Ingénierie de la Sûreté de Fonctionnement

Questions and Answers

Quelle est la principale fonction de la sûreté de fonctionnement dans la conception d'un système?

• L'amélioration des performances esthétiques du système.
• La réduction des coûts de production du système.
• La vérification ou la justification de la conception par rapport aux objectifs de sécurité et de fiabilité. (correct)
• L'augmentation de la vitesse de développement du système.

Parmi les éléments suivants, lequel n'est PAS une composante essentielle de la sûreté de fonctionnement?

• La Sécurité.
• L'Esthétique. (correct)
• La Disponibilité.
• La Fiabilité.

Quel est l'objectif principal de la sûreté de fonctionnement concernant le cycle de vie d'un système?

• Assurer et optimiser le bon fonctionnement du système tout au long de son cycle de vie avec des coûts de maintenance optimaux. (correct)
• Maximiser la complexité du système pour innover.
• Minimiser les coûts initiaux de développement du système.
• Accélérer le processus de mise sur le marché du système.

Dans le contexte de la sûreté de fonctionnement, que représente le terme 'mission' d'un système?

Le but ou l'objectif pour lequel le système a été conçu. (B)

Quels sont les deux éléments principaux qui définissent les performances d'un système selon la sûreté de fonctionnement?

Les missions et les impacts/risques. (C)

Dans le domaine du transport aérien civil, quels objectifs sont directement liés à la crédibilité du transport et du constructeur?

Les objectifs d'opérabilité / disponibilité. (B)

Qui sont les acteurs décisionnels qui fixent les objectifs de sécurité dans le domaine de l'aviation?

Les Autorités de Certification (FAA / EASA). (D)

Quel est le rôle principal d'un expert en sûreté de fonctionnement auprès de la Direction de Projet?

Le support à la définition des objectifs, à leur allocation, réalisation et gestion des analyses globales. (B)

Quelle compétence est particulièrement importante pour un analyste en sûreté de fonctionnement travaillant dans un bureau d'études?

La sûreté de fonctionnement (méthodes et outils) et les technologies utilisées dans le domaine. (B)

Laquelle des affirmations suivantes est une limite ou une difficulté potentielle dans le domaine de la sûreté de fonctionnement?

La question de l’exhaustivité des analyses. (D)

Comment un professionnel de la sûreté de fonctionnement doit-il gérer la question de l'exhaustivité des analyses de risques?

En définissant explicitement le cadre des travaux et les familles de risques exclues. (C)

Quelle est une conséquence potentielle de la généralisation des indicateurs de performance dans un contexte de sûreté de fonctionnement?

Une non-information des responsables sur des problèmes. (B)

Quel est le principal danger lié à l'utilisation de probabilités et de statistiques dans les analyses de sûreté de fonctionnement?

L'utilisation illégitime de chiffres et les modélisations erronées. (A)

Comment les cultures de « métiers » peuvent-elles impacter négativement la sûreté de fonctionnement?

En rendant difficile toute activité transverse. (C)

Pourquoi la sûreté de fonctionnement est-elle parfois peu valorisée?

Parce que les notions de « risque » et « sécurité » sont considérées comme familières et simples. (A)

Comment l'évolution des technologies peut-elle impacter la sûreté de fonctionnement?

En commercialisant des technologies pas toujours matures (faible retour d’expérience). (A)

Quel est un risque associé au recours massif à la sous-traitance en matière de sûreté de fonctionnement?

Une perte de visibilité sur les fournisseurs ou sous-traitants de niveau supérieur à 2. (C)

Qu'est-ce que le syndrome de « l’armoire aux AMDEC » ?

Une situation où les analyses AMDEC sont réalisées mais rarement relues ou mises à jour. (B)

Pourquoi est-il difficile d'évaluer le retour sur investissement de la sûreté de fonctionnement?

Du fait de la nature même des bénéfices qu’elle peut apporter. (B)

Quel est l'intérêt principal de tracer les décisions prises en matière de sûreté de fonctionnement?

Permettre le suivi des évolutions, les modifications, le retour d’expérience. (C)

Parmi les propositions suivantes, laquelle représente une compétence clé pour gérer les difficultés culturelles propres au métier de la sûreté de fonctionnement?

La démonstration permanente d’un professionnalisme, d’un niveau de compréhension et d’exigence, et d’un pragmatisme reconnus par les spécialistes du domaine analysé. (D)

Comment la sûreté de fonctionnement contribue-t-elle à la gestion des risques en général?

En apportant des ÉLÉMENTS OBJECTIFS ET JUSTIFIÉS à la prise de décision en matière de gestion des risques. (A)

Si on vous dit que le respect des exigences de rentabilité et d'urgence ne sont «très rarement des attitudes irresponsables des managers », qu'est-ce que cela signifie VRAIMENT dans le contexte de la sûreté de fonctionnement ?

Il existe souvent des pressions systémiques qui conduisent à des décisions qui semblent prioriser le profit à court terme par rapport à la sécurité à long terme. (A)

Lequel des énoncés suivants traduit le mieux la tension entre la « culture verte » (green culture) et la sûreté de fonctionnement ?

Les indicateurs de performance peuvent conduire à masquer des problèmes potentiels pour respecter des délais difficiles à tenir, allant potentiellement à l'encontre des pratiques de sûreté de fonctionnement. (B)

Que signifie l'affirmation "Les objectifs de sûreté de fonctionnement (et les analyses) ne sont pas nécessairement probabilistes"?

Les analyses qualitatives et les mesures préventives peuvent également être cruciales, même si les données statistiques sont limitées ou non disponibles. (B)

Que signifie « modes communs » dans le contexte des limites des modèles, des méthodes et des analystes ?

Des défaillances ou des vulnérabilités qui affectent plusieurs fonctions ou composants en même temps, compromettant les systèmes de sauvegarde. (A)

Que signifie l'expression « TEL QUE CONÇU, TEL QUE RÉALISÉ, TEL QU'UTILISÉ » dans le contexte des limites des modèles, des méthodes et des analystes ?

L'analyse de la sûreté de fonctionnement doit tenir compte des écarts potentiels entre la façon dont un système est conçu, construit et utilisé, car ces écarts peuvent révéler des vulnérabilités. (C)

Dans le texte, on mentionne que « des systèmes qui ont fait l’objet d’analyses de risques approfondies (spatial, nucléaire, chimie, armement…) ont malgré cela connu des accidents… ». Quelle est la principale conclusion à tirer de cette affirmation ?

Les analyses de risques, même approfondies, ne peuvent garantir à elles seules l'absence d'accidents, car il subsiste toujours un risque résiduel. (A)

Comment la sûreté de fonctionnement permet-elle de gérer les difficultés culturelles propres à ce métier, peu connu et transverse aux « cultures de spécialité »?

En démontrant en permanence un professionnalisme, un niveau de compréhension et d'exigence, et un pragmatisme reconnus par les spécialistes du domaine analysé. (C)

Laquelle des options suivantes représente une compréhension correcte du rôle de la sûreté de fonctionnement dans la gestion des risques?

La sûreté de fonctionnement apporte des ÉLÉMENTS OBJECTIFS ET JUSTIFIÉS à la prise de décision en matière de gestion des risques. (A)

Dans le contexte des limites des modèles, des méthodes et des analystes, qu'est-ce qu'une condition insidieuse (« sneak »)?

Une condition difficile à identifier qui peut mener à une défaillance ou à un risque. (D)

Dans le contexte de la sûreté de fonctionnement, que signifie l'expression « risque acceptable »?

Le niveau de risque qu'une organisation est prête à tolérer, compte tenu de ses objectifs opérationnels et de ses contraintes. (D)

Pourquoi est-il important d'adapter les méthodes de sûreté de fonctionnement à chaque problématique?

Parce que chaque système et chaque situation présentent des défis et des exigences uniques. (C)

Lequel des énoncés suivants est un exemple de mesure qui peut aider à contrer le problème des cultures de «metiers» et à améliorer la sûreté de fonctionnement?

La rotation du personnel entre différents départements. (B)

Lequel des énoncés suivants décrit le mieux l'une des responsabilités principales des autorités de certification (comme la FAA/EASA) en matière de sûreté de fonctionnement dans l'aviation?

La définition des critères de qualification pour les risques particuliers et l'approbation des démonstrations de conformité. (A)

Pourquoi faut-il faire de la veille technologique en sûreté de fonctionnement ?

Pour analyser les risques liés à l'évolution des technologies. (A)

Comment la sûreté de fonctionnement contribue-t-elle à la gestion des situations d'urgence?

En documentant les «modèles de risques» afin de permettre un pilotage rapide et efficace des situations d'urgence. (B)

Flashcards

Qu'est-ce que la sûreté de fonctionnement ?

La sûreté de fonctionnement est une performance d'un système représentant sa fiabilité, disponibilité, maintenabilité et sécurité.

Sûreté de fonctionnement et logiciels

La sûreté de fonctionnement implique de maîtriser les méthodes de test pour assurer la sûreté des logiciels.

Définition des performances d'un système

Les performances d'un système sont définies en fonction de ses missions et des impacts/risques qu'il peut générer.

Fonction de la sûreté de fonctionnement

La sûreté de fonctionnement intervient souvent comme une fonction de vérification.

Objectifs du transport aérien

Les objectifs d'opérabilité/disponibilité conditionnent la crédibilité du transport aérien.

Maintenabilité et compétitivité

Les objectifs de maintenabilité sont un élément de compétitivité.

Réglementation de la sécurité aérienne

Les objectifs de sécurité sont réglementés par les Autorités de Sécurité Aérienne (FAA, EASA).

Risques spécifiques et qualification

Les risques particuliers (feu, collisions oiseaux, foudre) requièrent des critères de qualification.

Certificat de Navigabilité

Les démonstrations doivent être approuvées par les Autorités pour obtenir le Certificat de Navigabilité de Type.

Rôle de l'expert en sûreté de fonctionnement

L'expert en sûreté de fonctionnement supporte la définition des objectifs et la gestion des analyses globales.

Rôle de l'analyste en sûreté de fonctionnement

L'analyste en sûreté de fonctionnement réalise les analyses et en exploite les résultats.

Bases de la sûreté de fonctionnement

La sûreté de fonctionnement s'appuie sur des méthodologies et des démarches rationnelles.

Responsabilité du professionnel

Un professionnel doit définir explicitement le cadre de ses travaux, et les familles de risques exclues.

Intégration organisationnelle

L'intégration de la sûreté de fonctionnement dans les organisations, et un fort soutien du management peut éviter des écueils.

Nature des objectifs de sûreté

Les objectifs de sûreté de fonctionnement (et les analyses) ne sont pas nécessairement probabilistes.

Défis des cultures de métiers

Les cultures de métiers rendent difficile toute activité transverse, qui apparaît comme une instance de contrôle.

Valorisation du métier

Seule la formalisation du métier permettra sa valorisation.

Défis de l'intégration électronique

L'intégration électronique rend difficiles les redondances fonctionnelles.

Enjeux de l'allocation des objectifs

La répartition (allocation) des objectifs de manière cohérente, et l’intégration des analyses deviennent des enjeux importants.

Difficulté d'évaluation du ROI

Il est extrêmement difficile d’évaluer le retour sur investissement de la sûreté de fonctionnement, du fait de la nature même des bénéfices qu’elle peut apporter…

Exprimer les attentes

Exprimer par des OBJECTIFS les attentes en matière de « performance Sûreté de Fonctionnement », qui complètent les objectifs opérationnels, et définissent le « RISQUE ACCEPTABLE ».

Analyser les risques

Analyser les risques dès la conception générale, et non a posteriori.

Tracer les décisions

Tracer les décisions prises.

Documenter les modèles de risques

Documenter les modèles de risques afin de permettre le suivi des évolutions, les modifications, le retour d’expérience (« faits techniques »), le pilotage de situations d’urgence.

Apporter des éléments objectifs

Apporter des ÉLÉMENTS OBJECTIFS ET JUSTIFIÉS à la prise de décision en matière de gestion des risques.

Démonstration permanente

Seule la démonstration permanente d’un professionnalisme, d’un niveau de compréhension et d’exigence, et d’un pragmatisme reconnus permet de gérer les difficultés culturelles, techniques et de fournir des éléments permettant la prise de décision.

Study Notes

Objectifs du cours

• Fournir les concepts fondamentaux et les outils nécessaires à l'ingénierie de la sûreté de fonctionnement pour les concepteurs et opérateurs de systèmes.
• Maîtriser les méthodes de test pour assurer la sûreté de fonctionnement des logiciels.
• Évaluer, optimiser et garantir le bon fonctionnement du système tout au long de son cycle de vie avec un coût de maintenance optimal.

Plan du cours

• Principaux concepts
• Sûreté de fonctionnement des systèmes d'information
• Méthodes formelles de validation et outils
• Évaluation

Qu'est-ce que la sûreté de fonctionnement ?

• La sûreté de fonctionnement est multidimensionnelle : performance, discipline technique et composante du management de projet.
• Les performances d'un système sont définies en fonction de ses missions et des impacts/risques potentiels.
• La sûreté de fonctionnement regroupe des méthodes et des outils, mais sa formalisation en tant que discipline reste en développement.
• La fonction de vérification reste la plus visible dans la sûreté de fonctionnement, même lorsqu'elle intervient dès la conception.

Construire la sûreté de fonctionnement

• Exemple dans le transport aérien civil : transporter des passagers de manière sûre et rentable.
• Cela implique des objectifs d'opérabilité/disponibilité, de maintenabilité et de sécurité.
• Le respect de ces objectifs nécessite une conception qui intègre ces objectifs et leurs antagonismes, une allocation d'objectifs par sous-systèmes/fonctions, et des objectifs de fiabilité par équipements.

Exemple d'objectifs de sécurité avion

• Au niveau décisionnel (Autorités de Certification), les objectifs sont définis par condition de panne (pour 1 heure de vol).
• Cela concerne les structures, les logiciels, et les risques particuliers.
• Les démonstrations doivent être approuvées pour obtenir le Certificat de Navigabilité de Type.

Métiers de la sûreté de fonctionnement

• Rôle d'expertise auprès de la Direction de Projet ou du Responsable des Opérations.
• Support à la définition, allocation, réalisation et gestion des analyses, vérification des analyses détaillées, intégration des résultats, rôle d'alerte, traitement du retour d'expérience.
• Nécessite des compétences en sûreté de fonctionnement, analyse systémique, et expérience du domaine.
• Rôle d'analyse (Bureau d'études) : réalisation d'analyses, exploitation des analyses fournies, analyse des modifications.
• Compétences requises : sûreté de fonctionnement (méthodes et outils), technologies utilisées dans le domaine.

Limites et difficultés

• L'exhaustivité des analyses
• Le problème des probabilités
• Les exigences de rentabilité / d'urgence
• Les cultures de métiers
• La faible valorisation de l'activité
• L'évolution des technologies
• La relation avec les fournisseurs
• Le doute sur la crédibilité des résultats

L’exhaustivité des analyses

• La sûreté de fonctionnement n'est pas un travail d'imagination, mais s'appuie sur des méthodologies rationnelles.
• Un professionnel doit définir explicitement le cadre de ses travaux et les familles de risques exclues.
• Il doit mettre en place une méthodologie assurant la couverture des familles de risques retenues et des fonctions analysées.
• La véritable limitation est la connaissance humaine des phénomènes.

Les exigences de rentabilité / d’urgence

• La généralisation des indicateurs de performance tend à induire une "green culture" (non-information des responsables, communication de résultats partiels).
• L'intégration de la sûreté de fonctionnement dans les organisations et le soutien du management peuvent éviter cet écueil.
• Les travaux prévisionnels de sûreté de fonctionnement peuvent être utiles dans des situations accidentelles.

Le problème des probabilités

• Le danger n'est pas le manque de données, mais l'utilisation illégitime de chiffres (sources indéterminées, extrapolations abusives) et les modélisations de défaillances erronées.
• Un retour d'expérience interne peut fournir des informations pertinentes sur la fiabilité des composants.
• Les objectifs de sûreté de fonctionnement (et les analyses) ne sont pas nécessairement probabilistes.

Les cultures de « métiers »

• Elles rendent difficile toute activité transverse, perçue comme une instance de contrôle.
• L'expertise en sûreté de fonctionnement est importante au niveau des responsables de projet, qui agissent comme architectes-intégrateurs.
• Il est nécessaire de démontrer des capacités de spécialistes (crédibilité technique).

La faible valorisation de l’activité

• Les méthodes de sûreté de fonctionnement sont peu connues et peu enseignées.
• Les notions de risque et sécurité paraissent familières, mais nécessitent des études approfondies.
• Une image négative a été donnée par des consultants en Risk management à l’anglo-saxonne
• Le métier reste à formaliser.

L’évolution des technologies

• La commercialisation de technologies pas toujours matures, l'intégration électronique, les logiciels "temps réel" non démontrables à 100%, les nouveaux marchés des composants "grand public", et le changement de solvants posent des défis.
• Cela requiert des compétences d'ingénieur généraliste et une veille technologique.

Donneurs d’ordres et fournisseurs

• Le recours massif à la sous-traitance et les aspects juridiques peuvent compliquer le management technique.
• L'évolution des organisations Qualité se concentre sur la certification plutôt que sur le contrôle des fournitures.
• La répartition des objectifs et l'intégration des analyses deviennent des enjeux importants.

Limites des modèles, méthodes, analystes

• Le danger des "modes communs".
• La difficulté d'analyse de processus séquentiels et d'identification des conditions insidieuses ("sneak").
• Le syndrome de "l'armoire aux AMDEC".
• Les pièges des analyses automatisées.
• Les écarts entre l'analyse, et la "vraie vie.
• Adapter les méthodes à chaque problématique.

Le doute vis-à-vis des résultats

• Il est difficile d'évaluer le retour sur investissement de la sûreté de fonctionnement.
• Des systèmes ayant fait l'objet d'analyses de risques approfondies ont connu des accidents.
• La mise en évidence de points faibles et de gains en termes de performances globales justifie son intérêt.

Intérêts de la sûreté de fonctionnement

• Exprimer les attentes en matière de "performance Sûreté de Fonctionnement" par des objectifs, qui complètent les objectifs opérationnels et définissent le "RISQUE ACCEPTABLE".
• Analyser les risques dès la conception générale.
• Tracer les décisions prises.
• Documenter les "modèles de risques" pour permettre le suivi des évolutions, le retour d'expérience et le pilotage de situations d'urgence.
• Apporter des ÉLÉMENTS OBJECTIFS ET JUSTIFIÉS à la prise de décision en matière de gestion des risques.

Intérêts de la sûreté de fonctionnement (suite)

• La démonstration permanente d'un professionnalisme, d'un niveau de compréhension, d'exigence et d'un pragmatisme est essentielle.
• Cela permet de gérer les difficultés culturelles, de maîtriser les difficultés techniques et de fournir aux responsables des risques les éléments nécessaires pour assumer cette responsabilité avec confiance et réalisme.