Analyse de l'arbre des défaillances: quelle est sa précision?

Introduction:

Lors de la réalisation d'une analyse d'arbre de défaillances (FTA), les petites probabilités comptent. Par exemple: selon (ARP 4761 et AC 23.1309-1E) US Department of Transportation, un événement catastrophique, c'est-à-dire des «conditions de défaillance qui empêcheraient la poursuite du vol et de l'atterrissage en toute sécurité», devrait avoir une probabilité inférieure à 10^-9 par heure de vol. Des exigences similaires existent également dans l'industrie du matériel roulant.
Les calculs FTA sont systématiquement effectués à l'aide de feuilles Excel et d'un logiciel dédié FTA. La question est posée: quelle est la précision de ces calculs?
Il y a des raisons de croire (Keisner, A. 2003) que différents logiciels FTA fournissent des résultats différents qui pourraient conduire à des événements de sécurité graves.
L'objectif de cet article est de comparer différentes méthodes de calcul de probabilité, d'identifier les problèmes potentiels et de présenter les solutions.
Un problème connu avec FTA est la question de la troncature, c'est-à-dire quand terminer la sommation des probabilités minimales de coupure. Cette question a été traitée dans la littérature (Čepin, M. 2004; Epstein, S. & Rauzy, A. 2005).
Dans cet article, nous présentons plusieurs cas où la mise en œuvre naïve d'équations de probabilité pour une seule porte logique entraîne de graves erreurs générées par ordinateur.
Le premier cas que nous discutons est la porte OU pour laquelle une solution simple existe. Les deuxième et troisième cas sont des portes dynamiques (veille et priorité AND) qui posent un défi plus redoutable. Nous discutons des raisons des erreurs de calcul, ainsi que des solutions aux problèmes.

OU porte:

Selon la norme CEI 61025 (CEI 61025, 2006), la probabilité de défaillance F (t) jusqu'au temps t d'une porte OU est donnée par:

(1)

Où F_je(t) est la probabilité d'occurrence du sous-événement i jusqu'au temps t. Lorsque les valeurs de F_je(t) devenir petit, d'ordre 10^-16, Le calcul standard (utilisant Excel, Matlab ou d'autres programmes / langages standard) donne des résultats incorrects. La raison en est la suivante:
Eq. 1 comprend les termes de la forme 1- Fi (t). Ces termes mélangent les numéros d'ordre 1 et d'ordre 10^-16, c'est-à-dire que plus de 16 chiffres sont nécessaires pour décrire précisément le numéro. Les calculs informatiques standard utilisent des nombres à double précision qui ont une précision inférieure à 16 chiffres. Par conséquent, les termes de la forme 1- Fi (t) ne sont pas calculés correctement.
Une solution possible consiste à utiliser une précision non standard pour calculer la probabilité, mais ces méthodes consomment beaucoup plus de mémoire et de temps.
Eq. 1 peut être calculé avec précision lorsque les termes de l'équation. 1 sont écrits explicitement selon l'expansion de Sylvester – Poincaré (NUREG-0492 1981). Par exemple, considérons un cas avec trois sous-événements. Expansion Eq. 1 donne:

(2)

Notez que dans Eq. 2 les contributions de l'ordre 1 ont été annulées. Par conséquent, l'erreur de calcul est évitée.
Exemple: considérez trois événements, chacun avec une probabilité de 10^-16. Une implémentation simple de Eq. 1 dans Matlab donne F (t) = 3,330669073875470e-016.
Une implémentation de Eq. 2 donne: F (t) = 2,999999999999999e-016. Dans ce cas, Eq. 1 a donné un écart de 11% par rapport au résultat correct. Ensuite, des cas plus compliqués sont présentés.

PORTE DE VEILLE:

La porte de secours est utilisée pour décrire un système avec des unités de secours. Ici, le cas de non-récupération est discuté. Exemple: considérons un processeur satellite. Afin d'obtenir une fiabilité élevée pour la période de mission du satellite, plusieurs processeurs de sauvegarde sont installés. Lorsque le processeur tombe en panne, l'une des unités de sauvegarde le remplace. Une défaillance critique se produit lorsque les processeurs principaux et tous les processeurs de sauvegarde échouent. La probabilité de défaillance pour N unités identiques (une sauvegarde principale et N-1 sauvegardes) est:

(3)

Où f est la fonction de distribution des pannes de processeur unique. Lorsque f est exponentielle avec un taux d'échec constant λ, une solution analytique pour Eq. 3 peut être trouvée en appliquant les transformées de Laplace et inverses de Laplace:

(4)

Eq. 4 révèle un problème potentiel: le 1er terme de l'Eq. 4 est 1. Lorsque λ · t << 1, la contribution à l'équation. 4 à partir du 2ème terme avec k = 0 est très proche de -1, c'est-à-dire que les deux termes s'annulent presque. Dans de tels cas, des résultats de calcul erronés peuvent se produire.
Afin de résoudre ce problème, une forme alternative d'Eq. 4 est requis. Notez que la somme dans Eq. 4 peut s'écrire:

(5)

Utilisation de l'Eq. 5, une nouvelle forme pour Eq. 4 se trouve:

(6)

Notez que Eq. 6 n'a plus les termes de l'ordre de presque annulation 1. Le terme d'ordre le plus bas dans l'Eq. 6 est d'ordre (λ · t) N. Pour utiliser Eq. 6, une condition d'arrêt est requise pour la somme des termes infinis. La condition d'arrêt dépend de la précision requise.
Exemple: considérons un système avec 4 unités identiques en configuration de veille. De plus, supposons que λ · t = 10-5.

Implémentation de l'Eq. 4 dans Matlab donne un résultat négatif: -2,220446049250313e-016 alors que l'Eq. 6 donne: 4.166633333472224e-022. Un résultat négatif est «bon» car l'erreur est alors immédiatement détectée. Si toutefois, λ · t = 2 ∙ 10-5, alors implémentation de l'équation. 4 dans Matlab donne 1.110223024625157e-016 alors que l'Eq. 6 donne: 6,666560000888887e-021. Dans ce cas, l'utilisation directe de Eq. 4 donne un résultat erroné de plus de 4 ordres de grandeur, mais difficile à détecter. Cela pourrait conduire à l'ajout inutile d'unités de rechange.

ET - PORTE PRIORITAIRE:

L'événement AND - Priority (ANDp) se produit lorsque tous les sous-événements se produisent dans un ordre spécifique. Les événements ANDp existent généralement dans le FTA des systèmes qui ont plusieurs couches de protection. La porte ANDp a été introduite pour la première fois en 1976 par Fussel et al (Fussel, J. et al 1976).
Exemple: une arme à feu ne tirera involontairement que si les événements suivants se déroulent dans l'ordre:
-Le chargeur de balles est inséré dans le pistolet
-Le pistolet est chargé
-La détente est tirée
Prenons le cas de N sous-événements, chacun ayant un taux d'occurrence λ_je. La probabilité d'occurrence de la porte ANDp est donnée par une convolution de la forme:

(7)

où f_je(t) sont des distributions de défaillance exponentielles, chacune ayant un taux de défaillance λ_je. La convolution de l'Eq. 7 peut être résolu en utilisant la transformée de Laplace:
Définir un autre taux de défaillance λ_{N + 1}=0.
Définir les coefficients u_je tel que:

(8)

Alors F (t) est donné par:

(9)

Eq. 9 est une solution exacte de la convolution dans l'Eq. 7. Cependant, il existe des cas dans lesquels le calcul de l'Eq. 9 donne des résultats incorrects:
Lorsque les probabilités de sous-événements sont faibles, des écarts importants par rapport à la valeur attendue se produisent. Prenons le cas simple de deux sous-événements (N = 2). Dans ce cas, Eq. 9 se réduit à:

(10)

Eq. 10 inclut l'addition et la soustraction de nombres avec des valeurs très proches, c'est la cause des problèmes de calcul. Cela devient plus clair lorsque l'expansion de Taylor des exposants dans Eq. 10 est pris:

(11)

Les termes du 0ème et du 1er ordre de l'extension Taylor s'annulent. Bien que l'annulation soit facile à identifier analytiquement, l'annulation numérique (par ordinateur) n'est pas exacte et des erreurs peuvent survenir dans le calcul. Par conséquent, Eq. 11 donne une meilleure précision calculée par rapport à l'Eq. 10 quand de petites probabilités existent.

Afin de généraliser la conclusion au cas de N sous-événements, Eq. 9 est donné sous une forme différente (voir l'annexe pour la preuve d'équivalence):

(12)

Expansion de Taylor des exposants dans l'Eq. 12 donne:

(13)

À partir de l'Eq. 13 il est clair que les contributions pour m = 0, 1, .., N-1 s'annulent (en raison de la dépendance linéaire des lignes dans le déterminant). Par conséquent, un calcul précis de F (t) lorsque de petites probabilités existent nécessite un développement de Taylor qui commence à l'ordre N.
Deux autres améliorations peuvent être appliquées à Eq. 13:
Notez que la 2ème ligne de la matrice dans l'Eq. 13 est une rangée de uns. De plus, la dernière colonne de la matrice dans l'Eq. 13 est plein de zéros (à une exception près). Cela permet une réduction dimensionnelle de la matrice:

(14)

Le dénominateur de l'équation 14 comprend les termes de la forme (u_j-u_k), il faut faire attention au cas où les valeurs de u_j et toi_k sont similaires, utilisez donc l'équation suivante:

(15)

Eq. 15 est beaucoup plus robuste que l'Eq. 9.
D'autres complications peuvent survenir dans le cas particulier où les colonnes de la matrice dans l'Eq. 15 ont une valeur très proche. La manière de surmonter ces problèmes est similaire dans l'esprit aux méthodes présentées dans cette section.
Exemple: Prenons le cas simple de deux événements similaires pour lesquels λ₁· T = 10^-8 et λ₂· T = 10^-8. La probabilité d'occurrence de chaque événement est de 10^-8, par conséquent, la probabilité que les événements se produisent et que l'événement 1 ait lieu avant l'événement 2 est: 5 · 10^-17. Implémentation de l'Eq. 10 dans Matlab donne: 8.271806125530277e-17 soit un écart de 65% par rapport au résultat correct. Implémentation de l'Eq. 15 donne le résultat correct.

La figure 1 présente l'arborescence des pannes du cas décrit ci-dessus à l'aide du logiciel BQR FTA (manuel d'utilisation BQR FTA):

Figure 1. Arbre des défauts schéma d'une porte à priorité AND avec deux événements enfants.

DISCUSSION ET CONCLUSIONS:

Les calculs de probabilité des portes de priorité OR, Standby et AND - ont été examinés. Il a été constaté que la mise en œuvre naïve d'équations de probabilité peut entraîner des erreurs de calcul et même des résultats négatifs.
Il a été montré que des calculs précis peuvent être obtenus en utilisant des représentations alternatives des équations de probabilité.

Logiciel FTA de BQR offre une précision, une flexibilité et une vitesse de calcul élevées.

ANNEXE

Preuve d'équivalence entre les équations. 9 et 12:
Commençant par Eq. 12 et en développant le déterminant selon la formule de Leibniz on obtient:

(A1)

Les déterminants de l'Eq. A1 sont de la forme de déterminants de Vandermonde, donc:

(A2)

Eq. A2 est simplifié en remarquant les termes similaires dans le numérateur et le dénominateur:

(A3)

Une simplification supplémentaire est obtenue en considérant les cas où j = i et k = i:

(A4)

Remplacement (u_j-u_je) avec u_je-u_j) et la comptabilisation des changements de signe donne:

(A5)

Et enfin, Eq. 9 est récupéré:

(A6)

RÉFÉRENCES

AC 23.1309-1E, Federal Aviation Administration, US Department of Transportation

ARP 4761, Directives et méthodes pour la conduite du processus d'évaluation de la sécurité des systèmes et équipements aéroportés civils, SAE international

Mode d'emploi BQR FTA

Čepin, M. (2005), Analysis of truncation limit in probabilistic safety assessment. Ingénierie de la fiabilité et sécurité des systèmes 87, 395-403

Epstein, S. et Rauzy, A. (2005). Pouvons-nous faire confiance à PRA? Ingénierie de la fiabilité et sécurité des systèmes 88, 195-205

Fussel, J., Aber, E. et Rahl, R. (1976). Sur l'analyse quantitative de la logique des priorités et des échecs. Transactions IEEE sur la fiabilité R-25 (5), 324–326

CEI 61025, 2006, Analyse d'arbre de défauts (FTA), Commission électrotechnique internationale

Keisner A., 2003, Reliability Analysis Technique Comparison, as Applied to the Space Shuttle, Space Systems Design Labora-tory, Georgia Tech, 35

NUREG-0492, 1981, Fault Tree Handbook, Systems and Reliability Research, Office of Nuclear Regulatory Research, US Nuclear Regulatory Commission, VI-4

Contacter BQR

Parlons de vos besoins

Prénom*

Nom de famille*

E-mail*

Titre d'emploi*

Industrie*

Veuillez décrire votre projet / vos besoins*

Je souhaite recevoir des e-mails de BQR concernant des exemples et des logiciels d'analyse de fiabilité, de disponibilité, de maintenabilité et de sécurité

Biscuit	Durée	La description
cookielawinfo-checkbox-analytics	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Analytics".
cookielawinfo-checkbox-fonctionnel	11 mois	Le cookie est défini par GDPR cookie consent pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Fonctionnel".
cookielawinfo-checkbox-autres	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autre.
cookielawinfo-checkbox-nécessaire	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Nécessaire".
cookielawinfo-checkbox-performance	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
view_cookie_policy	11 mois	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.

Biscuit	Durée	La description
ActiveCampaign		Utilisé pour l'analyse du comportement de contact sur le site Web, afin d'améliorer l'expérience de contact. Un contact est une personne qui a rempli un formulaire et qui est en contact avec BQR, ou une personne qui a utilisé le logiciel BQR.
Google Analytics		Utilisé pour l'analyse statistique du comportement des utilisateurs du site Web sur le site Web afin d'améliorer l'expérience utilisateur.