CoursSdF PDF

Anne 2010 2011 Management des Risques Industriels
Management des Risques Industriels

Dploiement de la Sret de
Fonctionnement:
Notions, Mthodes, Cycle de Vie
Pierre DAVID pierre.david@grenoble-inp.fr
Plan
1. Introduction la cindynique : terminologie, dfinition
2. Vocabulaire et Grandeurs de la SdF
3. Cycle de ralisation des analyses de SdF :
prsentation des techniques et des mthodes de SdF et de
leurs interactions
1.
2.
3.
4.
5.
Le cycle de gestion des risques

Analyse Prliminaire des Risques
AMDEC
Arbres de dfaillances et Diagrammes Bloc de Fiabilit
Modles avancs danalyse de SdF
4. IEC 61508 : Exemple de standards de dveloppement de

systmes fortes contraintes de SdF
INTRODUCTION A LA CINDYNIQUE
Plan

Historique
Approche cindynique
Hyperespace cindynique
La notion de risque
Dficits Systmiques Cindynognes
Faute erreur dfaillance
Cindyniques ?
Sciences de danger (Cindyniques):
Les Sciences de danger sont une discipline part entire. Il
sagit dun domaine scientifique horizontal et non vertical, cest
dire plongeant ses racines dans toutes les disciplines
existantes.
Cindynique vient du grec kindunos ou kindynos, qui signifie " danger ".
Historique
Flixborough (1974)
Explosion nuage de gaz
28 morts, 80 blesss
2450 maisons
endommages
Seveso (1976)
Fuite de dioxine
200 blesss, 700 vacus
Tchernobyl (1986)
Fusion du cur
31 morts immdiats,
200 irradis,
135000 vacus
1 M sous contrle mdical
2 M dhectares de terres
agricoles contamins
Challenger (1984)
Explosion aprs une fuite

de gaz travers un joint.
7 morts,
Traumatisme aux USA
Dgradation de limage de
la NASA
Ariane 5 (1996)
Explosion aprs perte de la

centrale inertielle.
Explosion de la fuse et
des satellites transports.
Perte de 370 M$
Approche Cindynique
La cindynique peut se dfinir comme la science visant matriser
les dangers en dveloppant et en exploitant les outils, les
mthodes et les techniques propres amliorer et optimiser
la scurit.
C'est une discipline part entire qui value et tente de prvenir
les dangers induits par une activit.
Dans le domaine des risques, ce que l on cherche, c est bien de
les viter.
Dans cette volont de matrise des risques, une partie traite des
activits de Sret de Fonctionnement ou FMDS (Fiabilit,
Maintenabilit, Disponibilit, Scurit).
Approche Cindynique / Approche

Systme
Prendre une dcision cest prendre un risque
Le risque nul nest pas atteignable

Modle documentaire
Produit
Emploi
Environnement
Etudes de
scurit
Modle reel
Produit rel
Poss. emploi
Produit peru
Emploi rel
Environ. rel
risque
Modle peru
Un systme est un ensemble dlments matriels, humains,
logiciels, informatifs en interaction pour remplir une (des)

mission(s) dans un environnement de rfrence.
Approche Cindynique / Approche

Systme
Pour comprendre et prvenir les accidents et grandes catastrophes
la dmarche cindynique se dveloppe autour de 2 axes :
dfinir le systme le plus global possible rendant compte d'une activit
humaine, de la faon dont elle est organise, conduite et contrle ;
(Systme + Environnement + Conception + Management durant et aprs
conception )
identifier dans ce systme les dficits expliquant les erreurs commises (ou
pouvant tre commises) par le systme dans son ensemble.
Hyperespace Cindynique
Hyperespace du danger
Modles
Rgles
Finalits
Donnes
Valeurs
10
Recherche des carts / dficits
Modles
Rgles
Manques venant:
Des connaissances
Des moyens
Finalits
Donnes
Valeurs
11
Recherche des dissonances
Modles
Rgles
Manques venant:
Du vocabulaire
De la perception
Finalits
Donnes
Valeurs
12
Vocabulaire du Risque
Danger :
Situation susceptible d'engendrer des vnements indsirables.
Risque :
Mesure du niveau de danger, fonction de la probabilit d'occurence de l'vnement
indsirable et des consquences (gravit) de cet vnement.
Scurit :
- Absence de circonstances susceptibles de conduire des dgts humains ou matriel
(USA).
- Ensemble des actions destines assurer la protection des personnes et des biens contre
les dangers, nuisances ou gnes susceptibles d'tre provoques par les installations ou lors
du transport de matires dangereuses (UE).
- Protection contre les vnements fortuits (sinistres, catastrophes naturelles) et secours
aux personnes et aux biens affects par ces vnements (scurit civile) .
Sret :
- Lensemble des mesures prendre dans les installations ou lors du transport de matires
dangereuse en vue dviter les accidents et de minimiser leurs effets (UE)
- Ordre public, protection contre la malveillance (police, gendarmerie) .
13
Vocabulaire du Risque
Dans le domaine des systmes :
Scurit : Aptitude dune entit viter de faire apparaitre, dans des
conditions donnes, des vnements critique ou catastrophique
[Villemeur].
Sret de Fonctionnement : Aptitude dune entit satisfaire une
ou plusieurs fonctions requises dans des conditions donnes
[Villemeur].
14
Le Risque
Le risque est la mesure du danger
Probabilit dun
vnement
R =
Gravit des
consquences
potentielles
Mesure du niveau de danger, fonction de la probabilit d'occurrence de

l'vnement indsirable et des consquences (gravit) de cet vnement.
15
Espace du danger
16
Dficits systmiques cindynognes

Symptmes classiques
Domaine Numro du Dsignation du DSC
du dficit
DSC
DSC 1
Culture d'infaillibilit Nous sommes srs du succs. Ce systme est garanti
contre toute dfaillance.
DSC 2
Culture de simplisme Notre affaire n'est pas complexe. Nous rejetons l'ide de
systme. a marche sans mthodes
complexes.
C
DSC 3
Culture de non
On ne peut vivre en remettant en question certaines
U
communication
vrits videntes de notre mtier.
L
La hirarchie de notre entreprise supporte mal la remise
T
en question des pratiques techniques.
On discute peu entre nous des oprations pratiques.
U
Le personnel parle Hindi, l'quipage le portugais, les
R
passagers le norvgien.
E
DSC 4
Culture
Nous sommes les leaders et nous conomisons pas mal
L
Nombriliste
de temps du fait que nous n'allons pas voir ailleurs ce
qui se passe. Nous avons toujours t les premiers
percevoir les problmes de notre profession. Nous
sommes certains du retard de nos concurrents en
matire de scurit.
identifier les dficits culturels, organisationnels ou manageriels pouvant mener (ou contribuer) une catastrophe.
17

Domaine Numro
du DSC
du
dficit
DSC 5
O
R
G
A
N
I
DSC 6
S
A
T
I
O
N
Dsignation du DSC
Symptmes classiques
Subordination des
Le responsable de la scurit n'est qu'un collaborateur
fonctions de gestion du parmi d'autres du responsable de production. On ne va
risque aux fonctions de tout de mme pas rduire les prrogatives du chef de
production ou
production ou lui compliquer la tche.
a d'autres fonctions de On crve sous les fonctionnels, ce n'est pas le moment
gestion cratrices de d'en inventer un autre. D'accord, il y a des risques, mais
risques
ce n'est pas pour semer le dsordre dans nos
structures.
Dilution des
Nous avons rejet tout formalisme dans notre
responsabilits.
organisation, chacun peut s'exprimer avec spontanit.
Non explicitation des Les gens sont adultes et savent parfaitement ce qu'ils
tches de gestion des doivent faire sans qu'il soit utile de le leur rappeler.
risques. Non
affectation des tches
des responsables
dsigns.
18

Dsignation du DSC
Domaine Numro du DSC
du dficit
DSC 7
Absence d'un systme de
retour d'exprience.
M
A
N
A
G
E
M
E
N
T
DSC 8
DSC 9
DSC 10
Symptmes classiques
Maintien de pratiques considres comme

dangereuses dans d'autres tablissements ou
organisations.
Pas d'attention aux signes prcurseurs
apparaissant dans la mme profession.
Pas d'exploitation systmatique des faits
concernant les dysfonctionnements survenus
mondialement dans le mme domaine
technique.
Dans ce secteur, il faut reconnatre qu'il n'y
Absence d'une mthode
cindynique dans
avait pas de manuel ou d'instruction crite
l'organisation.
de la direction.
Absence d'un programme de Les gens des ateliers ont t pris au
formation aux cindyniques dpourvu et ont commis des erreurs qui ont
adapt chaque catgorie de aggrav les choses.
personnel.
Absence de planification des Quand on a entendu ce bruit pouvantable,
situations de crise.
tout le monde s'est mis a courir dans toutes
les directions.
19
Analyse daccident : Challenger

Chronologie des vnements
Dans la nuit du 27 au 28 janvier 1986 : Des ingnieurs s'inquitent du fait que le mercure est
maintenu en dessous du point de conglation et annoncent que Challenger n'est pas prte
endurer un tir dans ces conditions. Leur avis est ignor.
28 janvier 1986 : Il fait deux degrs sur l'aire de dpart, alors qu'aucun dcollage n'avait jamais
eu lieu en dessous de 9C.
28 janvier 1986, 11h38 heure locale (heure H) : Dcollage de Challenger
H + 8s : La navette se dirige vers l'Atlantique. Tout va bien dclare le commandant Scobee
depuis la navette.
H + 21s : Manuvre de roulis termine. Challenger s'loigne normalement de l'aire de
lancement.
H + 58s : La navette traverse une cellule orageuse d'une intensit jamais connue lors des
prcdents vols.
Challenger est soumise une pression norme (3.5 tonnes de pression par mtre carr). Le joint
de la fuse poudre droite cde. Une flamme d'une temprature deux fois plus leve que la
temprature de fusion de l'acier s'en chappe
H + 64.66s : La flamme a perc le rservoir d'hydrogne et s'y alimente.
H + 72.20s : Dsintgration de la navette Challenger
A cette poque la Nasa venait de raliser 24 missions sur une priode de 57 mois 7 lancements Columbia, 6
lancements Discovery, 2 Atlantis et 9 Challenger.
La Nasa industrialisait le rythme de ses lancements.
20
Analyse daccident : Challenger

Quels DSC sont mis en vidence dans cet accident?

DSC 1 : culture dinfaillibilit,

DSC 3 : non communication,
DSC 7 : Absence de REX,
DSC 5 : Subordination de la scurit la production,
(DSC 4 : nombrilisme)
21
Analyse daccident : Bhopal

Chronologie des vnements 3 dec. 1984
A l'usine de Bhopal, situe dans l'tat du Madhya Pradesh, d'Union Carbide, une fuite se produit dans le
rservoir 610 contenant de l'isocyanate de mthyle.
Un nuage de methylisocyanate se rpand sur les populations avoisinantes. Les autorits ntaient
absolument pas prpares ce type daccident. On dnombre 323 morts et 260 000 blesss dont
prs de 9 000 sont frapps d'incapacit partielle et permanente. En 1990, soit six ans aprs cette
catastrophe, on enregistre encore un dcs par jour parmi les victimes atteintes par l'agression
chimique.
En 1975, le gouvernement indien avait autoris Union Carbide India Ltd produire le Sevin, insecticide
produit a partir du MIC, intermdiaire chimique de cette production. Le nuage de methylisocyanate
est du une raction entre le MIC et leau.
L'absence d'obturateur dans les tuyaux au cours d'une opration de nettoyage, a permis l'eau de
pntrer dans le rservoir 610.
L'absence d'obturateur est due au fait que personne ne l'a mis en place. Les ouvriers attribuent cela la
suppression du poste de responsable de l'entretien quelques jours avant.
La direction d'Union Carbide avait, en effet, pris une srie de mesures d'conomie qui affaiblissaient les
fonctions d'entretien et de scurit. On peut y voir une confirmation dans le fait que les tours
d'puration et la torchre vers lesquelles les consignes obligeaient aiguiller toute fuite
d'isocyanate n'taient pas en tat de traiter cette fuite, tant hors service ou arrtes pour
entretien.
22

Chronologie des vnements 3 dec. 1984
Les ouvriers soulignent galement les faits suivants :
les panneaux et les instructions de travail, dans l'usine, taient crits en anglais, alors que la
majorit des travailleurs ne comprenaient que l'hindi, la formation de ces personnels tait
insuffisante.
des accidents prcurseurs s'taient produits dans l'usine
en dcembre 1981, une fuite de phosgne avait entran 1 mort et 2 blesss ;
en janvier 1982, une fuite de MIC avait fait 15 victimes ;
en aot 1982, un technicien avait t brl par le MIC ;
en octobre 1982, une fuite de MIC et d'acide chlorhydrique, avait touch des personnes
l'intrieur et l'extrieur de l'usine.
23

Quels DSC sont mis en vidence dans cet accident?
pas d'analyse des incidents prcurseurs : DSC 7, DSC 3
pas d'instructions comprhensibles pour le personnel qui parle parfois
l'hindi : DSC 8 et DSC 9, DSC 3
absence d'un plan de crise : DSC 10.
la dilution des responsabilits entre autorit publique et direction
d'entreprise : accumulation des bidonvilles proximit d'installations aussi
dangereuses DSC 6,
l'absence de personnel d'entretien au moment d'oprations dlicates est
le fruit d'une mauvaise organisation de la scurit : DSC 5,
le sentiment de quasi-infaillibilit des procds d'Union Carbide aux EtatsUnis explique la trs grande surprise, encore aujourd'hui manifeste,
devant ce qui s'est produit en Inde DSC 1 et DSC 4.
24
LA SRET DE FONCTIONNEMENT
25
Plan

Dfinition
Approche
Les dfaillances : dfinition, classification
De la faute aux dfaillances
Les composantes de la sret de fonctionnement (SdF)
Les temps caractristiques de la SdF
Rflexion sur le terrain
26
Dfinition
Le but de la sret de fonctionnement (dependability, SdF) est
dvaluer les risques potentiels, prvoir loccurrence des
dfaillances et tenter de minimiser les consquences des situations
catastrophiques lorsquelles se prsentent.
Dfinition de Laprie 89 : la sret de fonctionnement dun systme
informatique est la proprit qui permet de placer une confiance
justifie dans le service quil dlivre.
Dfinition CEI 50(191) : Aptitude dune entit assumer une ou
plusieurs fonctions requises dans des conditions donnes.
27
Approche
Identifier les dfaillances de la manire la plus exhaustive
possible.
Prioriser limportance des risques quelles impliquent.
Dun point de vue systme il faudra prvoir les dfaillances.
Au cours de la vie du systme il faudra savoir mesurer les
dfaillances et capitaliser ces observations.
Le but final tant bien sr de matriser ces dfaillances.
La SdF est ainsi qualifie parfois de sciences des dfaillances .
28
Les dfaillances
Dfinition CEI 50(191) :
La dfaillance est la cessation de laptitude dune entit
accomplir une fonction requise.
La dfaillance est un vnement, elles est donc prsente ou
non et peut se combiner avec un ou plusieurs vnements.
La dfinition prcdente implique la connaissance de la
fonction requise et la dfinition de sa cessation.
Plusieurs classifications des dfaillances sont alors possibles.
29
Classification des dfaillances

Par la rapidit dapparition :
Par date dapparition :
30

Par les effets :
Dfaillance mineure : nuit au bon fonctionnement en causant un
dommage ngligeable au systme ou son environnement. Pas de
risque humain.
Dfaillance significative : nuit au bon fonctionnement sans dommage
notable. Pas de risque humain important.
Dfaillance critique : perte de ou des fonctions essentielles du
systme. Dgts important au systme ou son environnement. Pas de
risque motel ou de blessure pour lhomme.
Dfaillance catastrophique : perte de ou des fonctions essentielles du
systme. Dgts important au systme ou son environnement. Risque
mortel ou de blessures graves pour lhomme.
31

Par les causes :
dfaillance primaire (ou premire) dune entit: dont la cause directe
ou indirecte n'est pas la dfaillance d'une autre entit.
dfaillance secondaire (ou seconde) dune entit : dont la cause
directe ou indirecte est la dfaillance d'une autre entit. L'entit
devenant alors indisponible (ncessit de rparation) aprs disparition
de la cause.
dfaillance par (de) commande dune entit: dont la cause directe ou
indirecte est la dfaillance d'une autre entit, mais elle redevient
disponible aprs disparition de la cause.
Ceci implique que lon recherchera la cause de la dfaillance

32
De la faute la dfaillance

Faute : cause interne de la dfaillance

Erreur : manifestation interne (signal/tat incorrect)
Dfaillance : service rendu incorrect
Consquence : manifestation externe
effets internes
faute
erreur
Latence
effets externes
dfaillance
consquence
Inertie
La faute peut tre introduite par le concepteur, lutilisateur

ou lenvironnement. Elle rend lentit imparfaite.
33
Classification des fautes

On peut donner quelques critres de classification des fautes :
- Accidentelle
- Physique
- Interne
- Active (qui produit une erreur)
- Douce
- Permanente
- Oprationnelle
- Intentionnelle
- Humaine
- Externe
- Dormante
- Dure
- Temporaire / Transitoire
- De conception
34
Les composantes de la SdF

SdF
Continuit de
Service
Rtablissement rapide
Prvention des pannes
Fonctionnement
sur demande
FIABILITE
MAINTENABILITE
DISPONIBILITE
FMDS
viter les effets

catastrophiques
SECURITE
35
Les composantes de la SdF

Objectifs
SdF
Disponibilit
Scurit
Le moins de
pannes possible
Systme
Le moins de temps
indisponible
Dtection des
pannes
Dpannage ais
Fiabilit
Objectifs de
scurit
Maintenabilit
Testabilit
Conception
adapte
Analyse de
scurit
Soutien
Maintenance
36
La Fiabilit
Dfinition CEI 50(191) : la fiabilit est laptitude dune entit
accomplir une fonction requise, dans des conditions donnes,
pendant un intervalle de temps donn.
Mesure : La fiabilit se mesure par la probabilit qu'une
entit accomplisse une fonction requise dans les conditions
donnes pendant l'intervalle de temps [o,t].
Evaluation(s) : oprationnelle (observe), extrapole,
prvisionnelle (conception + fiab. Composant), intrinsque
(programme dessai).
37
La Fiabilit
Considrons linstant T doccurrence de la dfaillance ; cette
variable alatoire permet de dfinir la notion de fiabilit qui
sinterprte comme la probabilit que lentit considre ne
tombe pas en panne avant un instant t donn ou bien comme la
probabilit quelle tombe en panne aprs linstant t.
On peut noter : R ( t ) = P (E non dfaillante sur la dure [0, t], en
supposant quelle nest pas dfaillante linstant t = 0).
Ce qui peut sexprimer par : R ( t ) = P ( T > t )
Laptitude contraire est appele dfiabilit, et est dfinie par :
F(t)= 1 - R (t ) = P( t> T) = F( t)
38
La Fiabilit
La figure reprsente une allure de la fiabilit R ( t ) en fonction du temps pour une loi
exponentielle dfinie par :
R ( t ) = exp ( t ) avec t 0 et >0 .
39
La Fiabilit
Autres expressions de R(t)
R(t) = proportion de systmes survivants = nombre de survivants linstant t
nombre initial
De faon tre concret !
(1)
Date
(t)
0
500
1 500
2 500
3 500
4 500
5 500
6 500
N0 =
(2)
(3)
Survivants dfaillants
N(t)
N(t)
50
0
46
4
37
9
22
15
10
12
2
8
1
1
0
1
50
(4)
Fiab.
R(t)
1
0,92
0,74
0,44
0,2
0,04
0,02
0
(5)
Dfiab.
F(t)
0
0,08
0,26
0,56
0,8
0,96
0,98
1
F(t) est une fonction

croissante de t, comprise
entre 0 et 1
N (t )
R (t ) =
N0
Loi de fiabilit et Loi de dfaillance
1
0,8
F(t)
R(t)
0,6
0,4
0,2
0
0
500
1 500
2 500
3 500
4 500
5 500
6 50040
Fiabilit : Taux de dfaillance

Taux de dfaillance:
A partir de la connaissance de R ( t ) on peut dfinir la notion de
taux de dfaillance au temps t qui est not universellement par
( t ).
Formellement (t) dt reprsente la probabilit davoir une

dfaillance entre ( t, t + dt ), sachant quil ny a pas eu dfaillance
entre sur [0, t ]. En appliquant le thorme des probabilits
conditionnelles, il vient, si dt est petit :
41

Exemple de donnes
Composants mcaniques :
Rupture dun arbre de transmission de puissance :
Rupture ou dgradation dun ressort spirale :
5.10-5 .h-1
5.10-7 .h-1
Composants lectriques :
Dfaillance totale dun alternateur dun groupe :
Non-fonctionnement dun fusible :
1.10-5 .h-1
1.10-6 .h-1
Capteurs et instrumentation :
Dfaillance dun capteur de temprature :
Obstruction dune vanne manuelle :
1.10-6 .h-1
1.10-4 .h-1
Fiabilit humaine
Globalement il est admis que la probabilit derreur par action lmentaire dun oprateur
form la tche qui lui est demande est de 10-3
Pour les actions machinales (ou rflexes) :
Pour les actions procdurales (check-list) :
Pour les actions cognitives (part dinvention) :
5.10-5 5.10-3
5.10-4 5.10-2
5.10-3 5.10-1
42

Taux de dfaillance et vie du produit
Priodes de vie d'un Equipement
Taux de
dfaillance
(t)
I
Priode de
jeunesse
II
Priode de
maturit
III
Usure
Courbe globale
Dfaillance de
stress
Dfauts de
Qualit
Dfaillance
d'usure
Temps
Allure dun taux de dfaillance en baignoire

43

Taux de dfaillance et vie du produit : domaine technologique
Mcanique
(t)
lectronique
Rodage
Usure
(t)
peut tre considr constant
t
Dverminage
Dfaillance alatoire
44

Taux de dfaillance et vie du produit : cas du constant
= constante : correspond des dfaillances survenant sans cause
systmatique, semblant obir au pur hasard.
La probabilit de dfaillance est la mme chaque instant de la priode o
est constant : un quipement a donc la mme probabilit de dfaillance
t = 0+ qu t lev.
Illustration : Si une voiture part pour un trajet de 1 000 km, la probabilit de
dfaillance au cours de ces 1 000 km sera la mme, que la voiture ait dj
parcouru 5 000 ou 50 000 km !
45
Fiabilit : Loi de dfaillance

Pour anticiper les pannes on cherche modliser les lois de
dgradation des quipements.
Ces lois sont utilises pour modliser la fiabilit.
Elles sont valables suivant le type de utilis (constant ou non)
Les principales lois de fiabilit sont :
Loi exponentielle : utilise pour =constante
Loi de Weibull : valable pour tout (ajustable par trois paramtres)
46

La loi exponentielle
t
R ( t ) = exp( ( t ) dt )
0
Si (t) = cste =
R(t) = e-t
MTTF = 0 R( t )dt
MTTF =
R(t)
Probabilit qu'un
systme n'ait pas
d'avarie pendant la
dure de sa MTTF
est 0,368 !!!
0,368
/
1
47
La loi de Weibull
R(t) = e
Remarque : Pour =1 et =0, on

retrouve la loi exponentielle
Permet d'ajuster la loi de dfaillance d'un quipement pour constant et

variable. Car utilise trois paramtres :
paramtre de forme
>0
-< < +
paramtre de position
(reprsente la date de dbut dobservation des quipements)
paramtre d'chelle
>0
Interprtation selon la valeur de

<1
dcrot
= priode de jeunesse
=1
constant
= dfaillance indpendante du temps
>1
crot
= phase de vieillesse
1,5 < < 2,5
phnomne de fatigue
3<<4
phnomne d'usure, corrosion
3,5
f(t) est symtrique, loi normale
48
La Disponibilit
Dfinition CEI 50(191) : laptitude tre en tat daccomplir une fonction
requise dans des conditions donnes, un instant donn ou pendant un
intervalle de temps donn.
Mesure : La disponibilit se mesure par la probabilit qu'une entit soit en
tat d'accomplir une fonction requise dans des conditions donnes
l'instant t.
A (t) = P [entit non dfaillante l'instant t].
Remarques : La disponibilit ainsi dfinie ne fait pas appel l'histoire de
l'entit, qu'elle ait t ou non rpare une ou plusieurs fois avant l'instant
t (c'est en quelque sorte une probabilit non conditionnelle).
Il est donc vident que pour un systme non rparable, la disponibilit est
gale la fiabilit, et que d'une manire gnrale A (t) R (t).
49
La Disponibilit
Comme la fiabilit, plusieurs types de disponibilits peuvent tre utiliss :
La disponibilit instantane prvisionnelle (dfinie prcdemment)
La disponibilit moyenne : moyenne sur un intervalle de temps
donn [t1, t2] de la disponibilit instantane prvisionnelle, ou
mesure en phase oprationnelle par la dure de fonctionnement
effectif divise par la dure donne.
La disponibilit en chiffres :
A = 99 % -> 4 jours d indisponibilit par an
A = 99,9 % -> 9 heures par an
A = 99,999 % -> 5 minutes par an
50
La Disponibilit
Disponibilit et cycle de vie
FIABILITE
MAINTENABILITE
DISPONIBILITE
INTRINSEQUE
Imputable au Systme principal
Domaine privilgi de la SdF
Exigence vis vis fournisseur
POLITIQUE MAINTENANCE
LOGISTIQUE MAINTENANCE
DISPONIBILITE OPERATIONNELLE
Imputable au systme principal

ET lorganisation du Systme de Soutien
Exigences vis vis du systme
en Exploitation
51
La Disponibilit
Allure de la disponibilit
A(t)
Systme disponible linstant t =
A(0)=1
Valeur asymptotique
Sous rserve dune politique de maintenance efficace,

au bout dun temps donn, les systmes ont atteint leur
limite asymptotique de disponibilit.
Systme indisponible linstant t =
A(0)=0
52
La Maintenabilit
Dfinition CEI 50(191) : Aptitude d'une entit tre maintenue ou
rtablie dans un tat dans lequel elle peut accomplir une fonction
requise lorsque la maintenance est accomplie dans des conditions
donnes avec des procdures et des moyens prescrits..
Mesure : La maintenabilit se mesure par la probabilit que la
maintenance d'une entit, assure dans des conditions donnes et
avec des moyens et des procdures prsents, s'achve l'instant t,
sachant que l'entit est dfaillante l'instant t = 0
M (t) = P [E dfaillante l'instant 0 soit rpare l'instant t]
ou M (t1,t2) = P [E dfaillante t = t1 soit rpare t = t2]
53
La Maintenabilit
Type de maintenance
54
La Maintenabilit
Analogie de la Fiabilit et la Maintenabilit
Fiabilit
Maintenabilit
Probabilit "de dure de bon

fonctionnement"
Probabilit "de dure

de rparation"
v.a. : temps de fonctionnement

R(t) = Prob(Tp > t)
v.a. : temps de rparation

M(T) = Prob(TR < t)
Taux de dfaillance : (t)
Taux de rparation : (t)
MTTF : Mean Time To Failure
MTTR : Mean Time To Repair
ou MTBF : Mean Time Between Failures

Loi usuelle :
Si = constant, loi exponentielle
R(t) = e
MTTF =
Loi usuelle :
Si = constant, loi exponentielle
M(t) = 1 et
1
MTTR
55
La Scurit
Dfinition : Traduit laptitude dune entit viter de faire
apparatre, dans des conditions donnes, des vnements
critiques ou catastrophiques.
Sret : La mesure dans laquelle un systme fonctionne ou
dfaille sans incidence catastrophique sur son environnement.
Scurit : La mesure dans laquelle un systme rsiste des fautes
intentionnelles.
Evaluation(s) : probabilit de dfaillance dangereuse, non
atteignabilit dtat dangereux
56
La Scurit
Analyse de SdF oriente
Scurit
57

MTTF : Mean Time To Failure (parfois MTTFF)

MTBF : Mean Time Between Failure
MDT : Mean Down Time
MTTR : Mean Time To Repair
MUT : Mean Up Time
MTBF
MDT
MTTF
Temps de
dtection
t=0
mise en route
t1
1re
Dfaillance
MTTR
t2
Dtection
Dfaillance
MUT
Temps de
Remise en
service
t3
Fin
intervention
t4
Fin Remise
en service
t5
Temps
2me
Dfaillance
58
59

Notion de Dure de vie
Ne pas confondre Taux de dfaillance, MTBF et DUREE DE VIE
= cste
Temps
Dure de vie
La dure de vie correspond, pour un systme rparable, la dure entre la mise en

service et le moment o le taux de dfaillance est considr en augmentation de 10%
par rapport constant.
Exemple : Voiture
Dure de vie = 10 ans

MTBF = 2 ans
60
Exemple de rflexion terrain

P1
(40%)
Ligne 1
Entre
V2
V1
P2
(60%)
300h
100%
500h
60%
40%
0%
500h
200h
100%
60%
40%
0%
0
2000h
4000h
61

300h
100%
500h
P1
(40%) Ligne 1
60%
40%
0%
Entre
500h
200h
100%
V2
60%
V1
40%
0%
2000h
4000h
P2
(60%)
Deux histoires ne constituent pas, bien entendu, un chantillon statistiquement

reprsentatif, mais cela va suffire pour montrer ce qu'on peut tirer de telles
simulations.
Plaons-nous l'instant t = 2000 (l'abscisse est gradue en pas de 100h pour faciliter la
lecture) : au temps 2000 le systme est en panne totale 1 fois sur 2, donc son
"indisponibilit instantane" peut tre estime 1/2 = 0.5
Au temps 2000 le systme est rest en panne totale pendant 500h sur 2*2000 =
4000h, donc son "indisponibilit moyenne" peut tre estime
500/4000= 0.125
62

300h
100%
500h
60%
40%
0%
500h
200h
100%
60%
40%
0%
2000h
4000h
Le systme est tomb en panne totale 1 fois sur 2 avant l'instant 2000h, donc sa
"dfiabilit" (complment 1 de la fiabilit) peut tre estime 1/2 = 0.5
Le systme est tomb en panne totale 1 fois sur 2 avant l'instant 2000h, donc son
nombre moyen de pannes totales peut tre estim 1/2 = 0.5
Le systme a produit (300+300+400+300+100)+(400+200+500) = 2500h 100% soit
62.5% du temps
le systme a produit 500h 60% soit 12.5% du temps
la "disponibilit de production" (esprance mathmatique de la productivit) a t

de 62.5 + 12.5*0.6 +12.5*0.4 = 75%
63

300h
100%
500h
P1
(40%) Ligne 1
60%
40%
0%
Entre
500h
200h
100%
V2
60%
V1
40%
0%
2000h
4000h
P2
(60%)
La perte de production ("indisponibilit de production") a t de 1.00-0.75 = 25%

( comparer avec l'indisponibilit moyenne classique de 12.5%)
L'quipe de rparateurs a t appele en moyenne 8/2 = 4 fois par histoire
L'quipe de rparateurs t occupe en moyenne 1500/2 = 750 h par histoire soit
37.5% de son temps
64

300h
100%
500h
P1
(40%) Ligne 1
60%
40%
0%
Entre
500h
200h
100%
V2
60%
V1
40%
0%
2000h
4000h
P2
(60%)
A vous de jouer 4000h

Plaons-nous l'instant t = 4000 : au temps 4000 le systme est en panne totale
...fois sur 2, donc son "indisponibilit instantane" peut tre estime
Au temps 4000 le systme est rest en panne totale pendant sur .,
donc
son
"indisponibilit
moyenne"
peut
tre
estime
.
65

300h
100%
500h
60%
40%
0%
500h
200h
100%
60%
40%
0%
2000h
4000h
Le systme est tomb en panne totalefois sur 2 avant l'instant 4000h, donc sa
"dfiabilit" (complment 1 de la fiabilit) peut tre estime
Le systme est tomb en panne totale.fois sur 2 avant l'instant 4000h, donc son
nombre moyen de pannes totales peut tre estim
Le systme a produit 100% soit ..
du temps
le systme a produit.. 60% soit du temps
le systme a produit . 40% soit .du temps
le systme a produit .. 0% soit du temps
la "disponibilit de production" (esprance mathmatique de la productivit) a t

de . = .
66

300h
100%
500h
P1
(40%) Ligne 1
60%
40%
0%
Entre
500h
200h
100%
V2
60%
V1
40%
0%
2000h
4000h
P2
(60%)
La perte de production ("indisponibilit de production") a t de . =

..%
L'quipe de rparateurs a t appele en moyenne .. fois par histoire

L'quipe de rparateurs t occupe en moyenne .. par histoire soit
. de son temps
67
Exercice Fiabilit
Une machine quatre dispositifs D1, D2, D3, D4, dont la dfaillance peut intervenir
de manire indpendante. On observe le fonctionnement de la machine pendant un
intervalle de temps T.
Soit Ai: Di fonctionne sans dfaillance pendant lintervalle T , avec une proba :
P(Ai ). On sait que P(A1)=0.80 P(A2)=0.85 P(A3)=0.90 P(A4)=0.90
La machine tombe en panne si D1 est dfaillant. La machine continue de fonctionner
si un seul des trois dispositifs D2, D3, D4 est dfaillant ; mais la dfaillance simultane
de deux de ces trois dispositifs met la machine en pane.
Quelle est la probabilit de fonctionnement de cette machine sur lintervalle de
temps T ?
68
69
Exercice Fiabilit
-A- Une machine tombe en panne selon la loi exponentielle avec un
facteur = 0.5/heure. Quelle est la probabilit que la machine tombe en
panne entre la premire et deuxime heure aprs le dmarrage?
-B- La dure de vie d'un composant d'un systme est suppose suivre une loi
exponentielle de paramtre . Un grand nombre de ces composants sont tests et on
a observ que 5% ne durent pas plus de 100 heures.
Estimer la probabilit qu'un composant pris au hasard dure plus de 200 heures, ou T
est la dure de vie en heures
-C- Quelle est la probabilit quun matriel de taux de dfaillance en
fonctionnement de = 8 10-5 / heure tombe en panne durant une anne sachant
quil fonctionne 24 h / 24 h, 6
jours sur 7 ?
70
71
CYCLE DE RALISATION DES

ANALYSES DE SDF
72
Plan
Le Cycle traditionnel des analyses de SdF

La gestion des connaissances dans les cycles SdF
Les outils et mthodes de la SdF :

Analyse Prliminaire des Risques (APR)

AMDE / AMDEC
Arbres de Dfaillance
Diagramme Bloc de Fiabilit
Modles vnement discrets
73
Cycle danalyse SdF traditionnel

Analyse
technique et
fonctionnelle
Analyse
Qualitative
Analyse
Quantitative
Synthse
Conclusion
74
75
76
Cycle danalyse SdF

A ce cycle traditionnel il convient dajouter :
La gestion du Retour dExprience (REX),
Les itrations travers les niveaux de granularit (systme,
quipements, composants, composants unitaires)
Les itrations entre analyses de SdF (mise jour devt redouts, de
Mode de dfaillance ).
Ce cycle prend aussi des formes diffrentes suivant sil est

appliqu un systme existant ou en cours de conception.
77
La gestion des connaissances durant

le Cycle danalyse de SdF
BdD REX
Dterminer
cible de ltude
Valider les
solutions
proposes
Qualitatif
Quantitatif
Dterminer les
principaux ER
Analyser le systme
Cible /
Conception du
systme
Analyser les MdD du

systme & les causes
possibles des ER
ER : Evnements Redouts
MdD : Modes de Dfaillance
BdD : Base de Donnes
REX : Retour dEXprience
Quantifier les
risques identifis
Modification /
Prescription de
conception
Prioriser les
actions
correctives
78
Cycle danalyse de SdF

Schmatiquement
INDUCTIF
Composants
/ Fonctions
Systme
Cible
Propagation
MdD
Causes
Evts
Redouts
Consquences
Quantification
valuation des
Risques
DEDUCTIF
79
Les outils de la SdF
80
Les outils au cur du cycle de SdF
FHA
AF
APR
ER
AMDEC
F.T.A/ D.F.
81
Cycle et domaine industriel
82
Cycle et domaine industriel
83
Systme
ER
ANALYSE PRLIMINAIRE DES

RISQUES
84
Objectifs
Lobjectif gnral est dvaluer les problmes rsoudre en matire de
matrise des risques :
Rendre compte des risques sur le systme,
Dimensionner les efforts dtudes et de rduction des risques,
Localiser les points critiques du systme.
Attendus :
Identifier lensemble des ER et leurs scenarii associs,
Objectifs de SdF sur les fonctions/architecture,
Prconiser des mesures de contrle du risque.
Cas demploi:

Projet multi acteurs,

Prsence dexigences de scurit,
Systmes complexes,
Forte influence/interaction avec lenvironnement.
LAPR est principalement oriente Scurit

85
Piloter la SdF
valuer les risques pour :
Entriner les dcisions dapprofondir ou clore les investigations de SdF,
Fixer les performances de SdF attendues (limites suprieures et
infrieures),
Canevas du suivi des ER,
Prparation de la documentation dun dossier de scurit,
Justifier certaines dcisions techniques (ex. ajout de redondances).
86
Mise en place
LAPR adopte une dmarche inductive dont la ralisation adopte Trois phases
principales :
Identification des dangers et vnements redouts,
Evaluation et classement des risques associs,
Propositions de mesure de couverture des risques.
LAPR doit tre utilise le plus tt possible dans le cycle de vie et doit ensuite
tre mise jour au fil de lavancement de la conception et des tudes de SdF.
LAPR doit tre prcde dune dfinition du systme et de son environnement :
Les fonctions remplir par le systme (analyse fonctionnelle),
Comment le systme va vivre, tre utilis (profil de mission /phases de vie),
La description et la dlimitation du systme (arborescence technique,
organisation industrielle et schma darchitecture et des interfaces).
LAPR peut seffectuer ds la phase exploratoire :

Ds que lon connat les fonctions remplir par le systme,

Ds que lon connat les grands choix technologiques
87
Mise en place
LAPR peut prendre des formes varies suivant les domaines
technologiques et les objectifs de ltudes.
On peut distinguer APR et APD (Analyse Prliminaire de Danger).
Dans le second cas seule la gravit est tudie.
Elle est effectue en groupe de travail :
Par le responsable Qualit (ou Assurance Produit) du projet en liaison avec le
Chef de projet,
LIngnieur Systme,
Les responsables techniques des sous-systmes,
Les responsables qualit (ou Assurance Produit) des sous-systmes le cas
chant.
Le document rsultant est diffus lensemble du Projet.
88
APR mthode
Mthode inductive : scenarii de dysfonctionnement
Source -> scnario -> effets -> valuation -> Action de Rduction du Risque
tapes :
Identifier les ER
tudier et valuer les ER (hirarchiser)
Dfinir les actions de matrise.
Pralables : description fonctionnelle (et matrielle).
89
APR mthode
Dploiement de deux approches complmentaires :
Une approche fonctionnelle : consquences des dfaillances des
fonctions du systme,
Une approche agression :
Consquences des agressions du systme vers lextrieur (elts
potentiellement dangereux),
Consquences des agressions du milieu extrieur vers le systme (elts
sensibles)
90
APR mthode
Identification des vnements redouts
Un vnement redouts :
est la consquence d un vnement initiateur se traduisant par une
situation dangereuse, ou plus gnralement, par lchec de la mission
du systme.
peut se manifester par une gne pour l utilisateur (dgradation ou
chec de la mission), une dgradation de la scurit ou des pertes
financires.
91
APR mthode
Identification des vnements redouts
Lidentification des ER seffectue par :
lidentification des sources de dangers
la recherche d un vnement initiateur (dfaillance de la fonction ou
agression) dont les consquences provoqueront ou pourront
provoquer un vnement redout,
la description du cheminement des consquences de cet vnement
initiateur travers un scnario,
l identification de l vnement redout final.
92
APR mthode
valuation/Hirarchisation des vnements redouts
Classe de Gravit
Classe de
Gravit
Signification
Catastrophique
Un ou plusieurs morts et/ou Blesss graves et/ou des dommages majeurs

lenvironnement
Critique
Un bless grave et/ou un dommages significatif lenvironnement et/ou perte

du systme
Marginal
Un bless lgers et/ou une menace significative de lenvironnement et/ou

dommages svres au systme
Insignifiant
Dommages mineurs au systme
93
APR mthode
Classe doccurrence
Classe dOccurrence
Signification
Invraisemblable
Extrmement invraisemblable survenir durant la vie du S/S <= 10 (-9)
Rare
Invraisemblable survenir mais possible durant la vie du S/ S > 10 (-9)
Occasionnelle
Vraisemblable quil survienne Plusieurs fois durant la vie du S/S
Frquente
Vraisemblable quil survienne frquemment durant la vie du S/S
94
APR mthode
Criticit du Risque
Insignifiante
Marginale
Critique
Catastrophique
Invraisemblable
Ngligeable
Ngligeable
Ngligeable
Ngligeable
Rare
Ngligeable
Tolrable
Indsirable
Intolrable
Occasionnelle
Tolrable
Indsirable
Intolrable
Intolrable
Frquente
Indsirable
Intolrable
Intolrable
Intolrable
95
APR mthode
Traitement de lER
Hirarchiser :
Insignifiante
Marginale
Critique
Catastrophique
Invraisemblable
Ngligeable
Ngligeable
Ngligeable
Ngligeable
Rare
Ngligeable
Tolrable
Indsirable
Intolrable
Occasionnelle
Tolrable
Indsirable
Intolrable
Intolrable
Frquente
Indsirable
Intolrable
Intolrable
Intolrable
- on choisit le juste ncessaire pour traiter les ER en fonction de :

lexprience
la criticit
Dfinir le type de traitement
- comment sassure ton que lER est matris ?
Utilisation doutils adquats : AMDEC, AdD, outils spcifiques,
Apport des connaissances du spcialiste.
Accord du groupe de travail
Diminuer la frquence ou la gravit
96
APR mthode
Identification des vnements redouts :
Approche fonctionnelle
Recherche des consquences des dfaillances :
de chaque fonction du systme,
pour chaque situation de vie.
Formalise par un tableau
97
98
99
APR mthode
Approche agression du systme
L identification des ER est ralise par l analyse des
consquences des agressions potentielles que le systme peut
induire sur le milieu extrieur.
Systme
100
101
APR mthode
Approche agression du systme
Ralise par l analyse des consquences des agressions
Potentielles du Milieu extrieur vers les lments sensibles du
systme.
Systme
102
103
Points sensibles

tre exhaustif -> travail de groupe

Constitution dune donne dentre pour la suite du projet
Adopter le bon niveau de dtails
Eviter les a priori et fixations
Attention au syndrome : a fait X annes que lon fait comme a!

Changement de personnel,
Changement de process,
Des barrires ont pu disparatre,
volutions rglementaires ou normatives.
104
Exemple
Cycle de vie
105
Exemple
Arborescence fonctionnelle
composant
item
situation
Accident
Potentiel
compensatio
n
P G Remarques
Batteries
B1
Acclration,c
hute,
vibrations.
Choc, fuite
Bridage,
4 2 Bac de
rcupration,
vent
Humidit,
corrosion,
Oxydation
cosse, perte
batterie
Maintenance,
entretien
4 2
Cd-Ni
B2
Oxydation
coffre,
fixation
freines
B3
Raction
chimique
Explosion
Event,coffre
2 4
B4
Chaleur
Pas deffet
T<70c
3 1
B5
Froid
Baisse des
performances
T< -25 c
3 1
106
APR
Checklist de dangers
lectrique
lectrocution, lectrisation
Brlure
Surchauffe
Initiation intempestive de
substances en contact ou
proximit
Coupure de courant
Dcharge lectrostatique
Arc lectrique
Mcanique
quipement tournant
Poinonnement
Happement
Chute lment lourd
Instabilit/basculement
Projection dlment
crasement
lment coupant
Incendie (prsence de)
Carburant
Source dinitiation
Comburant
Produit propulsif
Matire inflammable
Temprature extrmes
Source de brlure
froide/chaude (surface,
immersion, renversement, etc)
lvation de pression
Liquide ou gaz confin
vaporation
Raction
Inflammation
Gel
Dgradation de la fiabilit
Dgradation des proprits
mcaniques de la matire
107
APR
quipement sous pression
(hydraulique, pneumatique, chimique, etc)
Surpression
Rupture (canalisation accumulateur,
lment, etc)
Implosion
Dfaut de rglage de clapet de surpression
Dfaut position clapet de
surpression
Coups de blier
Cavitation
Acclration,
dclration/gravit
Impact
Perte dobjet en mouvement
Chute dobjet
Projection dclats
Ballottement de liquide
Chute
Glisser/trbucher
108
APR
Rayonnement
Ionisant
Alpha
Beta
Neutron
Gamma
X-ray
Non ionisant
Laser
Infrarouge
Microonde
Ultraviolet
Radio
Explosif
Initiation
Chaleur
Friction
Impact, choc
Vibration
Dcharge
lectrostatique
Incompatibilit
Foudre
Fuite lectrique,
tincelle
Effet
Incendie
Explosif (suite)
Facteur aggravant
Chaud, froid
Vibration
Impact/choc
Taux dhumidit
Contamination chimique
Conditions
Poudre propulsive ou explosif
Gaz
Liquide explosif
Poussire explosive
Vapeur explosive
Explosion
Surpression
Projection dclats
Onde sismique
109
APR
Fuite/pandage (produit)
Physiologique (ergonomie)
Liquide, produit cryogne
Tempratures extrmes
Gaz, vapeur
Nuisance (odeur, poussire,
Nuage de poussires
bruit, vibration, irritant)
Sources de radiation
Variation de pression
Inflammable
importante
Toxique
Fatigue
Ractif (air, eau, autre produit)
Charge porte
Glissant
Allergnes, pathognes
Odorant
Asphyxiant
Pathogne, neurotoxique
Radiations
Asphyxiant
Substances toxiques
Contamination
Corrosif
chimique/eau/sol
Fuite
Rupture canalisation, rservoir
Dfaut de
distribution/sparation de
fluide
110
APR
Facteur humain
Erreur utilisateur
Action par inadvertance
Action trop tt/tard
Absence daction
Utilisation imprvue
Utilisation correct/contrle
incorrect
Dlai trop long/trop court
Facteur humain (Cause)

Fatigue
Inaccessibilit
Arrt durgence absent ou
inadquat
IHM inadquate
Luminosit trop/pas assez
Dfaut de conception du poste
de travail
Procdure de travail/contrle
inadquate, non prsente, mal
connue
111
APR
Systme de contrle
Surtension
CEM
Humidit
Activation intempestive
dfaillance circuit
Dfaut de mise la terre
Dfaillance logiciel
Causes communes
Perte puissance
Humidit
Temprature extrme
Mouvement sismique
Vibration
Poussire, sable
Dfaut rglage
Feu
Erreur oprateur
Radiation
Erreur maintenance
Dtection
Usure
Noyage
112
APR
Phases
Transport
Livraison
Installation
Rglage
Vrification
Mise en route
Dmarrage standard
Dmarrage durgence
Utilisation normale
Changement de charge, doutil
Accouplement/sparation
Arrt standard
Arrt durgence
test, diagnostic
Maintenance
113
Systme
ER
MdD
AMDE/AMDEC
Propagation
114
Vocabulaire
AMDE : Analyse des Modes de Dfaillance et de leurs Effets
AMDEC : Analyse des Modes de Dfaillance, de leurs Effets et de

leur Criticit
Equivalences anglaises :
FMEA : Failure Mode and Effects Analysis
FMECA : Failure Mode, Effects and Criticality Analysis
115
Dfinition
Technique d'analyse systmatique et rigoureuse qui permet :

de recenser les modes de dfaillances,
d'en rechercher les effets,
ventuellement d'en identifier les causes,
d'valuer les consquences et les risques lis ces dfaillances.
Mthode Inductive
Analyse de l'influence du dysfonctionnement des composants/fonctions

sur le systme considr, dans chacune des phases du profil de mission.
L'AMDEC est avant tout une mthode danalyse qualitative.
Elle peut avoir un aspect quantitatif, lorsqu'elle intgre des notions de

taux de dfaillance et de probabilits en gnral
116
Dfinition
LAMDEC nest pas une tude isole
Elle peut venir d'autres tudes : APR, Arbre de Dfaillance
Elle ncessite des tapes de prparation ...
... et elle dbouche sur d'autres tudes
PROFILS ET OBJECTIFS DE
MISSION
DEFINITION DU SYSTEME
ANALYSE DE MAINTENANCE
ANALYSE DE PROCEDURES
ANALYSE DE POINTS CRITIQUES
ANALYSE FONCTIONNELLE
ARBRE DE DEFAILLANCE
ALLOCATION D'OBJECTIFS
RECHERCHE ET CALCUL DE TAUX DE
AMDEC
DEFAILLANCE
REVUE DE CONCEPTION
117
Diffrents types dAMDEC

Dans le Temps
AMDEC "PREVISIONNELLE"
Analyse des modes de dfaillance en phase de CONCEPTION,
Dveloppement, d'un systme. (Recherche des dfaillances potentielles)
AMDEC "OPERATIONNELLE"
Analyse des modes de dfaillance d'un systme existant (prototype ou phase
exploitation). (Recherche des dfaillances potentielles et relles, dmarche
damlioration)
L'AMDEC EST EVOLUTIVE ET SUIT LES PHASES D'UN PROJET
- peu dtaille en phase d'avant-projet,
- dtaille au cours de la phase de conception,
- affine lors des phases de fabrication, assemblage, exploitation ...
- un lien doit tre maintenu au cours du temps entre les AMDEC successives
118

Par objet dtude
AMDEC Produit
Analyse des dfaillances du produit, dues sa conception, son
dveloppement, sa fabrication, son exploitation, ...
AMDEC Process
LAMDEC Process est utilise pour tudier les dfauts potentiels dun
produit nouveau ou non, engendrs par le processus de fabrication.
AMDEC Moyen de Production (Moyen)
LAMDEC - Moyen de production, plus souvent appele AMDEC-Moyen,
permet de raliser ltude du moyen de production lors de sa conception
ou pendant sa phase dexploitation.
AMDEC Organisation
119

Bases de lanalyse
L'AMDEC consiste tudier les dfaillances :
Des COMPOSANTS ou ensemble de composants concourant la ralisation d'une

fonction (ou plusieurs fonctions),
Parfois appele AMDEC Matriel ou AMDEC Composants
Des FONCTIONS, reprsentes par des blocs fonctionnels (regroupement d'lments

concourant la ralisation d'une fonction dfinie)
Parfois appele AMDEC Fonctionnelle
Approche "Matriel" si les composants peuvent tre identifis

individuellement
composant sous-systme Effet systme
Approche "Fonctionnelle" si les composants ne peuvent tre identifis

individuellement ou si la complexit du systme impose une dfinition par
blocs fonctionnels
sous-fonctions des blocs fonctions du systme
fonctions du systme Effet systme
120
AMDEC fonctionnelle
AMDEC fonctionnelle
Ralisable trs tt ds la phase de dfinition du besoin
Utilisation de l'Analyse fonctionnelle systme
Buts :
Rechercher l'implication des fonctions dans les diffrents domaines
(Scurit, Fiabilit, Maintenance) pour :
agir sur la dfinition fonctionnelle du systme
minimiser la suite des tudes
rechercher l'implication sur le profil de mission (politique d'exploitation)
121
AMDEC Composants
AMDEC composants
Ralisable ds les phases de conception prliminaire
Utilisation de l'Analyse fonctionnelle un niveau infrieur
et utilisation des schmas et plan
But :
Rechercher l'implication des lments physiques (limitation de l'tude aux
lments ayant une influence dans les domaines concerns) pour :
agir sur la conception
ventuellement dfinir des exigences de maintenance ou d'exploitation
Valider une conception en sassurant de labsence des effets indsirables
122
AMDEC Fonctionnelle/Composants
AMDEC FONCTIONNELLE :
Mode de dfaillance =
Dfaillance de la fonction
ou de la sortie.
(Correspond l'effet local)
AMDEC MATERIELLE :
Mode de dfaillance =
Dfaillance matrielle
(interne, entre, sortie)
(Effet local = effet sur la
fonction ou la sortie
attendue)
Bloc fonctionnel
Entre
Sortie
AMDEC
MATERIELLE
AMDEC
FONCTIONNELLE
123
AMDEC niveau de dtails

L'AMDEC SE REALISE A DIFFERENTS NIVEAUX DE DECOUPAGE D'UN SYSTEME
Niveau 1
A1
Niveau 2
Niveau 3
A11
A111
A112
A113
A12
A121
A122
A13
A131
A132
A133
A134
Il est important :
de bien dfinir le dcoupage en niveaux (fonctionnel, matriel),
de choisir comme niveau de base, celui sur lequel on dispose d'informations, ou celui
contractuel,
d'analyser les effets des dfaillances sur le ou les niveaux suprieurs
(effet niveau 3
cause niveau 2)
d'analyser les liaisons entre les diffrents niveaux.
124
AMDEC quipe projet

Une AMDEC peut permettre de regrouper toutes les
spcialits intervenant sur un systme
GROUPE DE TRAVAIL
Electronique
Informatique
Automatique
Pneumatique
AMDEC PRODUIT
Hydraulique
Mcanique
...
Qualit
125
AMDEC : mthode
Connecteur
Identifiant
Composition
0..1 id
Connexion
Connect
1
Composant
*
1
Interface
1
1
Entre
Excution
Excute
Sortie
1
Diffusion
1
Reoit
Fournit
*
Fonction
*
*
*
Flux
Modifie
126
AMDEC : mthode
Identifiant
0..1 id
Mode de Dfaillance
1
Composant
+ Gravit
* + Occurrence
mdd + Dtectabilit
1 1
*
Cause
Impacte
*
*
Effet Local
Effet Systme
*
*
Moyen de Dtection
Moyen de Correction
1
1
Impacte
*
Composant Priphrique
Excute
Engendre
1..*
Impacte
Engendre
Engendre
Excute
*
Fonction Priphrique
*
*
Fonction
*
Environnement
127
Phase 1 :
AMDEC : mthode
-1- IDENTIFICATION
Prparation de lAMDEC :
Caractrisation des limites et des phases d utilisation
Recensement des fonctions et des lments qui dfinissent le systme,
Dfinition des niveaux de dcoupage,
Expression des objectifs prcis de l'analyse.
-2- DESCRIPTION
L'AMDEC est formalise par un tableau dont les colonnes reprsentent les tapes de la
procdure AMDEC.
Ces colonnes sont dfinies selon les objectifs de l'tude.
Certaines nanmoins sont obligatoires :
dsignation et description de l'lment de base considr (fonction ou matriel),
modes de dfaillance,
effets des dfaillances,
criticit.
128
AMDEC : mthode
Phase 1 :
-3- RECENSEMENT DES MODES DE DEFAILLANCE
Un mode de dfaillance dcrit la faon dont se manifeste une dfaillance.
Tout lment est caractris par une ou plusieurs fonctions raliser, valorises
par des performances.
Un mode de dfaillance est l'altration de cette ou de ces fonctions.
PAS de fonction ?
PERTE de la fonction ?
DEGRADATION de la fonction ?
Fonction INTEMPESTIVE ?
On recense tous les modes de dfaillances possibles. Heureusement il existe des
rfrentiels.
129
AMDEC : mthode
Modes de Dfaillance gnrique des fonctions
Ajout possible des contraintes temporelles

130
AMDEC : mthode
Modes de Dfaillance AFNOR
131
AMDEC : mthode
Phase 1 :
-4-. RECHERCHE DES CAUSES
Suivant les besoins de l'tude, on peut rechercher les causes attribuables
chaque mode de dfaillance :
CAUSES INTERNES
dfaut de conception, de fabrication,
dfaut de matriau,
intrinsque (usure ...), ...
CAUSES EXTERNES
mauvaise utilisation,
influence de l'environnement (agression, pollution ...)
dfaillance d'un lment environnant,
On recherche souvent la cause la plus lmentaire (cause des causes).
132
AMDEC : mthode
Phase 1 :
-5-. RECHERCHE DES EFFETS
On recense les consquences que peut avoir chaque mode de
dfaillance.
Il convient de les valuer sur le ou les niveaux suprieurs, jusqu'au
niveau le plus haut (systme, process, client ...).
133
AMDEC : mthode
Phase 2 :
-6-. ANALYSE DE CRITICITE
Dfinition :
La criticit est l'expression de l'importance globale d'une dfaillance donne.
Elle permet de hirarchiser les dfaillances selon leur influence globale sur le
systme, le process, le client ..., vis--vis de la fiabilit, la maintenance, la
scurit.
Expression (criticit) :
Elle peut tre exprime par un paramtre ou une combinaison de paramtres
tels que :
gravit : classe ou degr sur les effets des dfaillances
occurrence : taux de dfaillance, frquence d'apparition
dtection : probabilit ou niveau
paramtres spcifiques aux particularits de l'tude (dure de
fonctionnement ...)
134
AMDEC : mthode
Calcul de la criticit
F: Frquence doccurrence (taux de dfaillance si disponible 1/MTBF)
G: Gravit
N : Probabilit de non dtection (signe avant coureur, temps mis pour dtecter la
dfaillance)
135
AMDEC : mthode
136
AMDEC : mthode
Phase 2 :
-7-. MODE DE DETECTION
Dans cette colonne sont dcrits les diffrents moyens envisags, permettant de
dtecter l'apparition du Mode de Dfaillance ou de l'effet.
-8-. ACTIONS CORRECTIVES OU DE MAINTENANCE

Afin de concrtiser les rsultats de l'analyse, on dcrit les actions engager suite la
dfinition des priorits.
Domaines possibles d'actions :
modifications de conception, portant par exemple sur la frquence et la
dtectabilit des dfaillances,
actions de maintenance, portant sur la gravit des modes de dfaillances
137
Exemple de Tableau
138
Observations
Les remarques suivantes sont issues d'expriences
d'applications d'AMDEC.
L'AMDEC est souvent engage trop tard par rapport au
dveloppement d'un produit.
La formation du personnel la mthode est souvent
insuffisante.
La cration d'un groupe de travail pour l'application de l'AMDEC
est prfrable pour son efficacit.
L'Analyse Fonctionnelle du systme pralablement
l'application de l'AMDEC n'est pas systmatique, alors qu'elle
sert dfinir les fonctions et niveaux du systme tudi.
139
AMDEC Points faibles

Lourdeur de gestion pour des systmes
complexes
Beaucoup de composants
Multiples fonctions
Diffrentes politiques de rparation et d'entretien
Plusieurs modes oprationnels
Recommandations Bien dlimiter le cadre de l'tude
L'AMDEC ne met pas en vidence les combinaisons ventuelles de

dfaillances, entranant la dfaillance globale du systme.
Recommandations
Complter l'AMDEC, si possible, par des arbres de

dfaillances pour les vnements les plus critiques
140

Volume d'informations trs important et souvent
non homogne
Risque de perte d'information par synthse
=> Recommandations
Ne pas se perdre dans les dtails
Traiter les AMDEC (Liste des Effets de Dfaillance LED, Liste
de Articles Critiques LAC,...)
141

Certains points durs dans la ralisation :

Analyse du contexte et dterminer le primtre de ltude

Mtrique du risque (dfinition des chelles de cotation)
Explicitation des risques
Obsolescence des connaissances contenue dans les analyses
Cohrence intra et inter-analyses
Matrise du vocabulaire (recommandations: cration de dictionnaire)
142
AMDEC Points forts

Outil trs performant lorsqu'il est utilis ds la phase de
conception.
Connaissance des tats dgrads du systme.
L'AMDEC permet la constitution de bases de donnes sur les
connaissances relatives aux produits, aux procds et
l'organisation, en particulier utiles pour d'autres AMDEC.
Outil de base pour la construction de la maintenance.
143
AMDEC Points forts

tablissement d'une liste de points critiques. (LAC ) ; Synthse
pour des revues de conception
Mise en vidence de priorits : contrle, vrification,
fabrication, points de tests, pices de rechange de premier
niveau,...
La mise en place d'un groupe de travail facilite les relations :
entre les diffrents services, vis vis du systme,
entre les diffrents spcialistes techniques.
144
Exemple relations internes
145
146
Rducteur
chane
tambour
Mesure
de
vitesse
EXEMPLE 2
1 et 2 accouplement lastique
3 chane
3
frein
Moteur
lectrique
charge
-- Le moteur lectrique entrane le rducteur;

-- Le rducteur est constitu par une chane et deux pignons dents ;
-- le frein hydraulique assure le maintien de la charge en position ds quil y a
commande de larrt du moteur;
-- pour palier aux dfauts dalignements et amortir une partie des efforts de
torsion, les liaisons entre le moteur, le rducteur et le tambour sont ralises par
des accouplements lastiques;
-- Un dispositif, li au tambour, mesure sa vitesse de rotation; en cas de vitesse
excessive, il commande larrt du moteur et le freinage;
-- lalimentation lectrique du moteur, la centrale hydraulique et son alimentation
lectrique, le circuit de contrle/commande ne sont pas reprsents.
composant
fonction
Moteur
lectrique
Assure
lentranement
du rducteur
Frein
Assure le
maintien de la
charge en
position et le
freinage
durgence
Modes de
dfaillance
Causes
Effet sur
le
systme
Effets/s
curit
Moyen de
dtection
composant
fonction
Accouplement
lastique 1
Assure la
liaison entre
le moteur et
le rducteur
Rducteur
Entrane le
tambour par
rotation
Accouplement
lastique 2
Assure la
liaison entre
le rducteur
et le tambour
Dispositif de
mesure de
vitesse
Commande
larrt du
moteur et le
freinage
lorsque la
vitesse de
rotation du
tambour
dpasse un
seuil
Modes de
dfaillance
Causes
Effet sur le systme
Effets/s
curit
Moyen de
dtection
composant
Moteur
lectrique
fonction
Assure
lentranement
du rducteur
Modes de
dfaillance
Non
dmarrage
Arrt
intempestif
Pas darrt
Dmarrage
intempestif
Frein
Assure le
maintien de la
charge en
position et le
freinage
durgence
Absence de
freinage
Freinage
intempestif
Causes
Effet sur
le
systme
Effets/s
curit
Moyen de
dtection
composant
fonction
Accouplement
lastique 1
Assure la
liaison entre
le moteur et
le rducteur
Rducteur
Entrane le
tambour par
rotation
Modes de
dfaillance
rupture
Blocage
Rupture de
la chane
Accouplement
lastique 2
Assure la
liaison entre
le rducteur
et le tambour
rupture
Dispositif de
mesure de
vitesse
Commande
larrt du
moteur et le
freinage
lorsque la
vitesse de
rotation du
tambour
dpasse un
seuil
Commande
intempestive
Absence de
commande
darrt (en
cas de
vitesse
excessive)
Causes
Effet sur le systme
Effets/s
curit
Moyen de
dtection
composant
Moteur
lectrique
fonction
Assure
lentranement
du rducteur
Modes de
dfaillance
Non
dmarrage
Arrt
intempestif
Frein
Assure le
maintien de la
charge en
position et le
freinage
durgence
Causes
Dfauts internes
Dfauts dalimentation lectrique
Dfauts de la commande
Dfauts internes
Erreur humaine (commande intempestive)
Pas darrt
Dmarrage
intempestif
Absence de
freinage
Dfauts internes
Dfauts de la centrale hydraulique
Usure des garnitures
Freinage
intempestif
Dfauts internes
Effet sur
le
systme
Effets/s
curit
Moyen de
dtection
composant
fonction
Accouplement
lastique 1
Assure la
liaison entre
le moteur et
le rducteur
Rducteur
Entrane le
tambour par
rotation
Modes de
dfaillance
Causes
rupture
Dfauts internes
Absence de graissage
Blocage
Dfauts propres
Efforts anormaux
Rupture de
la chane
Accouplement
lastique 2
Assure la
liaison entre
le rducteur
et le tambour
rupture
Dfauts propres
Vieillissements
Dispositif de
mesure de
vitesse
Commande
larrt du
moteur et le
freinage
lorsque la
vitesse de
rotation du
tambour
dpasse un
seuil
Commande
intempestive
Dfauts propres
Absence de
commande
darrt (en
cas de
vitesse
excessive)
Dfauts propres
Effet sur le systme
Effets/s
curit
Moyen de
dtection
composant
Moteur
lectrique
fonction
Assure
lentranement
du rducteur
Modes de
dfaillance
Non
dmarrage
Arrt
intempestif
Frein
Assure le
maintien de la
charge en
position et le
freinage
durgence
Causes
Dfauts internes
Dfauts internes
Effet sur
le
systme
Effets/s
curit
Perte de la
fonction
levage
Perte de la
fonction
levage
Risque de
chute de la
charge
Pas darrt
Dmarrage
intempestif
Absence de
freinage
Dfauts internes
Nonmaintien de
la charge
en position
descente
par gravit
jusquau sol
Freinage
intempestif
Dfauts internes
Perte de la
fonction
levage
Danger
pour les
personnels
Danger
pour les
personnels
Danger
pour les
personnels
Moyen de
dtection
composant
fonction
Accouplement
lastique 1
Assure la
liaison entre
le moteur et
le rducteur
Rducteur
Entrane le
tambour par
rotation
Modes de
dfaillance
Causes
rupture
Dfauts internes
Blocage
Effet sur le systme
descente de la charge par

gravit, augmentation de la
vitesse du tambour, freinage
sans effet
Effets/s
curit
Danger
pour les
personnels
Perte de la fonction levage

Dfauts propres
Efforts anormaux
Rupture de
la chane

sans effet
Danger
pour les
personnels
Danger
pour les
personnels
Accouplement
lastique 2
Assure la
liaison entre
le rducteur
et le tambour
rupture
Dfauts propres
Vieillissements

sans effet
Dispositif de
mesure de
vitesse
Commande
larrt du
moteur et le
freinage
lorsque la
vitesse de
rotation du
tambour
dpasse un
seuil
Commande
intempestive
Dfauts propres
Perte de fonction levage
Absence de
commande
darrt (en
cas de
vitesse
excessive)
Dfauts propres

gravit jusquau sol
Danger
pour les
personnels
Moyen de
dtection
composant
Moteur
lectrique
fonction
Assure
lentranement
du rducteur
Modes de
dfaillance
Non
dmarrage
Arrt
intempestif
Frein
Assure le
maintien de la
charge en
position et le
freinage
durgence
Causes
Dfauts internes
Dfauts internes
Effet sur
le
systme
Effets/s
curit
Moyen de
dtection
Perte de la
fonction
levage
Perte de la
fonction
levage
Risque de
chute de la
charge
Pas darrt
Dmarrage
intempestif
Absence de
freinage
Dfauts internes
Nonmaintien de
la charge
en position
descente
par gravit
jusquau sol
Freinage
intempestif
Dfauts internes
Perte de la
fonction
levage
Danger
pour les
personnels
Danger
pour les
personnels
Danger
pour les
personnels
Par
thermique du
moteur
composant
fonction
Accouplement
lastique 1
Assure la
liaison entre
le moteur et
le rducteur
Rducteur
Entrane le
tambour par
rotation
Modes de
dfaillance
Causes
rupture
Dfauts internes
Blocage
Effet sur le systme

sans effet
Effets/s
curit
Danger
pour les
personnels
Moyen de
dtection
Par
dispositif de
mesure de
vitesse
Par
thermique du
moteur
Perte de la fonction levage

Dfauts propres
Efforts anormaux
Rupture de
la chane

sans effet
Danger
pour les
personnels
Danger
pour les
personnels
Accouplement
lastique 2
Assure la
liaison entre
le rducteur
et le tambour
rupture
Dfauts propres
Vieillissements

sans effet
Dispositif de
mesure de
vitesse
Commande
larrt du
moteur et le
freinage
lorsque la
vitesse de
rotation du
tambour
dpasse un
seuil
Commande
intempestive
Dfauts propres
Perte de fonction levage
Absence de
commande
darrt (en
cas de
vitesse
excessive)
Dfauts propres

gravit jusquau sol
Danger
pour les
personnels
Par
dispositif de
mesure de
vitesse
Par
dispositif de
mesure de
vitesse
Memento Gestion AMDEC
158
Memento Gestion AMDEC
159
ARBRES DE DFAILLANCES
160
Gnralits
Mthodes dductives qui permet dinvestiguer les causes dun
vnement redout et reprsente tous les scnarios redouts,
Permet daccder rapidement des caractrisations quantitatives.
Arbre dvnements
(ex AMDEC composants)
Arbre de causes
Evt
Arbre de dfaillances
161
Dfinition et objectifs
Reprsenter graphiquement les relations causes/effets, laide
dune structure de type arbre logique (portes logiques, et, ou, ).
Rsultats attendus :
qualitatifs : scnarios possibles conduisant lER
quantitatifs : probabilit d apparition de lER.
valuer limportance des diffrents scnarios dans l apparition dun

ER.
Orienter les actions dtude et damlioration de la conception.
ventuellement, aider l allocation d objectifs de SdF.
Lobjectif est de suivre une logique dductive en partant dun
vnement Redout (not ER) pour dterminer de manire
exhaustive lensemble de ses causes jusquaux plus lmentaires
162
AdD Dmarche
-1-. Dfinition des vnements
vnement redout :
Lvnement redout est lvnement indsirable pour lequel nous
faisons ltude de toutes les causes qui y conduisent. Cet vnement est
unique pour un arbre de dfaillance et se trouve au sommet de larbre.
Avant de commencer la dcomposition qui permet dexplorer toutes les
combinaisons dvnements conduisant lvnement redout, il faut
dfinir avec prcision cet vnement ainsi que le contexte de son
apparition.
Lvnement redout est reprsent par un rectangle au sommet de
larbre comme par exemple lexplosion du rservoir de carburant de
Challenger.
163
AdD Dmarche
vnements intermdiaires :
Les vnements intermdiaires sont des vnements dfinir comme
lvnement redout. La diffrence avec l'vnement redout est qu'ils sont
des causes pour d'autres vnements. Par exemple cest la combinaison
d'vnements intermdiaires qui conduit lvnement redout.
Un vnement intermdiaire est reprsents par un rectangle comme
l'vnement redout. Dans notre exemple, cest la combinaison dune fuite
de carburant avec dautres vnements qui est susceptible de provoquer
lexplosion du rservoir.
164
AdD Dmarche
vnements lmentaires :
Les vnements lmentaires sont des vnements correspondants au
niveau le plus dtaill de lanalyse du systme. Dans un arbre de
dfaillance ils reprsentent les dfaillances des composants qui
constituent le systme tudi.
Pour fixer le niveau de dtails de notre tude, nous considrons en
gnral que les vnements lmentaires concident avec la dfaillance
des composants qui sont rparables ou interchangeables.
Les vnements lmentaires sont reprsents par des cercles. Dans
notre exemple, cest la combinaison de la dfaillance Joint perc et
Vanne bloque ouverte qui provoque une fuite de carburant.
165
AdD Dmarche
Rsum de la symbolique des vnements :
Il existe dautres types d'vnements dfinis par la norme leurs symboles ainsi que
leurs significations sont rpertoris dans le tableau suivant.
Symbole
Nom
Rectangle
Signification
vnement redout ou vnement intermdiaire
Cercle
vnement lmentaire
Losange
vnement lmentaire non dvelopp
Double
losange
vnement lmentaire dont le dveloppement est faire

ultrieurement
Maison
vnement de base survenant

fonctionnement du systme
normalement
pour
le
166
AdD Dmarche
-5-. Portes logiques de base
Porte ET :
Lvnement G1 ne se produit que si les vnements
lmentaires d1, d2 et d3 existent simultanment.
Porte OU :
L vnement G1 se produit de manire indpendante si lun
ou lautre des vnements lmentaires d1, d2 ou d3 existe.
Porte R/N :
Si R=2 et N=3 alors il suffit que deux des vnements
lmentaires d1, d2, d3 soient prsents pour que
lvnement G1 se ralise.
167
AdD Dmarche
-6-. Transfert de sous-arbres
Il existe pour les arbres de dfaillances une symbolique normalise qui permet de faire
rfrence des parties de larbre qui se rptent de manire identique* ou de manire
semblable + pour viter de les redfinir.
Lobjectif est de rduire la taille du graphique. Le tableau suivant prsente les symboles
ainsi que les significations qui sont utiliss.
* Identique : mme structure, mme vnements.
+ Semblable : Mme structure mais avec des vnements diffrents.
Symbole
Nom
Signification
Triangle
La partie de l'arbre qui suit le premier symbole se retrouve

identique, sans tre rpte, l'endroit indiqu par le
second symbole.
Triangle
invers
La partie de l'arbre qui suit le premier symbole se retrouve

semblable mais non identique l'endroit indiqu par le
second symbole.
168
AdD Dmarche
Rgles de construction
Expliciter les faits et noter comment et quand ils se produisent

- pour lvnement redout
- pour les vnements intermdiaires
Effectuer un classement des vnements :
- vnement lmentaire reprsentant la dfaillance dun
composant: dfaillance premire,
- vnements intermdiaires provenant dune dfaillance de
composant. Cest par exemple un mode de dfaillance !
- vnements intermdiaires provenant du systme
indpendamment du composant. Cest par exemple une
configuration particulire.
Rechercher les causes immdiates de lapparition de chaque vnement
intermdiaire afin dviter loubli dune branche
viter les connexions directes entre portes
elles sont en gnrale dues une mauvaise comprhension du systme ou une
analyse trop superficielle.
Supprimer les incohrences
comme par exemple : un vnement qui est la fois cause et
consquence dun autre vnement.
169
AdD Dmarche
Classification des
vnements intermdiaires
INS : Immdiat
Ncessaire et Suffisant
170
AdD Calcul de fiabilit

Si E rsulte de A ET B indpendants, sa probabilit est le produit des probabilits de A
et de B : P(E) = P(A) P(B)
Si E rsulte de A ou B indpendants, sa probabilit est dfinie comme :
P(E) = P(A ou B) = P(A) + P(B) P(A) P(B)
Les vts
lmentaires
doivent tre
indpendants
171
AdD Coupes
On appelle coupe dun arbre un ensemble dvnements de base et de conditions suffisant
pour produire lvnement-sommet.
Parmi ces coupes on appelle coupe minimale un ensemble dvnements de base ou
conditions ncessaire et suffisant produire lvnement-sommet. Si on retire une coupe
minimale un seul de ses lments le reste ne suffit plus produire lvnement-sommet.
On les trouve en descendant larbre, tape par tape de la manire suivante : la premire
tape donne un seul ensemble : {lvnement sommet}. Cest la coupe minimale triviale ;
une porte ET remplace dans un ensemble un vnement par les vnements dont il est la
conjonction;
une porte OU divise lensemble en autant densembles que la porte en introduit.
Dtape en tape, on arrive des ensembles qui ne contiennent que des vnements de base
ou conditions
liminer les redondances dvnements dans une mme coupe (il est inutile de citer
plusieurs fois le mme vnement dans une coupe)
liminer les redondances de coupes (quand le mme ensemble dvnements a t
produit par plusieurs voies, il est inutile de le conserver en plusieurs exemplaires) ;
liminer les super-coupes qui en contiennent dautres (quand un ensemble est
strictement contenu dans un autre, il nest utile de garder que le plus petit).
172
AdD Coupes exemple

Coupes minimales :
O
R, Q
S, Q
T, Q
W, WW
W, XX
W, YY
X, WW
X, XX
Y, WW
Y, XX
Y, YY
Z, WW
Z, XX
Z, YY
Ltude des coupes revt un grand intrt

scuritaire.
En gnral, on considre quil ne doit pas y avoir de
coupe infrieure 3, pour un systme scuritaire.173
AdD exemple
L'vnement redout
"Le systme utilisateur est non aliment" que l'on nomera ER
174
AdD exemple
cela se produit si :
"Dbit nul en aval de V1" ET "Dbit
nul en aval de V2"
175
AdD exemple
L'arbre associ est :
176
AdD exemple
-1-Dfaillance premire : Blocage de la

vanne en position ferme (un
vieillissement).
vnement lmentaire V1
bloque ferme
-2-Dfaillance de commande : Puisque la

vanne est manuelle, cette dfaillance
serait due l'oprateur qui n'aurait
pas ou mal effectu l'ouverture de V1.
vnement lmentaire
non dvelopp oprateur
dfaillant
177
AdD exemple
1.
Dfaillance premire : pas de rotation de la pompe.
2.
Dfaillance secondaire : dfaillance due une cause extrieure ou une utilisation particulire.
Ici un corps tranger qui obstrue la pompe.
3.
vnement lmentaire "P1 - Pas de rotation"
vnement lmentaire non dvelopp "Dfaillance secondaire de P1"
Dfaillance de commande : puisque la pompe est lectrique, cette dfaillance serait due la
perte de la source d'nergie.
vnement lmentaire "Perte source d'nergie
178
Exemple de dduction
Power Distribution Box
179
Order 2:
Order 3:
Order 4:
1) K1 K5
1) K2 T1inc T2
1) K5 KT1 KT2 KT3
2) K1 T2
2) T1 T1inc T2
2) K5 KT1 KT3 T4
3) K2 K5
3) T1inc T2 T3
4) K5 S1
5) K5 T1
6) K5 T3
7) S1 T2
180
1 K1 K5
4.000000E-004
2 K1 T2
4.000000E-004
3 K2 K5
4.000000E-004
4 K5 S1
4.000000E-004
5 K5 T1
4.000000E-004
6 K5 T3
4.000000E-004
7 S1 T2
4.000000E-004
8 K2 T1inc T2
8.000000E-006
9 T1 T1inc T2
8.000000E-006
10 T1inc T2 T3
8.000000E-006
11 K5 KT1 KT2 KT3
1.600000E-007
12 K5 KT1 KT3 T4
1.600000E-007
13 K2 KT1inc KT2inc KT3inc T2
3.200000E-009
181
Event
K1
K2
K5
KT1
KT1inc
KT2
KT2inc
KT3
Failure contrib.
8.000000E-004
4.080256E-004
2.000320E-003
3.264205E-007
3.841023E-008
1.632102E-007
3.841023E-008
3.264205E-007
Importance
29.41%
15.00%
73.53%
0.01%
0.00%
0.01%
0.00%
0.01%
182
Exercice
1) tablir l'arbre de dfaillance du systme suivant :
2) Rechercher les coupes minimales.
183
Exercice
184
Exercice
Soit une salle de sport dont le schma de cblage de lclairage peut tre reprsent par le schma ci-dessus. La
salle de sport est claire par 2 rampes de lampe. Chaque rampe possde 3 lampes montes en srie.
Lvnement redout est Salle de sport plonge dans le noir , sachant quil faut au minimum 3 lampes pour
que la salle ne soit pas plonge dans le noir.
Voici les donnes dont vous disposez :
Le rseau EDF tombe en panne en moyenne 1 fois par mois.
Le taux de dfaillance dune lampe est de 4 10-4 /heure (Loi expo.)
La probabilit de dfaillance la sollicitation du gnrateur de secours est de 10-2.
Vous devez :
- Raliser lanalyse qualitative de cet vnement redout en utilisant la mthode des arbres de dfaillance.
- crire lquation de larbre rgissant lvnement redout
- Dterminer les coupes minimales de larbre
- Calculer la probabilit de lvnement redout pour une sance de sport dune dure de 2
heures (on suppose quau dbut de la sance, toutes les lampes sont allumes et que le
rseau EDF nest pas dfaillant).
185
Exercice
186
Exercice
187
BLOC DIAGRAMME DE FIABILIT
188
Objectifs
Disposer dune modlisation simple pour analyser et calculer la
fiabilit dun systme.
Mise en vidence des chemins de succs et coupes minimales.
Calculer la fiabilit dun quipement.
Connus sous les noms de: Bloc Diagramme de Fiabilit (BDF),
diagramme de fiabilit, Reliability Block Diagram (RDB).
Mais quelques limitations : systmes non rparables, pas de

dfaillances simultanes.
189
BDF
Un diagramme de fiabilit est un modle qui permet de reprsenter le comportement
dun systme sous une vue fonctionnelle.
La mthode danalyse par diagramme de fiabilit repose sur :
- Une dcomposition du systme en sous-systmes, chaque entit est modlise par
des blocs : Les sous-systmes, Les fonctions, Les composants.
- Ces blocs modlisent leur participation au succs de la mission.
On dcompose le systme en composant relis en srie,
ou en parallle .
190
BDF: chemin de succs

Un bloc est considr comme un interrupteur ferm lorsque lentit est en tat de
fonctionnement ou un interrupteur ouvert lorsque lentit est en tat de panne.
Si le signal qui entre dans le diagramme en ressort, le systme est dclar en tat de
fonctionnement et la mission est russie, sinon le systme est en panne.
Un Lien ou chemin de succs est un ensemble dentits dont le fonctionnement assure le

succs de la mission du systme.
Un chemin de succs minimal est une des plus petites combinaisons dentits qui
lorsquelles sont en fonction permettent dassurer la fonction requise pour le systme.
191
BDF: coupes
Une coupe est un ensemble de blocs ou d entits qui conduit la panne ou la non
russite de la mission du systme si ces blocs ne peuvent plus raliser leurs fonctions
(ex : dfaillance de composant).
Une coupe est un ensemble d entits qui apparaissent dans tous les chemins de
succs. Si l ensemble des entits d une coupe est en panne alors aucun chemin de
succs ne permet de conduire la russite de la mission du systme.
Une coupe minimale est la plus petite combinaison d entits entranant l chec de la
mission du systme (elle ne contient aucune autre coupe).
192
Motifs lmentaires
Le diagramme srie :
La panne de l un ou de l autre des lments
entrane la panne du systme
Chemins de succs ou liens minimaux :
E1, E2
Le diagramme srie-parallle
E1, E2
E3, E4
Coupes minimales :
E1
E2
Coupes minimales :
E1, E3
E1, E4 E2, E3
E2, E4
Le diagramme parallle (ou redondance active)

La panne de tous les lments entrane la panne
du systme. Si un seul
des lments fonctionne alors il conduit au
fonctionnement du systme.
E1
E2
E3
Le diagramme parallle-srie
E1, E2
E1, E4 E2, E3
E3, E4
Coupes minimales :
E1, E3
E2, E4
Coupes minimales :
Pierre E1,
DAVID
E2,pierre.david@grenoble-inp.fr
E3
193
Calculs de probabilit
Blocs en Srie
194
Blocs en Parallle
195
Systme Srie-Parallle
196
Exemple
Exemple: Calculer la fiabilit et la probabilit de dfaillance du systme suivant.
Supposons les probabilits de dfaillance suivantes
Q1 = 0.01, Q2 = 0.02 and Q3 = 0.03.
2
1
Solution:
Combinons en parallle les composants 2 et 3

La probabilit de dfaillance est
La fiabilit est
197
Exemple
Puis combinons le composant 1 et le sous systme(2,3) en srie.
La probabilit de dfaillance pour le systme est :
Sa fiabilit est :

Ce qui est cohrent
avec RSYS = 1 QSYS
198
Systmes NON Srie-Parallles
199
Ex: Bridge
200
Ex: Bridge
201
202
203
204
Systmes K parmi N
Avec sous composants identiques
205
Exercice
Une alimentation lectrique fonctionne selon le schma suivant :
Lalimentation lectrique fonctionne correctement si lun des deux jeux de barre HA ou HB est
sous tension.
Le systme peut tre dcompos en 12 macro-lments reprsents sur le schma ci-joint.
1) Dterminer le diagramme de fiabilit de lalimentation lectrique. Puis en dduire les chemins de succs et les
coupes minimales.
2) Les deux rseaux (principal et auxiliaire) peuvent tomber en panne ensemble par suite dun orage par exemple.
Ceci est une panne de mode commun qui ncessite la reprsentation dun lment fictif n13.
Comment sont modifis le diagramme de fiabilit, les chemins de succs et les coupes minimales ?
206
Exercice
207
Exercice
208
Bibliographie
Cours acadmiques :

Techniques de lIngnieur :

Yves MORTUREUX Analyse Prliminaire des Risques

Marc GIRAUD Sret de Fonctionnement des systmes
Gilles ZWINGELSTEIN Sret de Fonctionnement des systmes Industriels complexes
Ouvrages :

Vincent IDASIAK ENSI de Bourges

David DELAHAYE CNAM
Claire PAGETTI CERT/ONERA
Jean-Franois AUBRY INP Nancy Lorraine
Thierry VERDEL Mines de Nancy
Samuel BASSETTO INP Grenoble
Franck DECOBECQ DGA/ENSI de Bourges
Alain VILLEMEUR Sret de Fonctionnement des systmes industriels 1988

Jean-Claude LAPRIE Sret de fonctionnement des systmes informatiques 1989
Georges-Yves KERVERN Elments fondamentaux des cyndiniques 1995
Normes :

CEI 50191
IEC 61508
209

CoursSdF PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CoursSdF PDF

Uploaded by

Copyright:

Available Formats

Anne 2010 2011 Management des Risques Industriels

Management des Risques Industriels

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Le cycle de gestion des risques

4. IEC 61508 : Exemple de standards de dveloppement de

Anne 2010 2011 Management des Risques Industriels

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Explosion nuage de gaz

200 blesss, 700 vacus

Explosion aprs une fuite

Explosion aprs perte de la

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Anne 2010 2011 Management des Risques Industriels

Approche Cindynique / Approche

Le risque nul nest pas atteignable

Un systme est un ensemble dlments matriels, humains,

logiciels, informatifs en interaction pour remplir une (des)

Anne 2010 2011 Management des Risques Industriels

Approche Cindynique / Approche

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Anne 2010 2011 Management des Risques Industriels

Anne 2010 2011 Management des Risques Industriels

Anne 2010 2011 Management des Risques Industriels

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Mesure du niveau de danger, fonction de la probabilit d'occurrence de

Anne 2010 2011 Management des Risques Industriels

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Dficits systmiques cindynognes

Anne 2010 2011 Management des Risques Industriels

Dficits systmiques cindynognes

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Dficits systmiques cindynognes

Maintien de pratiques considres comme

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Analyse daccident : Challenger

Anne 2010 2011 Management des Risques Industriels

Analyse daccident : Challenger

DSC 1 : culture dinfaillibilit,

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Analyse daccident : Bhopal

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Analyse daccident : Bhopal

Pierre DAVID pierre.david@grenoble-inp.fr

Anne 2010 2011 Management des Risques Industriels

Analyse daccident : Bhopal

Anne 2010 2011 Management des Risques Industriels

Pierre DAVID pierre.david@grenoble-inp.fr