ARBRES DE

DEFAILLANCES
 SOMMAIRE

INTRODUCTION

SYMBOLES DE L’ARBRE DE DÉFAILLANCES (AdD)

ETAPES DE CONSTRUCTION DE L’ AdD

EXEMPLE DE CONSTRUCTION D’UN AdD

COUPES MINIMALES

EVALUATION PROBABILISTE DES AdD

ARBRE DE DEFAILLANCES ET COUPES MINIMALES D’UN SYSTEME

DE DETECTION D’INCENDIE

ARBRE DE DEFAILLANCES DE RIDEAUX D’EAU (DISPOSITIFS DE

SECURITE VIS-A-VIS DES REJETS ACCIDENTELS DE GAZ ET
VAPEURS TOXIQUES)
INTRODUCTION
ARBRE DE DÉFAILLANCES (AdD) : une des méthodes les plus
utilisées dans le domaine de gestion des risques des systèmes

Méthode AdD : inventée par Watson en 1962 dans Les laboratoires

de la « Bell Telephone Company »

Trois phases de développement de la méthode AdD :

- Début des années 1960 : AdD = outil de représentation des

défaillances des systèmes mais avec absence de techniques et
algorithmes spécifiques pour son traitement

- 1965 : établissement des règles de base pour la construction

des AdD par HASL

- 1970 : présentation par FUSSELL et VESELY d’un outil d’évaluation

quantitative des AdD et de détermination des coupes minimales
Méthode AdD = Technique purement déductive : elle part
des conséquences d’un événement indésirable pour aboutir à
ses causes initiatrices

Méthode AdD : utilisée dès les premières étapes d’analyse de

la sûreté de fonctionnement des systèmes

Trois étapes dans la mise en œuvre de la méthode AdD : construction

de l’AdD, analyse qualitative et analyse quantitative

Construction d’un AdD : doit être exhaustive ⇒ représenter toutes

les causes significatives de la défaillance du système

Technique de construction d’un AdD : basé sur un travail en groupe

et une collaboration de spécialistes dans différents domaines
SYMBOLES DE L’ARBRE
DE DÉFAILLANCES
 SYMBOLES GRAPHIQUES DES OPÉRATEURS

Symbole graphique Nom Signification

A
OU La sortie A est générée si au moins
une des entrées B1, …, Bn existe
B1 Bn

A
ET La sortie A est générée si toutes les
entrées B1, …, Bn existent
B1 Bn
A
OU La sortie A est générée si une entrée
exclusif et une seule Bi (i = 1 à n) existe
B1 Bn

A ET La sortie A est générée si toutes les

Prioritaire ou entrées B1, …, Bn existent avec un
séquentiel ordre d’apparition donné
B1 Bn

A
Voteur k/n La sortie A est générée si k entrées
k/n parmi les n entrées existent
B1 Bn
SYMBOLES GRAPHIQUES DES ÉVÉNEMENTS
ET DES TRIANGLES DE TRANSFERT

Symbole graphique Signification

Rectangle
Evénement-sommet ou intermédiaire

Cercle
Evénement de base élémentaire

Losange
Evénement de base non élémentaire

Transfert identique
La partie de l’arbre qui devrait suivre
a n’est pas indiquée car identique à la
partie repérée par le symbole « a »
Identification du transfert
Signale un sous-arbre identique qui n’est
a
pas repris par ailleurs
ETAPES DE CONSTRUCTION DE
L’ARBRE DE DÉFAILLANCES
Nécessité d’une connaissance approfondie du système étudié :

Définition précise des liens logiques existant entre les différents

composants de ce système et de leurs modes de défaillance

Définition de l’événement indésirable (événement-sommet), identifié

à partir d’une Analyse Préliminaire des Risques (APR)

Décomposition de l’événement indésirable en événements intermédiaires

Développement des événements intermédiaires jusqu’à l’obtention

d’événements de base dont la décomposition est impossible ou jugée
inutile

Collecte de données sur les probabilités des événements de base

 ANALYSE PRÉLIMINAIRE

Décomposition physique du système basée sur :

- des critères de technologie (exemple : un microprocesseur

qui commande un circuit électrique sera pris en compte à part)

- des critères de maintenance (exemple : lorsqu’une partie du

système est remplacée systématiquement suite à une panne)

Identification des composants

« Composants » = dispositifs représentés au dernier niveau

de décomposition du système dans le cadre de la construction
de l’AdD
Définition des modes de défaillance des composants

- Mode de défaillance = manifestation extérieure de la défaillance

- Définir pour chaque composant les modes de défaillance possibles

(étude AMDEC)

Reconstitution du système par les composants

Reconstituer le système en mode fonctionnel, en remontant

les niveaux de décomposition (analyse fonctionnelle)
 SPÉCIFICATIONS

Phases = différents modes de fonctionnement d’un système

(exemple : existence de trois phases pour un avion en vol: le décollage,
le vol en altitude et l’atterrissage)

Conditions aux limites : représentent les interactions du système

avec son environnement

Conditions initiales : hypothèses faites concernant le début de la

phase étudiée du système
 CONSTRUCTION DE L’AdD

Définition de l’événement indésirable (événement-sommet ,

événement redouté ou événement-top) sans ambiguïté et de
façon cohérente avec les spécifications précédentes

Décomposition des événements : décomposition de l’événement

indésirable en ses événements-causes immédiats et décomposition
de ces derniers en leurs événements-causes, ...

Fin de la construction de l’AdD lorsque tous les événements-

causes non décomposés sont des modes de défaillance des
composants ou de l’environnement
 EXEMPLE DE
CONSTRUCTION
D’UN AdD
 PRÉSENTATION DU SYSTÈME

V2
P0 2
V1
1
V3
3

Système hydraulique destiné au transport de l’eau du point (1) aux lieux

de consommation (2) et (3)

Constitution du système : Vannes V1, V2 et V3 - Pompe centrifuge P0 -

Conduites adjacentes aux composants hydrauliques
 ANALYSE PRÉLIMINAIRE

Décomposition physique du système hydraulique

20
- Niveau 1 de décomposition 10
30

• Bloc 10 = Vanne V1 + Pompe P0 + Conduites adjacentes

• Bloc 20 = Vanne V2 + Deux conduites adjacentes

• Bloc 30 = Vanne V3 + Deux conduites adjacentes

- Niveau 2 de décomposition des blocs

Conduite 11 Vanne V1 Conduite 13 Pompe P0 Conduite 15

BLOC 10 11 12 13 14 15

Conduite 21 Vanne V2 Conduite 23

BLOC 20 21 22 23

Conduite 31 Vanne V3 Conduite 33

BLOC 30 31 32 33

- Décomposition globale du système hydraulique

20
10
30

11 12 13 14 15 21 22 23 31 32 33
 Identification des composants

Vannes 12 (V1), 22 (V2) et 32 (V3) – Pompe 14 (P0)

– Conduites 11, 13, 15, 21, 23, 31, 33

Définition des modes de défaillance (MD) des composants

Conduites (12, 22, 32)

Vannes (12, 22, 32) MD1 : bouchage
MD1 : bloquée ouverte MD2 : fuite
MD2 : bloquée fermée MD3 : rupture ou éclatement
MD3 : fermeture intempestive
MD4 : ouverture intempestive
Pompe P0 (14)
MD1 : hors service

Reconstitution du système en mode fonctionnel

21 22 23 2
1 11 12 13 14 15
31 32 33 3
 SPÉCIFICATIONS

Phase : en fonctionnement normal

Conditions aux limites

- Disponibilité d’eau au point 1

- Aucune autre interaction ne sera considérée en ce qui concerne

l’environnement (ex : rupture d’une conduite due à une cause externe)

Hypothèse spécifique : les conduites ne seront pas prises en compte

dans cette étude

Conditions initiales : le système fonctionne normalement au début

de la phase de fonctionnement à 100 % du débit
 CONSTRUCTION DE L’AdD

Définition de l’événement indésirable : « Arrêt total du débit en sorite »

(l’événement « non-démarrage » serait en désaccord avec les spécifications
définies précédemment)

Construction de l’AdD : partir de l’événement indésirable et rechercher

les événements intermédiaires puis de base, ainsi que les combinaisons
de ces événements par les opérateurs logiques
 - Arbre de défaillance du système hydraulique -

Arrêt total de
débit en sortie

Pas de débit Pas de débit

par le point 2 par le point 3

Fermeture Pas de débit à Pas de débit à Fermeture

intempestive de V2 l’entrée de V2 l’entrée de V3 intempestive de V3

1 a a 2

Pompe hors Fermeture

service intempestive de V1

3 4
COUPES MINIMALES
 INTRODUCTION

Hypothèse : AdD cohérent, c’est-à-dire il contient uniquement des

opérateurs logiques ET et OU

Coupe = sous-ensemble d’événements dont l’existence simultanée

entraîne l’occurrence de l’événement-sommet, et cela indépendamment
de l’occurrence ou non-occurrence des autres événements de l’AdD

Coupe minimale = coupe qui ne contient aucune autre coupe

MÉTHODE MOCUS DE RECHERCHE DES COUPES MINIMALES

MOCUS (Method of Obtaining CUt Sets) : méthode descendante

⇒ partir de l’événement-sommet et décomposer progressivement
jusqu’aux événements de base

Principe de la méthode MOCUS :

- Initialiser une matrice B par l’opérateur-sommet et le décomposer

en ses entrées

- Si une entrée est un opérateur, il sera décomposé dans l’étape

suivante, et ainsi de suite jusqu’à ce que tous les éléments de la
matrice B soient des événements de base

- Chaque ligne de la matrice B obtenue lors de la dernière étape

représente une coupe

- Détermination des coupes minimales de l’AdD par réduction des coupes

Remplacement de l’opérateur OU par un vecteur colonne

S
E1
E2
.

E1 E2……. En En

Remplacement de l’opérateur ET par un vecteur ligne avec un signe

« multiplié logique » entre les événements à l’entrée de l’opérateur

E1. E2. …..….. En

E1 E2….. En
Exemple : application de la méthode MOCUS à l’arbre de défaillance
du système hydraulique

Notations : G1 = événement-sommet - Gi (i ≥ 2) = événements intermédiaires -

1, 2, 3 et 4 = événements de base

G1
Arrêt total de
débit en sortie

G2 G3
Pas de débit Pas de débit
par le point 2 par le point 3

G4 G5
Fermeture Pas de débit à Pas de débit à Fermeture
intempestive de V2 l’entrée de V2 l’entrée de V3 intempestive de V3

1 a a 2

Pompe hors Fermeture

service intempestive de V1

3 4
 B1 = G1 B2 = G2 . G3

2 1 . 2
1 1 . G3 1.
B3 = .G = G5 1 . G5
3 B4 = =
G4 G4 . G3
G4 . G3 G4 . G3

1. 2 1 .2
1 . 2 1. 2
3 1 . 3 1. 3
1. 1 .3
B5 = 4 = 1 . 4 = 1. 4
1 .4 B6 =
G4 . G3 3 3 .G
G4 . G3 . G3
3

4 4 . G3
 1 . 2 1 . 2
1 . 2 1 . 2 1 . 3
1 . 3
1 . 3 1 . 3 1 . 4
1 . 4
1 . 4 1 . 4 3 . 2
3 . 2
B7 = = 3 . 2 B8 =
2
3 . 3 B9 = 3 . 3
3 . 3 . G5
G5
3 . 4 3 . 4
4 . G3 4 .G 3 4 . 2
4 . 2
4 . G5 4 . 3
4 . 4
Tous les éléments de la matrice B9 sont des événements de base

Chaque ligne de la matrice B9

correspond à une coupe

Réduction des coupes ⇒

obtention des coupes minimales

3 coupes minimales

C1 = {3} C2 = {4} C3 = {1, 2}

 EVALUATION
PROBABILISTE
DES AdD
 INTRODUCTION

Evaluation probabiliste d’un AdD : calcul de la probabilité de

l’événement-sommet à partir des probabilités des événements
de base

Evaluation directe pour un AdD ne possédant pas d’événements

répétés

Calcul des probabilités en commençant par les opérateurs reliant

les événements de base, puis ceux entre les événements
intermédiaires jusqu’à ce qu’on arrive à l’événement-sommet

Existence d’événements répétés dans un AdD : passage par les coupes

minimales de l’AdD
 METHODE DIRECTE

Utilisée quand l’AdD ne contient pas d’événements répétés

Commencer par les opérateurs reliant les événements de base et

remonter l’AdD en calculant, au fur et à mesure, les probabilités des
événements intermédiaires

Résultat des calculs = probabilité de l’événement-sommet

Hypothèse : événements indépendants

 - Opérateur ET -

A et B deux événements d’entrées indépendants - E événement de sortie

de l’opérateur ET

- Equation logique : E = A ∩ B

- Probabilité de l’événement E : P(E) = P(A) P(B)

 - Opérateur OU -

A et B deux événements d’entrées indépendants - E événement de sortie

de l’opérateur OU

- Equation logique : E = A ∪ B

- Probabilité de l’événement E : P(E) = P(A) + P(B) – P(A) P(B)

 MÉTHODE DES COUPES MINIMALES

K = {K1, K2, …, Kk} : ensemble des coupes minimales obtenues à partir

de la construction de l’AdD

L’événement-sommet se produit quand l’une des coupes minimales Ki

de l’ensemble K survient

PS = P{K1 ∪ K2 ∪ … ∪ Kk}

Cas où les probabilités des événements de base qi sont très faibles,

seul le premier terme du membre de droite du développement de
Poincaré est retenu :

k
PS = P{K1 ∪ K 2 ∪ ... ∪ K k } ≈ ∑ P ( K i )
i =1
ARBRE DE DEFAILLANCES
ET COUPES MINIMALES
D’UN SYSTEME DE
DETECTION D’INCENDIE
 PRESENTATION DU SYSTÈME DE DETECTION D’INCENDIE

circuit air comprimé à pression constante

Source
courant continu
TEMP
PS
DC FP1

TEMP

FP2
Pressostat
TEMP

FP3
opérateur MS
TEMP

FP4
SD1 SD2 SD3
Principe de fonctionnement
Voteur 2/3 Détection de chaleur
Arrêt process
Relais Alarme Incendie
Arrêt process Détection de fumée Activation des
principal
Relais Alarme Incendie extincteurs
SR Activation des Déclenchement
extincteurs manuel
Système de détection d’incendie : utilisé dans un atelier de production
dont les portes sont fermées

système de système d’alarme système de

détection de à commande détection de
chaleur manuelle fumée

Système de détection de chaleur

- Quatre détecteurs de chaleur FP1, FP2, FP3 et FP4 composés

de cellules fusibles à 72°C

- Relié à un circuit sous pression

- En cas de dépassement de 72°C, les fusibles fondent et la pression dans

le circuit baisse et déclenche le pressostat qui actionne le relais principal SR

- Le pressostat nécessite la présence de la source de tension DC

 Système de détection de fumée

- Trois détecteurs de fumée SD1, SD2 et SD3 reliés à un système

de vote VE en 2/3

- Si au moins deux détecteurs sont activés, le système de vote actionne

le relais principal SR

- Le système de détection de fumée nécessite aussi la présence

de la source de tension DC

Système d’alarme à commande manuelle

- Il est sous la responsabilité d’un opérateur toujours présent dans

l’atelier

- En cas d’urgence il peut déclencher le relais à commande manuelle

MS qui active le pressostat et donc le relais principal SR
Objectif : tracé de l’arbre de défaillance du système de détection d’incendie

- Evénement-sommet : « pas de signal en sortie du relais principal SR

en cas d’incendie »

- Calcul de la probabilité d’occurrence de l’événement-sommet

- Établissement de la liste des coupes minimales du système pour

cet événement

- Calcul des facteurs d’importance des différents composants du système

- Proposition des améliorations du système pour augmenter sa fiabilité

 ETUDE DU SYSTÈME DE DETECTION D’INCENDIE

- Principe de fonctionnement -

DETECTION
DE CHALEUR

- ARRET PROCESS
DETECTION RELAIS - ALARME INCENDIE
DE FUMEE PRINCIPAL - ACTIVATION
EXTINCTEURS

DECLENCHEMENT
MANUEL

3 systèmes placés
en parallèle
 - Schéma du circuit -

Circuit fermé d’air comprimé à pression constante

Bâche air
comprimé

PS
4 détecteurs de
chaleur en
Batterie FP1 redondance
DC active
SD1 SD2 SD3 FP2

MS
FP3
3 détecteurs de
VU Voteur
fumée dont au
2/3
moins 2 doivent FP4
fonctionner
Système de
déclenchement
Arrêt Process
Relais SR manuel
Alarme incendie
 - 1er système de détection -

4 détecteurs de chaleur FP1, FP2, FP3 et FP4 placés en série pour

avoir une redondance active

En cas de défaillance d’un des détecteurs, le suivant prend le relais

pour assurer la fonction requise

Air comprimé

Bouchon
- Principe d’un
détecteur de
chaleur -

Si la température dans le circuit dépasse 72°C, le bouchon, fait d’un

matériau fusible, fond et provoque une fuite d’air comprimé vers
l’extérieur et donc une chute de pression dans le circuit, d’où le
déclenchement du pressostat PS qui actionne le relais principal SR
 - 2ème système de détection -

3 détecteurs de fumée SD1, SD2 et SD3 reliés à un voteur VU en 2/3

Si au moins 2 détecteurs sont activés, le voteur actionne le relais principal SR

Source d’ionisation
(ex : américium)
Fumée ionisée

- Principe d’un
détecteur de fumée -

En présence de fumée, la source d’ionisation ionise cette fumée et donne

lieu à l’apparition d’un courant qui, à travers le système de vote, actionne
le relais principal SR
 - 3ème système de détection -

Système d’alarme à commande manuelle est sous la responsabilité

d’un opérateur toujours présent dans l’atelier

En cas d’urgence il peut déclencher le relais à commande manuelle

MS qui active le pressostat et donc le relais principal SR
 CONSTRUCTION DE L’ARBRE DE DEFAILLANCES

Evénement-sommet, indésirable ou redouté : « pas de signal en sortie

du relais principal SR en cas d’incendie »

4 détecteurs de chaleur placés en série dans le circuit ⇒ redondants

vis-à-vis du fonctionnement du système de détection d’incendie

Le système de détection est défaillant si

les 4 détecteurs sont tous en panne

Système de détection de fumée : n’est opérationnel que si au moins

2 détecteurs parmi les 3 fonctionnent (voteur 2/3)
 PAS DE SIGNAL
SORTIE RELAIS

NSSR

- Arbre de défaillance -

PAS DE SIGNAL PAS DE COURANT DEFAILLANCE

DU SYSTEME DE DC : SOURCE DU RELAIS SR
DE DETECTION DE COURANT
DS DC SR

PAS DE SIGNAL DU PAS DE SIGNAL DU PAS DE SIGNAL DU

SYSTEME DE DETECTION SYSTEME DE DETECTION SYSTEME D’ACTIVATION
DE CHALEUR DE FUMEE MANUELLE
HDS SDS MAS

PANNE DU PAS DE FUSION PAS DE SIGNAL DE 2 PANNE DU LE RELAIS MANUEL PANNE DU L’OPERATEUR N’AGIT
PRESSOSTAT DETECTEURS DETECTEURS SUR 3 VOTEUR 2/3 NE S’OUVRE PAS PRESSOSTAT PAS SUR LE RELAIS

PS MP A VE MS PS OP

PANNE DU PANNE DU PANNE DU PANNE DU

DETECTEUR 1 DETECTEUR 2 DETECTEUR 3 DETECTEUR 4
FP1 FP2 FP3 FP4
 - Arbre de défaillance (suite) -

PAS DE SIGNAL DE 2
DETECTEURS SUR 3

PANNE DES PANNE DES PANNE DES

DETECTEURS 1 ET 2 DETECTEURS 1 ET 3 DETECTEURS 2 ET 3

SD1 ET SD2 SD1 ET SD3 SD2 ET SD3

PANNE DU PANNE DU PANNE DU PANNE DU PANNE DU PANNE DU

DETECTEUR 1 DETECTEUR 2 DETECTEUR 1 DETECTEUR 3 DETECTEUR 1 DETECTEUR 2

SD1 SD2 SD1 SD3 SD2 SD3

RECHERCHE DES COUPES MINIMALES – METHODE MOCUS –

DC

DC DC MS
PS VE
NSSR = DS = HDS . SDS . MAS = . . PS
MP A
SR SR OP

SR

DC

VE MS
PS
. SD1 . SD2 . PS
FP1 . FP2 . FP3 . FP4
= SD1 . SD3 OP
SD2 . SD3

SR
 PS . VE
PS . SD1 . SD2
VE PS . SD1 . SD3
PS PS . SD2 . SD3
. SD1 . SD2 FP1 . FP2 . FP3 . FP4 . VE
FP1 . FP2 . FP3 . FP4 = FP1 . FP2 . FP3 . FP4 . SD1 . SD2
SD1 . SD3
FP1 . FP2 . FP3 . FP4 . SD1 . SD3
SD2 . SD3 FP1 . FP2 . FP3 . FP4 . SD2 . SD3
 PS . VE . MS
PS . SD1 . SD2 . MS
PS . SD1 . SD3 . MS
PS . SD2 . SD3 . MS
FP1 . FP2 . FP3 . FP4 . VE . MS
FP1 . FP2 . FP3 . FP4 . SD1 . SD2 . MS
FP1 . FP2 . FP3 . FP4 . SD1 . SD3 . MS
FP1 . FP2 . FP3 . FP4 . SD2 . SD3 . MS
PS . VE PS . VE
PS . SD1 . SD2 PS . SD1 . SD2
PS . SD1 . SD3 MS PS . SD1 . SD3
PS . SD2 . SD3 PS . SD2 . SD3
FP1 . FP2 . FP3 . FP4 . VE . PS = FP1 . FP2 . FP3 . FP4 . VE . PS
FP1 . FP2 . FP3 . FP4 . SD1 . SD2 OP FP1 . FP2 . FP3 . FP4 . SD1 . SD2 . PS
FP1 . FP2 . FP3 . FP4 . SD1 . SD3 FP1 . FP2 . FP3 . FP4 . SD1 . SD3 . PS
FP1 . FP2 . FP3 . FP4 . SD2 . SD3 FP1 . FP2 . FP3 . FP4 . SD2 . SD3 . PS
PS . VE . OP
PS . SD1 . SD2 . OP
PS . SD1 . SD3 . OP
PS . SD2 . SD3 . OP
FP1 . FP2 . FP3 . FP4 . VE . OP
FP1 . FP2 . FP3 . FP4 . SD1 . SD2 . OP
FP1 . FP2 . FP3 . FP4 . SD1 . SD3 . OP
FP1 . FP2 . FP3 . FP4 . SD2 . SD3 . OP
 DC
PS . VE . MS
PS . SD1 . SD2 . MS
PS . SD1 . SD3 . MS
PS . SD2 . SD3 . MS
FP1 . FP2 . FP3 . FP4 . VE . MS
FP1 . FP2 . FP3 . FP4 . SD1 . SD2 . MS
FP1 . FP2 . FP3 . FP4 . SD1 . SD3 . MS
FP1 . FP2 . FP3 . FP4 . SD2 . SD3 . MS
PS . VE
PS . SD1 . SD2
NSSR = PS . SD1 . SD3
PS . SD2 . SD3
FP1 . FP2 . FP3 . FP4 . VE . PS
FP1 . FP2 . FP3 . FP4 . SD1 . SD2 . PS
FP1 . FP2 . FP3 . FP4 . SD1 . SD3 . PS
FP1 . FP2 . FP3 . FP4 . SD2 . SD3 . PS
PS . VE . OP
PS . SD1 . SD2 . OP
PS . SD1 . SD3 . OP
PS . SD2 . SD3 . OP
FP1 . FP2 . FP3 . FP4 . VE . OP
FP1 . FP2 . FP3 . FP4 . SD1 . SD2 . OP
FP1 . FP2 . FP3 . FP4 . SD1 . SD3 . OP
FP1 . FP2 . FP3 . FP4 . SD2 . SD3 . OP
SR
 26 coupes pour le système de détection d’incendie

14 coupes minimales 12 coupes non minimales

{DC} {PS , VE , MS}

{SR} {PS , VE , OP}

{PS , SD1 , SD2 , MS}
{PS , VE}
{PS , SD1 , SD3 , MS}
{PS , SD1 , SD2}
{PS , SD1 , SD3} {PS , SD2 , SD3 , MS}

{PS , SD2 , SD3} {PS , SD1 , SD2 , OP}

{FP1 , FP2 , FP3 , FP4 , VE , MS} {PS , SD1 , SD3 , OP}

{FP1 , FP2 , FP3 , FP4 , VE , OP} {PS , SD2 , SD3 , OP}

{FP1 , FP2 , FP3 , FP4 , SD1 , SD2 , MS} {FP1 , FP2 , FP3 , FP4 , VE , PS}

{FP1 , FP2 , FP3 , FP4 , SD1 , SD3 , MS} {FP1 , FP2 , FP3 , FP4 , SD1 , SD2 , PS}

{FP1 , FP2 , FP3 , FP4 , SD2 , SD3 , MS} {FP1 , FP2 , FP3 , FP4 , SD1 , SD3 , PS}

{FP1 , FP2 , FP3 , FP4 , SD1 , SD2 , OP} {FP1 , FP2 , FP3 , FP4 , SD2 , SD3 , PS}

{FP1 , FP2 , FP3 , FP4 , SD1 , SD3 , OP}

{FP1 , FP2 , FP3 , FP4 , SD2 , SD3 , OP}

 DONNÉES SUR LES PROBABILITÉS
D’OCCURRENCE DES ÉVÉNEMENTS DE BASE

Connaissance des taux de défaillance λ des composants

⇒ Probabilité de défaillance à l’instant t = (1 – e-λt)

Probabilité pour que l’opérateur n’accomplisse pas l’action demandée = 0.2

(λ ne peut pas être défini pour calculer la probabilité de défaillance de
l’opérateur en fonction du temps, comme pour les composants)
Composant Evénement λ

DC Pas de courant de la source DC 4e-006

FP1 Le détecteur N° 1 ne répond pas à la chaleur 8e-006

FP2 Le détecteur N° 2 ne répond pas à la chaleur 8e-006

FP3 Le détecteur N° 3 ne répond pas à la chaleur 8e-006

FP4 Le détecteur N° 4 ne répond pas à la chaleur 8e-006

MS Le relais manuel ne s’ouvre pas 1.6e-005

OP L’opérateur n’agit pas sur le relais Probabilité

de cet
événemen
t = 0.2
PS Le pressostat est en panne (position fermée) 1.2e-005

SD1 Le détecteur N° 1 ne répond pas à la fumée 6e-006

SD2 Le détecteur N° 2 ne répond pas à la fumée 6e-006

SD3 Le détecteur N° 3 ne répond pas à la fumée 6e-006

SR Le relais principal est panne (position ouverte) 8e-006

VE La logique du voteur 2/3 ne donne pas de signal 4e-006

CALCUL DE LA PROBABILITE DE L’EVENEMENT-SOMMET
Temps de fonctionnement (h) Probabilité de l’événement-sommet
0 8.7404 x 10-3
1 8.7438 x 10-3
2 8.7457 x 10-3
3 8.7468 x 10-3
4 8.7475 x 10-3
5 8.7479 x 10-3
6 8.7482 x 10-3
7 8.7483 x 10-3
8 8.7484 x 10-3
9 8.7485 x 10-3
10 8.7485 x 10-3
11 8.7486 x 10-3
12 8.7486 x 10-3
13 8.7486 x 10-3
14 8.7486 x 10-3
15 8.7486 x 10-3
16 8.7486 x 10-3
17 8.7486 x 10-3
18 8.7486 x 10-3
19 8.7486 x 10-3
20 8.7486 x 10-3
 Les contributions du relais principal SR et de la source de
courant DC dans la défaillance du système sont très fortes

La contribution de l’erreur de l’opérateur est négligeable malgré que sa

probabilité de défaillance soit assez élevée (= 0.2) parce que le système de
détection d’incendie se base surtout sur les détecteurs de chaleur et de
fumée
 CONCLUSION DE L’ETUDE

Le système de détection d’incendie possède des coupes minimales de

faible ordre : 1, 2 et 3 ⇒ Ce système n’est donc ni fiable, ni sûr du
point de vue de la sûreté de fonctionnement

Exemple : la panne de la source de courant DC, du relais principal SR

ou du l’ensemble (pressostat – voteur) provoque automatiquement la
défaillance du système de détection d’incendie

Un système dont les coupes minimales sont d’ordre élevé (> 6 par exemple)
est très fiable parce que sa panne nécessite que plusieurs composants
tombent en panne simultanément
 Fiabilisation du système de détection d’incendie :

Utilisation de deux Utilisation d’un Utilisation de 2

ou trois batteries voteur 2/3 pour pressostats en
en parallèle le relais principal parallèle

Les contributions de ces

composants vont devenir
négligeables