série alternée dont chaque terme, à son tour, est une somme de fractions. Par exemple, la deuxième intégrale conduit à

p m u ;=i

1 « ∑ i=l « + n ⁺ ∑ i=l∑>i _β ί + + ^{r J} ; i=l _ _/ >i k>_ _/ ' ^J \ i=l /

La première intégrale est calculée de la même façon, la seule différence est que l'on doit exclure l'élément courant i du produit.

Supposons maintenant que le produit minimal c contient à la fois des défaillances en fonctionnement et des défaillances à la sollicitation (en nombre l).

Rappelons que l'espérance mathématique du nombre de défaillances dans ce cas est décrite par la formule :

Afin d'obtenir l'expression analytique correspondante, on remplace μ _ίβ dans

Y équation (2) par :

i

Vie + ^ V-i

t = l

et de prendre en compte le produit des probabilités instantanées γ..

Ces formules analytiques peuvent sembler complexes ; le demandeur soumet toutefois qu'elles permettent de réduire considérablement le temps de traitement par rapport à une intégration numérique, tout en améliorant la précision. En tant qu'une illustration, retournons à l'exemple du système comprenant trois composants dans lequel il n'y a qu'un seul événement initiateur ei et un seul produit minimal qui lui correspond.

Dans cet exemple, nous pouvons immédiatement écrire la formule analytique pour le taux de défaillance équivalent X _eq :

λιλ ₂ — (— ) + — (— )

r ₃ J

Un tel calcul est très facile à réaliser.

/. Exemples de mise en œuyre

Dans la suite, nous considérons plusieurs exemples de complexité croissante.

Dans ces exemples, le taux de défaillance de tous les composants est égal à 10 ^"4 h ^_1 ; les valeurs des probabilités de défaillance à la sollicitation et des taux de réparation sont variées.

1) Exemple 1 - Système de pompage avec une voie de secours :

Ce premier exemple permet de mettre en évidence l'importance de la prise en compte des gâchettes dans la génération du CMS.

Dans cet exemple, on suppose qu'un système de pompage comprend une pompe principale Cl et une voie de secours avec deux pompes en parallèle, C2 et C3, reliées en série à une pompe C4 qui fonctionne seulement à une température déterminée. Dans cet exemple, on suppose également que l'une des pompes en parallèle (par exemple C3) fournit l'eau de refroidissement à C4. De ce fait, une défaillance de C3 provoque immédiatement une défaillance de C4 (supposée non-réparable) en raison de l'absence de refroidissement.

Le BDMP correspondant à un tel système est illustré en figure 4.

Selon la méthode I&AB présentée dans le cadre de la présente demande, les défaillances de tous les composants après un événement initiateur ei sont indépendantes, ce qui est équivalent à un modèle sans la gâchette inférieure.

Les coupes minimales de ce BDMP, obtenues en tenant compte uniquement de la structure de l'arbre, sans les gâchettes sont donc :

{ Cljtnit, C2_failF, C3_failF}, { Cljtnit, C4_failF}, et { Cljinit, C4_lack_of_cooling_faill}

Le suffixe « _init » permet de distinguer clairement l'événement initiateur des autres défaillances (« _failF » or « _faill »).

Cependant, l'arbre de défaillances généré prend la gâchette inférieure en compte. Le CMS dudit modèle prend donc la forme suivante :

(Cljnit, C2JailF, C3JailF} + (Cljnit, C4JailFJ +

{ Cljtnit, C3_failF, C4_lack_of_cooling_faill}.

La présence de l'élément « C3_faïlF » dans le troisième produit minimal est simplement une conséquence du fait que, dans notre modèle, une défaillance de C4 par suite de l'absence de refroidissement n'est possible qu'après une défaillance de C3.

Comparons maintenant le taux de défaillance équivalent obtenu en utilisant les coupes minimales et le contenu minimal des séquences dans le cadre de la méthode I&AB à celui calculé par une méthode classique.

Dans les calculs, la probabilité de défaillance à la sollicitation pour la feuille « C4_lack_of_cooling » est égale à 1 afin de modéliser une défaillance immédiate de C4 après la perte de refroidissement. Dans le cas de l'utilisation des coupes minimales, {Cljnit, C4_lack_of_cooling_faïll] comprend comme seul événement de base (en dehors de l'initiateur) - la défaillance à la sollicitation de « C4_lack_of_cooling ». On obtient donc : R _c (∞) = 1 et X _eq est principalement déterminé par le taux de défaillance de l'événement initiateur (X _ie = 10 ^~4 h ^"1 ), ce qui crée une grande différence avec la réalité dans les résultats.

Au contraire, l'application des produits minimaux des séquences dans la méthode I&AB nous permet d'obtenir des résultats de calculs plus proches de la réalité.

Les résultats de ces calculs figurent dans le tableau de la figure 5.

2) Exemple 2 - Système électrique avec une voie de secours :

Considérons maintenant un deuxième exemple avec un système d'alimentation pour un jeu de barres électrique.

Au début, le système est alimenté par un réseau (la voie normale) connecté par l'intermédiaire d'un disjoncteur CBl. Une alimentation auxiliaire du jeu de barre est fournie par un générateur diesel (la voie de secours) connecté par l'intermédiaire d'un disjoncteur CB2.

Si le réseau tombe en panne, une ouverture automatique de CBl et une fermeture automatique subséquente de CB2 sont lancées. Le générateur diesel fournit le jeu de barres jusqu'à ce qu'il tombe en panne ou que le réseau soit réparé.

Des défaillances simultanées du réseau et du générateur diesel aboutissent à l'événement indésirable.

Le BDMP pour ce système électrique est représenté sur la figure 6.

Une possible ouverture intempestive de CBl est aussi incluse dans la voie normale.

Les autres incidents éventuels liés à la commutation automatique (un refus d'ouverture de CBl et un refus de fermeture de CB2) sont compris dans la voie de secours.

Le générateur diesel présente deux modes de défaillance : à la sollicitation et en fonctionnement.

Physiquement, la tentative d'ouverture de CBl est suivie par la tentative de fermeture de CB2, qui elle-même est suivie par la tentative de démarrage du générateur diesel.

Par ailleurs, une ouverture intempestive de CBl exclut la possibilité d'un refus de son ouverture ; ce fait est modélisé par une gâchette inversée entre CBl_IO et CBl_RO.

Dans la méthode I&AB, cette relation est prise en compte par l'élimination du produit minimal (CBlJOJnit, CBl _RO Jaill} . Le BDMP décrivant la logique d'un tel système est représenté en figure 6.

Le taux de défaillance équivalent du système pour différentes valeurs de paramètres μ et γ est présenté dans le tableau de la figure 7.

Les mêmes valeurs de μ et γ sont prises pour tous les composants et ceux avec des défaillances à la sollicitation, respectivement.

Les résultats obtenus avec les méthodes de quantification classiques pour le modèle dynamique sont en bon accord avec ceux obtenus avec I&AB-a pour le modèle intermédiaire, notamment dans le cas le plus plausible (μ = 0.1 h ^"1 et γ = 10 ^~4 ).

La plus grande différence relative entre les résultats est 14%.

3) Exemple 3 - Alimentation 6.6 kV secourue :

Ce troisième exemple concerne un système d'alimentation des jeux de barres 6.6 kV secourus dans une centrale nucléaire.

Un tel système est illustré en figure 8.

Dans un tel système, les jeux de barres jouent un rôle crucial dans la sûreté de la centrale, car ils alimentent des systèmes de contrôle-commande et des composants nécessaires pour refroidir le cœur. Donc, ils sont alimentés avec beaucoup de redondance.

Dans une situation normale, ils prélèvent une certaine puissance de la sortie de la centrale par le transformateur de soutirage TS.

Lorsque la centrale ne produit pas, c'est le réseau qui alimente le système par la ligne principale.

En cas de perte de la ligne principale, une autre prend le relais.

Lorsque que, à partir de l'état normal, une perte du réseau se produit, une autoalimentation de la centrale peut être essayée, grâce à un fonctionnement dit « en îlotage ».

Enfin, en tant que dernier recours, deux générateurs diesel sont disponibles.

Ce système est à la fois reconfigurable et réparable, avec un risque de défaillance des reconfigurations (le refus d'ouverture ou de fermeture des disjoncteurs).

Le BDMP pour un modèle simplifié de ce système est donné dans la figure 9.

L'événement indésirable de l'arbre de défaillance est une perte simultanée des jeux de barres LHA et LHB. Chacun des quatre jeux de barres LGD, LGF, LHA et LHB, pris en compte dans ce modèle, peut tomber en panne à cause d'un court-circuit ou cesser d'être alimenté.

Il y a deux façons différentes pour les alimenter, numérotées 1 et 2.

C'est seulement lorsque l'alimentation 1 n'est pas disponible que les disjoncteurs basculent vers l'alimentation 2.

Le chemin normal qui alimente un jeu de barres X peut être perdu à la suite d'une ouverture intempestive du disjoncteur de ce chemin (l'événement de base noté « IO_CB_Xl ») ; son secours peut être perdu soit pendant une reconfiguration parce que le disjoncteur correspondant refuse de se fermer (l'événement de base noté « RC_CB_X2 »), soit plus tard par son ouverture intempestive (l'événement de base noté « IO_CB_X2 »).

Chaque diesel peut tomber en panne soit au démarrage soit pendant son fonctionnement.

Des défaillances de cause commune sont également modélisées, à la fois au démarrage et pendant le fonctionnement.

Dans le cas d'un démarrage simultané des deux générateurs diesel, plusieurs événements de base changent de mode simultanément.

Dans la figure 9, les liens en pointillés sont utilisés pour imposer l'ordre de prise en compte des événements.

La feuille « demandjCCF _DG » est considérée au début.

Si l'événement correspondant ne passe pas à vrai, des défaillances indépendantes à la sollicitation des générateurs diesel sont possibles.

Enfin, dans une voie où tout s'est bien passé, la fermeture du disjoncteur est tentée. Dans ce modèle, chaque composant a ses propres valeurs de paramètres.

Deux modes de défaillance du réseau, correspondant à des temps de réparation court et long, sont pris en considération.

Avec les défaillances de longue durée du réseau, les défaillances à la sollicitation jouent un rôle négligeable par rapport aux défaillances en fonctionnement.

Le taux de défaillance équivalent du système est donné dans le tableau de la figure 10 selon que les défaillances à long terme sont conservées dans le modèle ou non.

Les résultats obtenus avec les méthodes de quantification classiques et avec la méthode I&AB sont en bon accord. En résumé :

Comme expliqué dans le chapitre A ci-dessus, l'objet de l'invention se présente comme un perfectionnement de la méthode proposée par l'article "de l'étude de systèmes dynamiques par des méthodes booléennes" rédigé par J. Collet.

Les perfectionnements apportés par la présente invention visent notamment les aspects suivants :

1) la prise en compte des défaillances à la sollicitation;

2) l'utilisation du CMS au lieu des coupes minimales;

3) la modélisation des défaillances de cause commune;

4) l'établissement des formules analytiques pour l'espérance mathématique du nombre de défaillances d'un produit minimal.

La méthode I&AB proposée ici dans le cadre de la présente invention permet ainsi d'élargir le nombre des systèmes qui peuvent être traités : des systèmes complexes avec plusieurs milliers de composants peuvent ainsi être étudiés.

Les exemples traités dans le chapitre I mettent en évidence que les résultats obtenus par la méthode proposée ici dans le cadre de l'invention sont très proches de ceux obtenus pour un modèle dynamique.

Par ailleurs, l'utilisation des expressions analytiques définies dans le chapitre H permet de réduire de façon significative les temps de traitement et de calcul et d'en améliorer la précision.

Du point de vue qualitatif, il est intéressant pour les analystes d'obtenir un ensemble de produits minimaux avec des événements initiateurs identifiés plutôt qu'un plus grand nombre de séquences, comme cela est le cas quand un BDMP est quantifié avec les méthodes classiques.

Un domaine d'application privilégié de la méthode I&AB concerne l'estimation de la sûreté et de la sécurité des centrales nucléaires. Comme déjà expliqué précédemment, d'autres domaines d'application pourront également être envisagés dans le cadre de la présente invention.

Le demandeur soumet que la méthode I&AB proposée dans le cadre de la présente invention apporte une précision des résultats améliorés notamment grâce au fait que le temps de scrutation n'est plus nécessaire par suite de la possibilité de prendre en compte des temps de réparation réels.

Il devra être observé que cette description détaillée porte sur un exemple de réalisation particulier de la présente invention, mais qu'en aucun cas cette description ne revêt un quelconque caractère limitatif à l'objet de l'invention ; bien au contraire, elle a pour objectif d'ôter toute éventuelle imprécision ou toute mauvaise interprétation des revendications qui suivent.

Il devra également être observé que les signes de références mis entre parenthèses dans les revendications qui suivent ne présentent en aucun cas un caractère limitatif ; ces signes ont pour seul but d'améliorer l'intelligibilité et la compréhension des revendications qui suivent ainsi que la portée de la protection recherchée.

On remarque qu'en écho aux applications listées ci-dessus, avantageusement, le procédé selon l'invention comprend une étape au cours de laquelle on intervient sur le système en réponse à l'analyse menée, en particulier à l'étape S_4. Par exemple, lors de cette intervention, on intervient sur le système pour en modifier la configuration et/ou le fonctionnement.

Par exemple, la modification de la configuration du système inclut au moins un élément parmi : une modification de l'agencement relatif de composants qu'il comprend, le remplacement ou la réparation d'au moins un composant, l'ajout d'au moins un composant, la suppression d'au moins un composant.

La modification du fonctionnement du système inclut par exemple la modification d'au moins un de ses paramètres de fonctionnement, pouvant notamment correspondre à une mise à l'arrêt du système.

On remarque qu'il peut alternativement ou parallèlement comprendre la détermination d'un schéma de fonctionnement du système incluant un ou plusieurs états du système à observer en réponse à la vérification d'au moins une condition portant typiquement sur le système, et le pilotage du système en fonction de ce schéma, notamment de façon à ce que le système passe dans l'état correspondant en réponse à la vérification de la ou les conditions associées. Ce schéma comprend avantageusement un état correspondant à un état à l'arrêt du système. La modification du fonctionnement envisagée ci-dessus correspond par exemple au basculement du système dans un état du schéma de fonctionnement.

On remarque que le procédé peut intervenir dans le cadre de la conception d'un système. Dans ce contexte, avantageusement, le procédé comprend une étape au cours de laquelle on construit ou on modifie un schéma de conception du système en fonction du résultat de l'analyse menée, et on construit le système selon ce schéma de conception. Ce schéma inclut par exemple des éléments de redondances d'éléments du système déterminés en fonction du résultat de l'analyse menée. Au vu de ces éléments, de manière générale, le procédé comprend avantageusement une étape au cours de laquelle on modifie la configuration ou le fonctionnement du système en fonction de l'étape S4, on pilote au moins temporairement le système selon un schéma de fonctionnement déterminé en tout ou partie à partir de l'analyse menée, et/ou on modifie un schéma de conception du système en fonction de l'analyse menée et on fabrique tout ou partie du système en fonction dudit schéma de conception.