Comment conserver un niveau de risques acceptable dans un contexte de conception / industrialisation de plus en plus rapide d'un produit de plus en plus complexe ?

Ozouf, Vincent

07 December 2009

Dans le système économique actuel, innover en mettant sur le marché, toujours plus rapidement, des systèmes de plus en plus complexes est une nécessité absolue pour bon nombre d'entreprises. Mais comment conserver un niveau de maîtrise de risque acceptable dans un tel contexte ? L'AMDEC, déployée sur l'ensemble des composants ou fonctionnalités du système, par son coté chronophage, ne peut à elle seule, constituer une réponse convenable. Aussi, après une première partie consacrée au descriptif des méthodologies d'analyse de risques classiquement déployées en conception, puis à celles classiquement utilisées en phase industrialisation, nos travaux se sont portés à deux niveaux : - L'amélioration des outils classiques, soit au niveau de leur enchainement, au niveau de leur mise en œuvre comme pour l'AMDEC menée de telle sorte qu'elle soit plus efficiente, ou au niveau de leur finalité comme pour l'APR utilisée pour le paramétrage des outils d'analyse à déployer dans un second temps. - La proposition de nouvelles méthodologies comme la matrice d'impact globale, outil permettant de synthétiser QFD, AMDEC Processus et Plan de Surveillance en un seul et même document, ou comme le traitement des défaillances sécuritaires par un arbre de défaillance jumelé avec une approche SIL issue de la norme CEI 61508.

[SPI] Engineering Sciences

Analyse de risque

AMDEC

Analyse Préliminaire de Risque

Arbre de Défaillance

Analyse Fonctionnelle

Plan de Validation

Plan de Surveillance

MAÎTRISE DE LA SÉCURITÉ DES SYSTÈMES DE LA ROBOTIQUE DE SERVICE - APPROCHE UML BASÉE SUR UNE ANALYSE DU RISQUE SYSTÈME

Guiochet, Jérémie

07 July 2003

Les systèmes de la robotique de service, tels que les robots médicaux, permettent de réaliser des tâches complexes en milieu humain, et s'intègrent à ce titre dans les systèmes à sécurité critique. Lors de la conception de ces nouvelles applications, la sécurité est souvent traitée grâce à des techniques de sûreté de fonctionnement. Nous proposons cependant une nouvelle approche plus globale, basée sur la notion de risque. L'objectif de cette thèse est de proposer une démarche aux concepteurs pour appréhender la sécurité de tels systèmes, en intégrant le concept de risque et en se plaçant à un niveau système. La maîtrise de la sécurité dépend alors de l'activité de gestion du risque dont le coeur est l'analyse du risque. Cette activité centrale se décompose en trois étapes : la description du système et de son utilisation, l'identification des dangers, et l'estimation des risques de dommages induits par l'utilisation du système. Nous proposons d'utiliser la notation UML (Unified Modeling Language) pour la description du système. Les modèles UML sont alors couplés avec des activités du domaine des facteurs humains, incluses dans l'analyse du risque proposée. Puis, pour les deux étapes suivantes, les interactions entre cette notation et des techniques d'analyse du risque comme l'AMDEC (Analyse des Modes de Défaillance, et de leurs Effets Critiques) et les arbres de fautes sont étudiées. Cette démarche est ensuite appliquée sur le cas concret du développement d'un robot télé-échographe actionné par des muscles artificiels de McKibben.

[INFO:INFO_OH] Computer Science/Other

Sécurité des robots

analyse du risque

UML

robot médical

muscle artificiel

Modélisation toxicocinétique d’un mélange de composés organiques volatils dans l’eau potable

Kaveh, Nazanin

04 1900

L'évaluation des risques de l'exposition aux mélanges de produits chimiques par voies multiples peut être améliorée par une compréhension de la variation de la dose interne due à l’interaction entre les produits. Les modèles pharmacocinétiques à base physiologique (PBPK) sont des outils éprouvés pour prédire l'ampleur de ces variations dans différents scénarios. Dans cette étude, quatre composés organiques volatils (COV) (toluène, nhexane, cyclohexane et isooctane) ont été choisis pour représenter des produits pétroliers (essence) pouvant contaminer l'eau potable. Premièrement, les modèles PBPK ont simulé l'exposition à un seul COV par une voie (inhalation ou gavage). Ensuite, ces modèles ont été interconnectés pour simuler l'exposition à un mélange par voies multiples. Les modèles ont été validés avec des données in vivo chez des rats Sprague-Dawley (n=5) exposés par inhalation (50 ppm ; toluène, hexane, et 300 ppm ; cyclohexane, isooctane; 2-h) ou par gavage (8,3; 5,5; 27,9 et 41,27 mg/kg pour le toluène, l’hexane, le cyclohexane et l’isooctane, respectivement). Des doses similaires ont été utilisées pour l'exposition au mélange par voies multiples. Les AUC (mg/L x min) pour le toluène, l'hexane, le cyclohexane et l'isooctane étaient respectivement de 157,25; 18,77; 159,58 et 176,54 pour les données expérimentales, et 121,73; 21,91; 19,55 et 170,54 pour les modèles PBPK. Les résultats des modèles PBPK et les données in vivo (simple COV par voies multiples vs. mélange par voies multiples) ont montré des interactions entre les COVs dans le cas de l'exposition au mélange par voies multiples. Cette étude démontre l'efficacité des modèles PBPK pour simuler l'exposition aux mélanges de COV par voies multiples. / Risk assessment focusing on exposure to mixtures by multiple routes can be improved with an understanding of the changes in internal doses due to interaction among chemicals. Physiologically based pharmacokinetic (PBPK) models are proven tools to predict the magnitude of interaction in various scenarios. In this study, four volatile organic compounds (VOCs) (toluene, nhexane, cyclohexane and isooctane) were chosen to represent petroleum products that could contaminate the drinking water (e.g. gasoline). PBPK models were used first to simulate exposure to a single chemical by a single route (inhalation, gavage) and simulate exposure to a mixture by multiple routes. PBPK models were validated by comparing simulations with in vivo data. These data were collected from groups of male Sprague-Dawley rats (n=5) exposed by inhalation (50 ppm of toluene, hexane; 300 ppm of cyclohexane and isooctane; 2-hr) or gavage (8.3, 5.5, 27.9, and 41.27 mg/kg, respectively, for toluene, hexane, cyclohexane and isooctane). For exposure to the mixture by multiple routes, same doses were used. The AUCs (mg/L x min) based on experimental data were 157.25, 18.77, 159.58 and 176.54 and the AUCs of the PBPKs model were 121.73, 21.91, 19.55 and 170.54, respectively, for toluene, hexane, cyclohexane and isooctane. Results from both PBPK models and in vivo data (single VOC, multiple routes vs. mixture, multiple routes) showed interactions between VOCs in the case of exposure to the mixture by multiple routes. This study demonstrated that the PBPK model is an effective tool to simulate exposure to mixtures of VOCs by multiple routes.

Analyse de risque

Mélange

Voies multiples

PBPK

Risk assessment

Mixture

Multiple routes

Analyse et justification de la sécurité de systèmes robotiques en interaction physique avec l’humain / Safety analysis and justification of human-robot interactions

Do Hoang, Quynh Anh

17 March 2015

Les systèmes s’adaptant à leur environnement et en interaction physique avec l’homme se développent de plus en plus dans des domaines comme le médical, l’assistance aux personnes ou le travail en usine. Ils diffèrent des systèmes classiques par leur capacité à s’adapter à l’environnement et à prendre des décisions en tenant compte de leur perception de l’environnement et notamment de l’homme. La défaillance de tels systèmes pouvant avoir des conséquences catastrophiques sur l’homme, l’analyse et la démonstration du niveau de confiance que l’ont peut leur accorder vis-à-vis de la sécurité-innocuité, et a fortiori leur certification, constituent aujourd’hui un vrai défi. La construction d’argumentaire de sécurité (ou dossier de sécurité, ou safety case), est un des moyens permettant de préparer la certification de tels systèmes. Il s’agit principalement de justifier pour chaque danger comment il a été traité et ramené à un niveau acceptable. Malheureusement, dans le cas des systèmes robotiques, de nombreuses incertitudes subsistent, et il n’existe pas à l’heure actuelle de méthode systématique permettant la construction de tels dossiers de sécurité et la démonstration du niveau de confiance sous-jacent. L’objectif des travaux est de contribuer à la définition d’une telle méthode en partant d’une technique d’analyse du risque dédiée à l’analyse des interactions humain-robot, puis en s’appuyant sur des modèles formalisés de construire l’argumentaire de sécurité et d’évaluer automatiquement le niveau de confiance dans cet argumentaire. / Robotic systems that continuously adapt to their environment and physically interact with human are increasingly used in various fields like personal assistance or factory work. They are characterised by their ability to adapt to the environment, to take decision in the light of their perception of the environment and particularly of the human. As the failure of such systems may lead to catastrophic consequences, analysis and justification of the level of confidence in these systems with regards to safety, and furthermore their certification is a real challenge. The construction of a Safety Case is one of the means that can be used to support the certification of such systems. It is aimed at describing and justifying how every hazard has been mitigated and its severity maintained as low as reasonably possible. However, for robotic systems that have to deal with many uncertainties, there is a lack of a systematic approach to support the construction of their Safety Case and the assessment of its underlying confidence. Our research aims at contributing to the development of such a systematic approach starting with a risk analysis focusing on human-robot interactions, followed by Safety Case construction from formalized models and finally an automatic assessment of the confidence in safety argumentation. As a case study, the safety of a rehabilitation robot for strolling is analysed and justified based on the approaches developed in this thesis.

Sécurité des robots

Analyse du risque

Uml

Argumentaire de sécurité

Confiance

Robotique de service

Robot safety

Risk analysis

Safety case

Confidence

Rehabilitation robot

Pour une meilleure approche du management des risques : de la modélisation ontologique du processus accidentel au système interactif d'aide à la décision / Towards a better approach of risk mangement : from the ontological modelling of the accidental process to the interactive decision-making system

Mazouni, Mohamed Habib

13 November 2008

Le management des risques a été développé au début des années 40. C’est aujourd’hui la pierre angulaire du Système de Management de la Sécurité (SMS) dans de nombreuses industries. Malheureusement, la pratique du management des risques accuse une mauvaise compréhension ainsi que de nombreux problèmes d’ordre méthodologique, terminologique, technique ou organisationnel. Dans une démarche de résolution des problèmes constatés, nous proposons, comme alternative à l’Analyse Préliminaire de Risque, la méthode Management Préliminaire des Risques (MPR). Cette méthode originale est basée sur un processus accidentel générique permettant de canaliser les mécanismes de capitalisation et d’exploitation des connaissances relatives aux scénarios d’accident (causalité, entités, situations, événements, etc.). La méthode MPR, se rattache au Système de Management de la Sécurité (SMS) sur un point d’ancrage essentiel qu’est la gestion des processus techniques et organisationnels. Notre objectif est triple, d’abord montrer les 10 problèmes majeurs que nous avons constatés en matière de management des risques, ensuite présenter la méthode MPR, basée sur un processus accidentel générique, que nous proposons pour résoudre ces difficultés dans le but d’exploiter efficacement l’échange de savoir-faire en matière de management des risques relatifs à différents systèmes issus de différents domaine, et enfin développer un Système Interactif d’Aide à la Décision (SIAD) permettant d’automatiser cette méthode et apporter des éléments d’aide à la décision en matière de management des risques à travers une interface graphique et ergonomique / Risk Management was developed at the beginning of the fourties. Since then, it becomes the cornerstone of the Safety Management System (SMS) building. Unfortunately, the practice of risk management remains problematic and completely beyond any harmonization optics. In a step of resolution of the noticed problems, we propose, as alternative for Preliminary Hazard Analysis, the PRM (Preliminary Risk Management) method. That original method would be based on a generic accidental process allowing to channel the mechanisms of capitalization and exploitation of knowledge related to the accident scenarios (causality, entities, situations, events, etc). The PRM method is attached to the Safety Management System (SMS) via the management of the technical and organisational processes. The purpose of this work is firstly to show the 10 problems that we have noticed in risk management, and secondly to deal with these difficulties through the proposal of the ontological-accidental-process- based Preliminary Risk Management (PRM) method in order to enforce the pertinence of the hazard analysis regarding its predominant status in the SMS (Safety Management System). These proposals have been concretized through the development of an Interactive Decision-Making System (IDMS) in order to perform a complete assisted-management-process through an ergonomic Graphical User Interface (GUI)

Management des risques

Ontologie

Processus accidentel

Aide à la décision

Maîtrise des risques

Analyse de risque

Risk management

Ontology

Accidental process

Decision-making

Risk analysis

Risk control

Des relations entre sûreté et sécurité

Piètre-Cambacédès, Ludovic

03 November 2010

Historiquement séparées, sûreté et sécurité sont pourtant deux problématiques intimement liées. Si les trop rares initiatives de décloisonnement, adaptant notamment des outils d'un domaine à l'autre, ont abouti à des résultats convaincants, ce décloisonnement reste encore timide et son potentiel considérable. De plus, la récente convergence de risques de sécurité et de sûreté implique des interactions inédites entre exigences et mesures auparavant distinctes, dont la caractérisation nécessite une perspective globale. Dans ces conditions, ces travaux de thèse ont d'abord visé à mieux cerner les notions de sûreté et de sécurité. Ils ont conduit à un cadre référentiel dénommé SEMA (Système-Environnement Malveillant-Accidentel) permettant de positionner ces concepts l'un par rapport à l'autre selon les contextes. La complémentarité des outils de chaque discipline a ensuite été explorée. Cette démarche s'est concrétisée par l'adaptation des BDMP (Boolean logic Driven Markov Processes), issus de la sûreté, au domaine de la modélisation graphique d'attaques. Ils permettent de dépasser bien des limites des techniques classiquement employées. Enfin, l'extension des BDMP a été mise à profit pour fournir un formalisme intégratif, permettant de capturer graphiquement et de caractériser des situations où risques sûreté et sécurité s'exercent conjointement. Pour chacune de ces trois contributions, limites, améliorations et voies alternatives ont été identifiées. Elles n'auront sens que si les communautés de la sûreté et de la sécurité accentuent leur rapprochement, dont cette thèse se veut à la fois une manifestation et une invitation.

Sécurité

sûreté

modélisation d'attaques

analyse de risque

BDMP

SEMA

Etude par l'évaluation et l'analyse de risque des possibilités de mise en production de services basés sur les HIS

Rumeau, Pierre

29 October 2010

Nous avons déployé en milieu hospitalier des Habitat Intelligent pour la Santé composé d'un réseau de capteur infrarouges passifs et de l'infrastructure informatique permettant une fusion de données d'actimétrie en vue de dépister des variations d'état de santé de patients fragiles. Le choix de service de moyen et de long séjour avait pour objet d'avoir des lieux se rapprochant le plus possible d'un domicile tout en ayant un personnel suffisant comme étalon de l'HIS. Ceci nous a permis de conclure : 1. que l'HIS était acceptable et peu intrusif pour la population bénéficiaire potentielle. 2. que les capacités de détection d'alarme de l'HIS peuvent être modélisées et comparées à d'autres dispositifs mesurant la même grandeur (activité) dans le cadre de tableaux de fragilité ciblés. 3. nous avons vérifié notre modèle sur un exemple de chute chez un patient avec maladie à corps de Lewy. 4. que l'HIS peut répondre à une gestion de risque dans la norme ISOFDIS 14971. 5. qu'en absence de soutien par la solidarité nationale, l'HIS peut être amorti dès la première année dans le cas d'une dame âgée fragile faisant des décompensations cardiaques. Il y a donc une pertinence médico-socio-économique à mettre un dispositif de type HIS sur le marché potentiel que nous avons démontré par notre travail scientifique.

[INFO:INFO_OH] Computer Science/Other

[INFO:INFO_OH] Informatique/Autre

Habitat Intelligent pour la Santé

personnes âgées handicapées

détecteurs infrarouges passifs

étude de l'activité de la personne

pertinence

déploiement

analyse de risque

Processus d'identification de propriétés de sécurité-innocuité vérifiables en ligne pour des systèmes autonomes critiques

Mekki-Mokhtar, Amina

12 December 2012

Les progrès récents dans la définition de mécanismes décisionnels ont permis de déléguer de plus en plus de responsabilités aux systèmes informatiques. Par exemple, des robots de service travaillent aujourd'hui en interaction avec l'humain et réalisent des tâches de plus en plus complexes. Ce transfert de responsabilité pose alors de manière critique le problème de la sécurité pour l'homme, l'environnement du système, ou le système lui-même. La surveillance en ligne par un moniteur de sécurité indépendant vise à assurer un comportement sûr malgré la présence de fautes et d'incertitudes. Un tel moniteur doit détecter des situations potentiellement dangereuses afin d'enclencher des actions de mise en état sûr et d'éviter les défaillances catastrophiques. Cette thèse traite de l'identification de conditions de déclenchement de sécurité permettant de lancer des actions de mise en état sûr. Un processus systématique permettant d'identifier de telles conditions est défini, en partant d'une analyse de risque HazOp/UML du système fonctionnel. Par ailleurs, une méthode est proposée pour identifier les états du système où des actions de sécurité peuvent être enclenchées simultanément, afin d'être revues et corrigées, en cas de besoin, par un expert du système. L'approche proposée est appliquée à un robot déambulateur.

[INFO:INFO_RB] Computer Science/Robotics

[INFO:INFO_RB] Informatique/Robotique

Surveillance pour la sécurité

Moniteur de sécurité indépendant

Analyse de risque

HazOp/UML

Contrainte de sécurité

Règle de sécurité

Systèmes autonomes critiques

Processus d'identification de contraintes de sécurité innocuité vérifiables en ligne pour des systèmes autonomes critiques

Mekki Mokhtar, Amina

12 December 2012

Les progrès récents dans la définition de mécanismes décisionnels ont permis de déléguer de plus en plus de responsabilités aux systèmes informatiques. Par exemple, des robots de service travaillent aujourd'hui en interaction avec l'humain et réalisent des tâches de plus en plus complexes. Ce transfert de responsabilité pose alors de manière critique le problème de la sécurité pour l'homme, l'environnement du système, ou le système lui-même. La surveillance en ligne par un moniteur de sécurité indépendant vise à assurer un comportement sûr malgré la présence de fautes et d'incertitudes. Un tel moniteur doit détecter des situations potentiellement dangereuses afin d'enclencher des actions de mise en état sûr et d'éviter les défaillances catastrophiques. Cette thèse traite de l'identification de conditions de déclenchement de sécurité permettant de lancer des actions de mise en état sûr. Un processus systématique permettant d'identifier de telles conditions est défini, en partant d'une analyse de risque HazOp/UML du système fonctionnel. Par ailleurs, une méthode est proposée pour identifier les états du système où des actions de sécurité peuvent être enclenchées simultanément, afin d'être revues et corrigées, en cas de besoin, par un expert du système. L'approche proposée est appliquée à un robot déambulateur.

[INFO:INFO_OH] Computer Science/Other

[INFO:INFO_OH] Informatique/Autre

Surveillance pour la sécurité

moniteur de sécurité indépendant

analyse de risque

HazOp/UML

contrainte de sécurité

règle de sécurité

systèmes autonomes critiques

Développement de méthodes et d’outils numériques pour l’étude de la sûreté du réacteur à sels fondus MSFR / Development of methods and numerical tools for the study of the molten salt reactor MSFR's safety

Gerardin, Delphine

04 October 2018

Les travaux réalisés pendant cette thèse portent sur l’étude de la sûreté du Molten Salt Fast Reactor (MSFR) et incluent à la fois des méthodes d’analyse de risques et des calculs déterministes de sûreté et de design. Ce travail s’inscrit dans le cadre du projet européen SAMOFAR.Le MSFR est un réacteur régénérateur à spectre neutronique rapide qui fonctionne en cycle thorium dans sa configuration de référence, établie en début du projet SAMOFAR. Il a été sélectionné par le Forum International Génération IV pour son potentiel prometteur. Comme tout réacteur nucléaire de quatrième génération, il doit répondre à différentes contraintes dont une sûreté optimale. Celle-ci doit être étudiée dès le stade de conception afin d’être intégrée au design lors de sa définition plutôt qu’ajoutée a posteriori. En raison de ses spécificités, en particulier l’état liquide du combustible, et du stade préliminaire de son design, l’analyse de sûreté du MSFR nécessite l’utilisation de méthodologies d’analyse de sûreté adaptées et technologiquement neutres. Dans cette thèse, une telle méthodologie a été développée et une première application au MSFR réalisée. Elle a notamment permis d’identifier les évènements initiateurs d’accident de ce réacteur et d’élaborer une liste resserrée d’évènements à traiter dans la suite de l’analyse de sûreté.D’autre part, un nouveau code système a été développé pour les études de sûreté. Il est basé sur la diffusion neutronique, prend en compte le transport des précurseurs de neutrons retardés et la puissance résiduelle du combustible. Il a été utilisé pour simuler les transitoires associés à certains des évènements initiateurs et évaluer leurs conséquences pour définir, par la suite, des systèmes de protection adaptés. Ce travail a confirmé l’importance d’un dispositif spécifique au MSFR, le système de vidange d’urgence, permettant de vidanger le combustible en cas d’accident en cœur. Des études paramétriques ont été menées afin de dimensionner ce système avec pour objectif d'assurer l’évacuation de la chaleur résiduelle du combustible et sa sous-criticité en toutes circonstances.Enfin, une première ébauche de l’architecture de sûreté du réacteur a été proposée incluant l’identification des systèmes de protection et la définition des barrières de confinement. Les études de sûreté ont permis de faire des retours sur le design initialement défini. Ils incluent l’ajout de composants, des propositions de design alternatifs, et soulignent les manques de connaissances sur certains phénomènes ou procédures. L’analyse de sûreté réalisée remplit ainsi son objectif principal : guider le design du réacteur dès sa conception afin d’en améliorer la sûreté. / This PhD thesis focuses on the study of the Molten Salt Fast Reactor (MSFR) safety. It includes risk analysis methods and deterministic computations for the safety and the design of the reactor. This work was performed in the frame of the SAMOFAR European project.The MSFR is an is-breeder reactor with a fast neutron spectrum. In its reference configuration, defined at the beginning of the SAMOFAR project, it works with the thorium fuel cycle. The MSFR was selected by the Generation IV international forum for its promising features. As any fourth-generation reactor, it must fulfill several objectives including an improved safety. Thus, safety studies should be performed from the early design phases to achieve a safety that is built-in the design rather than added-on. Because of the unique characteristics of the MSFR, including a liquid circulating fuel, and its preliminary design phase, the safety assessment of the reactor should rely on adapted and technological neutral methodologies. In this PhD, such a methodology was developed and a first application to the MSFR was carried on. It allowed to identify the initiating events of the reactor and to elaborate a restricted list of events to be studied in the next steps of the safety analysis.Furthermore, a new code system was developed for the safety studies. It is based on neutronic diffusion and takes into account the movement of the delayed neutrons precursors and the production of the residual heat in the fuel. It was used to simulate the transients associated to some of the identified initiating events with the objective to evaluate their consequences and the need for adequate protection systems. This work confirmed the importance of a device that is specific to the MSFR: the emergency draining system (EDS). It allows to drain the fuel in case of accident in the core. Parametric studies were then carried on for the sizing of the EDS with the objective to ensure the evacuation of the residual heat and the sub-criticality of the system under any circumstances.Finally, a first version of the safety architecture was proposed with the identification of the protection systems and the definition of the confinement barriers. Thanks to the safety studies, feedbacks on the initial design were made to enhance the safety the reactor. They include the addition of new components, the modification of some systems and they highlight the lack of knowledge on some phenomena or procedure. In that respect, the safety analysis fulfil its main objective: to influence the design of the reactor since its conception in order to improve its safety.

Réacteur nucléaire

Sûreté nucléaire

Msfr

Code système

Sels fondus

Analyse de risque

Nuclear reactor

Nuclear safety

Msfr

Power plant simulator

Molten salt

Risk analysis

530