Redondance - plus n'est pas toujours plus sûr
Les analyses de sécurité sont essentielles pour la conception et la mise en œuvre de systèmes sûrs, en particulier dans les industries où une défaillance peut entraîner des effets graves (aérospatiale, ferroviaire, médical, pétrolier et gazier).
Dans de nombreux cas, le remède `` magique '' à la sécurité est la redondance, par exemple:
- Alimentations de secours (UPS et générateurs)
- Réseaux de communication avec chemins redondants
- Systèmes de freinage redondants
- Moteurs redondants
Il existe cependant quelques écueils à l'ajout de nombreuses redondances:
Coût:
Plus d'unités signifie un coût d'achat plus élevé (attribué au CAPEX).
De plus, davantage de pannes d'unités se produiront sur le terrain, donc le coût de maintenance montera également en flèche (attribué à OPEX).
Pannes de cause commune:
Les échecs de cause commune sont des modes d'échec qui ne sont pas indépendants des autres échecs d'élément.
exemples:
- Si une alimentation en court-circuit, elle peut entraîner la défaillance d'autres systèmes à moins qu'elle ne soit protégée par un fusible
- Si un moteur tombe en panne et que les dommages internes ne sont pas contenus par le carter, des objets sont éjectés du moteur et peuvent provoquer la défaillance des systèmes à proximité
Une façon de réduire les causes courantes consiste à utiliser différents types d'unités redondantes (comme indiqué dans le «Fault Tree Handbook with Aerospace Applications» de la NASA [1]).
Voici deux exemples intéressants du domaine de l'aviation:
1. Boeing KC-46 Pegasus [2]
En juillet 2014, Boeing a enregistré une charge avant impôts de $272 millions pour couvrir une refonte du câblage du Boeing KC-46 Pegasus. Il a été constaté que le 5-10% des faisceaux de câbles n'avait pas une distance de séparation suffisante ou n'était pas correctement blindé pour répondre à une exigence de l'armée de l'air en matière de câblage double ou triple redondant pour certains systèmes de mission.
La raison pour laquelle une séparation entre le câblage redondant est exigée est d'éviter une défaillance de cause commune. Supposons qu'un objet lâche coupe un fil, si le fil redondant est à proximité, il a également une forte probabilité d'être coupé.
2. ETOPS
ETOPS signifie Extended Operations. Dans le passé, les avions à 4 moteurs étaient utilisés pour les vols longue distance, mais aujourd'hui, les avions à deux moteurs peuvent effectuer des vols similaires. Une partie de la raison est la grande fiabilité des centrales électriques modernes.
Voici une analyse utilisant le logiciel d'analyse d'arbre de défauts (FTA) de BQR.
La probabilité d'arrêt du moteur en vol (IFSD) est d'environ 2 · 10-6 par heure de vol pour une centrale PW4000 moderne [3] (à titre de comparaison, en 1952, la probabilité IFSD par heure de vol était de 2,5 · 10-4 pour moteurs à pistons [4]).
La FAA exige une probabilité de défaillance catastrophique inférieure à 10-9 par heure de vol pour un avion de type navette [5].
En supposant qu'un seul moteur est suffisant pendant le vol, une analyse simple montre que plus de moteurs assurent un vol plus sûr:
| Nombre de moteurs | Probabilité pour toutes les pannes de moteur par heure de vol |
| 1 | 2 · 10-6 |
| 1 | 4 · 10-12 |
| 1 | 8 · 10-18 |
| 1 | 1,6 · 10-23 |
Cependant, s'il existe une cause commune, la situation est différente:
Pendant que des tests de panne moteur sont menés (voir le film [6]) pour s'assurer que les débris ne mettent pas en danger les systèmes à proximité, considérez le cas où il y a 0,015% * chance qu'une panne de moteur unique crée une panne catastrophique de cause commune. Voici des diagrammes d'arbre de pannes pour les cas de moteurs 2, 3 et 4:
