Aide à la décision dans la réduction de l’incertitude des SIL : une approche floue/possibiliste

24/09/2017
Publication e-STA e-STA 2006-3
OAI : oai:www.see.asso.fr:545:2006-3:19932
DOI :

Résumé

Aide à la décision dans la réduction de l’incertitude des SIL : une approche floue/possibiliste

Métriques

17
4
555.44 Ko
 application/pdf
bitcache://7237aef5eba57e536b7f7ede179b3d8811c47070

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/545:2006-3/19932</identifier><creators><creator><creatorName>Mohamed Sallak</creatorName></creator><creator><creatorName>Jean-François Aubry</creatorName></creator><creator><creatorName>Christophe Simon</creatorName></creator></creators><titles>
            <title>Aide à la décision dans la réduction de l’incertitude des SIL : une approche floue/possibiliste</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2017</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Sun 24 Sep 2017</date>
	    <date dateType="Updated">Sun 24 Sep 2017</date>
            <date dateType="Submitted">Wed 19 Sep 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">7237aef5eba57e536b7f7ede179b3d8811c47070</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>33857</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

Aide à la décision dans la réduction de l’incertitude des SIL : une approche floue/possibiliste Mohamed Sallak 1 , Jean-François Aubry 1 , Christophe Simon 2 1 Centre de Recherche en Automatique de Nancy (CRAN-UMR 7039), Nancy Université, CNRS ENSEM, 2 Avenue de la forêt de Haye 54506, Vandoeuvre-Lès-Nancy, France 2 ESSTIN, 2 Rue Jean Lamour 54519, Vandoeuvre-Lès-Nancy, France mohamed.sallak@ensem.inpl-nancy.fr, jean-françois.aubry@isi.u-nancy.fr, christophe.simon@esstin.uhp-nancy.fr Résumé— De nombreuses installations industrielles pré- sentent des risques pour les personnes, l’environnement ou les équipements. Elles ont par conséquent fait l’objet d’études de risque et nécessitent parfois la mise en œuvre de Systèmes Instrumentés de Sécurité (SIS). Pour concevoir ces systèmes, deux normes sont utilisées : l’ANSI/ISA S84.01- 1996 et l’IEC 61508. Cependant, les fiabilistes ont beaucoup de difficultés à mettre en œuvre les prescriptions de ces deux normes, notamment pour la détermination du niveau d’In- tégrité de Sécurité (SIL) de chaque SIS. En outre, les mé- thodes de détermination des SIL proposées jusqu’à présent ne prennent pas en compte les incertitudes entachant les paramètres de fiabilité des composants du SIS. Dans cet ar- ticle, nous proposons une approche floue/possibiliste pour déterminer le niveau de SIL des SIS à partir des paramètres de fiabilité incertains de leurs composants. L’introduction de deux nouveaux facteurs d’importance possibilistes permet- tra de réduire efficacement l’incertitude entachant le niveau de SIL obtenu. Mots-clés— Système Instrumenté de Sécurité, niveau d’In- tégrité de Sécurité, approche floue/possibiliste, incertitude, facteurs d’importance. I. Introduction Lorsque les installations industrielles présentent des risques potentiels pour les personnes, l’environnement ou les biens, diverses sécurités sont mises en œuvre. Celles-ci participent soit à la prévention (en minimisant la proba- bilité d’apparition d’un risque), soit à la protection (pour limiter les conséquences d’un dysfonctionnement). Les Sys- tèmes Instrumentés de Sécurité (SIS) sont souvent utilisés comme moyens de prévention pour réaliser ces Fonctions Instrumentées de Sécurité (SIF). Pour concevoir ces sys- tèmes, deux normes sont utilisées : l’ANSI/ISA S84.01-1996 [1] et l’IEC 61508 [2]. Ces deux normes sont basées sur le principe de l’évaluation de la réduction du risque nécessaire pour atteindre un niveau de risque acceptable de l’instal- lation. Les fiabilistes ont beaucoup de difficultés à mettre en œuvre les prescriptions de ces deux normes, notamment pour la détermination du niveau d’Intégrité de Sécurité (SIL) des SIS [3]. En conséquence, il est devenu primordial de trouver des méthodes fiables qui permettent de déter- miner le niveau de SIL des SIS. En outre, les méthodes de détermination des SIL [2], [4], [5], [6], [7], [8], proposées jusqu’à présent, ne prennent pas en compte les incertitudes qui entachent les paramètres de fiabilité des composants du SIS. L’objectif de ce travail est de proposer une approche floue/possibiliste pour déterminer le niveau de SIL d’un SIS à partir des paramètres de fiabilité incertains de ses com- posants. L’introduction de deux nouveaux facteurs d’im- portance possibilistes permettra de mettre en évidence les composants contribuant le plus à l’incertitude entachant le niveau de SIL obtenu et de la réduire efficacement. L’article est organisé de la façon suivante. La section II décrit la procédure pour atteindre les cibles de sécurité d’un procédé selon les normes ANSI/ISA S84.01-1996 [1] et IEC 61508 [2]. La section III présente l’approche propo- sée pour la détermination des SIL et introduit les nouveaux facteurs d’importance possibilistes. La section IV est dédiée à un exemple applicatif défini dans la littérature qui illustre l’approche présentée. Enfin, nous traçons le bilan de notre approche et des facteurs d’importance introduits en section V et présentons les perspectives de ce travail. II. Procédure pour atteindre les cibles de sécurité d’un procédé Dans cette section, nous décrivons la procédure géné- rale pour atteindre les cibles de sécurité d’un procédé afin d’assurer la conformité aux normes de sécurité ANSI/ISA S84.01-1996 [1] et IEC 61508 [2]. Ensuite, nous présentons les différentes méthodes qualitatives et quantitatives utili- sées pour la détermination des SIL. A. Systèmes Instrumentés de Sécurité Un SIS est un système visant à mettre le procédé en po- sition de repli de sécurité (c’est-à-dire un état stable ne présentant pas de risque pour l’environnement et les per- sonnes), lorsque le procédé s’engage dans une voie compor- tant un risque réel pour le personnel et l’environnement (explosion, feu ...). Un SIS se compose de trois parties (cf. Figure 1) : – Une partie capteur chargée de surveiller la dérive de paramètres (pression, température ...) vers un état dangereux. – Une partie système de traitement logique chargée de récolter le signal provenant de la partie capteur, de traiter celui-ci et de commander la partie actionneur associée. – Une partie actionneur chargée de mettre le procédé dans sa position de sécurité et de la maintenir. La probabilité de défaillance sur demande (PFD) du SIS est déterminée par le calcul et la combinaison des proba- bilités de défaillances de ses composants. Ces probabilités dépendent de paramètres de sureté de fonctionnement des composants tels que les taux de défaillance et de répara- tion ou le facteur qui caractérise les défaillances de cause commune [2]. Fig. 1. Structure générale d’un Système Instrumenté de Sécurité B. Conformité aux normes ANSI/ISA S84.01-1996 et IEC 61508 Les normes ANSI/ISA S84.01-1996 [1] et IEC 61508 [2] établissent les prescriptions relatives à la spécification, la conception, l’installation, l’exploitation et la maintenance du SIS, afin d’avoir toute confiance dans sa capacité à ame- ner et/ou à maintenir le procédé dans un état de sécurité. Les étapes de base requises pour assurer la conformité à ces deux normes de sécurité sont : 1. Etablir une cible de sécurité (risque acceptable) du pro- cédé et évaluer le risque existant. 2. Identifier les fonctions de sécurité requises. 3. Déterminer si la fonction instrumentée de sécurité est requise. 4. Implémenter la fonction instrumentée de sécurité dans un SIS et vérifier que le SIS permet d’atteindre la cible de sécurité exigée au départ. La table I donne la valeur du PFD du SIS en fonction du niveau de SIL exigé et de sa fréquence de sollicitation. SIL Faible demande (PFDavg) Demande élevée (Défaillances/heure) 4 10−5 ≤ PFD ≤ 10−4 10−9 ≤ N ≤ 10−8 3 10−4 ≤ PFD ≤ 10−3 10−8 ≤ N ≤ 10−7 2 10−3 ≤ PFD ≤ 10−2 10−7 ≤ N ≤ 10−6 1 10−2 ≤ PFD ≤ 10−1 10−6 ≤ N ≤ 10−5 TABLE I Niveaux d’intégrité de sécurité selon la norme IEC 61508 C. Méthodes quantitatives pour la détermination des SIL La détermination du SIL d’un SIS peut s’obtenir par différentes méthodes quantitatives [5], [9], [10], [8]. Il s’agit de méthode qui permettent de calculer le PFD des SIS à partir des probabilités de défaillances de leurs composants. Les méthodes les plus répandues sont : – Les équations simplifiées. – Les arbres de défaillances. – Les approches Markoviennes. Dans cet article, nous nous intéressons uniquement aux SIS faiblement sollicités. Par ailleurs, nous utiliserons la méthode des arbres de défaillances pour le calcul du PFD du SIS (probabilité d’occurrence de l’événement sommet de l’arbre) à partir des probabilités de défaillances de ses composants (probabilités d’occurrences des événements élé- mentaires de l’arbre). III. Détermination du SIL par une approche floue/possibiliste Pour déterminer le niveau de SIL des SIS, le rapport technique ISA-TR84.00.02-2002 [5] a récemment recom- mandé l’utilisation de la méthode des arbres de défaillances dans les procédés nécessitant des fonctions de sécurité. L’analyse des arbres de défaillances conventionnelle est ba- sée sur l’approche probabiliste. La probabilité d’occurrence de l’événement sommet (probabilité de défaillance du sys- tème complet) est calculée à partir des probabilités d’oc- currence des événements élémentaires (probabilités de dé- faillances des composants du système). Cette méthode a été largement utilisée dans le passé. Cependant, pour les experts, il est souvent difficile d’obtenir une large quan- tité de données pour déterminer, d’une manière précise, les probabilités de défaillances des composants du système [11]. Ce problème se pose, en particulier, pour les SIS qui sont faiblement sollicités. En effet, ceux-ci présentent des défaillances très rares ne permettant pas d’affecter des va- leurs précises aux paramètres de fiabilité de leurs compo- sants. Il est donc nécessaire de proposer d’autres approches pour analyser les arbres de défaillances. Les premiers travaux d’analyse floue des arbres de dé- faillances appartiennent à Tanaka et al. [12]. Ces travaux sont basés sur la représentation de la probabilité d’occur- rence des événements de base par des nombres flous trapé- zoïdaux pour calculer la probabilité d’occurrence de l’évé- nement sommet. Singer [13] a analysé les arbres de dé- faillances en utilisant des nombres flous du type L-R pour faciliter les opérations arithmétiques. Par la suite, Soman et Misra [14] ont proposé une méthode connue sous le nom de l’identité de résolution et basée sur la méthode des α- coupes pour traiter les arbres de défaillances comportant des événements répétés. A. Nombres flous Soit x une variable continue de fonction d’appartenance µ(x) ∈ [0, 1], et qui satisfait aux conditions suivantes : – µ(x) est continue par morceaux ; – µ(x) est convexe ; – µ(x) est normale (il existe au moins une variable x0 telle que µ(x0) = 1). L’ensemble flou dont la fonction d’appartenance satisfait à ces conditions est appelé nombre flou. Cependant, les opérations arithmétiques utilisées pour ma- nipuler les nombres flous requièrent beaucoup de res- sources. Kaufman et Gupta [15] ont montré que ces ef- forts de calculs sont largement simplifiés par la décompo- sition des fonctions d’appartenance des nombres flous en α−coupes (0 ≤ α ≤ 1). En effet, si on considère un nombre flou A de fonction d’appartenance µA(x) (cf. Fig. 2), on peut obtenir plusieurs intervalles en utilisant la méthode des α−coupes. A (α) L et A (α) R représenteront respectivement les limites droites et gauches de la fonction d’appartenance µA(x) à chaque coupe de niveau α. Fig. 2. Décomposition d’un nombre flou en α-coupes Les opérations arithmétiques appliquées à deux nombres flous A et B donnent les expressions suivantes : C = A + B → [C (α) L , C (α) R ] = [A (α) L + B (α) L , A (α) R + B (α) R ] C = A − B → [C (α) L , C (α) R ] = [A (α) L − B (α) L , A (α) R − B (α) R ] C = A.B → [C (α) L , C (α) R ] = [min(A (α) L .B (α) L , A (α) R .B (α) L , A (α) L .B (α) R , A (α) R . B (α) R ), max(A (α) L .B (α) L , A (α) R .B (α) L , A (α) L .B (α) R , A (α) R .B (α) R )] C = A ÷ B → [C (α) L , C (α) R ] = [A (α) L , A (α) R ] × [ 1 B (α) R , 1 B (α) L ] Dans cet article, seuls les opérateurs + et . sont utilisés. Des compléments d’informations sur l’utilisation des arbres de défaillances flous peuvent être trouvés dans [16], [17], [18], [19]. B. Probabilités floues L’analyse des arbres de défaillances conventionnelle est basée sur l’approche probabiliste. Comme les probabilités d’occurrences des événements élémentaires sont incertaines dans notre étude, nous utiliserons des probabilités floues de défaillances au lieu d’utiliser des valeurs de probabilités sin- gulières. Une probabilité floue est un ensemble flou défini dans l’es- pace de probabilités. Elle représente un nombre flou entre 0 et 1 qui est affecté à la probabilité d’occurrence d’un événement. C. Théorie des possibilités La théorie des possibilités [20] a été développée pour per- mettre de raisonner sur des connaissances imprécises, en introduisant un moyen de prendre en compte les incerti- tudes sur ces connaissances. Elle permet de dire dans quelle mesure la réalisation d’un événement est possible et dans quelle mesure elle est certaine. Une distribution de possibilités π(.) définie sur l’en- semble de référence Ω est une application de Ω dans l’in- tervalle [0,1] : π : Ω → [0, 1]. (1) Une mesure de possibilités Π peut être induite à partir de la distribution de possibilités π(.) par la relation : π(x) = Π({x}), (2) La mesure de possibilités Π attribue à chaque sous- ensemble A de l’ensemble de référence Ω un réel dans [0, 1] évaluant à quel point l’événement A est possible. Une mesure de possibilités Π donne une information sur l’occurrence d’un événement A relatif à l’ensemble de ré- férence Ω, mais elle ne suffit pas pour décrire l’incertitude existante sur cet événement. Pour compléter l’information sur A, une mesure de nécessité N permet d’indiquer le de- gré avec lequel la réalisation de A est certaine. N est la grandeur duale de la mesure de possibilités. Cette mesure attribue à tout A un réel dans [0,1]. La nécessité d’un événe- ment correspond à l’impossibilité de l’événement contraire : ∀A ⊂ Ω N(A) = 1 − Π(A) (3) D. Approche floue/possibiliste Dans cet article, l’analyse des arbres de défaillances est basée sur la théorie des possibilités. Ainsi, nous allons at- tribuer un degré d’incertitude à chaque valeur de la pro- babilité de défaillance d’un composant. La distribution de possibilités de la probabilité de défaillance du SIS est dé- terminée à partir des distributions de possibilités des pro- babilités de défaillances des composants du SIS. Fig. 3. Arbre de défaillances Techniquement, l’incertitude des probabilités de dé- faillance des composants de base est prise en compte en utilisant des probabilités floues de formes triangulaires. Dans l’arbre représenté dans la figure 3, si on suppose que les événements Xi sont indépendants et de probabilités de défaillances très faibles (approximation des événements rares), alors la distribution de possibilités de la probabilité d’occurrence de l’événement sommet est obtenue par : πPT = πPA1 + πPA2 avec : πPA1 = πPX1 .πPX2 ; πPA2 = πPX3 .πPX4 . où πPT est la distribution de possibilité de la probabilité de défaillance du système complet et πPXi la distribution de possibilités de la probabilité de défaillance d’un compo- sant i. E. Facteurs d’importance possibilistes Les facteurs d’importance ont été principalement intro- duits dans les études des arbres de défaillances. Ils in- diquent la contribution des probabilités de défaillances des composants de base à la probabilité de défaillance du sys- tème complet. Birnbaum [21] a défini le facteur d’impor- tance marginal par : Bi(t) = Q(1i, q(t)) − Q(0i, q(t)) (4) où Q(1i, q(t)) est l’indisponibilité du système quand le composant i fonctionne et Q(0i, q(t)) l’indisponibilité du système quand le composant i est défaillant. Dans l’ap- proche floue/possibiliste, les indisponibilités Q(1i, q(t)) et Q(0i, q(t)) ne sont plus des valeurs singulières, mais des nombres flous, d’où le besoin d’une nouvelle définition de ces facteurs d’importance. Pan et Tai [17] ont proposé deux facteurs d’importance ba- sés sur le calcul de la variance des indisponibilités des sys- tèmes et des composants. Les facteurs d’importance flous on été introduit par Furata et Shiraishi [22]. Liang et Wang [23] puis Suresh et al. [16] ont défini des facteurs d’im- portance basés sur les distances euclidiennes entre les en- sembles flous et les nombres flous triangulaires. Dans notre travail, nous nous basons sur la méthode des α-coupes et la théorie des possibilités pour proposer deux nouveaux fac- teurs d’importance. Le premier facteur que nous proposons permet d’identi- fier les composants critiques du système du point de vue de la fiabilité et de la disponibilité. Ainsi, le facteur d’impor- tance possibiliste PIMi d’un composant i est donné par la relation suivante : PIMi = defuz(PIMi) (5) où defuz est la méthode de défuzzification du centroïd (centre de gravité de la distribution de possibilités) utilisée pour obtenir une valeur singulière à partir de la distribution de possibilités de PIMi qui est donnée par : PIMi = πP − πP i (6) où πP est la distribution de possibilités de la probabilité de défaillance du SIS quand le composant i est défaillant et πP i la distribution de possibilités de la probabilité de défaillance du SIS quand le composant i fonctionne. Le second facteur d’importance possibiliste (PUMi) éva- lue la contribution du composant i à l’incertitude du PFD du SIS selon la relation suivante : PUMi = defuz(PUMi) (7) La distribution de possibilité de PUMi est donnée par : PUMi = πP − πPPi=cts (8) où πP est la distribution de possibilités de la probabilité de défaillance du SIS et πPPi=cts la distribution de possibili- tés de la probabilité de défaillance du SIS quand on annule l’incertitude qui entache la probabilité de défaillance du composant i. Dans ce dernier cas, on considère une valeur précise de la probabilité de défaillance du composant i. Ce facteur d’incertitude possibiliste permet d’identifier et classer les composants dont l’incertitude de la probabilité de défaillance contribue significativement à l’incertitude en- tachant la probabilité de défaillance du système complet. IV. Application A. Description du système On considère un système constitué d’un réservoir sous pression contenant un liquide inflammable volatil (cf. Fig. 4). Ce réservoir peut rejeter des gaz dans l’atmosphère. Fig. 4. Réservoir sous pression On suppose que le risque acceptable est défini sous forme d’un taux moyen de rejet de gaz inférieur à 10−4 par an. Une analyse des phénomènes dangereux liés à ce système a montré que les systèmes de protection disponibles (alarmes et niveaux de protection) sont insuffisants pour assurer ce risque acceptable (le non dépassement du seuil imposé pour le rejet des gaz) et qu’une fonction instrumentée de sécu- rité de niveau SIL2 doit être implémentée dans un SIS pour réduire le taux de rejet du réservoir. Notre objectif est de vérifier si le SIS proposé au concepteur est capable de sa- tisfaire à l’exigence SIL2 requise pour réaliser la fonction instrumentée de sécurité de réduction du rejet des gaz. Le SIS utilisé a été défini dans le document technique ISA- TR84.00.02-2002 [5] (cf. Fig. 5). La figure 6 représente l’arbre de défaillances du SIS [5] lors de sa sollicitation pour réaliser la fonction de sécurité demandée. Notre premier objectif est de calculer à par- tir des distributions de possibilités des événements de base de l’arbre de défaillances (chaque événement de base repré- sente la défaillance d’un composant du SIS), la distribution de possibilités de l’événement sommet qui représente la dé- faillance du SIS lors de sa sollicitation. Fig. 5. Configuration du SIS Fig. 6. Arbre de défaillances de l’exemple Composants du SIS ai mi bi X1, X2 : Capteurs de pression 0.01 0.032 0.049 X3 : Unité de traitement 0.005 0.006 0.0061 X4, X5, X6 : Capteurs de flux 0.0126 0.017 0.0211 X7, X8 : Capteurs de tempé- rature 0.0326 0.04 0.0403 X9, X11 : Solénoïdes des vannes 0.01 0.028 0.0311 X10, X12 : Bloc-vannes 0.01 0.028 0.0311 X13, X14 : Capteurs de pres- sion 0.0199 0.0399 0.049 TABLE II Paramètres des distributions de possibilités des probabilités de défaillances des composants B. Approche floue/possibiliste Les distributions de possibilités des probabilités de dé- faillances des composants sont du type triangulaire et ca- ractérisées par 3 paramètres mi, ai et bi (qui sont donnés par les experts), avec ai est la limite à gauche de mi, bi est la limite à droite de mi et mi la valeur modale telle que πP F D(mi) = 1. Dans la table II, nous donnons les valeurs de ces 3 paramètres pour chaque composant du SIS. Les composants du système étudié sont non réparables, indé- pendants et de probabilités de défaillances très faibles. En utilisant les 6 coupes minimales de l’arbre de dé- faillances : {T1, T2, T3, T4, T5, T6}, la distribution de pos- sibilités de la probabilité d’occurrence de l’événement som- met est donnée par : πP F DSIS = πPT1 + πPT2 + πPT3 + πPT4 + πPT5 + πPT6 où πPTi est la distribution de possibilités de la probabilité d’occurrence de la coupe minimale i et πP F DSIS la distri- bution de possibilités de la probabilité de défaillance du SIS complet. Les distributions de possibilités des probabi- lités d’occurrence des coupes minimales sont données par les relations suivantes : πPT1 = πPX1 .πPX2 ; πPT2 = πPX3 ; πPT3 = πPX4 .πPX5 + πPX4 .πPX6 + πPX5 .πPX6 ; πPT4 = πPX7 .πPX8 ; πPT5 = (πPX9 + πPX10 ).(πPX11 + πPX12 ); πPT6 = πPX13 .πPX14 . où πPXi est la distribution de possibilités de la probabi- lité d’occurrence de l’événement i. En utilisant la méthode des α−coupes et les opérations arithmétiques définies précédemment, on détermine la dis- tribution de possibilités de la probabilité d’occurrence de l’événement sommet (distribution de possibilités de la pro- babilité de défaillance du SIS) à partir des distributions de possibilités des probabilités de défaillances des composants. Fig. 7. Distribution de possibilités du PFD du SIS La Figure 7 donne la distribution de possibilités de la probabilité d’occurrence de l’événement sommet. Cette probabilité de défaillance varie de 7.4 ∗ 10−3 jusqu’à 2.21 ∗ 10−2 , ce qui donne pour le SIS étudié un niveau de SIL1 (PFD ∈ [10−2 , 10−1 ]) ou un niveau SIL2 (PFD ∈ [10−3 , 10−2 ]) selon la Table I. On remarque qu’il existe une incertitude concernant le niveau de SIL du SIS (1 ou 2), c’est pourquoi nous proposons d’utiliser des facteurs d’im- portance possibilistes pour essayer de réduire cette incerti- tude. C. Facteur d’importance possibiliste (PIM) Les résultats du calcul des facteurs d’importance possi- bilistes (PIM) des composants du SIS sont donnés dans la table III. Nous notons que le composant le plus important est l’unité de traitement avec un facteur de 0.99. Cela si- gnifie que l’unité de traitement est le composant le plus critique pour la fiabilité et l’indisponibilité du SIS. Pour réduire l’incertitude qui entache le niveau de SIL obtenu, nous supprimons l’incertitude qui entache la probabilité de défaillance de l’unité de traitement en considérant que cette probabilité est précise. La figure 8 représente la distribu- tion de possibilités de la probabilité de défaillance du SIS avant (courbe en trait plein) et après la suppression de l’incertitude de la probabilité de défaillance de l’unité de traitement (courbe tiretée). Nous remarquons que l’incerti- tude qui entache le niveau de SIL n’a pratiquement pas été réduite. Dans la situation matérialisée par notre exemple, le PIM n’est donc pas l’indicateur le plus significatif pour la réduction de l’incertitude sur le niveau de SIL lorsque l’on ajuste la précision de la probabilité de défaillance du composant le plus critique. Toutefois, ce facteur d’impor- tance permet d’évaluer la contribution d’un composant à la probabilité de défaillance du SIS. Il est donc possible de contribuer à la réduction de l’incertitude sur la probabilité de défaillance du SIS en modifiant la valeur modale de la distribution de possibilités du composant le plus critique (courbe en tiretée-pointillée) qui est l’unité de traitement (cf. figure 9). l’inconvénient majeure de cette solution est l’obligation du changement des composants utilisés. Le fac- teur d’importance possibiliste (PUM) peut alors nous aider dans la réduction de l’incertitude. Fig. 8. Distributions de possibilités du PFD du SIS en fonction de la réduction de l’incertitude Fig. 9. Distributions de possibilités du PFD du SIS en fonction du choix des composants Composants du SIS PIM Rang Capteur de pression 0.035 7 Unité de traitement 0.992 1 Capteur de flux 0.038 6 Capteur de température 0.042 3 Solénoïde des vannes 0.042 3 Bloc-vannes 0.042 3 Capteur de niveau 0.082 2 TABLE III Facteur d’importance possibiliste (PIM) D. Facteur d’incertitude possibiliste (PUM) La table IV donne les résultats du calcul des facteurs d’incertitude possibilistes (PUM) des composants du SIS. Nous notons que le classement des composants du SIS n’est plus le même. Le composant le plus important est le cap- teur de température avec un facteur de 0.045. Pour réduire l’incertitude qui entache le niveau de SIL, nous proposons de supprimer l’incertitude qui entache la probabilité de dé- faillance du capteur de température. Sur la figure 8, la dis- tribution de possibilités de la probabilité de défaillance du SIS après la suppression de l’incertitude sur la probabilité de défaillance du capteur de température est indiquée en pointillés. Nous remarquons que l’incertitude qui entache le niveau de SIL a été pratiquement éliminée. Ainsi, nous sommes presque sûr que le niveau de SIL du SIS est 1. Dans notre cas, nous concluons que pour réduire l’incertitude du niveau de SIL sans changer de composants, le facteur d’in- certitude possibiliste est l’indicateur le plus pertinent. Composants du SIS PUM Rang Capteur de pression 0.038 5 Unité de traitement 0.039 2 Capteur de flux 0.006 7 Capteur de temperature 0.045 1 Solénoide des vannes 0.039 2 Bloc-vannes 0.039 2 Capteur de niveau 0.039 2 TABLE IV Facteur d’incertitude possibiliste (PUM) V. Conclusion Dans cet article, nous avons proposé une approche floue/possibiliste basée sur l’utilisation de distributions de possibilités pour représenter l’incertitude des probabilités de défaillances des composants des SIS et la méthode des α- coupes, afin de déterminer le niveau de SIL des SIS. Ainsi, nous avons obtenu une distribution de possibilités de la probabilité de défaillance sur demande du SIS, qui a mis en évidence l’existence d’incertitudes concernant le niveau de SIL de ce SIS. Par ailleurs, l’introduction de nouveaux facteurs d’impor- tance possibilistes et en particulier le facteur d’incertitude possibiliste a permis d’identifier les composants dont l’in- certitude de la probabilité de défaillance contribue signifi- cativement à l’incertitude entachant la probabilité de dé- faillance du SIS, et donc de son niveau de SIL. Ces deux facteurs sont d’un grand intérêt pour aider le fiabiliste à ré- duire efficacement l’incertitude sur la détermination du SIL d’un SIS. Le facteur PIM permet d’évaluer l’importance de la contribution de chaque composant sur le niveau de SIL du système. Il permet au fiabiliste de rechercher l’amélio- ration du niveau de SIL et de son incertitude par la modifi- cation de la valeur modale de la distribution de possibilités de la probabilité de défaillance du composant le plus cri- tique. Le facteur PUM apporte un second point de vue sur la contribution des composants à l’incertitude sur la pro- babilité de défaillance du SIS. Ce nouveau facteur guide le fiabiliste dans la réduction de l’incertitude sur la pro- babilité de défaillance par la réduction de l’incertitude sur la probabilité de défaillance des composants. Par les deux facteurs proposés dans cet article, nous avons apporté une aide à la décision aux fiabilistes, pour réduire d’une manière efficace les incertitudes dans la détermination des SIL. Les perspectives de ce travail consisteront à intégrer dans la méthode d’aide à la décision que nous avons proposé, l’aspect de la maintenance et du coût des composants des SIS, ainsi qu’une comparaison des résultats obtenus avec ceux d’une approche probabiliste classique. Références [1] ANSI/ISA-S84.01-1996. Application of Safety Instrumented Sys- tems for the process control industry. Instrumentation Society of America (ISA), 1996. [2] IEC61508. Functional safety of Electri- cal/Electronic/Programmable Electronic (E/E/PE) safety related systems. International Electrotechnical Commission (IEC), 1998. [3] M. Sallak, J-F. Aubry, and C. Simon. Evaluating safety integrity level in presence of uncertainty. In Journal of KonBin, volume 1, pages 411–419, Krakow, Poland, 2006. International Conference on Safety and Reliability. [4] IEC61511. Functional safety : Safety Instrumented Systems for the process industry sector. International Electrotechnical Com- mission (IEC), 2000. [5] ISA-TR84.00.02-2002. Safety Instrumented Fonctions (SIF), Safety Integrity Level (SIL), Evaluation Techniques. Instrumen- tation Society of America (ISA), 2002. [6] A. E. Summers. Viewpoint on ISA TR84.0.02 : simplified me- thods and fault tree analysis. ISA Transactions, 39 :125–131, 2002. [7] L. Beckman. Expanding the applicability of ISA TR84.02 in the field. ISA Transactions, 39 :357–361, 2000. [8] P. Stavrianidis and K. Bhimavarapu. Safety Instrumented Func- tions and Safety Integrity Levels (SIL). ISA Transactions, 37 :337–351, 1998. [9] C. Simon, M. Sallak, and J-F. Aubry. Allocation de sil par agrégation d’avis d’experts. Lille, France, 2006. 15ème Colloque National de Maîtrise des Risques et Sûreté de Fonctionnement, Lambda-mu 15. [10] K. Bhimavarapu, L. Moore, and P. Stavrianidis. Performance based safety standards : an integrated risk assessment program. ISA TECH, 1, 1997. [11] M. Sallak, J-F. Aubry, and C. Simon. Impact de l’imprécision des taux de défaillances dans les arbres de défaillances et facteurs d’importance flous. Lyon, France, 2005. Journées Doctorales Modélisation, Analyse et Conduite des Systèmes dynamiques, JDMACS 2005. [12] H. Tanaka, L. T. Fan, F. S. Lai, and K. Toguchi. Fault tree analysis by fuzzy probability. IEEE Transactions on Reliability, 32 :453–457, 1983. [13] D. Singer. A fuzzy set approach to fault tree and reliability analysis. Fuzzy Sets and Systems, 34 :145–155, 1990. [14] K.P. Soman and K.B. Misra. Fuzzy fault tree analysis using resolution identity. 1, page 193, 1993. [15] A. Kaufman and M. M. Gupta. Introduction to Fuzzy Arithmetic Theory and Application. Van Nostrand Reinhold Company, New York, 1991. [16] P.V. Suresh, A.K. Babar, and V. Venkat Raj. Uncertainty in fault tree analysis : a fuzzy approach. Fuzzy Sets and Systems, 83 :205–213, 1996. [17] Z. J. Pan and Y. C. Tai. Variance importance of system com- ponents by Monte Carlo. IEEE Transactions on Reliability, 37 :521–523, 1988. [18] Hong Zhong Huang, Xin Tong, and Ming J. Zuo. Posbist fault tree analysis of coherent systems. Reliability Engineering and System Safety, 84 :141–148, 2004. [19] J. Feng and M.D. Wu. The profust fault tree and its analysis. Journal of National University of Defense Technology, 23 :85– 88, 2001. [20] D. Dubois and H. Prade. Possibility theory. an approach to computerized processing of uncertainty. Plenum Press, 1988. [21] Z. W. Birnbaum. On the importance of different components in a multicomponent system. In Multivariate Analysis II. P. R. Krishnaiah, Ed, N. Y :Academic, 1969. [22] H. Furuta and N. Shiraishi. Fuzzy importance in fault tree ana- lysis. Fuzzy Sets and Systems, 12 :205–213, 1984. [23] G.S. Liang and M.J.J. Wang. Fuzzy fault tree analysis using failure possibility. Microelectronics and Reliability, 33 :583–597, 1993.