Échecs de cause commune, plus fréquents que vous ne le pensez

 

introduction

Les systèmes critiques sont généralement conçus avec une redondance et une tolérance aux pannes élevées afin d'éviter les pannes critiques. Le plus grand ennemi de la redondance est la défaillance de cause commune (CCF).
Le CCF est défini comme les défaillances de plusieurs éléments, qui seraient autrement considérées comme indépendantes les unes des autres, résultant d'une seule cause [1].

Les événements CCF sont généralement rares, mais leur effet peut être grave. Par conséquent, l'analyse des causes communes est un élément important de l'analyse de la sécurité et est requise dans certaines normes, par exemple la sécurité ferroviaire [2].
Les CCF sont plus courants que vous ne le pensez. Voici quelques événements de cause commune qui apparaissent dans de nombreux systèmes:

  • Une panne de courant peut entraîner l'arrêt de nombreux sous-systèmes électriques. Bien que les sous-systèmes n'aient pas échoué eux-mêmes, ils ne sont pas en mesure de remplir leurs fonctionnalités requises et doivent donc être considérés comme ayant échoué pour l'analyse.
  • Une défaillance d'un commutateur de communication réseau peut empêcher de nombreux sous-systèmes d'envoyer / recevoir des informations critiques. Cela peut rendre les sous-systèmes inutiles.

 

Une analyse

Dans les cas simples, il est possible de prendre en compte le CCF en utilisant des portes standard Fault Tree Analysis (FTA), mais dans d'autres cas, une analyse plus complexe est requise.

Cas simple

Considérez une alimentation qui alimente un serveur et un commutateur de communication réseau. Le serveur et le commutateur sont requis pour le fonctionnement du système. La défaillance de l'un d'eux entraînera la défaillance du système. De toute évidence, une défaillance de l'alimentation électrique entraînera également une défaillance du système.Par conséquent, l'arborescence de pannes simple suivante peut être utilisée:

Screenshot of Fault Tree Analysis software

Cas pas si simple

Prenons le cas de deux serveurs et de deux périphériques de stockage de données dans deux sites distincts (un serveur et un périphérique de stockage dans chaque site).
La communication existe entre les deux sites, et ils se reflètent:

Le système peut fonctionner dans les cas suivants:

  • Le serveur 1 et le stockage 1 sont actifs
  • Le serveur 2 et le stockage 2 sont actifs
  • Le serveur 1 et le stockage 2 sont actifs
  • Le serveur 2 et le stockage 1 sont actifs

En ignorant les sources d'alimentation, un arbre de défaillance simple peut également être utilisé dans ce cas:

Screenshot of Fault Tree Analysis software

Cependant, une défaillance de Power 1 entraîne l'échec du serveur 1 et du stockage 1, et l'échec de l'alimentation 2 entraîne l'échec du serveur 2 et du stockage 2. L'arbre de défaillance qui tient compte des sources d'alimentation est le suivant:

Screenshot of Fault Tree Analysis software

* Images d'arbre de défaillance prises à partir de Logiciel d'analyse d'arbre de défaillance de BQR.

 

Notez que l'événement «Power 1 failure» apparaît deux fois dans le diagramme. Habituellement, chaque nœud d'extrémité dans le diagramme représente un événement indépendant, mais dans ce cas, les deux événements «Power 1 failure» représentent le même événement. De même, «Panne d'alimentation 2» apparaît deux fois dans le diagramme.

Il y a 6 blocs dans le système, donc il y a 64 états de système possibles. Sur les 64 États, 47 États sont définis comme une défaillance du système.
Afin de calculer la probabilité de défaillance de ce cas, un processus de déconnexion doit être effectué [3].

Le logiciel FTA de BQR prend en compte les CCF ainsi que les CCF imbriqués (cause commune qui apparaît à l'intérieur d'une autre cause commune).
Pour plus d'informations sur le logiciel BQR et / ou les services professionnels, veuillez contacter info@bqr.com.

 

Bibliographie

[1] CEI 60050, Vocabulaire électrotechnique international.
[2] EN 50126: 2017 Applications ferroviaires. La spécification et la démonstration de la fiabilité, la disponibilité, la maintenabilité et la sécurité (RAMS). Processus générique RAMS.
[3] CEI 61025: 2007 Analyse de l'arbre de défaillance (FTA).