La redondance d’un dispositif de sécurité est un idéal que tout concepteur va chercher à atteindre et que tout exploitant va chercher à acheter. Le principe : n’ayant pas la certitude suffisante que ledit dispositif de sécurité fonctionne au moment où il doit fonctionner, un second dispositif, ayant la même fonction, est ajouté en complément du premier. La redondance contribue donc à maintenir la disponibilité des systèmes critiques. Si sur le papier le principe est simple à comprendre, il existe 3 pièges courant dans lesquels il vaut mieux ne pas tomber.
La redondance n’en est pas une
L’idée de doubler un composant pour pallier une défaillance d’un autre n’a de ce sens que si ce nouveau composant est capable de fonctionner seul. Ainsi, doubler le câble porteur d’une nacelle n’est utile que si vous êtes bien certain que ce câble est en mesure de travailler seul. C’est une évidence, mais tous les cas ne les sont pas autant.
Prenons l’exemple d’une plateforme transportant du public. Celle-ci est soulevée par 10 vérins. La plupart des vérins travaillent entre 80 et 90% de leur capacité maximale. Il peut donc y avoir des doutes sur ce qu’il se passerait en cas de défaillance d’un vérin sur la stabilité générale de la plateforme. Le concepteur indique fièrement qu’il n’y a aucun problème, car avec 10 vérins, même si c’est 1 casse, il y en a toujours 9. C’est un argument de prime abord rationnel et rassurant.
La réalité est différente : en retirant le vérin le plus chargé du calcul, comme pour simuler sa défaillance, les résultats sur les 9 vérins toujours en place sont surprenants. Avec ce 10ème et plus chargé vérin désormais hors service, 1 des 9 vérins restants finit par dépasser sa capacité maximale, le rendant donc plus susceptible d’entrer dans une défaillance, le rendant inutile à son tour, et transférant sa charge sur les 8 autres restants. C’est ainsi que démarre une réaction en chaîne de rupture potentielle des vérins pouvant aboutir à l’effondrement de la plateforme. Bien qu’ayant 10 vérins, cette plateforme ne présente donc pas de système de redondance.
La redondance n’existe qu’en surface
C’est souvent le cas lorsque le système n’a pas été analysé dans sa globalité. On occulte ce qu’il se passe avant ou après pour se concentrer sur le milieu. Le milieu est donc parfaitement redondant, mais entouré par des éléments non redondants. Vous pouvez donc bien avoir prévu deux câbles pour tenir votre nacelle, si ces deux câbles sont fixés sur le même œillet, la fiabilité diminue drastiquement. En effet, si cet œillet casse, vos deux câbles deviendront inopérants de la même manière que s’il n’y en avait eu qu’un seul.
C’est ce qu’on appelle également la défaillance de cause commune. Celle-ci se produit lorsque deux systèmes, parfaitement indépendant de prime abord, cessent de fonctionner en même temps sous l’effet d’un même événement.
La redondance n’est pas surveillée
Une redondance qui existe c’est bien, une redondance qui fonctionne c’est mieux. C’est pour cela qu’il est nécessaire de détecter la défaillance du premier système, et donc de mesurer sa performance.
Pour être certain de stopper un véhicule en mouvement, le concepteur a mis deux freins indépendants l’un de l’autre. La redondance existe et fonctionne à merveille. En tout cas, c’est le sentiment que l’exploitant a, car en surface, le système semble fonctionner parfaitement. Le véhicule s’arrête toujours quand cela est nécessaire.
Jusqu’au jour où le système devient complètement défaillant : le véhicule ne s’arrête pas du tout. La première impression est la surprise générale, en s’imaginant que la redondance n’a pas fonctionné. La réalité est tout autre. Il y a eu une défaillance plusieurs semaines ou mois plus tôt sur le premier frein, mais cette défaillance n’a pas été observée. En effet, grâce à la redondance, le système semble toujours fonctionner normalement. Le premier frein ne fonctionne plus, mais comme le second continue de fonctionner, le véhicule s’arrête donc toujours. Ceci peut fonctionner jusqu’à la défaillance du système de redondance, le second frein, où cette fois-ci plus rien ne fonctionne et la conséquence devient visible.
Pour éviter ces points d’aveuglement, il y a de plus en plus de diagnostics réalisés de manière automatisée par des auto-contrôles du système. Cela permet d’introduire la notion de couverture de diagnostic. De nos jours, la majorité des systèmes contrôlés sont en mesure de vérifier à chaque sollicitation le bon fonctionnement complet de la séquence.
Les outils pour réussir l’analyse
La redondance n’est au service du système que si elle est correctement pensée pour répondre à l’objectif visé, et avec les moyens de vérifier son efficacité dans le temps. Dans les cas contraires, celle-ci ne sera qu’une illusion d’un niveau de sécurité augmenté.
Différents outils existent, comme les arbres de causes, les analyses des modes de défaillance et leurs effets, la cartographie des risques ou encore l’analyse des écarts. Ils permettent aux spécialistes en management des risques de réaliser des études complètes de tous types de systèmes et équipements. Des programmes existent pour former concepteur et exploitant. Il est également possible de confier la réalisation de ces analyses à des sociétés de conseils spécialisées.