Collection Technique ..........................................................................

Cahier technique n 184

Etudes de sret des installations lectriques

S. Logiaco

Les Cahiers Techniques constituent une collection dune centaine de titres dits lintention des ingnieurs et techniciens qui recherchent une information plus approfondie, complmentaire celle des guides, catalogues et notices techniques. Les Cahiers Techniques apportent des connaissances sur les nouvelles techniques et technologies lectrotechniques et lectroniques. Ils permettent galement de mieux comprendre les phnomnes rencontrs dans les installations, les systmes et les quipements. Chaque Cahier Technique traite en profondeur un thme prcis dans les domaines des rseaux lectriques, protections, contrle-commande et des automatismes industriels. Les derniers ouvrages parus peuvent tre tlchargs sur Internet partir du site Schneider. Code : http://www.schneider-electric.com Rubrique : matrise de llectricit Pour obtenir un Cahier Technique ou la liste des titres disponibles contactez votre agent Schneider. La collection des Cahiers Techniques sinsre dans la Collection Technique du groupe Schneider.

Avertissement L'auteur dgage toute responsabilit conscutive l'utilisation incorrecte des informations et schmas reproduits dans le prsent ouvrage, et ne saurait tre tenu responsable ni d'ventuelles erreurs ou omissions, ni de consquences lies la mise en uvre des informations et schmas contenus dans cet ouvrage. La reproduction de tout ou partie dun Cahier Technique est autorise aprs accord de la Direction Scientifique et Technique, avec la mention obligatoire : Extrait du Cahier Technique Schneider n ( prciser) .

n 184
Etudes de sret des installations lectriques

Sylvie LOGIACO Ingnieur ISTG 1987 (Institut Scientifique et Technique de Grenoble) elle sest dabord consacre ltude de risques dans lindustrie chimique ; Pchiney, puis Atochem. Chez Schneider depuis 1991, elle fait partie du ple de comptence Sret de Fonctionnement et ce titre a effectu de nombreuses tudes concernant la sret de fonctionnement des installations lectriques et du contrle-commande.

CT 184 dition janvier 1999

Lexique
AMDE (Analyse des Modes de Dfaillance et de leurs Effets) : Elle permet d'tudier l'influence des dfaillances des composants sur le systme. Analyse dysfonctionnelle : A partir de lanalyse fonctionnelle, cest lanalyse des dysfonctionnements dun systme (en pratique, synonyme de tude de sret ). Disponibilit : Probabilit pour qu'une entit soit en tat d'accomplir une fonction requise dans des conditions donnes un instant donn t ; on la note A(t). Evnement redout : Dfaillance du systme qu'il faut analyser pour prouver que l'utilisateur peut avoir une confiance justifie du systme. Cette dfaillance du systme est un mtrique de la qualit de service. Fiabilit : Probabilit qu'une entit puisse accomplir une fonction requise, dans des conditions donnes, pendant un intervalle de temps donn [t1, t2] ; que l'on crit R(t1, t2). Maintenabilit : Probabilit pour qu'une opration donne de maintenance puisse tre effectue pendant un intervalle de temps donn [t1, t2]. MDT (Mean Down Time) : Temps moyen pendant lequel le systme est indisponible. Il comprend le temps de dtection de la panne, le temps de dplacement du service maintenance, le temps d'approvisionnement du matriel en panne, le temps de rparation. Modle : Reprsentation graphique de la combinaison des dfaillances trouves lors de l'A.M.D.E. et de leur processus de maintenance. MTBF (Mean Time Between Failure) : Temps moyen entre deux dfaillances d'un systme rparable. MTTF (Mean Time To Failure) : Temps moyen de bon fonctionnement avant la premire dfaillance. MTTR (Mean Time To Repair) : Dure moyenne de rparation. MUT (Mean Up Time) : Temps moyen de bon fonctionnement entre deux dfaillances d'un systme rparable. Retour dexprience : Donnes de fiabilit oprationnelle recueillies lors des dfaillances du matriel en exploitation. Scurit : Probabilit d'viter un vnement dont les consquences sont dangereuses. Sret (de fonctionnement) : La sret de fonctionnement est une notion gnrique qui mesure la qualit de service, dlivre par un systme, de manire ce que l'utilisateur ait en lui une confiance justifie. La confiance justifie s'obtient travers les analyses qualitatives et quantitatives des diffrentes proprits du service dlivr par le systme. Ces diffrentes proprits sont bases sur les valeurs probabilistes dfinies ci-aprs. Taux de dfaillance : Probabilit pour qu'une entit perde sa capacit accomplir une fonction pendant l'intervalle [t, t+dt], sachant qu'elle n'a pas t dfaillante entre [0, t] ; on le note . Taux de dfaillance quivalent : Probabilit pour qu'un systme perde sa capacit accomplir une fonction pendant l'intervalle [t, t+dt], sachant qu'il n'a pas t en panne entre [0, t] ; on le note eq. Taux de rparation : Inverse de la dure moyenne de rparation.

Premire dfaillance 0 Bon fonctionnement

Dbut d'intervention

Remise en marche Bon fonctionnement

Deuxime dfaillance Temps

Attente

Rparation MTTR

MTTF

MDT MTBF

MUT

Fig. 1 : relations entre les diffrentes grandeurs caractrisant la fiabilit, la maintenabilit et la disponibilit d'une machine.

Cahier Technique Schneider n 184 / p.2

Etudes de sret des installations lectriques

Dans lindustrie, comme dans le tertiaire la qualit de lalimentation lectrique est de plus en plus importante. La qualit du produit lectricit, outre les imperfections telles que variations de tension, distorsion harmonique, se caractrise essentiellement par la disponibilit de lnergie lectrique. La perte dalimentation est toujours gnante, mais peut devenir trs pnalisante par exemple pour les systmes de traitement de linformation (informatique - contrle-commande) ; elle peut mme tre catastrophique pour certains process et dans certains cas mettre en danger la vie de personnes. Les tudes de sret de fonctionnement permettent de raliser ladquation entre les besoins en disponibilit lectrique et le rseau mettre en uvre. Elles permettent galement de comparer deux architectures dinstallation... La plus coteuse nest pas toujours la meilleure... Lobjet de ce Cahier Technique est de montrer comment se fait une tude de sret : mthodologie, outils. Deux exemples dtudes sont prsents : rseau lectrique dusine et systme de contrle-commande dun poste haute tension. Ces tudes sont de plus en plus facilites par les outils informatiques.

Sommaire
1 Introduction 2 Droulements des tudes 1.1 Gnralits 1.2 Les tudes de sret 2.1 Les phases chronologiques 2.2 Expression et analyse du besoin 2.3 Analyse fonctionnelle du systme 2.4 Analyse des modes de dfaillances 2.5 Donnes de fiabilit 2.6 Modlisation 2.7 Calculs dvaluation des critres de sret 3 Exemples dtudes 3.1 Comparaison darchitecture entre deux rseaux lectriques dusine 3.2 Intrt dun poste de contrle-commande dlocalis pour un poste THT 4.1 Outils daide lanalyse dysfonctionnelle 4.2 Outils de modlisation 5 Conclusion 6 Bibliographie p. 4 p. 6 p. 10 p. 11 p. 12 p. 13 p. 13 p. 14 p. 17 p. 18 p. 22 p. 24 p. 24 p. 26 p. 27

4 Les outils de la sret de fonctionnement

Cahier Technique Schneider n 184 / p.3

1 Introduction

1.1 Gnralits
La tension aux bornes d'un rcepteur est affecte par des phnomnes dont l'origine peut tre le rseau du distributeur, l'installation lectrique d'un abonn raccord au mme rseau de distribution, l'installation lectrique de l'utilisateur perturb. Les perturbations du produit lectricit c Les caractristiques principales de la tension fournie par un rseau public de distribution MT ou BT sont dfinies par la norme Europenne EN 50160. Elle prcise les tolrances qui doivent tre garanties pour la tension et la frquence ainsi que les niveaux des perturbations habituellement rencontres ; par exemple distorsion harmonique. Le tableau de la figure 2 prcise les valeurs retenues par la norme. A tout instant la qualit de l'nergie dlivre aux rcepteurs d'une installation peut donc tre affecte par diverses perturbations, soit imposes par le rseau externe d'alimentation, soit auto-gnres par le rseau interne de distribution. Le fonctionnement des rcepteurs autonomes ou fdrs en systmes est affect par ces perturbations. c Les dysfonctionnements, la nature et le cot des dommages subis dpendent la fois de la nature des rcepteurs et du niveau de criticit de l'installation. Ainsi la coupure momentane d'un rcepteur critique peut avoir de graves consquences sur le fonctionnement de l'installation sans que celui-ci soit intrinsquement affect. c Dans tous les cas, une tude prcise des effets des perturbations redoutes doit tre effectue. Des dispositions doivent tre prises pour limiter leurs consquences. c Le tableau de la figure 3 regroupe les perturbations usuellement rencontres dans les rseaux lectriques, leurs causes et les solutions possibles pour rduire leurs effets. c La rduction des effets des harmoniques, du Flicker, des dsquilibres de tension, des variations de frquence et des surtensions est ralise par la mise en place d'quipements adapts chaque cas. Leurs dimensionnements et le choix de leurs points de raccordement font l'objet d'tudes dtailles qui sortent du cadre de ce document (voir bibliographie). Les pertes dalimentation Pour les procds industriels et les systmes courant faible, elles sont de moins en

Norme EN 50160 Frquence Amplitude de la tension Variations rapides de la tension Creux de tension

Alimentation basse tension 50 Hz 1 % pendant 95 % d'une semaine 50 Hz +4 %,-6 % pendant 100 % d'une semaine Pour chaque priode d'une semaine 95 % des valeurs efficaces moyennes sur 10 minutes doivent tre dans la plage Un 10 % De 5 % 10 % de Un (4 6 % en moyenne tension) valeurs indicatives : c profondeur : entre 10 % et 99 % de Un, majorit des creux de tension < 60 % de Un c dure : entre 10 ms et 1 minute, majorit des creux de tension < 1 s c nombre : quelques dizaines 1 millier par an Valeurs indicatives : c profondeur : 100 % de Un c dure : jusqu' 3 minutes, 70 % des coupures brves sont infrieures 1 s c nombre : quelques dizaines plusieurs centaines par an Valeurs indicatives : c profondeur : 100 % de Un c dure : suprieure 3 minutes c nombre : entre 10 et 50 par an

Coupures brves

Coupures longues

Fig. 2 : perturbations dans les rseaux ; valeurs retenues par la norme.

Cahier Technique Schneider n 184 / p.4

moins tolrables, car gnratrices de cots importants. c L'immunit aux coupures de l'alimentation fait appel des quipements spcifiques tels que les alimentations sans interruptions et les groupes autonomes de production d'nergie lectrique. Ces quipements ne suffisent gnralement pas rsoudre tous les problmes. L'architecture du rseau, les automatismes de ralimentation, le niveau de fiabilit des matriels, la slectivit des protections ainsi que la politique de maintenance jouent un rle important dans la rduction et l'limination des temps de coupure. Minimiser les pertes dalimentation ncessite des tudes de fiabilit/disponibilit prenant en compte l'ensemble de ces facteurs ainsi que la frquence

et la dure des coupures admises par l'installation. Ces tudes permettent de dterminer l'architecture et les quipements les mieux adapts aux besoins de l'exploitant. Elles ncessitent gnralement le classement des rcepteurs ou systmes en fonction de leur niveau de sensibilit et de distinguer : v les rcepteurs admettant des arrts prolongs : 1 heure au plus (non prioritaires), v les rcepteurs admettant des arrts de quelques minutes (prioritaires), v les rcepteurs devant tre raliments aprs quelques secondes (essentiels), v les rcepteurs n'acceptant aucune coupure (vitaux).

Perturbations Causes possibles Variations de la frquence Variations rapides de la tension Creux de tension

Principaux effets

Solutions possibles

c Rseau d'alimentation c Variation vitesse des moteurs c Alimentation sans interruption c Fonctionnement ilot c Dysfonctionnement quipements sur groupes autonomes lectroniques c Rseau d'alimentation c Papillotement de l'clairage c Four arc (Flicker) c Machine souder c Variation vitesse moteurs c A-coups de charge c Rseau d'alimentation c Appels de charge importants c Dfauts externes et internes c Extinction de lampes dcharge c Dysfonctionnement de rgulateurs et variateurs c Variation de vitesse, arrt de moteurs c Retombe de contacteurs c Perturbation de l'lectronique numrique c Dysfonctionnement lectronique de puissance c Arrt d'quipement c Arrt d'installation c Perte de production c Retombe de contacteurs c Dysfonctionnements divers c Augmentation de la puissance de court-circuit c Modification de l'architecture de l'installation c Alimentation sans interruption c Augmentation de la puissance de court-circuit c Modification de l'architecture de l'installation

Coupures brves et longues

c Rseau d'alimentation c R-enclenchements c Dfauts internes c Permutations de sources

c Alimentation sans interruption c Groupes autonomes c Modification architecture du rseau c Mises en place politique de maintenance c Augmentation de la puissance de court-circuit c Modification de l'architecture du rseau c Equilibrage des charges monophases c Dispositifs de r-quilibrage c Parafoudres c Choix du niveau d'isolement c Matrise des rsistances des prises de terre c Augmentation de la puissance de court-circuit c Modification de l'architecture de l'installation c Filtrage

Dsquilibre de tension

c Rseau d'alimentation c Echauffements des moteurs c Nombreuses charges et des alternateurs monophases

Surtensions

c Foudre c Manuvre d'appareillage c Dfaut d'isolement

c Claquage de matriels

Harmoniques

c Rseau d'alimentation c Echauffement, endommagement c Nombreux rcepteurs de matriels, moteurs et non linaires condensateurs principalement c Dysfonctionnement lectronique de puissance

Fig. 3 : perturbations dans les rseaux, causes, effets et solutions.

Cahier Technique Schneider n 184 / p.5

Rseau du distributeur

G TR Non secouru Inverseur de source

Source autonome

Relestable

Dlestage

Secouru A.S.I.

Indisponibilit :

Qq.heures

Qq.secondes Essentiels

Types : Non prioritaires

Aucune (haute qualit) Vitaux

Qq.minutes Prioritaires

Fig. 4 : l'lectricit fiabilise. Schma simplifi d'un rseau.

A titre d'exemple la figure 4 reproduit le schma simplifi d'un rseau pour lequel cette distinction a t faite. v Les rcepteurs vitaux ne tolrant aucune coupure, sont aliments par une alimentation sans interruption. v Les rcepteurs essentiels sont raliments quelques secondes aprs la perte du rseau ds que la tension et la frquence du groupe sont stabilises. v Les rcepteurs prioritaires sont relests ds la fin du redmarrage des rcepteurs essentiels. v Les rcepteurs non prioritaires acceptant un long temps de coupure ne sont raliments qu'au retour du rseau externe d'alimentation.

Par le choix d'une architecture et d'automatismes de permutation de sources appropris (cf. Cahier Technique n 161) on optimise le positionnement et le dimensionnement des sources de secours et de remplacement pour respecter les contraintes d'exploitation. Il faut rappeler que le choix du rgime du neutre est un lment important ; ainsi il est clairement tabli que pour des rcepteurs demandant un niveau de disponibilit lev, le choix du neutre isol est fortement conseill car il permet la continuit dalimentation au premier dfaut disolement (cf. Cahiers Techniques n 172 et n 173).

1.2 Les tudes de sret

Avant de prsenter les tudes de sret des rseaux lectriques il est utile de rappeler quelques particularits des dfinitions de termes utiliss par les fiabilistes. Mme si chacun connat la signification gnrale des mots : fiable, disponible, maintenance, scurit, ces termes, lorsqu'ils sont utiliss par les fiabilistes, prennent une signification prcise. Par exemple, le mot fiabilit voque en gnral l'aptitude d'un systme fonctionner correctement le plus longtemps possible. De mme, l'expression maintenabilit voque gnralement la notion d'aptitude d'un systme tre rpar rapidement. Or, on constate que les dfinitions du fiabiliste, donnes dans le lexique en dbut de ce

Cahier Technique Schneider n 184 / p.6

a) Double antenne

document, vont au del de ces interprtations gnrales. Elles sont plus prcises, en particulier par la spcification d'une notion de dure. Il est galement ncessaire de prciser le domaine dapplication et les caractristiques gnrales des tudes. Domaines d'application Les tudes sont ralises sur tous types de rseaux lectriques, de la basse tension la haute tension et sur leurs systmes de protection et de contrle-commande. Ceci que les rseaux soient : c en antenne, c en double antenne (cf. fig. 5a),

b) Double jeu de barres

c en double jeu de barre (cf. fig. 5b), c en boucle (cf. fig. 5c), c et avec ou sans reconfiguration ou dlestage.
Turbo-alternateur G G

Elments caractristiques des tudes Les tudes sont personnalises en fonction des besoins exprims. Ils se traduisent en termes de : v finesse d'tude, v type d'analyse, v types de critres de sret de fonctionnement. c La finesse de l'tude (cf. fig. 6) v Etude rapide ou prtude : c'est une tude pessimiste utilise en gnral pour faire rapidement des choix techniques. v Etude trs dtaille qui prend en compte le plus de facteurs possibles. Prise en compte de tous les modes de fonctionnement, analyse dtaille des dfaillances possibles et de leurs consquences, modlisation la plus proche possible du comportement dysfonctionnel du systme.

c) Boucle

Caractristique Prtude Finesse des hypothses Finesse de la modlisation 1 seul type de dfaillance (1 frquence, 1 dure moyenne)

Etude dtaille Dfaillances divises en famille en fonction de leur effet sur le systme.

Les consquences Les consquences des dfaillances des dfaillances sont associes en sont analyses grandes familles finement.

fig. 5 : architectures de rseaux.

Fig. 6 : diffrences entre une prtude et une tude fine.

Cahier Technique Schneider n 184 / p.7

Architecture simple et minimale

c Les types d'analyse v Aide la conception en valuant des critres de sret de fonctionnement (cf. fig. 7). v Comparaison d'architectures (cf. fig. 8). v Analyse qualitative d'une architecture. c Les types de critres quantifier (cf. fig. 9) v Le nombre d'heures moyen pendant lequel le systme fonctionne correctement (MUT). v Le nombre d'heures moyen pendant lequel le systme fonctionne avant que pour la premire fois il n'alimente plus certains rcepteurs (MTTF). v La probabilit de ne plus alimenter certains rcepteurs (disponibilit). v Le nombre moyen de pannes par an (eq). v Un temps moyen de rparation (1/eq). v La frquence optimale d'une maintenance prventive. v Le calcul de lots de rechange. Ces critres permettent d'valuer les performances du systme et donc de dterminer l'architecture qui rpond aux exigences de sret sans oublier les contraintes conomiques.

Critres de sret

Satisfaction des critres de sret

Non

Nouvelle architecture

Oui

Fig. 7 : aide la conception.

Architecture A

Architecture B

Critres de sret

Critres de sret de l'architecture A plus proches des objectifs Oui Architecture A choisie

Non

Architecture B choisie

Fig. 8 : comparaison d'architecture.

Cahier Technique Schneider n 184 / p.8

Rseau public EDF*

Groupe lectrogne GE

Il peut tre calcul : - la probabilit que le GE ne dmarre pas en cas de perte EDF. - la frquence optimale de la maintenance prventive du GE. - le nombre de minutes par an pendant lequel le rcepteur n 1 n'est pas aliment.

ASI

CS**

- le nombre d'heures moyen avant que le rcepteur n 2 ne soit plus aliment.

Rcepteur n 1

Rcepteur n 2

* EDF : Electricit de France ** CS : Contacteur Statique

Fig. 9 : illustration des critres d'valuation de la sret de fonctionnement.

Cahier Technique Schneider n 184 / p.9

2 Droulement des tudes

2.1 Les phases chronologiques

Quel que soit le besoin exprim par le concepteur ou lexploitant dune installation lectrique, le droulement de ltude de sret comporte les phases (cf. fig. 10) : c expression et analyse du besoin, c analyse fonctionnelle du systme, c analyse des modes de dfaillances, c modlisation, c calcul ou valuation des critres de sret. Dans la plupart des cas cette dmarche est faire plusieurs fois : c deux fois sil sagit de comparer deux schmas, c n fois sil sagit par itrations de dterminer une architecture adapte au besoin en tenant compte des impratifs technico-conomiques.

Analyse du besoin client Critres valuer Points du rseau o les critres seront valus Spcifications du systme

Analyse fonctionnelle du systme Fonctions et composants concerns

Analyse des modes de dfaillance Dfaillances possibles du systme

Recherche de donnes - Taux de dfaillance des composants - Temps de rparation - Frquences fonctionnelles

Lgende Modlisation Evaluation des critres de sret Analyse qualitative Donnes ncessaires la ralisation de la phase Phase d'tude Les conclusions de la phase Donnes ncessaires la ralisation de la phase suivante

Fig. 10 : les phases chronologiques de ralisation d'une tude de sret de fonctionnement.

Cahier Technique Schneider n 184 / p.10

2.2 Expression et analyse du besoin

Comme indiqu la fin du chapitre prcdent le donneur dordre doit prciser les points suivants (cf. fig. 11). c Sur quoi porte ltude ; par exemple contrlecommande dun poste, et fournir les lments de conception dont il dispose. c La nature de la demande (type danalyse), soit par exemple : v dmonstration du niveau de confiance que l'on peut accorder l'alimentation lectrique d'un process critique (oriente vers un type d'tude, des types de critres valuer), v recherche de critres objectifs qui permettent de faire une analyse technico-conomique, v dtermination de l'architecture la plus adapte aux besoins (oriente vers un type d'analyse), v soutien la conception d'un quipement. Ces points sont combinables ; ainsi une entreprise peut rechercher l'architecture la mieux adapte ses besoins pour alimenter un process critique dans le cadre d'une analyse technico-conomique. Face aux questions : o, pour alimenter quoi, quelle est la criticit et la dure de la perte dalimentation admissible, le client doit rflchir par exemple en terme de scurit, de perte de production ou dinformations. c Le risque : pour une compagnie dassurance la notion de risque correspond au poids (moral, social, conomique) des vnements redouts. En ce qui concerne une perte de production, lestimation du risque est assez simple : le produit de la probabilit doccurence par le cot de lvnement redout donne une ide assez juste. Lvaluation du risque permet de connatre le prix payer : perte de bnfice ou assurance ou installation lectrique optimise. c Formalisation des besoins (cf. fig. 12) : un moyen dexpression du besoin consiste classer les divers rcepteurs en fonction du temps de coupure quils peuvent supporter (aucun, quelques secondes, quelques minutes, quelques heures).

Expression du besoin exprim en terme de

Dtermination et classement des rcepteurs reprsentatifs et/ou stratgiques du systme

Type d'analyse

Finesse d'tude

Critres valuer

Pour cibler les points du rseau o seront calculs les critres de sret de fonctionnement

Conduisent la ralisation d'une tude personalise

Fig. 11 : informations ncessaires l'tude.

Les diffrents rcepteurs considrs

Chauffage bureaux

Evnement mineur

Refroidissement cuve Arrt possible max 1 h au-del perte du contenu de la cuve vnement catastrophique

Four n 1 Arrt possible max 3 mn au-del perte du contenu de la cuve vnement catastrophique Process

Four n 2 Arrt possible max 3 mn au-del perte du contenu de la cuve vnement critique

Informatique pas de coupure de dure suprieure 20 ms au-del vnement critique

Fig. 12 : les spcifications de disponibilit incombent au client.

Cahier Technique Schneider n 184 / p.11

2.3 Analyse fonctionnelle du systme

L'analyse fonctionnelle dcrit sous forme visuelle et textuelle le rle du rseau et/ou d'lments constitutifs. Cette analyse aboutit deux descriptions complmentaires du rseau : c une description, formalise par des blocs diagrammes fonctionnels (cf. fig. 13), dont le but est de prsenter l'architecture du systme et les liens fonctionnels entre les diffrents lments du systme, c une description comportementale (cf. fig. 14) dont le but est de dcrire l'enchanement des diffrents tats possibles. L'accent est principalement mis sur l'identification des vnements qui induisent des volutions du systme. Le modle dvelopp lors de cette analyse met l'accent notamment sur les diffrents points de reconfiguration de l'architecture. Cette deuxime analyse permet de prendre en compte l'aspect fonctionnel quand il interagit avec l'aspect dysfonctionnel.

Contrle commande Alimentation EDF B Secours Alimentation EDF A Alimentation normale

GE Secours

MT

Alimentation lectrique MT

Fig. 13 : blocs diagrammes fonctionnels.

? Perte alimentation EDF A ! Passage sur EDF B Ce rseau de Ptri exprime le fait qu'en cas de perte de EDF A il y a passage sur EDF B. Si EDF B est dfaillant il y a alors dmarrage des GE.

? Perte alimentation EDF B ! Dmarrage GE

Fig. 14 : description comportementale sous forme de rseau de Ptri.

Cahier Technique Schneider n 184 / p.12

2.4 Analyse des modes de dfaillances

Cette analyse a pour objet de fournir : c la liste des modes de dfaillances possibles pour chacun des lments identifis dans l'analyse fonctionnelle, c leurs causes d'occurrence (une seule cause suffit), c les consquences de ces dfaillances sur le systme (appeles aussi vnements simples), c le taux de dfaillance associ chaque mode de dfaillance dans le cadre d'une tude quantitative. Les rsultats sont prsents sous forme de tableaux (cf. fig. 15). Cette analyse peut tre considre comme la premire tape de modlisation.

Fonctions

Modes de dfaillances

Causes c Panne EDF c Panne transformateur c Disjoncteur intempestivement ouvert

Effets sur le systme Basculement sur le secours

Arrive EDF Perte du mode normal

Secours

Perte du mode secours en fonctionnement Panne mode normal et mode secours non disponible

c Dfaillance en fonctionnement du GE Perte de l'alimentation c Disjoncteur intempestivement ouvert lectrique c Panne transformateur c Non dmarrage GE c Disjoncteur bloqu ouvert

Fig. 15 : analyse des modes de dfaillances.

2.5 Donnes de fiabilit

Dans le cadre d'valuation quantitative il est ncessaire davoir les donnes probabilistes des dfaillances des quipements du systme. Les caractristiques probabilistes sont associer aux modes de dfaillances. Ce sont : c le taux de dfaillance et sa dcomposition en fonction des modes de dfaillances, c le temps moyen de rparation associ et la frquence de la maintenance prventive (cf. fig. 16). Les taux de dfaillances Rappelons quil sagit de quantifier la probabilit quil y ait une dfaillance entre [t, t+dt], sachant qu'il n' y a pas eu de dfaillance avant t. Schneider Electric dispose dune base de donnes alimente par plusieurs sources : c tudes internes et analyse des matriels en retour aprs dfaillance, c statistiques de dfaillances observes par les distributeurs dnergie et autres constructeurs, c recueils de fiabilit notamment amricains, v pour les composants non lectroniques : - l'IEEE 500 (retours d'exprience de centrales nuclaires des USA), - la NPRD 91 (retours d'exprience de systmes militaires et non militaires des USA),

Equipements Disjoncteur Groupe lectrogne Transformateur

Modes de dfaillances c Bloqu ferm c Intempestivement ouvert c Dfaillance en fonctionnement c Dfaillance au dmarrage c Dfaillance en fonctionnement

Taux de dfaillance

Temps de rparation, frquence de maintenance prventive

1 2 4 5 6

1, 2, 6 mois 3, X mois

Fig. 16 : extrait fictif de donnes de fiabilit ncessaires une tude.

Cahier Technique Schneider n 184 / p.13

v pour les matriels lectroniques, les donnes sont gnralement obtenues par calcul partir du Military Handbook 217 (F) ou du recueil de fiabilit du Centre National dEtudes des Tlcommunications. Certains composants pendant une priode de leur vie ont un taux de dfaillance () qui est constant en fonction du temps. C'est dire que leur capacit tre en panne est indpendante du temps ; c'est le cas des composants lectroniques (loi exponentielle). Les composants lectrotechniques vieillissent, autrement dit leur taux de dfaillance n'est pas constant avec le temps. Les donnes le plus souvent disponibles supposent des taux constants. L'utilisation de donnes non spcifiques au systme tudi, de taux de dfaillance constants alors que certains constituants vieillissent, est malgr tout fort intressante car cela permet d'tablir des comparaisons valables entre systmes. Le fait de trouver une architecture 10 fois plus fiable qu'une autre, 10 fois plus disponible... veut dire que cette architecture est dix fois meilleure pour le critre considr ; la valeur relative est souvent plus importante que la valeur absolue. La base de donnes de fiabilit de Schneider Electric a pour but de rassembler le plus de donnes possibles. Des critres de

validit ont t mis en place pour garantir la qualit des donnes intgres. On s'assure : c de la faon dont le retour d'exprience a t effectu, sur quelles donnes il est bas, c de la mthode de calcul prvisionnel utilise, des conditions dutilisation, de temprature, d'environnement... A terme, ce travail permet de disposer de donnes de fiabilit pour ltude d'une installation quelconque ou dtre capable de les obtenir par extrapolation. Les temps moyens de rparation sont directement fonction de la politique de maintenance de l'entreprise. Les choix dcisifs portent notamment sur les possibilits de stock, les heures de prsence des dpanneurs, les frquences de maintenance prventive, le type de contrat de maintenance avec les fournisseurs... L'impact de la variation des paramtres de politique de maintenance sur les performances du systme peut faire l'objet d'une analyse spcifique. Les reconfigurations fonctionnelles Dans le cas de reconfigurations fonctionnelles, lorsque le fonctionnel interagit avec le dysfonctionnel (par exemple dans le cas de dlestage tarifaire) la frquence de ces reconfigurations intervient dans la modlisation.

2.6 Modlisation
Les dysfonctionnements du rseau sont reprsents par un modle. Le modle est une reprsentation graphique des combinaisons des vnements dtermins par l'analyse des modes de dfaillances qui contribuent par exemple la perte de l'alimentation lectrique de certains rcepteurs et de leur processus de rparation. Ce modle permet : c de dialoguer avec le client pour valider notre comprhension des dysfonctionnements du rseau, c d'analyser qualitativement les performances du rseau, par la recherche des modes communs, des combinaisons les plus simples qui contribuent l'vnement redout, c d'valuer les performances du rseau par le calcul des critres de sret de fonctionnement. Diffrentes techniques sont disponibles selon l'architecture du systme tudi, les vnements indsirables concerns, les critres valuer et les hypothses prises en compte dans le(s) modle(s). Les principales techniques de modlisation c Combinatoire : combinaison d'vnements simples, c'est le cas des arbres de dfaillance (cf. fig. 17). Un arbre de dfaillance est une dcomposition d'vnements en vnements simples. Ainsi les causes immdiates de la perte de l'alimentation lectrique sont recherches, ce sont des vnements intermdiaires. Les causes de ces vnements intermdiaires sont recherches leur tour. La dcomposition se poursuit jusqu'a ce qu'elle soit devenue impossible ou inutile. Les vnements terminaux sont appels vnement de base. La dcomposition d'un vnement en vnementscauses s'effectue par l'intermdiaire d'oprateurs logiques appels portes (porte ET, porte OU). L'arbre de dfaillance de la figure 17 exprime que dans le rseau pris en exemple il y aura perte totale de l'alimentation lectrique s'il y a perte de l'alimentation EDF et perte des groupes lectrognes . Dans ce type de modlisation il n'est pas tenu compte du fait que la dfaillance des groupes lectrogne n'a un sens que sil y a eu perte de l'alimentation EDF dans un premier temps. Les rseaux avec reconfiguration et stratgies de maintenance complexes sont difficilement modlisables par un arbre de dfaillance. c Combinatoire et squentielle : combinaison d'vnements simples en tenant compte du moment o les vnements se produisent. v De type markovien (cf. fig. 18). Pour formaliser ce type de modle il est d'usage d'utiliser un graphe qui reprsente les diffrents

Cahier Technique Schneider n 184 / p.14

Evnement sommet

Perte alimentation lectrique

D : disjoncteur T : transformateur

ET

Evnements intermdiaires

Panne des GE

Perte alimentation EDF

OU

OU

Evnements de base

GE

EDF

Fig. 17 : modlisation par arbre de dfaillance. Le fait que la dfaillance des GE n'a un sens que si il y a eu perte EDF dans un premier temps n'apparait pas.

a : frquence laquelle il y a perte de l'alimentation EDF b : frquence de panne des GE : frquence de rparation

Perte de l'alimentation EDF a

Panne des GE b

Etat n 1 bon fonctionnement Rparation 3

Etat n 2 panne EDF dmarrage des GE

Etat n 4 perte alimentation lctrique

Rparation 1

Rparation 2 c perte de l'alim. EDF et nondmarrage des GE

Etat n 3 panne EDF non dmarrage des GE

Fig. 18 : modlisation dysfonctionnelle sous forme de graphe de Markov. a, b, sont par principe constants.

Cahier Technique Schneider n 184 / p.15

tats possibles du systme. Les arcs qui permettent de relier les tats du systme sont caractriss par des taux, qui peuvent tre des taux de dfaillances, des taux de rparations, des frquences reprsentatives du mode d'exploitation. Ces taux reprsentent la probabilit que le systme change d'tat entre t et t+dt. Le graphe de la figure 18 exprime que le systme peut avoir 4 tats de fonctionnement : - l'tat n 1 est l'tat de bon fonctionnement, - l'tat n 2 est l'tat o l'alimentation EDF est dfaillante et o les groupes lectrognes ont dmarr, - l'tat n 3 est l'tat o l'alimentation EDF est dfaillante et o les groupes lectrognes n'ont pas dmarr, - l'tat n 4 est l'tat o les groupes lectrognes ont eu une dfaillance en fonctionnement sachant que l'alimentation EDF est dfaillante. Une modlisation markovienne sous-entend que les frquences (ou taux) qui permettent de passer d'un tat du systme un autre sont des constantes. Les algorithmes de calcul associs

cette technique de modlisation ne peuvent tre appliqus que dans ces conditions. Cette limite amne faire des estimations qui peuvent tre plus ou moins proches de la ralit. v De type quelconque Le formalisme employ est gnralement celui des rseaux de Ptri. Le rseau est reprsent par des places, des transitions et des jetons. Le franchissement d'une transition par un jeton correspond un vnement fonctionnel ou dysfonctionnel possible du systme. Ces transitions peuvent tre associes n'importe quel type de loi probabiliste. Seule la simulation permet de rsoudre de tels calculs. Le rseau de Ptri de la figure 19 reprsente les diffrentes dfaillances que le systme peut subir : - la transition n 1 est associe la probabilit de dfaillance de l'alimentation EDF, - la transition n 2 sont associes les probabilits de dmarrage et de non dmarrage des groupes lectrognes, - la transition n 3 est associe la probabilit de dfaillance en fonctionnement des groupes lectrognes.

Temps de rparation Dfaillance EDF Temps de rparation 1 Temps de rparation

Probabilit 1-P de dmarrage des GE

Probabilit P de non dmarrage des GE

dfaillance des GE en fonctionnement

Fig. 19 : modlisation sous forme de rseau de Ptri.

Cahier Technique Schneider n 184 / p.16

Critres pour choisir un type de modlisation : La figure 20 prsente ces critres sous forme de tableau.

Critres de choix Interaction du mode d'exploitation dans la modlisation

Arbre de dfaillance Rsolution impossible ou fausse suivant les algorithmes

Graphe de Markov Sous certaines conditions la rsolution peut tre impossible ou fausse suivant les algorithmes utiliss Sous certaines conditions la rsolution peut tre impossible ou fausse suivant les algorithmes utiliss Adapt Adapt

Rseau de Ptri Adapt

Dispersion numrique des donnes (facteur 1000)

Rsolution impossible ou fausse suivant les algorithmes utiliss ; sans problme si simulation Non Temps de simulation qui peut tre prohibitif, en cas de rsolution analytique pas de problme Adapt Adapt (calcul analytique) Adapt (simulation) -

Adapt

L'aspect temporel des pannes est important Estimation lie des vnements rares

Adapt Temps de simulation qui peut tre prohibitif

Estimation de : c MUT c MTTF c D(t) c D() c D moyen t c MTTR c eq

Adapt Adapt Adapt Adapt Adapt Adapt

Adapt Adapt Adapt Adapt Adapt Adapt

Fig. 20 : critres pour choisir un type de modlisation.

2.7 Calculs dvaluation des critres de sret

Deux techniques diffrentes peuvent tre utilises. c Rsolution analytique : v pour les graphes d'tats, v pour les arbres de dfaillances. Quand les systmes sont grands ou complexes la rsolution analytique peut tre impossible. c Simulation du comportement des composants (fonctionnement ou panne) d'un systme : v pour les rseaux de Ptri, v pour les arbres de dfaillances. Pour tre prcis il faut raliser un grand nombre de simulations et le temps de calcul peut tre prohibitif si l'estimation des mesures est lie des vnements rares. La modlisation d'un systme par rseau de Ptri est la modlisation la plus proche du fonctionnement rel du systme tudi. Mais compte tenu des limites lies la simulation cette technique n'est pas utilise systmatiquement.

Cahier Technique Schneider n 184 / p.17

3 Exemples d'tudes

3.1 Comparaison darchitecture entre deux rseaux lectriques dusine

c Prsentation de lusine Une usine de production deau potable fournit 100 000 m3/jour, faible puissance, 300 jours/an et 200 000 m3/jour forte puissance 65 jours/an. La production deau est assure par 4 tranches de production, chacune capable de fournir 100 000 m3/jour. A chaque tranche, sont associs six types de rcepteurs R1, R2, R3, R4, R5, R6 (des pompes, des dsinfecteurs) qui doivent fonctionner simultanment pour assurer la production (cf. fig. 21). Les rcepteurs assurant le fonctionnement de chaque tranche peuvent tre reprs de la faon suivante : R1a,, R6a tranche n 1 R1b,, R6b tranche n 2 tranche n 3 R1c,, R6c R1d,, R6d tranche n 4 Pour assurer le fonctionnement faible puissance, une seule tranche est ncessaire ; forte puissance, deux tranches sont ncessaires. c Analyse de la demande, des besoins Aprs deux entretiens avec le client, les spcialistes ont dtermin :

EDF A

G1

G2

EDF B

Tableau MT1

Tableau MT2

20 kV T1 5,5 kV

20 kV T2 5,5 kV

5,5 kV T3 400 V JDB3 R6a......R6d R5a......R5d

5,5 kV T4 400 V JDB4 R4a......R4d R3a......R3d

5,5 kV T5 400 V JDB5 R2a......R2d R1a......R1d

5,5 kV T6 400 V JDB6

Fig. 21 : schma de principe simplifi de l'installation d'origine. Certains modes communs pnalisants ne figurent pas.

Cahier Technique Schneider n 184 / p.18

v qu'il fallait : - proposer une nouvelle architecture pour le rseau lectrique BT, l'architecture au niveau MT (5,5 kV) devait peu voluer, - prouver que le schma propos tait au moins aussi bon que l'ancien pour certains critres de sret de fonctionnement. v que les critres de sret de fonctionnement valuer taient : - la probabilit de perdre simultanment l'alimentation lectrique des rcepteurs n 1 et des rcepteurs n 6, - la probabilit de perdre l'alimentation lectrique des rcepteurs n 3. c Analyse fonctionnelle : considrations gnrales sur le fonctionnement du rseau v Le site est aliment par deux arrives EDF indpendantes. Deux groupes lectrognes sont l pour palier aux dfaillances des arrives EDF. v En fonctionnement normal le site est aliment par l'arrive EDF A. Si cette arrive est dfaillante l'arrive EDF B prend le relais. Si les deux arrives EDF sont dfaillantes les groupes lectrognes dmarrent. v Il existe deux niveaux de production, la marche faible et la marche forte. En cas de marche forte la puissance des groupes lectrognes n'est pas suffisante pour assurer la production. v La rpartition de lalimentation des rcepteurs est telle que la disponibilit nest pas trs bonne. Ainsi par exemple un dfaut sur le jeu de barres JDB3 met hors service tous les rcepteurs de type R5 et R6. La production est arrte, plus aucune tranche ne pouvant fonctionner. v Le rseau lectrique existant tait tel qu'il y avait des jeux de barres en mode commun. Un court circuit sur ces jeux de barres rendait inoprantes les reconfigurations. La probabilit de court circuit d'un jeu de barres est faible mais le systme tant fortement reconfigurable cette dfaillance devient prpondrante. Les modes communs se situaient au niveau du couplage, lors des reconfigurations intressant le transformateur T4. v Pour le nouveau rseau les rcepteurs ont t spars de manire ce qu'il soit possible d'assurer la marche faible avec les rcepteurs associs un seul transformateur et la marche forte avec les rcepteurs associs deux transformateurs. La figure 22 prsente le schma du rseau propos.

EDF A

GE1

GE2

EDF B

Tableau MT1 20 kV T1 5,5 kV 5,5 kV 20 kV T2

Tableau MT2

5,5 kV 400 V Tranche n 1 R1a R2a...................R6a

5,5 kV 400 V Tranche n 2 R1b R2b...................R6b

5,5 kV 400 V Tranche n 3 R1c R2c...................R6c

5,5 kV 400 V Tranche n 4 R1d R2d...................R6d

Fig. 22 : schma de principe de la nouvelle architecture.

Cahier Technique Schneider n 184 / p.19

La figure 23 prsente son analyse fonctionnelle. c Analyse des rsultats Lamlioration des rsultats par le rseau propos est mise en valeur en donnant les rapports damlioration, le rseau existant servant de rfrence. Outre les probabilits de perte simultane des rcepteurs 1 et 6, et la probabilit de perte des rcepteurs 3, nous avons valu leur frquence de perte. Ont ausi t calcules la frquence de mainenance optimale pour les groupes et la contribution aux vnements redouts du rseau MT et BT. Voici les amliorations obtenues :

v sur la probabilit relative de perdre simultanment l'alimentation des rcepteurs n 1 et 6 : - marche faible 110 - marche forte 55 - au global 105 v sur la probabilit relative de perdre l'alimentation des rcepteurs n 3 : - marche faible 99 - marche forte 54 - au global 97 Globalement il est 100 fois plus probable de perdre l'alimentation lectrique des rcepteurs n 1 et 6 avec l'ancien rseau qu'avec le rseau propos. En effet dans l'ancien rseau, il y a des

Arrive EDF A

Groupes lectrognes

Arrive EDF B

Transformateur 20 kV/5,5 kV

Transformateur 20 kV/5,5 kV

Rcepteurs n 7

Protections

Couplage

Protections

Rcepteurs n 7

Rcepteurs n 8

T5

T3

T6

T4

Rcepteurs n 8

Rcepteurs n 6a, 5a, 4a 3a, 2a, 1a

Rcepteurs n 6b, 5b, 4b 3b, 2b, 1b

Rcepteurs n 6c, 5c, 4c 3c, 2c, 1c

Rcepteurs n 6d, 5d, 4d 3d, 2d, 1d

Fig. 23 : analyse fonctionnelle de la nouvelle architecture.

Cahier Technique Schneider n 184 / p.20

dfaillances qui contribuent directement la perte de la fourniture d'nergie lectrique. Si le systme fonctionnait uniquement en marche faible ce rapport serait quasiment le mme car le systme fonctionne surtout en marche faible, d'ou sa prpondrance sur le rsultat global. Si le systme fonctionne uniquement en marche forte il est environ 50 fois plus probable de perdre l'alimentation lectrique des rcepteurs 1 et 6 avec l'ancien rseau. Dans le cas de la marche forte ce sont les pannes lies la MT qui sont prpondrantes et cette partie du rseau est peu modifiable. v sur la frquence de perte d'alimentation des rcepteurs n 1 et des rcepteurs n 6 : - marche faible 22 - marche forte 21 - au global 21 v sur la frquence de perte d'alimentation des rcepteurs n 3 : - marche faible 18 - marche forte 21 - au global 20 Les performances du nouveau rseau sont moins nettes en ce qui concerne les frquences de pannes. Les paramtres de calcul d'une probabilit d'indisponibilit sont les frquences de pannes et les temps de rparation. Les dfaillances qui contribuent directement la perte d'nergie influencent d'autant plus la probabilit d'indisponibilit que leur temps de rparation est grand. Le nouveau rseau rend possible la maintenance prventive en temps masqu, c'est dire sans interrompre la production normale de l'usine.

c Evaluations supplmentaires Il a paru intressant d'valuer des critres supplmentaires de comparaison entre les deux architectectures. v Probabilit relative de perdre la marche forte En cas de marche forte les enjeux conomiques sont trs importants. Les critres qui avaient t calculs ne mesuraient pas ce risque. Il est tout fait possible de perdre la marche forte alors que les rcepteurs n 1, 6, et 3 sont aliments en lectricit. Il est 4 fois moins probable avec le nouveau rseau de perdre la marche maximale. Lamlioration est moins marque que pour les autres critres calculs, les pannes principales se situant au niveau MT qui nest pas modifi. v Frquence optimale de maintenance prventive La courbe rsultant des calculs (cf. fig. 24) montre l'impact de la frquence de maintenance prventive des groupes lectrognes sur la probabilit qu'ils soient disponibles au moment d'une sollicitation. Pour une frquence de maintenance de 6 mois la courbe montre qu'il existe un seuil bas pour la probabilit d'indisponibilit l'arrt. v Contribution aux vnements redouts de la partie MT et de la partie BT pour le rseau propos. La partie MT a une contribution beaucoup plus forte que la partie BT (d'environ 99,9 % contre 0,1 %). Puisque le rseau MT na pas t modifi, sa maintenance prventive devra tre optimise ; par ailleurs il sera hautement souhaitable davoir recours un contrle-commande de qualit sur le rseau MT.

P(dfaillance l'arrt)

1 mois

6 mois

1 an

2 ans

5 ans

Fig. 24 : indisponibilit l'arrt d'un groupe lectrogne en fonction de la priodicit de la maintenance.

Cahier Technique Schneider n 184 / p.21

3.2 Intrt dun poste de contrle-commande dlocalis pour un poste THT

Station de travail

Console Niveau 2 Communication

Rseau

Communication

4 automates

Communication

Sorties TOR Unit centrale Entres TOR Unit centrale

Sorties TOR Entres TOR

Niveau 1

Entres analogiques Automate Automate

Entres analogiques

Fig. 25 : architecture de base du contrle-commande d'un poste THT.

Vers le niveau 3 Station de travail Passerelle

Unit centrale Console Niveau 2

Communication

Communication

Rseau

Communication

4 automates

Communication

Sorties TOR Unit centrale Entres TOR Unit centrale

Sorties TOR Entres TOR

Niveau 1

Entres analogiques Automate Automate

Entres analogiques

Fig. 26 : architecture de contrle-commande du poste THT avec passerelle et station de travail.

Cahier Technique Schneider n 184 / p.22

c Analyse de la demande, des besoins Dans le cadre d'offres de contrle-commande de poste THT l'tranger Schneider ralise des prtudes de sret. La prtude suivante devait dterminer quelle tait l'architecture qui permettrait d'atteindre les objectifs de sret fixs par le client vis vis de la perte du contrle-commande. Il fallait rechercher s'il tait ncessaire de raliser une station de travail redondante et dlocalise. c Analyse fonctionnelle Le contrle-commande du poste THT concern comprend : v quatre automates qui ralisent l'acquisition des tats des quipements lectrotechniques du poste, la restitution des commandes (niveau 1), v une station de travail qui permet de visualiser l'tat du poste, de transmettre les commandes (niveau 2), v et ventuellement une station de travail dlocalise. La station de travail dlocalise est alors redondante avec la station de travail du poste. La figure 25 prsente la solution de base qui correspond une seule station de travail au niveau 2. La figure 26 prsente la solution avec passerelle vers une station dlocalise. c Analyse des rsultats Le contrle-commande choisi doit avoir une probabilit d'indisponibilit infrieure 10-4 t = 1200 heures. Soit un temps de non fonctionnement du systme infrieur 7 minutes aprs 1200 heures de fonctionnement (50 jours). L'vnement redout comme la perte du contrle-commande a t affin en trois vnements redouts correspondant aux calculs de : v la probabilit de perdre totalement le contrle-commande (mode commun), v la probabilit de perdre au moins une information TOR, v la probabilit de perdre au moins une information ANA, soit trois calculs par architecture. Le matriel est divis en deux classes : v le matriel dont on dispose de lots de rechange (n), v le matriel dont on ne dispose pas de lots de rechange (s). Deux calculs sont raliss par vnement redout, pour montrer l'impact sur le rsultat final du choix des temps moyens de rparation (cf. fig. 27). Lhypothse 2 est la plus raliste ; ce sont ces temps qui seront pris en compte pour choisir entre les deux solutions.

MDT matriel de type n Hypothse 1 Hypothse 2 1 heure 4 heures

MDT matriel de type s 3 heures 12 heures

Fig. 27 : deux hypothses de temps moyens de rparation.

Objectif Solution de base : Entres ANA

Entres/sorties TOR

Modes communs

Solution avec passerelle vers le niveau 3 : Entres ANA

Entres/sorties TOR

Hypothse 1 Hypothse 2

Modes communs 0 1E-4 2E-4 3E-4 4E-4 5E-4 6E-4

Indisponibilit t = 1200 h

Fig. 28 : histogramme des indisponibilits pour les deux solutions (le repre orange correspond l'objectif atteindre, il est atteint si l'histogramme reste gauche du repre).

Comme le montre la figure 28 : v la solution sans station dlocalise ne permet pas dobtenir la disponibilit souhaite, v la solution avec contrle-commande dport permet datteindre lobjectif pour les entres TOR et les modes communs ; mais la probabilit de perdre au moins une entre ANA reste suprieure lobjectif fix.

Cahier Technique Schneider n 184 / p.23

4 Les outils de la sret de fonctionnement

4.1 Outils daide lanalyse dysfonctionnelle

Certains outils gnrent automatiquement une analyse dysfonctionnelle partir de l'analyse fonctionnelle du systme et des modes de dfaillances des composants. Il y a gnration d'un modle, qui permet l'valuation des critres de sret de fonctionnement. Ces outils sont utiles pour des systmes complexes et/ou rptitifs. Ils permettent de crer une base de donnes sur les modes de dfaillance des composants, sur les consquences de ces dfaillances lorsque ceci est possible (cf. fig. 29).

Nom de Technique de Technique de l'outil modlisation rsolution de calcul Adlia Arbre de dfaillance c Analytique c Simulation

Caractristiques principales Outil dvelopp par Schneider Electric pour modliser les dysfonctionnements des composants des rseaux lectriques. Il intgre une base de donnes sur les dysfonctionnements des rseaux lectriques. La description du rseau et de l'vnement redout entrane la cration automatique de l'arbre de dfaillance correspondant. Outil dvelopp par SGTE Sofreten. Gnration automatique d'un arbre de dfaillance et de l'AMDE associe, par la description fonctionnelle du systme et la cration d'une base de donnes dysfonctionnelle associe.

Sofia

Arbre de dfaillance

c Analytique (polynome logique)

Fig. 29 : deux types d'outils d'aide l'analyse dysfonctionnelle utiliss habituellement par Schneider.

4.2 Outils de modlisation

Deux types d'outils (cf. fig. 30) : c les outils de simulation, c les outils de calcul analytique. Remarque : un graphe de Markov peut tre trs facilement transform en rseau de Ptri et faire l'objet d'une simulation. Inversement tout rseau de Ptri un graphe peut tre associ mais il faut alors markoviniser les transitions : dans un graphe de Markov les frquences de passage des transitions sont forcment constantes.

Type de modlisation Graphe de Markov Rseau de Ptri

Outil de simulation

Outil de calcul analytique Supercab dvelopp par ELF AQUITAINE

MOCA-RP dvelopp par Microcab

Fig. 30 : les outils de modlisation.

Cahier Technique Schneider n 184 / p.24

Schneider dispose actuellement sur PC d'une interface graphique intitule PCDM qui gnre automatiquement le fichier de dfinition du graphe de Markov ou du rseau de Ptri dessin (cf. fig. 31). Ceci apporte un gain de temps et une fiabilisation de la saisie des donnes. Lutilisation des rseaux de Ptri est la technique de modlisation actuellement la plus proche du comportement rel d'un systme.

L'acclration de la simulation de rseaux de Ptri notamment grce au logiciel MOCA-RP fait l'objet d'une thse dont les premiers rsultats ont t prsents au congrs ESREL 96 (European Safety Reliability). Dans un avenir proche l'utilisation des rseaux de Ptri ne sera plus limite par le temps de simulation.

Fig. 31 : interface graphique PCDM - graphe de Markov.

Cahier Technique Schneider n 184 / p.25

5 Conclusion

La sret se dcline en : c scurit, c fiabilit, c disponibilit, c maintenabilit. Les impratifs de scurit ont dabord impos les tudes de sret sur les applications risques : les transports ferroviaires et ariens, les centrales nuclaires. Si on y ajoute les impratifs de fiabilit, disponibilit et maintenabilit, bien dautres domaines sont concerns. Les exigences ont progress vis vis de la qualit de llectricit. Compte tenu de lamlioration considrable des mthodes et des matriels, les utilisateurs sont en droit aujourdhui dexiger un haut niveau de

disponibilit. Pour atteindre cet objectif avec une confiance justifie, les tudes de sret sont ncessaires. Elles permettent doptimiser : c larchitecture du rseau lectrique, c le systme de contrle-commande, c la politique de maintenance. Elles permettent de choisir les solutions adaptes pour atteindre le seuil de disponibilit dsir, au meilleur cot. Souvent, ltude peut se limiter un point cl de linstallation, sur lequel repose la plus lourde part de lindisponibilit globale. Dans de nombreux cas, il est intressant de faire appel un spcialiste. Un conseil de sa part peut tre dterminant.

Cahier Technique Schneider n 184 / p.26

6 Bibliographie

Normes c CEI 50 : Vocabulaire electrotechnique international, chapitre 191: Sret de fonctionnement et qualit de service. c CEI 271/UTE C20310 : Liste des termes de base, dfinitions et mathmatiques applicables la fiabilit. c CEI 300 : Gestion de la sret de fonctionnement - 3me partie : Guide dapplication - Section 1 : Techniques danalyse de la sret de fonction-nement - Guide mthodologique. c CEI 305/UTE C20321 20327 : Essai de fiabilit des quipements. c CEI 362/UTE C20313 : Guide pour lacquisition des donnes de fiabilit, de disponibilit et de maintenabilit partir des rsultats dexploitation des dispositifs lectroniques. c CEI 671 : Essais priodiques et surveillance du systme de protection des racteurs nuclaires. c CEI 706/X 60310 ET 60312 : Guide maintenabilit de matriel c CEI 812/X 60510 : Techniques danalyse de la fiabilit des systmes. Procdure dAnalyse des Modes de Dfaillance et de leurs Effets (AMDE). c CEI 863/X 60520 : Prvision des caractristiques de fiabilit, maintenabilit et disponibilit. c CEI 880 : Logiciels pour les calculateurs utiliss dans les systmes de sret des centrales nuclaires. c CEI 987 : Calculateurs programms importants pour la sret des centrales nuclaires. c CEI 1165 : Application des techniques de Markov. c CEI 1226 : Centrale nuclaire - Systme dinstrumentation et de contrle-commande important pour la sret - classification. c NF C 71-011 : Sret de fonctionnement des logiciels - Gnralit. c NF C 71-012 : Sret de fonctionnement des logiciels - Contraintes sur le logiciel. c NF C 71-013 : Sret de fonctionnement des logiciels - Mthodes appropries aux analyses de scurit. Publications diverses [1] Fiabilit des systmes A. PAGES et M. GONDRAN Eyrolles 1983 [2] Sret de fonctionnement des systmes industriels A. VILLEMEUR Eyrolles 1988

[3] Recueils de donnes de fiabilit : c Military Handbook 217 F Department of Defense (US) c Recueil de donnes de fiabilit du CNET(Centre National dEtudes des Tlcommunications) 1993 c IEEE 493 et 500 (Institute of Electrical and Electronics Engineers) 1980 et 1984 c IEEE Guide to the collection and presentation of electronic sensing component, and mechanical equipment reliability data for nuclearpower generating stations c Document NPRD91 (Nonelectronics Parts Reliability Data) du Reliability Analysis Center (Department of Defense US) 1991 [4] Recommandations c MIL-STD 882 B c MIL-STD 1623 Cahiers Techniques Schneider c Introduction la conception de la sret Cahier Technique n 144 P. BONNEFOI c Distibution lectique haute disponibilit Cahier Technique n 148 G. GATINE 1989 c Sret de fonctionnement et tableaux lectriques BT Cahier Technique n 156 Ph. ROMANET-PERROUX c Permutation automatique des alimentations dans les rseaux HT et BT Cahier Technique n 161 G. THOMASSET c La slectivit nergtique en BT Cahier Technique n 167 R. MOREL, M. SERPINET c Sret des protections en MT et HT Cahier Technique n 175 M. LEMAIRE Participation Schneider diffrents groupes de travail c Groupe statistiques du comit 56 (normes de fiabilit) de la CEI, c Sret du logiciel au groupe Europen EWICS - TC7 : computer and critical applications, c Groupe de travail de lAFCET sur la sret de fonctionnement des systmes informatiques, c Participation la mise jour du recueil de fiabilit du CNET, c Groupe de travail IFIP 10.4 Dependable computing.

Cahier Technique Schneider n 184 / p.27

Schneider

Direction Scientifique et Technique, Service Communication Technique F-38050 Grenoble cedex 9 Tlcopie : (33) 04 76 57 98 60

Ralisation : Sodipe - Valence Edition : Schneider. Impression : Clerc - Fontaine - 2000. - 100 FF01-99

76470

1999 Schneider