Sécurité et Disponibilité: les deux mamelles de la sûreté de

SMAI-IMdR, PAU, 6 Février 2009

Méthodes et outils de la SdF: Adéquation, limites challenges.

SIGNORET Jean-Pierre

2 - SMAI-IMdR, PAU, 6 Février 2009

Généralités


Divers risques==>

Diverses études

Définition très générale

Fréquence

Définition du “RISQUE”

Sécurité

"Dependability"

2 Dimensions ConséquencesDisponibilité

de Production(RAM)

SIS

Investissements

Environnement

SDF

Safety Production


Estimateurs Conservatifs

Estimateurs Réalistes

Autorités de sûreté

Aide à la Décision

Sécurité versus Disponibilité de Production

Événements Rares X Grosses Conséquences

Événements Fréquents X Petites Conséquences

Sécurité

DisponibilitéRAM

SIS

Besoin deméthodologies

adaptées

Besoinsen données

de plus en plusprécises


Approches systémiques

Attention auSimplisme !

Tendance actuelle

Ana

lyse

s Qua

litat

ive

&

Qua

ntita

tive

Un corpus completde méthodes et outils

•Diagrammes de fiabilité

• Arbres de défaillances

• Réseaux de fiabilité

Approche Markovienne• Réseaux de Petri & Monte Carlo• Langage formels & Monte Carlo• ...

• Analyse Fonctionnelle• Analyse Préliminaire Des Risques•AMDE(C)• HAZOP

Depuis50 ans

Modèlesde Base

-Comment ça marche-Identification des risques-Analyses haut niveau

-Pt de vue structurel-Combinaison de défaillances

-Analyse en profondeur -Point de vue comportemental

RAM

ModèlesStatiques

SIS

SIS

ModèlesDynamiques

Approchessimples

Calculsapprochées

Calculsanalytiques

MonteCarlo

Sens du progrès


Attention aux incidences systémiques

AnalyseLEGO !!

Le "tout" est plus que lasomme de ses parties

Approchesystémique

obligée

Aristotle Bellman Gödel

Ce n'est pasparce que toutes

les parties sont optimumque le système global

est optimum


Sécurité fonctionnelle


Liens avec les définitions classiques

ModeContinu

Faibledemande PFD

PFH

Probability ofFailure onDemand

Probability ofFailure per

Hour

ConceptsCEI

Intensitéinconditionnellede défaillance

Indisponibilité

Conceptstraditionnels

Aucun problème avec lesapproches conventionnelles

PFD(t) = U(t)

IndisponibilitéParamètreclassique

Paramètre"Exotique" !

Indisponibilité(Protection non ultime)

PFH(t) = w(t)

Défiabilité(Protection ultime)


Exemple typiquePT1

PT2 2/3 LS

PT3

SDV

ESDV

1/2

Components"raisonnablement"

indépendant

SIS

ESDVFailed

SDVFailed

CCF Valves

PT1 Failed PT2 Failed PT3 Failed

Sensors Failed

Logic solver Failed

Valves Failed

CCFSensors

ESDVDéfaillante

SDVDéfaillante

DCC Vannes

PT1 Défaillant PT2 Défaillant PT3 Défaillant

Capteursdéfaiilants

Logic solverdéfaillant

Vannesdéfaillantes

DCCCapteurs

SISDéfaillant

PFDavg2 PFDavg3 PFDavg4 PFDavg5 PFDavg6

PFDavg7PFDavg8 PFDavg1

P ???

Résultatsnon

conservatifs

probabilitémoyenne dedéfaillance

Inacceptable pourla sécurité

Il faut améliorerles calculs

Attention auxcalculs simplistes

Calculscourammentrencontrés

Défaillancede Causecommune

10

- SMAI-IMdR, PAU, 6 Février 2009

PFD(t)

SIS

ESDVFailed

SDVFailed

CCF Valves


Sensors Failed

Logic solver Failed

Valves Failed

CCFSensors

ESDVFailed

SDVFailed

CCF Valves


Sensors Failed

Logic solver Failed

Valves Failed

CCFSensors

HIPSFailed

Max

Calculs rigoureux:

Capteurs

Vannes

ARALIA Indisponibilité SIS

Moyenne

PT1

PT2 2/3 LS

PT3

SDV

ESDV

1/2

Paramètres choisis pourobtenir une "belle" courbe!

PFD(t)

PFD(t)courbes en

dents de scie

Courbes endents de scie

ESDVDéfaillante

SDVDéfaillante

DCC Vannes

PT1 Défaillant PT2 Défaillant PT3 Défaillant

Capteursdéfaillants

Logic solverdéfaillant

Vannesdéfaillantes

DCCCapteurs

PFDavg PFD(t)


Systèmes

Au delà des limites de l'ADD

Aspects dynamiques Dépendances

Modèles comportementaux

Markov + calculs analytiques

RdP + Monte Carlo

Explosioncombinatoire

SystèmesMulti phase

Composantsindividuels

12


W

DU

R

DU

!-Ci

!Ci!NbR =NbR-1

!-Ci

?CCF

DD

!NbR =NbR+1

Composant simple

RR

DUT

F( )?Dccf

!If CCF then Dccf

W

DU

R

DU!-Ci

!Ci!NbR =NbR-1

!-Ci

?CCF

DD

!NbR =NbR+1

RR

DUT

F( )?Dccf

OL

SP

A

B

E

FC

2/3 DO1 O2

A

BE

FC

DO1 O2 O3

O3 = O2 .( Ce +Cf )

Approche mixte: BdF/Réseaux de Petri

• PFD• PFDavg

Modèle global(mixte BdF/RdP)

Av

U?O3Failure

Restoration?-O3 ?-O3

Fd

1st FailureRl

C

CCF!CCF

nC

DCC

!-CCF!-Dccf

?Dccf

C

!CCF

nC

!-CCF!-Dccf

?Dccf

?NbR >0?NbR =0

nM

M

=0

Équipe de réparation

?NbR >0?NbR =0

nM

=0

OL

• Ressources réparation• Mobilisation• Pièces de rechange• DCC

DU

= t mod

?RA = true

!RA = false

TransitionPlacePrédicat

Assertion

Délaistochastique

Délaidéterministe

JetonTr1

Tr3

Tr4

=0

!RA = true

Tr1

=0

R W

DUDD

!-Ci

! Ci

DD

DD!-Ci

W

!Ci

DD!

!

O1 = Ca.Cb + Ca.Cd + Cb.Cc

O2 = O1.Cd

Composant simplepériodiquement testé

Composant simpleDéfaillance révélées

13


Disponibilitéde

Production

14


Client

B

C

DPuits

Process

0 kbd

Client

Process

0 kbd

Du binaire au multi-états

Modèlesnon Booléens

Systèmes Multi États

50 kbd

90 kbd

70 kbd

40 kbd

100 kbd

Multiples niveaux de Production

Capacité

30 kbd

50 kbd

90 kbd

40 kbd

Impossible deséparer en bon et mauvais états 30 kbd

ADDRBD

70 kbd

15


Défaillances dégradées

2

Politique de Maintenance curative

Équipe(s) de maintenance

Défaillances critiques

1Maintenance

Curative

Équipement permettant la

meilleure récupération

3Autresdéfaillances

Pertespendant

réparation Pas

de pertes

Pertesimmédiates Toute

défaillancedoit être réparée

Pièces de rechange

Mobilisation du support

d'intervention

Priorité de réparation

16


Stockage

B

CD

Wells

Nuit & jour

Météo

Transport

... et plein d'autres paramètres ...

Installations inhabitées

Réparations"suspendues"

Arrêtd'urgence

Profils de production

Préservation

Philosophie d'opération

Maintenance préventive

HydratesParaffines

Sable

"Nomination" etc...

17


Markov

Voieanalytique

Simulation deMonte Carlo

6-7 à 10-12 components

100 à 1 000 000 étatsx(t) dt

Systèmes de taille industrielle: quête pour un modèle

Automates à états

finis

Un saut"qualitat

if"est

nécessaire

Réseauxde Petri

Besoin de modèlescomportementaux

Seuls les étatsimportant semanifestent

Autoapproximation

18


Bibliothèque

RdP avec "Prédicats" & "Assertions"

Réparation

Attente

Marche

a

!!Ca=0!!Ca=90

??RP==True

!! RP = false

!!RP=True

a

Assertion:Capacité = 0!

Prédicat:"Équipe deréparation

disponible ?"

Place:État potentiel

Transition:Événement potentiel

Jeton:État actuelMOCA RP

V12

Assertion:"Équipe deréparation

indisponible!"

Assertions:-Équipe de réparation disponible-Capacité = 90 !

A

Défaillance

Début Rep.

Fin Rep.

Loi deprobabilité

19


90 0 10040

70B

CDWells

Modèle simple de production

Prod = Min ( Cw , Cc + Cb , Cd )

Assertion

90 70 10040400= 90= 90= 70

??RP==True

!! RP=false

w

!!Cw=0!!Cw=90

w

!!RP=True

??RP==True

!! RP=false

b

!!Cb=0!!Cb=70

b

!!RP=True

??RP==True

!! RP=false

c

!!Cc=0!!Cc=40

c

!!RP=True

??RP==True

!! RP=false

d

!!Cd=0!!Cd=100

d

!!RP=True

Production

20


Disponibilité

8726.17

33.83

7868.59

837.8153.60

8194.44

511.96

53.60

7590.11

1169.89

8194.44

511.96

53.60

0

1000

2000

3000

4000

5000

6000

7000

8000

9000

Fuel Gas GasExport

Gas Lift Waterinjection

Oil Export

Unavailability as fuction of the critical failure rate

0.01%

0.10%

1.00%

10.00%

100.00%

1.00E-05 1.00E-04 1.00E-03 1.00E-02

Critical Failure rate

Una

vaila

bilit

y

TC

2oo3

4%

Exemple de résultatsLosses Contributions in %

0.00%

10.00%

20.00%

30.00%

40.00%

50.00%

60.00%

70.00%

80.00%

% GAS% Oil% Water% GL

Productions

Pertes

SensibilitéFiabilité Fréquences

etc.Coûts

21


Challenges&

Conclusions

22


MO

CA

-RP

RdP à prédicatset assertions

Modèles graphiquessimilaires aux BDF

Langages formels

Fiabilité dynamique

Augmentation demande

Progrès & Challenges

Augmentationde la complexité

Besoind'améliorations

Convivialité

Raccourcissement des délais

Nouveaux paramètres probabilistes

ReconfigurationsA

LTAR

ICA

BibliothèqueBibliothèque

Adorés parles ingénieurs !

23


Automates

Compréhensibilité

Réalité non distordue

Calculateur

Systèmes detaille

industrielle

Stepper

Intervalle de confiiance

Accélération

MOCA-RP

Auto approximation

Altarica

Langages formels

Depuis2002

Modularisation

Taille Linéaire

Ouvert & Flexible

Comportementdynamique

Précision

Calculsrapides

Mod

élis

atio

nC

alcu

ls

Modèles Graphiques

Tera Flops

Giga FlopsExa Flops

Conclusion

Deb

ogag

e

RdPPred. & Ass.

Depuis2004

RdP stochastiques généralisés

Depuis1982

Monte Carlo: seule voie réaliste pour les systèmes

industriels

MOCA-RP

Peta Flops

Vers unemachinevirtuelle

24


Pour terminer

Des méthodes efficaces existent pour modéliser les systèmes complexes

Améliorations majeures depuis 10 ans

On arrive à traiter la plupart des problèmes rencontrés

Une "certaine" expertise est nécessaire

Trouver de bons prestataires est parfois difficile

Des universités travaillent sur ce sujet

La recherche continue ...

MARKXPR

MOCA-RP

AltaRica

Collaborations

Stagiaires

ARALIA

25


That's all folksDes

questions ?

Documents

Sécurité et Disponibilité: les deux mamelles de la sûreté de