ANALYSE DE SÛRETÉ

Les techniques de base des consultants de CLEARSY pour la conduite des analyses de sûreté sont :

L’analyse préliminaire de risques (APR), L’analyse des modes de défaillance des effets et criticités (AMDEC), etc.

Techniques

Les techniques de base des consultants de CLEARSY pour la conduite des analyses de sûreté sont :

  • Analyse préliminaire des dangers/risques (APD/APR)
  • l’Anayse des Modes de Défaillance des Effets et Criticités (AMDEC ou FMAEC)
  • Analyse par arbre de causes
  • L’Analyse des Effets des Erreurs du Logiciel (AEEL)
  • La méthode des Combinaisons de Pannes Résumées
  • Autres

A ces méthodes bien connues des industriels, les consultant de CLEARSY ont su apporter des améliorations désignées sous les termes de :

  • l’Analyse Formelle des Modes de Défaillance des Effets et Criticités (AFMDEC)
  • les Arbres Formels de Causes (AFC)

L’ANALYSE FORMELLE DES MODES DE DÉFAILLANCE
DES EFFETS ET CRITICITÉS

Cette démarche présente au moins 3 avantages :

  • Le processus d’analyse est inscrit dans le modèle formel du système et non dans la tête de l’analyste. Il est donc réutilisable. Il peut enrichir par la prise en compte de nouveaux modes de défaillances et/ou d’évolutions du système.
  • Le niveau de confiance que l’on peut accorder à ce processus d’analyse est très supérieur à celui d’une AMDEC puisque chacune de ses étapes fait l’objet d’un raisonnement prouvé ce qui impose une expression des hypothèses de fonctionnement.
  • La méthode ne se réduit pas à l’examen d’une panne simple et de ses conséquences, mais constitue une méthode de combinaison de pannes et de leurs effets combinés.

La méthode

Cette méthode d’analyse d’un système se caractérise par :

  • La construction d’un modèle formel hiérarchique du système dans son mode (ou ses modes) de fonctionnement nominal. Ce modèle suit la décomposition hiérarchique du système en sous-systèmes, éléments.
  • La construction de ce modèle est prouvé c’est à dire qu’en fonctionnement normal, les propriétés recherchées (notamment des propriétés de sûreté), désignées dans notre jargon sous le terme d’invariants, sont conservées.
  • L’intrusion des pannes dans le modèle se fait une à une au niveau des constituants élémentaires du système et ont pour effets de rompre la cohérence formelle du modèle (il n’est plus prouvable).
  • La cohérence du modèle est restaurée par une incorporation progressive des propriétés indésirables, c’est à dire les effets de pannes et ce à tous les niveaux du système (éléments, sous-systèmes, et système).
  • On obtient au final un modèle formel du système, décoré des pannes envisagées et des effets de ces pannes.