Conception
Aucune analyse sérieuse ne peut être envisagée sans définir préalablement la criticité des applications actuelles et à venir qui utilisent l’infrastructure à étudier.
En effet, toute analyse ne peut être que relative à un objectif à atteindre et qui sera fixé en amont.
Le risque est caractérisé par une grandeur à deux dimensions nommée « criticité » :
- En abscisse : la « sévérité » des effets et des conséquences, parfois appelée aussi « gravité »
- En ordonnée : « la probabilité d’occurrence », qui peut être quantifiée
Ainsi, l’approche s’exerce à la fois sur la prévention et la protection. A l’issue de cette phase, il est possible de déterminer un niveau de disponibilité chiffré (taux de disponibilité) attendu par les applications les plus critiques.
La criticité de l’infrastructure est induite par la criticité des applications traitées par celle-ci. L’Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC) est l’outil qui est utilisé pour étudier et formaliser la criticité des applications.
L’AMDE, version non quantifiée de l’AMDEC, est essentiellement une démarche inductive, aussi exhaustive que possible, qui consiste à identifier au niveau d’un système ou d’un de ses sous-ensembles, les modes potentiels de défaillance de ses éléments, leurs causes et leurs effets. L’AMDEC ajoute à l’AMDE une évaluation de la criticité des modes de défaillance permettant leur hiérarchisation. Cette criticité peut être :
- Restreinte à un seul indice établi sur la gravité de l’effet selon une échelle de cotation définie pour le projet
- La multiplication de l’indice de gravité par l’indice d’occurrence de la cause
- La multiplication de l’indice de gravité par l’indice d’occurrence de la cause et par l’indice de détection des contrôles
On attend, de l’AMDEC, les résultats suivants :
- Une liste des applications critiques
- Un niveau de disponibilité chiffré correspondant à la criticité
- Une vue des impacts réels d’une panne ou d’une intervention planifiée
On se doit de fixer un seuil d’acceptabilité, au-dessus duquel toute criticité doit être réduite, par un moyen à définir (reprise de conception, plan de maintenance, action de surveillance…).
Grille de cotation graduée proposée :
F | Fréquence ou probabilité d’apparition | G | Gravité | D | Probabilité de détection |
---|---|---|---|---|---|
10 | Permanent | 10 | Mort d’homme | 10 | Aucune probabilité de détection |
5 | Fréquent | 5 | Conséquences financières et/ou matérielles | 5 | Un système de détection est en place mais n’est pas infaillible |
1 | Rare | 1 | Pas grave | 1 | Le système de détection est infaillible |
On évalue la criticité par le produit : [latex]C = F \times G \times D[/latex]. Plus C est grand, plus le mode de défaillance est critique. Il est possible d’évaluer la criticité à partir d’une « matrice de criticité ».
Fréquence | Niveau de gravité | |||
Ins. | Mar. | Cri. | Cat. | |
---|---|---|---|---|
Fréquent | Ind. | Ina. | Ina. | Ina. |
Probable | Acc. | Ind. | Ina. | Ina. |
Occasionnel | Acc. | Ind. | Ind. | Ina. |
Rare | Nég. | Acc. | Ind. | Ind. |
Improbable | Nég. | Nég. | Acc. | Acc. |
Invraisemblable | Nég. | Nég. | Nég. | Nég. |
Ins. – Insignifiant, Mar. – Marginal, Cri. – Critique, Cat. – Catastrophique
Ina. – Inacceptable, Ind. – Indésirable, Acc. – Acceptable, Nég. – Négligeable
Les modes de défaillances sont les effets par lesquels on constate une défaillance. L’AFNOR propose des modes de défaillance génériques dont nous pouvons déduire les règles de détermination des modes de défaillances fonctionnelles suivantes :
- Non démarrage de la fonction
- Non arrêt de la fonction (malgré ordre)
- Arrêt involontaire de la fonction
- Fonctionnement intempestif (y compris prématuré)
- Fonctionnement intermittent (y compris irrégulier)
- Fonctionnement dégradé (non respect performance : trop, pas assez)
Parmi plusieurs causes de défaillance, on constate les principales causes :
- Intrinsèques (dues aux équipements du système) :
- Mauvaise fiabilité des équipements,
- Absence de fonction de diagnostic
- Extrinsèques (dues aux éléments externes du système) :
- Mauvaise maintenance
- Insuffisance de compétence de l’utilisateur
Vous disposez d’une totale liberté pour indiquer les effets de chaque mode de défaillance sur le système. Des exemples non-exhaustifs d’effets peuvent être :
- Perte financière
- Risque sur traitement de la paie
- Risque juridique
- Surveillance moindre
- Dégradation de la qualité des soins
- Risque de pertes humaines
- Surcharge ponctuelle de travail
La criticité actuelle obtenue doit être traduite en un niveau de disponibilité attendu chiffré. Cette traduction doit faire l’objet d’un consensus en se basant sur des niveaux de disponibilité typiques tels que ceux présentés ci-dessous et en déterminant si les arrêts programmés sont intégrés dans le raisonnement.
Disponibilité | Indisponibilité par an (24*7*365) |
---|---|
99,000% | 3 jours, 15 heures et 36 minutes |
99,500% | 1 jour, 19 heures et 48 minutes |
99,900% | 8 heures et 46 minutes |
99,950% | 4 heures et 23 minutes |
99,990% | 53 minutes |
99,999% | 5 minutes |
99,9999% | 30 secondes |
Le taux de disponibilité peut s’écrire sous plusieurs formes : [latex]99,99\% = 0,9999 = 1-10^{-4}[/latex].
Le taux d’indisponibilité peut donc s’écrire : [latex]1-(1-10^{-4})=10^{-4}[/latex].