Les Analyses de la Sûreté de Fonctionnementcsmaniac.free.fr/STRI/cours/M2/Qualit%E9-SdF/analyses...R6 WA4PG 2.49 Ko 1% SN Resistor Fixed Film R7 WA4PG 2.49 Ko 1% SN Resistor Fixed

Les Analyses de la Sûreté de Fonctionnement

Thomas BEN Reproduction interdite © Alcatel Espace Reproduction forbidden IA009-A 1

Plan de l'exposé :

1 Généralités 1.a La défaillance

1.b Les lois statistiques

2 Les analyses de la SdF 2.a Généralités

2.b Analyse du taux de défaillance

2.c Analyse de fiabilité

2.d Analyse du taux de charge

2.e Analyse pire cas

2.f Analyse des modes de pannes, de leurs effets et de leur criticité

2.g Analyse de disponibilité



1.a La défaillance

• Qu'est-ce qu'une défaillance ?

Il y a défaillance lorsqu'un dispositif n'est plus apte à accomplir une fonction requise définie.

Il existe des défaillances soudaines (aléatoires) et des défaillances progressives (usure).

• Comment arrive la défaillance?

A l'origine de la défaillance il y a un mécanisme de dégradation (processus physico-chimique interne au composant) qui conduit à la dérive lente ou brutale d'un ou plusieurs paramètres électriques.

Les mécanismes de dégradation sont précipités par des grandeurs physiques

- Electromigration : Température et densité de courant

- Ionisation par impact/avalanche : Champ électrique

- Fissuration du boîtier / délamination de la puce/décollement des bondings : cyclage thermique

- Corrosion de la puce : Température et humidité

Des lois modélisent l’influence de ces grandeurs physiques : Loi d’arrhénius (T°), loi de Coffin-Menson (∆T°), loi de Peck ou Sinadurai (H), loi de Black (J)



• Loi d'arrhénius (action de la température)

vitesse de réaction d’un mécanisme lié à la température :

( )v T CsteEakT

= −⎛⎝⎜

⎞⎠⎟

* exp avec Ea l'énergie d'activation (eV), k la constante de Boltzman

(8.62E-5 eV/K), et T la température (°K)

Facteur d'accélération entre deux températures :

( )( )

AFv Tv T

Eak T T

= = − −⎛

⎝⎜

⎞

⎠⎟

⎛

⎝⎜

⎞

⎠⎟1

0 1 0

1 1exp avec T1 la température de contrainte et T0 la température de référence.

Temps moyen jusqu'à défaillance (pour un critère de défaillance fixé) : ( ) ( )MTTF T AF MTTF T1 0= *

1 .0 0 E + 0 1

1 .0 0 E + 0 2

1 .0 0 E + 0 3

1 .0 0 E + 0 4

1 .0 0 E + 0 5

1 .0 0 E + 0 6

1 .0 0 E + 0 7

1 .0 0 E + 0 8

1 .0 0 E + 0 9

1 .0 0 E + 1 0

1 .6 1 .8 2 2 .2 2 .4 2 .6 2 .8 3 3 .2 3 .4 3 .6 3 .8

1 /T * 1 E -3 (° K )

MTT

F(he

ures

)

3 0 0 °C 2 5 0 °C 2 0 0 °C 1 5 0 °C 1 0 0 °C 5 0 °C 0 °C

ex : On mesure un MTTF de 100 heures à 300°C avec une Ea de 0,7 Ev. On peut évaluer le MTTF à 50 °C à 1E7 heures (1000 ans).



• Loi de Coffin-Menson (action des cycles thermiques)

Issue de la thermomécanique :

( )Nf T Csten* ∆ = avec Nf le nombre de cycles thermiques jusqu'à défaillance, ∆T l'amplitude des cycles thermique, et n constante entre 1 et 3.

Loi d'équivalence : NN

TT

n

2

1

1

2

=⎛

⎝⎜

⎞

⎠⎟

∆∆

⇒ AFNN

TT

n

=⎛

⎝⎜

⎞

⎠⎟1

2

1

2

∆∆

• Loi de Peck (action de l'humidité en fonction de la température):

vitesse de réaction d’un mécanisme lié à l’humidité :

v H T HEakT

n( , ) * exp= ⎛⎝⎜

⎞⎠⎟ avec H l'humidité relative au niveau de la jonction (en %), n constante =

-3, et Ea l'énergie d'activation pour l'action de l'humidité (0.9 eV).

Pénétration de l'humidité jusque la jonction :

H Hak Tj Ta

= −⎛⎝⎜

⎞⎠⎟

⎡

⎣⎢

⎤

⎦⎥* exp

.0 43 1 1 avec H l'humidité à la jonction (en %), Ha l'humidité ambiante (en %), Tj la

température de jonction (°K), et Ta la température ambiante (°K)

Facteur d'accélération entre 2 environnements :

AFHH k T T

n

=⎛

⎝⎜

⎞

⎠⎟ − −

⎛

⎝⎜

⎞

⎠⎟

⎡

⎣⎢

⎤

⎦⎥1

0 1 0

0 9 1 1* exp

.



1.b Rappels sur les lois statistiques

• Fonction densité de probabilité f(t) (fonction de distribution)

C'est la probabilité d'avoir une défaillance dans un intervalle de temps dt donné.

( ) ( )f t

dF tdt

= Estimateur : ( ) ( )

)(∞

−∆+

pannes

pannespannes

N

tNttN

t

f(t)

m

nombre oupourcentage

t4 5 6 7 8 9 10 11 12 13 14

10

20

Exemple de loi Normale L'histogramme de mesures représente la fréquence d'apparition des défaillances.

Mean Time Between Failures : ( )dtttfMTTF ∫∞

=0



• Fonction de répartition F(t)

C'est la probabilité de non-fonctionnement à la date t (à t=0, F(t)=0 et à t= ∞+ , F(t)=1)

Estimateur( ) ( )F t f t dt=∞

∫0

: ( )N t

Npanne

init.

t

F (t)

1

m

0 .5

nombre ou pourcentagede composants en panne

t4 5 6 7 8 9 10 11 12 13 14

50

100

F(t) est le complément à 1 de la fonction Fiabilité R(t) ⇒ F(t)=1 - R(t)



• Fonction fiabilité R(t) (Reliability)

C'est la probabilité de bon fonctionnement à l'instant t (à t=0, R(t)=1 et à t= ∞+ , R(t)=0)

( ) ( )R t F t= −1 Estimateur : ( )N tNfonct

init

.

.

t

R(t)

m

0.5

1

nombre ou pourcentagede composants fonctionnants

t4 5 6 7 8 9 10 11 12 13 14

50

100



• Fonction taux de défaillance instantané λ(t)

C'est la probabilité de défaillance, sur un intervalle dt, d'un dispositif en fonctionnement à l'instant t

( ) ( )( )

λ tf tR t

=

0

0.5

1

λ(t)

4 5 6 7 8 9 10 11 12 13 14t



• Profil de vie d'une population de composants

t

Taux de défaillance λ(t)

λ0

jeunesse vie utile usure



• Pannes de jeunesse

λ(t) décroît, le système s'améliore. Les composants les plus faibles défaillent les premiers.

Pour s'en affranchir :

- contrôle et maîtrise de la fabrication

- déverminage avant utilisation : On stress légèrement les composants pour faire apparaître les faiblesses latentes.

• Pannes d'usure

Vieillissement des composants. Dans une population homogène, on retrouve le même mécanisme de dégradation, et les pannes sont réparties dans le temps suivant une loi lognormale.

Pour s'assurer que ces défauts apparaîtront après la fin de la mission :

- diminution des contraintes électriques et thermiques

- tests de qualification : On effectue des tests de vieillissement accéléré en observant le comportement des composants.

• Vie utile = pannes aléatoires

Défaillances brutales et imprévisibles. Elles semblent apparaître à un taux constant.

Tous les mécanismes de dégradation sont présents et les lois d'accélération sont valables avec des constantes différentes.

Les causes peuvent être le composant lui-même mais aussi l'environnement dans lequel il se trouve.



• Taux de défaillance constant : La loi exponentielle

( ) ( )( )

λ λ ⇒ le système ne s'use pas. tf tR t

Cste= = = 0

0

1λ

=MTTF

( ) ( )f t t= −λ λ0 0 exp ( ) ( ) ( )R t t F t= − = −exp λ0 1 loi exponentielle

t

f(t)

λ0

t

R(t)

1



• Mesure du taux de défaillance aléatoire

Le retour d’exploitation par le suivi des échanges et des opérations de maintenance

λ = =1

MTBFd

TDH (FIT) avec 1 FIT = 1 défaut par 109 heures, d le nombre de défauts, et TDH

le nombre d'heures composant cumulées.

( )( )

λχ α

α1

2 2 1

2− =+d

TDH

, (FIT) avec 1-α niveau de confiance (en général 60%)

Ce taux de défaillance n’est valable que dans les conditions de l'application suivie puisque la température, les stress électriques, et l'environnement (cycles thermiques et humidité) influent sur le taux de défaillance aléatoire. On extrapole d’un environnement à l’autre en appliquant des facteurs d’accélération.

Les essais accélérés

- Mécanismes de dégradation variés et causes multiples = difficile à reproduire et à accélérer en test

- Taux de défaillance aléatoires faibles : 10 FIT à Tj=50°C soit peut être 100FIT à Tj=150°C

Pour avoir 10 défaillances aléatoires, il faut 10E8 heures composant (10000 ans) c.-à-d. 1000 composants en test pendant 10 ans ou 10000 composants pendant 1 an.



2 LES ANALYSES DE LA SURETE DE FONCTIONNEMENT



2.a Généralités

• Enjeux :

- Ces analyses ont pour objectif de fiabiliser le produit

- Leur utilisation est fonction des exigences qualité du produit

- Dans le spatiale ces analyses sont contractuelles et sont livrées avec le produit

• Cas d'étude : régulateur de tension

VBUS+6V

E1

R3

Q1

R2R4 C3

R6

R7

C4

Vcc

-

+

A1

Q2

OUT

IN-

IN+

+6V

0V

V+

V-

+5V

+

+6V

+

C1

R1

C2

R5

D1

E01

E02Returne



Repère topo. Nomenclature Description

R1 WA9PG 5.11 o 1% SN Resistor Fixed Film R2 WA4PG 2.49 Ko 1% SN Resistor Fixed Film R3 WA4PG 200 o 1% SN Resistor Fixed Film R4 WA4PG 4.02 Ko 1% SN Resistor Fixed Film R5 WA4PG 5.49 Ko 1% SN Resistor Fixed Film R6 WA4PG 2.49 Ko 1% SN Resistor Fixed Film R7 WA4PG 2.49 Ko 1% SN Resistor Fixed Film C1 Capa 2220-II 103 10% 50V SN Capa Céramique C2 C 2815 H 22UF 10% 20V SN Capa Tantal Solide C3 Capa 0805-II 103 10% 50V SN Capa Céramique C4 C 1510 D 3.3 UF 10% 15V SN Capa Tantal Solide D1 Diode Zener 2.5 V Zener Bidon Q1 Trans SOC2222A SOC Transistor Bip BF Q2 Trans. 2N5153 POW. PNP TO39 Transistor Bip BF A1 IC RH1014W FP Ampli Op Linéaire Bip FP8



2.b Analyse du Taux de Charge (ATC)

• Définition :

Taux de charge : Rapport entre la valeur utilisée du paramètre dans l'application et la valeur max. autorisée par le constructeur. Ce rapport est soumis à une borne supérieure appelée "Derating" définie dans des normes.

• Les normes :

Elles sont contractuelles et négociées avec le client.

Définissent les paramètres concernés et les deratings associés pour chaque type de composant

- QFT-IN-500 (CNES)

- PSS-01-301(2) (ESA)

- MIL-STD-1547(B) (DoD)

- AD04 (ALCATEL SPACE INDUSTRIES)

• Objectifs :

En s’appuyant sur l’idée intuitive que moins le composant est stressé moins il a de chance de tomber en panne, on définit des marges sur les courants, tensions, températures max. spécifiées par les fabriquants.

Fixer des taux de stress max. pour rejeter la période d’usure le plus loin possible

Introduire une marge pour les composants faibles non détectés au déverminage (minimiser le taux de défaillance aléatoire)

Introduire des marges pour compenser les erreurs de modélisation


Thomas BEN Reproduction interdite © Alcatel Espace Reproduction forbidden IA009-A17

• Exemple d'ATC : ESA PSS-01-301

Specified ratinge topo. Description Description Paramètre Unitée Rated value Derating factor Derated Val. T° BoitieRepèr r Operating Val. Y/N

WA9PG 5.11 o 1% SN Resistor Fixed Film V V 75 80 60 62 0 yR1PN mW 250 50 125 62 0.1 y

WA4PG 2.49 Ko 1% SN Resistor Fixed Film V V 40 80 32 62 0.7 yR2PN mW 50 50 25 62 0.1 y

WA4PG 200 o 1% SN Resistor Fixed Film V V 40 80 32 63.5 1.2 yR3PN mW 50 50 25 63.5 7 y

WA4PG 4.02 Ko 1% SN Resistor Fixed Film V V 40 80 32 62 1 yR4PN mW 50 50 25 62 0.1 y

WA4PG 5.49 Ko 1% SN Resistor Fixed Film V V 40 80 32 63.1 5.5 yR5PN mW 50 50 25 63.1 5.5 y



Capa 2220-II 103 10% 50V SN Capa Ceramique V V 50 50 25 62 9 yC1Tcase °C 125 85 62 62 y

C 2815 H 22UF 10% 20V SN Capa Tantal Solide Encapsulée V V 20 60 12 62 8.7 yC2Tcase °C 0 85 62 62 y

Capa 0805-II 103 10% 50V SN Capa Ceramique V V 50 50 25 62 0 yC3Tcase °C 125 85 62 62 y

C 1510 D 3.3 UF 10% 15V SN Capa Tantal Solide V V 15 60 9 62 5 yC4Tcase °C 125 85 62 62 y

Diode zener 2.5V Zener Bidon Reverse Volt. V 10 75 7.5 62 2.5 yD1I mA 10 60 5 62 0.65 yPN mW 100 50 50 62 1.6 yTj °C 200 110 62 62 y

1 Trans SOC2222A SOC Transistor Bip BF Vce/Vds V 40 75 30 67 3.44 yQVcb/Vdg V 75 75 56.25 67 0 yVeb/Vgs V 6 75 4.5 67 0 yIc mA 500 75 375 67 10 yPN mW 730 44.1 322.22 67 35 yTj °C 200 110 67 73.3 y

2 Trans. 2N5153 POW. PNP Q TTransistor Bip BF Vce/Vds V 80 75 60 78.1 1 yVcb/Vdg V 100 75 75 78.1 0 yVeb/Vgs V 5.5 75 4.12 78.1 0 yIc mA 5000 75 3750 78.1 293 yPN mW 10000 26.8 2680 78.1 293 yTj °C 200 110 78.1 83.2 y

1 IC RH1014W FP Ampli Op Linéaire Bip FP8 V+ V 22 80 17.6 67.4 8.6 yAV- V 22 80 17.6 67.4 9 yVin V 27 70 18.9 67.4 0 yIout mA 35 80 28 67.4 1.5 yPN mW 900 75 675 67.4 40 yTcase °C 125 85 67.4 67.4 yTj °C 150 110 67.4 68.6 yFreq. Mhz 0 90 0 67.4 0 y



2.c Analyse du taux de défaillance

• Objectifs :

Estimer le taux de défaillance aléatoire d’un équipement en fonction des conditions d’utilisation et des contraintes environnementales.

Sert d’entrée à l’analyse de fiabilité et permet le dimensionnement des stocks de maintenance.

C'est en premier lieu un guide à la conception mais devient parfois une spécification de performance.

• Les normes :

Permettent de calculer le taux de défaillance aléatoire des composants

Norme Organisme secteur + -

MIL HDBK 217 F+N2 DoD Militaire Simple

Mondialement reconnue

Ancienne et obsolète

Empirique et rigide

Pénalisante pour COTS

RDF93 (MAJ RDF99) CNET/FT Télécom FR Orienté COTS Complexe

Difficile à exporter

BELLCORE Bell Telecom Télécom US

IEC CECC Niveau européen Facteurs d'accélération

Uniquement



• Structure générale d'un modèle de prédiction de taux de défaillance : exemple de la MIL (structure du RDF93 identique)

Un modèle n’est applicable que sous réserve du respect des conditions d’appro, de qualification, et d’utilisation définies dans les normes contractuelles (ESA, MIL, ...).

Taux de défaillance des circuits intégrés : λ λ λ π π π π= + = +puce boitier T E Q LC C( * * ) * *1 2

C1 “ λ de base ” de la puce dépendant du type, de la techno, et de la complexité du composant

πT Facteur d’accélération de la température (loi d’arrhenius)

C2 “ λ de base ” du boîtier dépendant du type, et du nombre d’E/S

πE Facteur Environnement tabulé

πQ Facteur Qualité dépendant du niveau d’approvisionnement et des tests de qualification

πL Facteur d’apprentissage dépendant de la maturité de la production

Taux de défaillance des composants discrets : λ λ π π π π= b T Q E S* * * *

πS Facteur d’accélération du stress électrique

Remarque : Bien que plusieurs mécanismes de dégradation puissent être rencontrés, on a une seule Ea qui correspond à une Ea moyenne de retour d’expérience.



• Nouvelle approche : exemple du RDF99 (approche identique pour le modèle du RAC et le Bellcore)

Approche déterminisme : le facteur d’environnement est remplacé par des modèles de contrainte physique

Taux de défaillance des circuits intégrés : ( ) EOSmmT2L1 ***N* λπλπλπλλ +++=

Plus de πQ Composant et Fabriquant soigneusement sélectionné

2λ Maîtrise de la technologie mise en œuvre

1λ “ λ de base ” par transistor

N Nombre de transistors du composant

πL Loi de Moore

πT Facteur d’accélération thermique

πm Facteur d’accélération thermomécanique dépendant du nombre de cycle et ∆T

λm “ λ de base ” thermomécanique du boîtier (dépendant de sa taille)

λEOS Taux de défaillance lié à l’environnement électromagnétique

Remarque : Pas de déterminisme total. On garde une approche globale au niveau de la puce.

Plus évolutive que l'approche de la MIL : par sa structure on peut extrapoler des retours d’exploitation d’un environnement dans un autre environnement



• Exemple de calcul :

Document applicable : MIL HDBK F+N1 Repère topo. Nomenclature Description Quantity Quality

Level PI_Q T PI_T S L base Lp L

R1 WA9PG 5.11 o 1% SN Resistor Fixed Film RLR 1 R 0.1 62 0 0.83 0.02 0.16R2 WA4PG 2.49 Ko 1% SN Resistor Fixed Film RLR 1 R 0.1 62 0 0.83 0.02 0.16R3 WA4PG 200 o 1% SN Resistor Fixed Film RLR 1 R 0.1 63.5 0.14 0.99 0.02 0.16R4 WA4PG 4.02 Ko 1% SN Resistor Fixed Film RLR 1 R 0.1 62 0 0.83 0.02 0.16R5 WA4PG 5.49 Ko 1% SN Resistor Fixed Film RLR 1 R 0.1 63.1 0.11 0.95 0.02 0.16R6 WA4PG 2.49 Ko 1% SN Resistor Fixed Film RLR 1 R 0.1 62.3 0.05 0.88 0.02 0.16R7 WA4PG 2.49 Ko 1% SN Resistor Fixed Film RLR 1 R 0.1 62.5 0.05 0.88 0.02 0.16C1 Capa 2220-II 103 10% 50V SN Capa Ceramique (125°) 1 R 0.1 62 0.18 0.85 0.04 0.18C2 C 2815 H 22UF 10% 20V SN Capa Tantal Solide (PI_SR=1) 1 R 0.1 62 0.3 9.25 0.54 0.68C3 Capa 0805-II 103 10% 50V SN Capa Ceramique (125°) 1 R 0.1 62 0 0.7 0.03 0.17C4 C 1510 D 3.3 UF 10% 15V SN Capa Tantal Solide (PI_SR=1) 1 S 0.03 62 0.33 10.16 0.14 0.28D1 Diode Zener 2.5 V Zener Bidon 1 Alc 0.35 65j 2.15 1 2 0.75 0.89Q1 Trans SOC2222A SOC Transistor Bip BF 1 Alc 0.35 73.3 j 2.69 0.09 0.74 0.03 0.24Q2 Trans. 2N5153 POW. PNP TO39 Transistor Bip BF 1 Alc 0.35 83.2 j 3.19 0.01 0.74 0.07 0.28A1 IC RH1014W FP Ampli Op Linéaire Bip 1..100 trans FP8 1 S 0.25 68.6 j 2.47 1 10 6.5 7.06

10.9



2.d Estimation de fiabilité • Objectifs :

Estimer la probabilité qu'un dispositif accomplisse une fonction ou une mission dans des conditions d'utilisation fixées et pour une période de temps déterminée.

L'estimation de fiabilité s'appuie sur les calculs de taux de défaillance prévisionnel.

• Principe :

Plusieurs outils à disposition: SUPERCAB, Arbres de défaillance, Graphes de Markov, Réseaux de Pétri.

La fiabilité dépend :

de la complexité,

des redondances,

de la qualité de conception (électrique et thermique)

L'analyse de fiabilité doit donc se faire le plus tôt possible (pendant la définition) car elle permet d'évaluer et comparer différentes architectures. On se base alors sur les équipement similaires déjà évalués auparavant.



• Rappel sur les calculs de fiabilité (Systèmes indépendants)

Système série : A B

λ1 λ2

( ) ( ) ( )( )R R A R B t= = − +* exp * λ λ1 2

Système parallèle :

A

B

λ1

λ2

( ) ( )F F A F B= * et ( ) ( ) ( ) ( )R R A R B R A R B= + − *

- Redondance chaude (équipement redondant sous tension mais non utilisé):

− avec n=2 et m=1 ( ) ( )( ) ( ) ( )( )R C R A R A R A R Axn

x

n mn x x

= − ==

−−∑

0

1 2 1*

- Redondance froide (équipement redondant éteint) :

( ) ( )( )⎟⎟⎠

⎞⎜⎜⎝

⎛−+=⎟⎟

⎠

⎞⎜⎜⎝

⎛−+

−+= ∑ ∏

−

= =

BRARjmiARARR

mn

i

i

j

iqm 1*1*)1(

!))(1(1)(

2

1

1 1 2

1

λλ

λλ avec n=2, m=1, R(B) = R(A)q et

2

1

λλ

=q



• Exemple de calcul de fiabilité :

Supposons que notre régulateur fasse partie d'une carte TMTC (télémesure/télécommande). Le reste de la carte à été calculé à 689 FIT

⇒ carte TMTC = 700 FIT

Cette carte TMTC fait partie du sous système DOCON (down converter = convertisseur RF -> IF)

sous système DOCON : TMTC = 700 FIT

DCDC (alim) = 100 FIT

DOCON = 200 FIT

Spécification de fiabilité : 0.95 à 10 ans

Système série :

700 FIT 100 FIT 200 FIT

TMTC DCDC DOCON

Serie Serie Serie

1000FIT

Sous systèmeDOCON

Serie Fiabilité : ( ) ( )R t t= −exp λ 0.9405 0.9913 0.9826 0.9161 ⇒ Hors Spec.



Solution : redonder la carte la plus pénalisante (en l'occurrence la carte TMTC)

⇒ Avec la TMTC en redondance chaude (carte redondante allumée mais non utilisée) :

formule de la redondance chaude : ( )R R RTMTC TMTC= −22

700 FIT

100 FIT 200 FIT

TMTC

DCDC DOCON

Active 1/2 Serie Serie

Fiabilité : 0.9965 0.9913 0.9826 ⇒ Fiabilité du sous système = 0.9706 à 10 ans



2.e Analyse Pire Cas (WCA = Wost Case Analysis) • Objectifs :

Déterminer l'aptitude de l'équipement à fonctionner correctement pendant la durée de la mission dans les conditions de fonctionnement les plus défavorables.

Aide à la conception pour le choix des architectures et des composants.

Analyse pire cas (WCA):

• Analyses théoriqueValeurs extrèmesApproche combinée EVASommation Quadratique RSSMonte Carlo

• Test

Niveau : Tout ou partie d'équipement

Paramètres d'entrée :

• Dérives composanttolérences, viellissementT°, Radiations (BDD)

• Dérives des référencesAlim.,Signaux

• Modes de fonctionnementVeille, Opérationnel

• Régimes transitoiresMarche/Arrêt

Paramètres mission :

• Conditions initiales• T° fin de mission estimée• Durée de la mission• Radiations

Sortie :

• Résultat conforme à la Spec• Résultat hors Spec

Négocier la SpecModif desing/composant



• Principe

Identifier les paramètres critiques (spécifiés explicitement ou liés aux performances)

Identifier les facteurs de variation (dérives composants, variation des signaux d'entrée et d'alim.))

Connaître pour chaque composant identifié comme facteur de variation:

tolérance initiale Data sheet composant

valeur de référence Design

dérive en T°, Rad., vieillissement Data sheet, Base de donnée, Base de donnée/Norme (PSS)

Calculer les dérives maximales : 4 méthodes de la plus simple à la plus complexe

Valeurs extrêmes : Somme algébrique des dérives

Approche combinée : Somme algébrique des dérives biaisées (sens de variation connu) et somme quadratique des dérives aléatoire (pas de sens connu �).

Sommation Quadratique : Méthode statistique basée sur le théorème Central Limite. Elle nécessite de connaître le signe et la distribution de chaque variable (Amplitude, écart type) et fournit un résultat à un niveau de confiance donné.

Monte Carlo : Méthode statistique par simulation. C'est la plus optimiste mais nécessite un outil informatique puissant.

Actions correctives : plusieurs possibilités en cas de non respect des spécifications

Négocier la Spécification

Identifier le facteur le plus influent et modifier le design ou changer de composant



• Exemple du régulateur :

Paramètre critique : Vout = 5V ± 2%

Facteur de variation : pont résistif, diode zener, environnement (on fait l'hypothèse que l'ampli est parfait)

Durée mission = 10 ans

Elévation de T° = 10°C

Dose reçue = 10 KRAD

Equation de variation de la tension de sortie ( )Vout

R RR

Vz=+6 77

*

La sensibilité de Vout à Vz et R6 est positive

La sensibilité de Vout à R7 pose problème

Soit on résonne sur le diviseur de tension, soit on prend R7=10Ko ⇒ Vout 1.25*Vz

au lieu de 2*Vz donc la sensibilité de Vout à R7 est négative

Dérives composants :

Résistance : tolérance : ±1%

aging : ± 0.05% par an

température : ± 0.04% par °C

radiations : non applicable

Diode zener : tolérance : ±0.5%

aging : ± 0.026% par an

température : ± 0.032% par °C

radiations : ± 0.002% par KRAD



Tolérance Aging Température Radiations Total

∆RR

± 1% ± 0.5% ±0.4% - ±1.9%

∆VzVz

± 0.5% ± 0.26% ±0.32% ±0.02% ±1.1%

Approche Valeurs extrêmes :

( )Vout

R R

RVd Vmax

max min

minmax* .=

+=

6 7

75134

Vout Vmin .= 4 866

∆VoutVout

= ±268%. ⇒ Hors spécifications



Approche Combinée

∆RR

= + + =1 0 5 0 4 119% 2 2 2. . .∆VdVd

= + + + =0 5 0 26 0 32 0 02 0 65%2 2 2 2. . . . .

( )Vout

R RR

Vd Vmaxmax min

minmax* .=

+=

6 77

5 093

Vout Vmin .= 4 907

∆VoutVout

= ±186%. ⇒ Les spécifications sont respectées



2.f AMDEC : Analyse des Modes de Défaillance, de leur Effet et Criticité

(FMECA : Failure Modes, Effets, and Criticity Analysis)



• Objectif :

Mettre en évidence les points critiques pouvant compromettre une mission, et proposer des actions correctives en vue d'améliorer le design

Fournir des informations importantes aux analyses de niveau supérieur

Compléter la liste des points de panne unique.

Sert à l'établissement du manuel d'opération du satellite en orbite

• Principe:

E q u ip e m e n t

M o d e s d e p a n n e s , e ffe ts

S o u s s y s tè m e

M o d e s d e p a n n e s , e ffe ts

S y s tè m e

e x : C a r te T M T C

e x : D O C O N

e x : R E P E T E U R

F o n c tio n e x : R é g u la te u r

C o m p o sa n t e x : C a p a f iltra g e

M o d e d e d é fa illa n ce , e ffe t

M o d e d e p a n n e , e ffe t

a u x in te r fa ce s

Découpage de l'équipement en blocs fonctionnels

Identifier les modes de défaillance ,

évaluer leurs effets au niveau fonction et/ou équipement,

statuer sur la gravité des effets,

analyser les fonctionnements dégradés,

identifier les moyens de détection et correction.

Analyse niveau composant aux interfaces et niveau bloc fonctionnel pour l'équipement



• Modes de défaillance des composants:

Circuit ouvert/court-circuit pour les composants analogiques

Bloqué à "0" ou à "1" + court-circuit des alim. pour les composants numériques

• Effets sur la fonction = mode de panne au niveau équipement :

Pas de fonction

Perte de la fonction

Dégradation de la fonction

Fonction intempestive



• Exemple du régulateur de tension :

AMDEC aux interfaces :

SUB-ASSEMBLY : TMTC

FUNCTIONAL BLOCK : 5V Power supply voltage regulator, block 1-1

E01+6V

secondary busvoltage

C2C1

+5V

Q1

R3

R2Q2

R1

TM/TCBoard

E02Returne



component function failure mode

effect

R1 EMC filter O/C minor effect

R2 O/C degradation of regulation

R3 O/C loss of output voltage

C1 EMC filter O/C minor effect

S/C S/C on + 6V

C2 EMC filter O/C minor effect

S/C S/C on + 6V through R1=5.11 ohms

Q2, pnp ballast transistor O/C loss of output voltage

S/C loss of regulation function, increase of consumption

Q1, npn driver transistor O/C loss of output voltage

S /C loss of regulation function

E01 secondary power bus access C/O loss of output voltage

E02 secondary power bus access return

C/O none effect

redunded access

inner equipment failures transmission: power interface may transmit internal S/C impact to secondary power bus.



AMDEC au niveau fonction/équipement

Item Sub-assembly Functional block Function Failure mode Effect on sub-assembly

Effect on equipment

Observable symptoms Compensation Remarks

criti

calit

y

1 TM/TC boardVoltage regulation

Block 1-1Board powering

(+5V)O/C on regulator

input or output

.Loss of +5V .Loss of all TM/TC

functions

Absence or important

degradation of output signal

Loss of all TMs None 2S



(+5V)Loss of reference

voltage

.Loss of +5V .Loss of all TM/TC

functions

Absence or important

degradation of output signal

Loss of all TMs None 2S



(+5V)S/C on regulator

output

.S/C of +5V output voltage

.Loss of all TM/TC functions

. Absence or important

degradation of RF output signal

. Consumption increase

Loss of all TMsNone

Power voltage source must be

protected by S/C.1S



(+5V)S/C of Vbus (6V) at

amplifier level

.Loss of +5V output voltage

.Loss of all TM/TC functions

. Loss of RF output signal

. Consumption increase

Loss of all TMsNone

Power voltage source must be

protected by S/C.1S



(+5V)

S/C of the ballast transistor

(S/C between +6V and the +5V output

voltage)

TM/TC board powered with +6V

not regulated

Degradation of RF signal

Slight variation of TMs

None 3S



(+5V)

Erroneous regulation : ripple

or offset

Erroneous output voltage

Degradation of RF output signal : level

or ripple

Variation of all TMsNone 3S



(+5V)Loss of EMC output

filterNoise on output

voltageSNR degradation

on RF output signalNone None 4S



conclusion de l'AMDEC

Synthèse des modes de panne pouvant conduire à une propagation au niveau supérieur (1S) :

- Court circuit sur le bus secondaire :

item 3, 10, 13, .... : Ce mode de panne correspond à un court circuit du bus +6V au niveau de l'entrée ou la sortie des régulateurs.

item 4, 11, ... : Ce mode de panne correspond à un court circuit du bus +6V au niveau de l'alimentation d'un ampli opérationnel.

Recommandations au niveau sous système :

- Vérifier la calibration des fusibles sur la carte DCDC ou la limitation automatique.



2.g Analyse de disponibilité • Objectifs :

Estimer la probabilité qu'un dispositif remplisse ou soit en état de remplir une fonction à un instant donnée ou dans un intervalle de temps donné. Elle est définie comme le pourcentage de temps moyen sur la durée de vie (disponibilité opérationnelle moyenne) pendant lequel la mission est remplie, en prenant en compte la stratégie de maintenance (politique de rechanges et délais et contraintes logistiques associés)

L'estimation de la disponibilité s'appuie sur les calculs de taux de défaillance prévisionnel ainsi que des temps de maintenance pour le maintien en opération.

• Principe :

Plusieurs méthodes à disposition: Analytique pour les modèles simples, Graphes de Markov et Réseaux de Pétri pour les modèles complexes.

La disponibilité (d'un système réparable) dépend :

de la fiabilité, qui traite de la fréquence des défaillances

de la maintenabilité, qui caractérise les durées de maintenance et,

de la logistique, qui traite de l'ensemble des moyens matériels, personnels, rechanges, documentation, et de la politique de leur mise en œuvre

L'analyse de disponibilité doit donc se faire le plus tôt possible (pendant la définition) car elle permet d'évaluer et comparer différentes architectures. On se base alors sur les systèmes similaires déjà évalués auparavant.



• Evaluation de la disponibilité (1) : méthode analytique

La disponibilité (D) d'un équipement, dont le taux constant de défaillance (λ) et le taux constant de réparation (µ) sont connus, est donnée par :

TRMTMTBFMTBFD

+=

+= µλ

µ

MTBF : Mean Time Between Failures (temps moyen de bon fonctionnement = 1 / λ

MTTR : Mean Time To Repair (temps moyen de réparation) = 1 / µ

Cette disponibilité est une disponibilité asymptotique ou en régime établi.

La disponibilité instantanée ou la probabilité que le dispositif soit disponible à un instant t est égal à :

)*)(exp( tD µλµλλ

µλµ +−

++

+=

Dans le cas où un système comprend 2 fonctions indépendantes, le calcul de la disponibilité est obtenu pour le cas où elles seraient en parallèle (ou en redondance) et pour le cas où elles seraient en série :



Fonction 1Dispo : D1

Fonction 2Dispo : D2

Fonction 1Dispo : A1

Fonction 2Dispo : A2

Parallèle Serie

D = D1 . D2D = 1 - ((1-D1).(1-D2))

Fonction 1Dispo. : D1 (temps plein)

Taux d'utilisation opérationnel : x%

D = 1 - (1-D1).(x/100)

Disponibilité Opérationnelle

Souvent, il est plus significatif d'utiliser l'indisponibilité (I) pour comparer des options d'architecture. Elle se détermine en calculant le complément à 1 de la disponibilité :

I = 1 - D = µλλ+



• Evaluation de la disponibilité (2): Graphe de Markov

La modélisation d'un système faite à l'aide des chaînes de Markov permet de modéliser les différents états ou configurations qu'un composant ou un ensemble de composants identiques d'un système peuvent prendre. Les transitions d'un état à un autre sont représentées par les taux de défaillance ou de réparation des composants.

Par exemple, dans le cas où un système comprendrait deux composants identiques et qu'il n'ait besoin que de l'un des deux pour assurer sa mission, ce système est représenté par la chaîne de Markov suivante :

Unités1 & 2OK

Unité1 ou 2

OK

Unités1 et 2

HS

2λ λ

2µµ

Etat 0 Etat 1 Etat 2

L'évaluation se fait en résolvant l'équation différentielle suivante pour déterminer les probabilités instantanées : Matrice de transition

Vers / De Etat 0 Etat 1 Etat 2Etat 0 -2λ µ P0(t) dP0(t)/dtEtat 1 2λ -µ-λ 2µ P1(t) = dP1(t)/dtEtat 2 λ -2µ P2(t) dP2(t)/dt et 1=∑Px

ou en se plaçant en régime établi (dPx(t)/dt = 0) et en résolvant le système d'équation de n équations à n inconnues pour déterminer les probabilités stationnaires.



• Enchaînement des analyses :

Plusieurs designs Design fixé Design figé Analyses thermique électrique

tPhase A Phase B Phase CPDR CDR

Analysesdéterministe

- Estimation de Fiab.(similarité/héritage)

Comparaison des designs

-Estimation de fiab. Part Count (Tc=30°C, Tj=50°C, S=0.5)

-AMDEC Modes de panne principaux Affiner le shéma de fiabilité

affiner le design

- Estimation de fiabilité part stress

-AMDEC définitive

-Analyse des taux de charge

-Analyse pire cas

Analysesprobabiliste



Cas d’Etude 1:

Charge Utile Télécom



Description Fonctionnelle

ATOP

ATOP

ATOP

ATOP

ATOP

ATOP

RX

RX

Antennede réception

Antenned'émission

IMUX4 canaux

OMUX4 canaux

ATOP : Amplificateur à onde progressive

RX : Récepteur

IMUX : Input MUltipleXeur / Démultiplexage fréquentiel

OMUX : Output MUltipleXeur / Multiplexage fréquentiel

Caractéristique Charge utile :

• 4 canaux

• récepteurs RX montés en redondance active 1 parmi 2

• ATOP montés en redondance active 4 parmi 6



Données d'entrée

• Durée de vie : 15 ans

• Taux de défaillance : Fonction Taux de défaillance à 40°C

(1 fit = 1 panne par 10^9 hrs)

Antenne de réception 10 fit

Récepteur (RX) 250 fit

IMUX 4 canaux 50 fit

ATOP 1000 fit

OMUX 4 canaux 20 fit

Antenne d'émission 10 fit

Commutateurs, câblage

Négligeable

• Facteur d'accélération en température de 40°C à 50°C pour les fonctions actives : 1.2



Questions :

1. Dessiner le bloc diagramme de fiabilité de la charge utile

2. Calculer la fiabilité par fonction et de la charge utile à 15 ans et à des températures de 40°C et 50°C

3. Donner la liste des points de panne unique de la charge utile (pannes pour lesquelles une partie ou la totalité de la capacité en canaux de la charge utile est perdue)

4. Proposer l'ajout de redondance permettant d'obtenir une fiabilité >= 98% à 15 ans et à une température de 40°C



Payload Reliability @ 40°C

Antenne RX RX IMUX 4 canaux ATOP OMUX 4 canaux Antenne TX

250 fit 1000 fit

10 fit 45 fit 20 fit 10 fit

TotalReliability at 15 years 0,99869 0,99896 0,99410 0,97202 0,99738 0,99869 0,9602

Redundancy serie active 1/2 serie active 4/6 serie serie Quantity x 1 x 1 x 1 x 1 x 1 x 1

Contribution 3,24% 2,57% 14,57% 69,91% 6,47% 3,24% 100,00%

Payload Reliability @ 50°C


300 fit 1200 fit




Contribution 2,28% 2,59% 10,26% 78,03% 4,56% 2,28% 100,00%

Improved Payload Reliability @ 40°C


250 fit 1000 fit




Contribution 7,25% 5,76% 32,61% 32,65% 14,49% 7,25% 100,00%



Cas d’Etude 2:

Réseau de communication inter-site



Description Fonctionnelle

Le réseau inter-site permet l'échange de données entre les 3 sites A, B et C. Il se compose de 3 routeurs, 1 par site, et de 3 lignes de communication L1, L2 et L3 assurant un lien physique entre tous les sites. Chaque routeur a la capacité d'échanger des données avec les deux autres.

Site A

Routeur

Site B

Routeur

Site C

RouteurL1 L2

L3



Données d'entrée

Fonction MTBF (hrs) MTTR (hrs)

Router 980 20

Ligne 99 1

Questions :

1. Représenter le bloc diagramme de disponibilité du réseau entre deux sites

2. Calculer la disponibilité de chacun des blocs et du réseau entre deux sites

3. Proposer l'ajout de redondance permettant d'atteindre une disponibilité >= 99 % du réseau entre deux sites

4. Donner la liste des points de panne unique du réseau entre deux sites après application du point 3



Network Availability between 2 sites

Ligne L1MTBF = 99 hrs

Router A MTTR = 1 hr Router BMTBF = 980 hrs 0,99 MTBF = 980 hrsMTTR = 20 hrs Ligne L3 Router C Ligne L2 MTTR = 20 hrs

0,98 MTBF = 99 hrs MTBF = 980 hrs MTBF = 99 hrs 0,98MTTR = 1 hr MTTR = 20 hrs MTTR = 1 hr

0,99 0,98 0,99Total

Availability 0,98 0,9996 0,98 0,9600Redundancy Serie Active SerieQuantity x1 x1 x1Contribution 49,52% 0,97% 49,52% 100,00%

Network Availability between 2 sites

Ligne L1Router A MTBF = 99 hrs Router B

MTBF = 980 hrs MTTR = 1 hr MTBF = 980 hrsMTTR = 20 hrs 0,99 MTTR = 20 hrs

0,98 Router C 0,98Router A MTBF = 980 hrs Router B

MTBF = 980 hrs Ligne L3 MTTR = 20 hrs Ligne L2 MTBF = 980 hrsMTTR = 20 hrs MTBF = 99 hrs 0,98 MTBF = 99 hrs MTTR = 20 hrs

0,98 MTTR = 1 hr Router C MTTR = 1 hr 0,980,99 MTBF = 980 hrs 0,99

MTTR = 20 hrs0,98

TotalAvailability 0,9996 0,9998 0,9996 0,9990Redundancy Active Active ActiveQuantity x1 x1 x1Contribution 39,88% 20,23% 39,88% 100,00%

Documents

Les Analyses de la Sûreté de Fonctionnementcsmaniac.free.fr/STRI/cours/M2/Qualit%E9-SdF/analyses...R6 WA4PG 2.49 Ko 1% SN Resistor Fixed Film R7 WA4PG 2.49 Ko 1% SN Resistor Fixed