Fiabilité - Maintenabilité - Disponibilité

Chapitre1 Cours de Contrôle et Fiabilité
___________________________________________________________________________
Introduction
La Sûreté de Fonctionnement (SdF)
Les Principales Composantes de la SdF (Fiabilité,
Disponibilité, Maintenabilité, Sécurité)
Notion de Défaillance
CHAPITRE 1 : PRINCIPAUX CONCEPTS
1. INTRODUCTION
Les activités industrielles et humaines sont presque quotidiennement sujet

d’incidents, d’accidents ou d’événements catastrophiques.
Le zéro défaut ou le risque zéro n’existe pas pour les activités industrielles à
cause de l’occurrence de défaillances humaines ou matérielles.
Pour tenter de réduire les risques à un niveau le plus faible possible, des
méthodes, des techniques et des outils scientifiques ont été développés des le début
du 20° siècle pour :
- Évaluer les risques potentiels ;
- Prévoir l’occurrence des défaillances ;
- Tenter de minimiser les conséquences des situations catastrophiques
lorsqu’elles se produisent.
L’ensemble de ces développements méthodologiques à caractère scientifique
représente la discipline de la sûreté de fonctionnement.
___________________________________________________________________________
ENIT 2A GI 1 Dr. K. Bourouni
Chapitre1 Principaux concepts de la sûreté de fonctionnement
___________________________________________________________________________
2. LA SURETE DE FONCTIONNEMENT (SdF)
2.1. Les enjeux de la sûreté de fonctionnement
La sûreté de fonctionnement (SdF) consiste à connaître, évaluer, maîtriser,

prévoir et mesurer les défaillances technologiques et les défaillances humaines. La
sûreté de fonctionnement d’un système est son aptitude (état) à délivrer le service
garanti. La figure 1.1. illustre le rôle de la SdF.
BESOIN
CONCEPTION
(FABRICATION)
SYSTEME
s
ion s
nct ue
Fo chniq
Te
ice
FONCTIONNALITES eS
erv
sd
ion
n
tio
ect
nc
rot
Fo
ep
sd
ion
SERVICE
nct
SPECIFIE
Fo
Fo
ce
nc
rvi
tio
Se
ns
de
de
S
ns
er
SdF
vi
tio
ce
nc
s Déf
ce a
Fo
illa
la n nce
f ail s
Dé
ENVIRONNEMENT
SERVICE
EXPLOITATION
GARANTI
(DELIVRE)
UTILISATEUR
Figure 1.1. Les enjeux de la sûreté de fonctionnement
___________________________________________________________________________
___________________________________________________________________________
La SdF recouvre l’ensemble des méthodes, outils et techniques ayant pour but :
- l’analyse (modélisation)
- l’évaluation (mesure)
- l’amélioration (protection)
du comportement du système en terme de service délivré compte tenu de
défaillances potentielles.
2.2. Évolution de la discipline
La SdF est appelée la science des « défaillances ». D’autres désignations existent

suivant les domaines d’applications : analyse de risque (milieu pétrolier), aléatique,
cynindique (science du danger), FMDS (Fiabilité, Maintenabilité, Disponibilité et
Sécurité) en anglais RAMS (Reliability, Availability, Maintainability, and Safety). Elle
se caractérise à la fois par les études structurelles statiques et dynamiques des
systèmes, du point de vue prévisionnel mais aussi opérationnel et expérimental
(essais, accidents), en tenant compte des aspects probabilités et des conséquences
induites par les défaillances techniques et humaines. Cette discipline intervient non
seulement au niveau des systèmes déjà construis mais aussi au niveau conceptuel
pour la réalisation des systèmes.
La SdF s’est développée principalement au cours du 20° siècle pour être
actuellement un domaine incontournable pour les «industries à risques» (nucléaires,
aéronautiques, etc.) mais aussi, de plus en plus, pour toute l’industrie, en raison de sa
corrélation avec la notion de qualité, les problèmes ergonomiques (relation
homme-machine) et l’impact sur l’environnement.
2.3. Missions et fonctions
Une étude de la SdF passe nécessairement par une analyse exhaustive des
différentes phases de fonctionnement faisant appel à des termes précis tels que
missions et fonctions assurées par un bien.
2.3.1. Missions :
Le profil de la mission d’une entité se décompose en plusieurs phases distinctes
dans lesquelles il est indispensable pour chacune d’entre elles de disposer d’un
ensemble de fonctions bien définies. L’une des missions de la navette spatiale
américaine est de mettre en orbite des satellites. Les phases de la mission qui doivent
___________________________________________________________________________
___________________________________________________________________________
être réalisées par la navette une fois mise en orbite sont représentées sur la figure 1.2.
MISSION Larguer un satellite
et
PHASES Navigation Manoeuvrer le bras Larguer le satellite Vol de l’entrée
Fonction 1 Fonction 2 Fonction 3 Fonction N
ou
manuelle automatique
Figure 1.2. : phases de la mission de la navette spatiale pour le lancement d’un satellite
2.3.2. Fonctions
L’AFNOR définit une fonction comme «l’action d’une entité ou de ses
constituants exprimée en termes de finalité ». Pour des systèmes plus complexes, il
est indispensable de classer et de hiérarchiser la nature des fonctions :
Fonctions Principales : la raison d’être d’un bien ou d’un système défini
souvent avec ses caractéristiques associées (durée, caractéristiques physiques,
chimiques, …) .
Fonctions Secondaires : dans de nombreux cas, un système assure d’autres
fonctions que la fonction principale. La perte de ces fonctions peut également avoir
des conséquences catastrophiques.
Fonctions de Protection : ces fonctions ont pour but de garantir la sécurité des
biens, des personnes et de l’environnement.
Fonctions Redondantes : dans les secteurs aéronautiques, nucléaires et spatiaux
ont trouvent des systèmes ou matériels redondants (doublés, triplets ou quadruplés)
pour assurer le niveau requis de sécurité ou de sûreté. Ces systèmes redondants
peuvent fonctionner en permanence (redondance active) ou être en attente
(redondance passive).
___________________________________________________________________________
___________________________________________________________________________
2.4. Avant Projet
Avant toute mise en œuvre d’une analyse de SdF, il est nécessaire d’identifier
les caractéristiques des systèmes et des composants :
- Les fonctions du système en distinguant les missions principales et
secondaires et leurs importances relatives ;
- La structure du système en analysant les liens entre systèmes et composants ;
- Les modes de fonctionnement des systèmes et les caractéristiques des
composants ;
- Les conditions d’exploitation du système ;
- L’environnement du système pour connaître ses délimitations et l’influence
des facteurs extérieurs ;
- L’inventaire des moyens de mesures.
2.5. Description des procédés industriels
Au sens très large : Un processus assure la fabrication d’un produit ou fournit

un service.
Conceptuellement : On appellera processus industriel, une installation
complexe assumant un objectif fonctionnel de haut niveau (production de biens ou
de services). Pour assurer ces objectifs fonctionnels, le processus fait appel à un
ensemble de systèmes interconnectés ou en interaction. Chaque système assure une
ou plusieurs fonctions bien définie(s).
2.5.1. Description générale

Les termes suivants sont souvent employés pour la description générale d’un
procédé industriel
* Bien durable
Tout élément, composant, équipement, sous système, système matériel de
processus, etc. , que l’on peut considérer individuellement et qui a pour objectif
d’assurer une fonction donnée pendant un temps relativement long, compte tenu de
la qualité des opérations de maintenance. Un bien durable peut être relativement
simple (machine à laver) ou complexe (avion, centrale nucléaire, ouvrage d’art, etc.)
___________________________________________________________________________
___________________________________________________________________________
* Élément
Partie constitutive d’un ensemble ou sous-ensemble quelles qu’en soient la
nature ou la dimension.
Exemple : tuyère d’un propulseur
* Sous-ensemble
Groupement d’éléments associés en fonctionnement entrant dans la
constitution d’un ensemble
Exemple : Propulseur d’une fusée
* Ensemble :
Groupement de sous-ensembles assurant une ou plusieurs fonctions techniques
qui le rendent apte à remplir une fonction opérationnelle.
Exemple : Les propulseurs d’une fusée permettent le lancement en orbite d’un
satellite (fonction opérationnelle) ; les fonctions techniques consistent à réaliser la
poussée nécessaire.
2.5.2. Description fonctionnelle

Une description fonctionnelle se présente généralement sous la forme d’une
arborescence hiérarchisée à plusieurs niveaux (figure 1.3).
MACHINE À LAVER Fonction : laver et

LA VAISSELLE sécher la vaisselle 1er niveau
CIRCUIT DE CIRCUIT DE CIRCUIT DE CIRCUIT DE 2ème niveau

LAVAGE CHAUFFAGE SECHAGE VIDANGE
Alimentation Pompage de Motorisation Evacuation 3ème niveau

électrique l’eau de la pompe de l’eau
Figure 1.3. : Description fonctionnelle d’une machine à laver la vaisselle
___________________________________________________________________________
___________________________________________________________________________
Des méthodes issues des techniques de l’analyse de la valeur et de l’analyse

fonctionnelle sont utilisables pour décrire les phases de conception et l’exploitation
d’un système industriel (méthodes FAST, RELIASEP, APTE, SADT, etc.)
Trois termes principaux sont largement utilisés pour décrire fonctionnellement
une installation industrielle complexe: les systèmes, les sous-systèmes et les
composants.
* Système
C’est l’association de sous-systèmes constituant un tout organique complexe,
destiné à remplir une fonction générale d’un bien durable complexe (figure 1.4). Il
faut aussi noter que la définition indique que le système n’est pas simplement égal à
la somme de ses sous-systèmes ou, de ses composants. En outre, si la nature
physique d’un sous-système ou d’un composant est modifiée à la suite d’une
défaillance, le système est lui-même modifié. C’est ainsi qu’en toute rigueur un
système dans lequel un élément est défaillant devient un nouveau système différent
du précédent.
Environnement
Limites extérieures
Système
élémentaire
S2
Sous-Système
C
B Système D
élémentaire Composant
A S1 E
F
Interface
Système
élémentaire
S3
Figure 1.4 : Représentation d’un système
___________________________________________________________________________
___________________________________________________________________________
Exemple : le système de propulsion d’un avion quadriréacteur comporte les 4

réacteurs et sa fonction est de propulser l’avion.
Un système est caractérisé par :
- Le choix d’une limite de résolution définissant les composants considérés ; ceci
fixera le niveau de détail de l’analyse qui sera effectuée sur le système. Les frontières
entre les divers systèmes élémentaires seront dénommées « interfaces »
- Le choix des limites extérieures et de l’environnement du système ; les limites
extérieures enveloppent l’ensemble des systèmes en interaction avec le système
étudié et sont déterminantes pour la compréhension du système et de ses fonctions.
* Sous-système
Le sous-système représente une association de composants destinée à remplir
une ou plusieurs fonctions opérationnelles
Exemple : un réacteur d’un quadriréacteur remplit une partie de la fonction de
propulsion durant le décollage et pendant le vol. Il assure par inversion de poussée
la fonction de freinage et d’atterrissage.
* Composants
Le composant représente un élément matériel ou un ensemble matériel
remplissant une fonction particulière dans un système ou sous-système.
Exemple : le compresseur d’un réacteur d’avion est un composant qui
comprime l’air avant son injection dans les chambres de combustion
Dans la suite de ce cours, on utilisera les termes suivants :
(PIECE) ⊂ (COMPOSANT) ⊂ (SOUS-SYSTEME) ⊂ (SYSTEME

ELEMENTAIRE) ⊂ (SYSTEME)
2.5.3. Description matérielle

Une description matérielle d’un processus ou d’un équipement fournit
essentiellement tous ses éléments constitutifs sans se préoccuper de leurs fonctions
(la nomenclature). Cette décomposition matérielle comprend des descripteurs
matériels tels que pièces, organes, mécanismes, dispositifs, matériels et installations
qui vont du plus petit élément (pièce) au plus important (installation).
___________________________________________________________________________
___________________________________________________________________________
3. LES PRINCIPALES COMPOSANTES DE LA SURETE DE

FONCTIONNEMENT
3.1. La fiabilité
3.1.1. Définitions
* Au sens commun
C’est la confiance de l’usager dans le matériel qui l’utilise
* Au sens large
C’est l’analyse des défaillances, fiabilité opérationnelle, banques de données de
fiabilité, essais de fiabilité, assurance de la fiabilité et de la qualité.
* Au sens strict
«C’est l’aptitude d’une entité à accomplir une fonction requise, dans des
conditions données, pendant une durée donnée».
* Au sens mathématique
La fiabilité est généralement mesurée par la probabilité qu’une entité E
accomplisse une fonction requise, dans des conditions données, pendant l’intervalle
de temps [0, t] :
R(t) = P[E non défaillante sur [0, t]] (1.1)
L’aptitude contraire sera dénommée « défiabilité » ; sa mesure est notée :
R(t) = 1 – R(t) (1.2)
3.1.2. Types de fiabilité

* Fiabilité opérationnelle
Elle résulte de l’observation et de l’analyse du comportement d’entités
identiques dans des conditions opérationnelles.
* Fiabilité Prévisionnelle
Elle estime une fiabilité future à partir de considérations sur la conception du
système et la fiabilité de ses composants.
___________________________________________________________________________
___________________________________________________________________________
Fiabilité opérationnelle Effets des actions de

maintenance préventive Nouvelle Fiabilité
Opérationnelle
Zone d’activité
de la MBF
Limite acceptable
Domaine de Défaillance
t0 t1 Temps
Figure 1.5 : Evolution de la fiabilité opérationnelle pendant la durée de vie
* Fiabilité extrapolée
Elle est déduite de la fiabilité opérationnelle par extrapolation ou interpolation
pour des conditions ou des durées différentes
* Fiabilité intrinsèque
C’est la fiabilité maximale que l’on peut atteindre d’un matériel quand il fait
l’objet d’une maintenance préventive efficace : c’est une valeur inhérente à sa
conception.
3.1.3. Qualité et Fiabilité

Selon la norme AFNOR la qualité est définie comme :
« L’aptitude d’un produit ou d’un service à satisfaire les besoins des
utilisateurs ».
En toute rigueur la qualité d’un produit est caractérisée, non seulement par sa
conformité aux spécifications qui la définissent, mais encore par son aptitude à rester
conforme à ses spécifications pendant sa durée de vie. L’une des caractéristiques
fondamentales d’un produit qui concourt alors à la qualité est sa fiabilité, c’est-à-
dire son aptitude à conserver ses caractéristiques d’origine.
Cependant, un usage assez répandu désigne par qualité la conformité du
produit à sa spécification à la sortie d’usine ; la fiabilité est alors son aptitude à y
demeurer conforme au cours de la période d’utilisation. La fiabilité devient alors
une extension de la qualité dans le temps.
___________________________________________________________________________
___________________________________________________________________________
3.2. La disponibilité
C’est l’aptitude d’une entité à être en état d’accomplir une fonction requise dans
des conditions données et à un instant donné.
La disponibilité est généralement mesurée par la probabilité qu’une entité E soit
en état d’accomplir une fonction requise dans des conditions données et à un instant
t donné :
A(t) = P[E non défaillante à l’instant t] (1.3)
L’aptitude contraire sera dénommée « indisponibilité » ; sa mesure est notée

A(t) :
A(t) = 1 – A(t) (1.4)
3.3. La maintenabilité
C’est l’aptitude d’une entité à être maintenue ou rétablie, sur un intervalle de

temps donné, dans un état dans lequel elle peut accomplir une fonction requise,
lorsque la maintenance est accomplie dans des conditions données avec des
procédures et des moyens prescrits.
La maintenabilité est généralement mesurée par la probabilité que la
maintenance d’une entité (E) accomplie dans des conditions données, avec des
procédures et des moyens prescrits, soit achevée au temps t, sachant que l’entité est
défaillante au temps t = 0 ;
M(t) = P [E est réparée sur [0,t]] (1.5)

ou
M(t) = P [la maintenance de E est achevée au temps t]
= 1 - P [ E non réparée sur la durée [0,t] ]
L’aptitude contraire sera dénommée « immaintenabilité » ; sa mesure est notée

M(t) :
M(t) = 1 – M(t) (1.6)
Cette notion ne concerne que les systèmes réparables. En d’autres termes, la

maintenabilité caractérise l’aptitude d’un système à reprendre l’accomplissement de
sa fonction (ou de ses fonctions) après une défaillance.
___________________________________________________________________________
___________________________________________________________________________
De nombreux concepts liés à celui de maintenabilité on été définis ;

Exemples: réparation, maintenance préventive (corrective différée),
maintenance programmée ou non programmée.
3.3.1. Assurance de la maintenabilité
Pour assurer une bonne maintenabilité
Il faut intervenir tout au Il faut intégrer les concepts

long du cycle de vie : suivants :
- à la conception - Standardisation
- Modularité
- Accessibilité
- à la réalisation - Interchangeabilité
- Testabilité
- Démontrabilité
- à l’utilisation - Documentation
* Facilité la réalisation des opérations de maintenance

* Maximiser la probabilité de réparation du matériel
Figure 1.6 : Assurance de la maintenabilité
3.3.2. Autres concepts relatifs à la maintenabilité
* Surveillabilité :
C’est un indicateur quantitatif servant à caractériser les moyens mis en œuvre
pour permettre de détecter rapidement une défaillance d’après ses symptômes
externes. Elle peut ainsi être considérée comme des facettes de la maintenance
conditionnelle – prévisionnelle.
* Vulnérabilité :
C’est un indicateur utilisé pour identifier si des composants des matériels sont
___________________________________________________________________________
___________________________________________________________________________
susceptibles d’être endommagés par des agressions externes telles que collisions avec
des engins de manutention, fuites de liquides ou de gaz en provenance de matériels
situés à proximité, inondations, etc. Pour éviter la vulnérabilité des composants, il est
possible de faire appel à des dispositifs de protection tels que capots, blindages, etc.
* Survivabilité :
Elle peut se définir comme la capacité d’une entité à remplir sa ou ses
fonction(s) avec des caractéristiques normales en présence de la perte de certains de
ses composants à suite d’agression externes.
3.4. La sécurité
C’est l’aptitude d’une entité à éviter de faire apparaître, dans des conditions
données, des événements critiques ou catastrophiques.
La sécurité est généralement mesurée par la probabilité qu’une entité E évite
de faire apparaître, dans des conditions données, des événements critiques ou
catastrophiques. L’aptitude contraire sera dénommée « insécurité ».
La sécurité est actuellement encore limitée dans le milieu industriel et est
effectuée dans :
- les installations chimiques,
- les centrales nucléaires,
- les plates formes pétrolières et l’aéronautique.
3.4.1. Evaluation de la sécurité

Les études de sécurité visent essentiellement à évaluer les probabilités de
l’occurrence d’un événement indésirable en prenant en compte dès la conception
tous les facteurs initiateurs :
* Facteurs techniques
Matériels et produits manipulés (incluant les problèmes de conception, de
fabrication, d’assurance qualité, de conduite et de maintenance),
* Facteurs humains :
Qualité de la formation, ergonomie, procédure
* Facteurs environnementaux :
risques de la formation, milieux ambiants (poussières, gaz, électricité statique,
etc.)
___________________________________________________________________________
___________________________________________________________________________
3.5. Relation entre fiabilité, maintenabilité, disponibilité et

sécurité
Politique de
Maintenabilité Fiabilité
Maintenance
Logisti que de Disponibilité

Maintenance Prévisionnelle
Disponibilité Sécurité
Opérationnelle
Sûreté de
Fonctionnement
Figure 1.7 : Relation entre fiabilité, maintenabilité, disponibilité et sécurité
3.6. La SdF : une composante de la performance industrielle
La SdF est une composante de la performance industrielle. En effet, l’obtention

de la performance industrielle passe par :
- la qualité des produits et des services : c’est le zéro défaut
- la disponibilité et la performance des matériels de production : c’est le zéro
panne,
- la maîtrise de production : c’est le zéro délai
- la prise en compte des conditions de travail et de sécurité : c’est le zéro
accident
Les actions à engager dans les trois domaines de la qualité, de la maintenance et

de la sécurité sont complémentaires et interdépendantes.
___________________________________________________________________________
___________________________________________________________________________
QUALITE
I T P
Défaut
I T
0 Panne
Accident
P
Délai
SECURITE MAINTENANCE
MI MA MA MI
Figure 1.8. : Sécurité, Qualité, Maintenance des démarches complémentaires
- La qualité traite plutôt des relations (I), des tâches (T), des produits et
procédés (P)
- La SdF traite plutôt des hommes (I), des tâches (T) des matériels (MA) et un
milieu (MI);
- la maintenance traite plutôt des matériels (MA), du milieu (MI) et des
procédés (P).
4. NOTION DE DEFAILLANCE
4.1. Définition de la défaillance

C’est la « cessation de l’aptitude d’une entité à accomplir une fonction requise ».
Ainsi, on peut dire qu’il y a défaillance chaque fois que le service délivré est différent
du service spécifié.
Défaillance ≡ Serice délivré – Service spécifié
On dira qu’une entité connaît une défaillance lorsqu’elle n’est plus en mesure
de remplir sa (ou ses) fonction(s).
On distingue :
___________________________________________________________________________
___________________________________________________________________________
4.1.1. La défaillance fonctionnelle

C’est «l’altération ou la cessation de l’aptitude d’un ensemble ou d’un matériel
à accomplir sa ou (ses) fonction(s) avec les performances définies dans les
spécifications techniques».
4.1.2. La défaillance potentielle :
C’est une condition physique identifiable qui indique qu’une défaillance
fonctionnelle est imminente.
Ce concept est à la base des techniques modernes de maintenance
(conditionnelle ou prévisionnelle)
4.1.3. Dégradation
Une dégradation est l’état d’une entité présentant une perte de performance
d’une des fonctions assurées par l’entité. Si les performances sont au-dessous du
seuil d’arrêt défini dans les spécifications fonctionnelles, il n’y a plus dégradation
mais défaillance (figure 1.5).
Paramètre de
fonctionnement
Initiation de la défaillance
Valeur initiale
DEGRADATION
SEUIL DE DEFAILLANCE
DEFAILLANCE
temps
t1 t2
Figure 1.9. : Défaillance et dégradation
4.2. Les causes d’une défaillance
«Ce sont les circonstances liées à la conception, la fabrication ou l’emploi et qui

entraînent la défaillance» (figure 1.6)
___________________________________________________________________________
___________________________________________________________________________
La défaillance du matériel
peut résulter
d’une dégradation physique d’un environnement défavorable

naturelle ou accidentelle (parasite technique ou mauvaise
intervention humaine à la
conception ou a l’exploitation)
Etat physique du système

DEFAUT DEFAUT
ou de son environnement
PANNE Effet fonctionnel local PANNE

(interne)
ERREUR Effet fonctionnel ERREUR

observable (externe)
Figure 1.10. : Les causes d’une défaillance
Exemples :
Causes internes au matériel : Vieillissement
Causes liées au milieu, à l’exploitation et à l’environnement : Poussière, chocs,
vibrations, échauffement local, etc.
Causes liées à la main d’œuvre et aux outils : fabrication, montage, contrôle,
manque énergie, utilisation, outils
4.3. Effet d’une défaillance
«C’est l’ensemble des modifications de toute nature qui se produisent après

l’occurrence de la seule défaillance»
___________________________________________________________________________
___________________________________________________________________________
4.4. Modes de défaillance
« Un mode de défaillance est l’effet par lequel une défaillance est observée »
Ainsi à chaque défaillance d’un composant, on associe des modes de défaillance
et des causes de défaillance ; les modes de défaillance dont générés par les causes de
défaillance. Un mode de défaillance représente l’effet (ou les effets) par lequel se
manifeste la cause de défaillance. Les principales modes de défaillance sont illustrées
sur la figure 1.6.
réel
prévu
Perte de Fonctionnement Refus de Refus de Fonctionnement

la fonction intempestif s’arrêter démarrer dégradé
Figure 1.11. : Les modes de défaillance générique
___________________________________________________________________________
___________________________________________________________________________
4.5. Les coûts d’une défaillance
La répartition des coûts de la défaillance est illustrée sur la figure 1.7.
Dommages corporels Impacts juridiques

Contentieux
Soins médicaux Assurances
Assurance vie Pénalités
Arrêt de travail Primes
Incapacité Frais de justice
Premiers secours Procédures
Rentes et indemnités Avocats
Amendes
Impacts commerciaux Impacts sur la production

Image de marque Manque à gagner
Prix de vente Perte de production
Reconception Perte de qualité
Part de marché Chômage technique
Publicité Coûts des stocks
Marketing Pertes de résultats
Risques de Boycottage Coûts de la
défaillance
Coûts matériels directs Coûts secondaires
Réparation des Expertise avarie
matériels Reconception
Surveillance Déplacements
Dégâts secondaires Réunions
Instrumentation Transport et séjours
Main d’oeuvre Frais consultants
Dépollution
Impacts sur
l’environnement Coût à long terme
Dépollution
Démantèlement Formation personnel
Requalification vis à vis Embauche de personnel
des réglementations Procédure de sécurité
Adaptation aux normes Certification des
nouvelles en matière personnes
d’environnement
Figure 1.12. : Répartition des coûts des défaillances

___________________________________________________________________________
___________________________________________________________________________
4.6. Classification des défaillances
Afin de préciser cette notion de défaillance, on réalise plusieurs classifications

des défaillances.
4.6.1. Classification en fonction de la rapidité de leur manifestation
* Défaillance progressive :
Défaillance due à une évolution dans le temps des caractéristiques d’une entité.
En général, une telle défaillance peut être prévue par un examen ou une surveillance
antérieurs.
* Défaillance soudaine :
Défaillance qui ne se manifeste pas par une perte progressive des performances
et qui n’aurait pas pu être prévue par un examen ou une surveillance antérieurs
(figure 1.8)
Paramètre de Paramètre de Paramètre de

fonctionnement fonctionnement fonctionnement
Normal Normal Normal

Seuil Seuil Seuil
Défaillance Défaillance Défaillance
Temps Temps Temps
Défaillance progressive Défaillance aléatoire Défaillance soudaine
Figure 1.13. : Classification des défaillances en fonction de la rapidité de leur manifestation
4.6.2. Classification en fonction de leur amplitude
* Défaillance partielle :
Défaillance résultant de déviation d’une ou des caractéristiques au-delà des
limites spécifiées, mais telle qu’elle n’entraîne pas une disparition complète de la
fonction requise.
___________________________________________________________________________
___________________________________________________________________________
* Défaillance Complète :
Défaillance résultant de déviation d’une ou des caractéristiques au-delà des
limites spécifiées, telle qu’elle entraîne une disparition complète de la fonction
requise.
4.6.3. Classification en fonction de la rapidité de leur manifestation et de

leur amplitude
* Défaillance catalectique :
Défaillance qui est à la fois soudaine et complète
* Défaillance par dégradation :

Défaillance qui est à la fois progressive et partielle
4.6.4. Classification en fonction de leur date d’apparition dans la vie du

système
* Le taux de défaillance
Le taux de défaillance d’une entité E est défini par :
1 E est défaillante entre t et t + ∆t sachant

λ(t) = lim P (1.7)
∆t → 0 ∆t qu'elle n'a pas eu de défaillance sur [0,t]
Ce taux de défaillance varie suivant la courbe illustrée à figure 1.9, appelée

courbe en baignoire. Nous pouvons distinguer trois périodes de la vie d’un système :
jeunesse (λ(t) décroissante), vie opérationnelle (λ(t) constante), et vieillissement (λ(t)
croissante).
R(t)
Jeunesse Vie opérationnelle Vieillissement
Temps
Figure 1.14. : Variation du taux de défaillance en fonction du temps
Les défaillances qui apparaissent pendant ces périodes sont, respectivement

___________________________________________________________________________
___________________________________________________________________________
appelées défaillance précoce (ou de jeunesse), défaillance à taux constant et

défaillance d’usure :
* Défaillance précoce (ou de jeunesse)

Défaillance qui survient au début de la vie d’une entité et dont le taux
d’apparition est rapidement décroissant. Le début de la vie est compté à partir d’un
instant spécifié : sortie de chaîne, de fabrication, livraison....
* Défaillance à taux constant

Défaillance qui apparaît avec un taux sensiblement constant pendant la durée
de vie utile du matériel. Elle est généralement catalectique.
* Défaillance d’usure :
Défaillance qui apparaît avec un taux rapidement croissant. Elle est
généralement due à des processus inhérents à l’entité (processus de détérioration, de
corrosion...)
4.6.5. Classification en fonction des effets

Les défaillances survenant dans un système sont susceptibles d’avoir des effets
très différents. Certaines défaillances n’affectent pas directement les fonctions du
système et ne nécessitent qu’une action corrective qui ne pose pas de problème
(réparation sans degré d’urgence par exemple) ; d’autres affectent la disponibilité du
système et de sa sûreté. Les effets des défaillances doivent être évalués. On utilise
généralement une échelle de gravité des effets et on répartit ainsi les niveaux de
dégradation du fonctionnement du système en catégorie ou classes de gravité.
Habituellement, on considère 4 catégories. Les effets peuvent être mineurs,
significatifs, critiques, catastrophiques ; les défaillances sont respectivement
dénommées mineures, significatives, critiques, catastrophiques (tableau 1.1.)
___________________________________________________________________________
___________________________________________________________________________
Tableau 1.1 : Classification des défaillances en fonction de leurs effets
Défaillance mineure Défaillance qui nuit au bon

fonctionnement d’un système en causant
un dommage négligeable au dit système
ou à son environnement sans toutefois
présenter de risque pour l’homme
Défaillance significative Défaillance qui nuit au bon

fonctionnement d’un système sans
toutefois causer de dommage notable, ni
présenter de risque important pour
l’homme
Défaillance critique Défaillance qui entraîne la perte d’une

(ou des) fonction(s) essentielles d’un
système et cause des dommages
importants au dit système ou à son
environnement en ne présentant toutefois
qu’un risque négligeable de mort ou de
blessure.
Défaillance catastrophique Défaillance qui occasionne la perte d’une

(ou des) fonction(s) essentielle(s) d’un
système en causant des dommages
importants au dit système ou à son
environnement et/ou entraîne pour
l’homme, la mort ou des dommages
corporels.
___________________________________________________________________________
___________________________________________________________________________
4.6.6. Classification en fonction des causes

La défaillance d’une entité résulte de causes de défaillances ; celles-ci sont définies
comme des « circonstances liées à la conception, la fabrication ou l’emploi et qui ont
entraîné la défaillance »
Les défaillances peuvent être classées en trois catégories selon leurs causes :
a. Défaillance Première :
Défaillance d’une entité dont la cause directe ou indirecte n’est pas la
défaillance d’une autre entité.
Généralement, une réparation de l’entité est nécessaire pour la remettre en état
de fonctionnement.
Exemple:
On considère une tuyauterie ; une rupture de celle-ci, suite à une mise en
pression inférieure à la pression de dimensionnement, est une défaillance première.
b. Défaillance Seconde :
Défaillance d’une entité dont la cause directe ou indirecte est la défaillance
d’une autre entité et pour laquelle cette entité n’a pas été qualifiée et dimensionnée.
Généralement, une réparation de l’entité est nécessaire pour la remettre en état
de fonctionnement. Des défaillances d’autres entités, des conditions particulières
dans l’environnement, des erreurs humaines peuvent être à l’origine d’une
défaillance seconde d’un composant.
Exemple :
Gardons l’exemple de la tuyauterie ; une rupture de celle-ci, suite à une mise en
pression, supérieure à la pression de dimensionnement, qui résulte de la défaillance
d’un autre composant est une défaillance seconde.
c. Défaillance de commande
Défaillance d’une entité dont la cause directe ou indirecte est la défaillance
d’une autre entité et pour laquelle cette entité a été qualifiée et dimensionnée.
Généralement une réparation de l’entité n’est pas nécessaire pour revenir à un
état de fonctionnement. On est en présence d’une telle défaillance lorsque l’entité
change d’état à la suite de l’émission de signaux de commande ou de contrôle
intempestifs.
Exemples:
___________________________________________________________________________
___________________________________________________________________________
On peut citer les cas suivants :
- une tension est appliquée, par inadvertance, à une bobine d’un relais,
- une vanne, en position normalement fermée, s’ouvre à la suite de l’émission
intempestive d’un signal de commande.
La figure 1.10. représente ces trois catégories de défaillance. Une telle
classification doit être considérée comme un guide pour l’analyse. Elle sera très utile
dans le cadre de la Méthode de l’arbre des Causes.
Progressive Déviante
Soudaine
Catalectique
Partielle
Rapidité de la
manifestation Rapidité +
Amplitude Catastro-
Totale phique
Amplitude
En fonction
Précoce DEFAILLANCE Critique
(jeunesse) En fonction des effets
de l’age
Taux
constant Significative
(vie active)
En fonction
des causes
Usure
(Vieillesse Mineure
Première Commande
Seconde
Figure 1. 15. : Classification des défaillances en fonction de leurs causes
___________________________________________________________________________
___________________________________________________________________________
5. DEFAUT, DEFAILLANCE ET PANNE
5.1. Défaut
On considère comme défaut, tout écart entre une caractéristique d’une entité et
la caractéristique voulue, cet écart dépassant des limites d’acceptabilité dans des
conditions données. Ainsi, le défaut est plutôt défini comme une non-conformité à
des objectifs ou des clauses de spécifications. Bien évidemment, Certaines
classifications des défaillances s’appliquent à celles des défauts ; on parle ainsi de
défaut mineur, significatif, critique, catastrophique.
Tout défaut conduit-il à une défaillance ? Non, un défaut constaté au niveau du
système ou un défaut d’un composant du système peut parfaitement ne pas affecter
l’aptitude d’un système à accomplir une fonction requise. A titre d’exemple,
l’inclusion d’un clou dans un pneu est un défaut est un défaut ; si ce clou est
suffisamment petit, il n’entraîne pas de défaillance de pneu (crevaison du pneu).
Inversement toute défaillance conduit-elle à un défaut ? Oui, bien évidemment,
puisque la cessation de l’aptitude de l’entité à accomplir une fonction requise est
indiscutablement liée à un écart entre la caractéristique réelle et la caractéristique
espérée de la fonction.
5.2. Panne
La panne est « l’inaptitude d’une entité à accomplir une fonction requise ».

Après apparition d’une défaillance, on considère donc que l’entité est en
panne ; une panne résulte toujours d’une défaillance.
Les classifications des pannes sont semblables à celles des défaillances ; on parle
ainsi de panne mineure, significative, critique, catastrophique, de panne complète,
partielle...
Il existe cependant une classification spécifique aux pannes ; elle est fonction de
l’aptitude des pannes à être constatées :
- Panne intermittente : Panne d’une entité subsistant pendant une durée limitée
après laquelle l’entité redevient apte à accomplir une
fonction requise sans avoir été soumise à une
opération de maintenance corrective.
- Panne fugitive : Panne d’une entité qui est intermittente et
___________________________________________________________________________
___________________________________________________________________________
difficilement constatable.
- Panne permanente : Panne d’une entité qui persiste tant que n’ont pas eu
lieu des opérations de maintenance corrective.
- Panne latente : Panne qui existe mais qui n’a pas encore été détectée.
On parle parfois de « Panne cachée ».
En outre une panne est souvent caractérisée par :

- son état (de panne) ou état de l’entité caractérisée par son inaptitude à
accomplir la fonction requise ;
- son mode de panne ou effet par lequel une panne est observée ; on verra dans
le paragraphe suivant qu’il y a équivalence avec le concept de mode de défaillance.
Exemple :
Prenons l’exemple d’un pneu en crevaison à la suite d’un percement par un
clou. La dépressurisation du pneu qui résulte de l’introduction du clou dans le pneu
conduit à la défaillance (perte de la pression satisfaisante du pneu), la fonction
requise étant le maintien d’une pression suffisante pour la marche dans de bonnes
conditions de sécurité. La panne est caractérisée par l’état dégonflée du pneu.
Notons que la panne commence à partir du moment où le pneu n’a plus une
pression suffisante pour la marche dans de bonnes conditions de sécurité. Ainsi, elle
ne se caractérise pas uniquement par l’état « à plat » du pneu. Cette remarque est
importante ; il convient en effet de ne pas caractériser la défaillance par les effets
immédiats et la panne par l’état de l’entité à plus long terme .
La figure 1.16. illustre les relations entre défaut, défaillance et panne.
___________________________________________________________________________
___________________________________________________________________________
DEFAUT DE
L’ENTITE : PANNE
écart entre une DE ’ENTITÉ
caractéristique inaptitude de
de l’entité et la ETAT DE
caractéristique l’entité à
voulue accomplir une PANNE:
fonction requise état d’inaptitude
dans lequel
se trouve l’entité
ENTITE
MODE DE
DÉFAILLANCE
effet par lequel une
défaillance
est observée
DÉFAILLANCE
DE L’ENTITÉ :
cessation de
l’aptitude de l’entité
à accomplir une
fonction requise
Figure 1. 16. : Défaut, Défaillance et panne d’un système
___________________________________________________________________________
___________________________________________________________________________
1. INTRODUCTION ............................................................................................................................................. 1
2. LA SURETE DE FONCTIONNEMENT (SDF) ............................................................................................. 2

2.1. LES ENJEUX DE LA SURETE DE FONCTIONNEMENT ......................................................................................... 2
2.2. ÉVOLUTION DE LA DISCIPLINE ....................................................................................................................... 3
2.3. MISSIONS ET FONCTIONS ............................................................................................................................... 3
2.3.1. Missions : .............................................................................................................................................. 3
2.3.2. Fonctions............................................................................................................................................... 4
2.4. AVANT PROJET.............................................................................................................................................. 5
2.5. DESCRIPTION DES PROCEDES INDUSTRIELS .................................................................................................... 5
2.5.1. Description générale ............................................................................................................................. 5
2.5.2. Description fonctionnelle ...................................................................................................................... 6
2.5.3. Description matérielle ........................................................................................................................... 8
3. LES PRINCIPALES COMPOSANTES DE LA SURETE DE FONCTIONNEMENT .......................... 9
3.1. LA FIABILITE .................................................................................................................................................. 9
3.1.1. Définitions ............................................................................................................................................. 9
3.1.2. Types de fiabilité ................................................................................................................................... 9
3.1.3. Qualité et Fiabilité .............................................................................................................................. 10
3.2. LA DISPONIBILITE ......................................................................................................................................... 11
3.3. LA MAINTENABILITE ..................................................................................................................................... 11
3.3.1. Assurance de la maintenabilité ........................................................................................................... 12
3.3.2. Autres concepts relatifs à la maintenabilité ........................................................................................ 12
3.4. LA SECURITE ............................................................................................................................................... 13
3.4.1. Evaluation de la sécurité..................................................................................................................... 13
3.5. RELATION ENTRE FIABILITE, MAINTENABILITE, DISPONIBILITE ET SECURITE ................................................ 14
3.6. LA SDF : UNE COMPOSANTE DE LA PERFORMANCE INDUSTRIELLE ............................................................... 14
4. NOTION DE DEFAILLANCE ...................................................................................................................... 15
4.1. DEFINITION DE LA DEFAILLANCE ................................................................................................................. 15
4.1.1. La défaillance fonctionnelle ................................................................................................................ 16
4.1.2. La défaillance potentielle : ................................................................................................................. 16
4.1.3. Dégradation ........................................................................................................................................ 16
4.2. LES CAUSES D’UNE DEFAILLANCE ............................................................................................................... 16
EXEMPLES : ........................................................................................................................................................ 17
4.3. EFFET D’UNE DEFAILLANCE ......................................................................................................................... 17
4.4. MODES DE DEFAILLANCE ............................................................................................................................ 18
4.5. LES COUTS D’UNE DEFAILLANCE ................................................................................................................. 19
4.6. CLASSIFICATION DES DEFAILLANCES ........................................................................................................... 20
4.6.1. Classification en fonction de la rapidité de leur manifestation .......................................................... 20
4.6.2. Classification en fonction de leur amplitude....................................................................................... 20
4.6.3. Classification en fonction de la rapidité de leur manifestation et de leur amplitude.......................... 21
4.6.4. Classification en fonction de leur date d’apparition dans la vie du système ...................................... 21
4.6.5. Classification en fonction des effets .................................................................................................... 22
4.6.6. Classification en fonction des causes .................................................................................................. 24
5. DEFAUT, DEFAILLANCE ET PANNE....................................................................................................... 26
5.1. DEFAUT....................................................................................................................................................... 26
5.2. PANNE......................................................................................................................................................... 26
___________________________________________________________________________
___________________________________________________________________________
1
2
3
4
5
6
7
___________________________________________________________________________
Chapitre 2 Principe de l’Analyse Prévisionnelle
___________________________________________________________________________
Analyse Prévisionnelle de la sûreté de

fonctionnement
Principales étapes
Principales caractéristiques
Démarche d’évaluation Prévisionnelle
CHAPITRE 2 : PRINCIPE DE L’ANALYSE

PREVISIONNELLE
1. ANALYSE PREVISIONNELLE DE LA SURETE DE

FONCTIONNEMENT D’UN SYSTEME
1.1. Analyse de système
Qu’est-ce que l’analyse d’un système ?

C’est un processus orienté vers l’acquisition, l’investigation et le traitement
ordonnés d’informations spécifiques au système et pertinentes vis-à-vis d’une
décision ou d’un objectif donné ; ce processus aboutit à l’obtention d’un modèle du
système.
Selon cette définition, la fonction première de l’analyse de système est
l’acquisition d’informations. Ce processus doit être effectué selon des règles ou des
méthodes ; sinon le modèle correspondant risque d’être peu utile et peu adapté aux
objectifs.
Qu’elle est l’information nécessaire à acquérir ? Ceci n’est pas aussi évident que
cela peut paraître. On considère la figure 2.1. :
___________________________________________________________________________
Chapitre 2 Cours de Contrôle et Fiabilité
___________________________________________________________________________
A2 B2
A1 B1
A B
INFORMATIONS
A ACQUERIR
Figure 2.1 : Informations à acquérir pour l’analyse prévisionnelle d’un système.
Un cercle représente l’information qu’il est essentiel d’acquérir pour l’objectif

de l’analyse du système. Un analyste spécialiste des problèmes de type A commence
sa recherche dans ce domaine et ceci conduit à quelques questions intéressantes le
menant dans le domaine A1; l’investigation du domaine A1 le conduit à A2 et ainsi de
suite. Un autre analyste spécialiste des problèmes de type B suit le même processus
le menant à B1 puis B2...
Pour illustrer ce problème, considérons un système de sécurité d’une
importante installation industrielle. L’analyste commence sa recherche par les causes
de défaillance de nature électrique des actionneurs du système, poursuit en
examinant les sources électriques internes à l’installation puis les alimentations
électriques externes à l’installation.
Quand arrive l’échéance, et notamment le moment de présenter l’étude ou de
prendre des décisions, l’information pertinente n’est pas disponible en dépit de
l’importance des efforts effectués.
Afin d’éviter ce «piège» dans l’analyse, il est important de fixer dès le début de
l’étude les principales caractéristiques du système à prendre en compte. A savoir :
- les limites intérieures de l’analyse : on précisera notamment les limites
physiques, géographiques, fonctionnelles du système ainsi que les interfaces avec les
autres systèmes et l’environnement.
- les limites de résolution de l’analyse : on précisera notamment si l’analyse
s’arrête au niveau des composants ou nécessite des investigations plus approfondies
au niveau des pièces de composants.
Bien évidemment, ceci peut être revu en cours d’étude ; mais il est préférable de
le faire en toute connaissance et en ayant évalué toutes les conséquences (charge de
___________________________________________________________________________
___________________________________________________________________________
travail, longueur de l’analyse, aspects approfondis aux dépens d’autres aspects peut-
être plus importants !...).
Le processus d’analyse doit conduire à l’obtention d’un premier modèle du
système ; puis après des compléments d’études et des révisions, à l’obtention d’un
dernier modèle du système. Les conclusions de l’analyse ainsi que les décisions à
prendre seront basées sur ce modèle. La figure 2.2 illustre les étapes de ce processus.
* acquisition * acquisition
* investigation d’informations
d’informations * investigation
complémentaires
* traitement * traitement
1er dernier
Système modèle du modèle du * Conclusions
réel système système * décisions
Figure 2.2. : Étapes du processus d’analyse
1.2. Prévision de la sûreté de fonctionnement
On parle d’analyse prévisionnelle de la sûreté de fonctionnement d’un système

lorsque le processus, décrit précédemment, est orienté vers l’obtention d’un modèle
relatif à une caractéristique de la sûreté de fonctionnement ( exemples : fiabilité,
disponibilité, maintenabilité, sécurité) du système.
Les éléments de ce modèle seront des événements susceptibles de se produire
dans le système et son environnement, tels par exemple :
- des défaillances et des pannes des composants du système,
- des événements liés à l’environnement
- des erreurs humaines dans la phase d’exploitation.
Le modèle permet ainsi de représenter toutes les défaillances et les pannes (et
___________________________________________________________________________
___________________________________________________________________________
leurs combinaisons) des composants du système qui compromettent une des
caractéristiques de sa sûreté de fonctionnement.
1.3. Méthodes d’analyse
Afin d’aider l’analyste à réaliser un modèle de la sûreté de fonctionnement, des

méthodes d’analyse ont été mises au point. Les méthodes d’analyse prévisionnelle se
répartissent en deux grandes familles qui se différencient par les techniques de
raisonnement :
n Les méthodes inductives (bottom to top) partent des causes des défaillances
et remontent jusqu’aux conséquences que l’on souhaite éviter ;

n Les méthodes déductives sont au contraire des méthodes descendantes (top
to bottom) : on part de l’événement indésirable et on recherche toutes les

causes susceptibles d’entraîner cet événement.
Les principales méthodes sont :

n AMDEC : Analyse des Modes de Défaillances, de leurs Effets et de leur
Criticité (FMECA : Failure mode, Effects and Criticality Analysis – année 60 –

NASA) ;
n APD : Analyse Préliminaire des Dangers ou Analyse Préliminaire des
Risques (années 60, aéronautique) ;
n HAZOP : Hazard and Operability Study (années 70, industries chimiques) ;
n MDS ou MDF : Méthode du Diagramme de Succès ou de Fiabilité (RBDM :
Reliability Block Diagram Method , années 60) ;
n MTV : Méthode de la Table de Vérité, MTD : Méthode de la Table de
Décision ;
n MAC : Méthode de l’Arbre des Causes (fault tree method, années 60) ;
n Méthode des combinaisons de pannes résumées (années 70, aéronautique);
n MACQ ou MAE : Méthode de l’Arbre des Conséquences ou des Arbres
d’Evénements (ETM : Event Tree Method, années 70, nucléaire) ;
n MDCC : Méthode du Diagramme Causes-Conséquences (années 70,
nucléaire) ;
n MEE : Méthode de l’Espace des Etats (années 50, processus de Markov).
___________________________________________________________________________
___________________________________________________________________________
1.4. Démarches inductives et déductives
On distingue deux types de démarche dans l’analyse de la sûreté de

fonctionnement d’un système, l’inductive et la déductive.
Dans la démarche inductive, on raisonne du plus particulier au plus général.
Face à un système et à une défaillance (ou une combinaison de défaillances), on
étudiera de façon détaillée les effets ou conséquences de cette défaillance (ou de la
combinaison de défaillances) sur le système lui-même et/ou son environnement.
Exemple:
Les analyses des conséquences de la perte d’un réacteur d’un avion ou de la
rupture d’une tuyauterie du circuit primaire d’un réacteur nucléaire sont de nature
inductive.
Les principales méthodes inductives sont les suivantes : l’Analyse des Modes
de Défaillances et de leurs effets, la Méthode de la Table de Vérité, la Méthode des
Combinaisons de Pannes Résumées, la Méthode de l’Arbre des Conséquences.
Dans la démarche déductive, on raisonne du plus général au plus particulier :

supposant que le système est défaillant, on (recherchera les causes de cette
défaillance. L’analyse et les enquêtes à la suite de catastrophes, pour en retrouver les
causes, sont de nature déductive.
La principale méthode déductive est la Méthode de l’Arbre des Causes.
La figure 2.3. illustre ces définitions :
___________________________________________________________________________
___________________________________________________________________________
Défaillances des
composants du
système
Recherche d’un
Événements
modèle relatif à
liés à
une l’environnement
caractéristique de du système
sûreté d’un
système
Erreurs
humaines
d’exploitation
du système
Inductive (du particulier au général)

2 Types
de “AMDE” : Analyse des Modes de défaillance et de leur effets
Démarche
Déductive : (du général au particulier)
“MAC” : Méthode de l’Arbre des Causes
Figure 2.3: Démarche inductive, démarche déductive
2. PRINCIPALES ETAPES
On distingue habituellement et schématiquement quatre étapes principales

dans l’analyse prévisionnelle de la sûreté de fonctionnement d’un système (figure
2.4).
___________________________________________________________________________
___________________________________________________________________________
2.1. Étape 1 : Analyse technique et fonctionnelle
Cette étape est celle du recueil des premières informations relatives au système
et à ses caractéristiques techniques et fonctionnelles. On cherchera notamment à
recueillir les informations relatives aux composants constituant le système.
Une première analyse fonctionnelle du système doit aboutir à identifier et à
définir les principales fonctions du système. Il est non moins important de bien
définir les limites extérieures du système.
2.2. Étape 2 : Analyse qualitative
Dès le début de cette étape, les objectifs de l’analyse de la sûreté de

fonctionnement doivent être clairement définis : s’agit-il d’une étude de la fiabilité,
de la disponibilité, de la maintenabilité, ou de la sécurité ? Quelles sont les
fonctions importantes concernées par l’analyse ?
Les limites de résolution de l’analyse doivent être précisées. Faut-il aller dans
l’analyse jusqu’aux composants décrits précédemment ? Faut-il aller jusqu'à un
niveau de détails plus fin, c’est-à-dire jusqu’à des pièces de composants ?
La considération des éléments précédents doit aboutir à la proposition d’une
décomposition du système en composants pour l’analyse. Bien évidemment, cette
décomposition peut être différente de celle retenue dans la description du système. Il
faut, en effet, disposer sur chaque composant d’informations relatives tant aux
modes de défaillances et de leur causes, qu’aux données de sûreté de
fonctionnement associées.
On peut ainsi proposer une définition pratique et spécifique de la notion de
composant : c’est la plus petite partie d’un système pour laquelle, d’une part, on peut
préciser, a priori et sans ambiguïté, les modes de défaillances et, d’autre part, on
dispose de données quantitatives, sans qu’il soit nécessaire de décomposer l’élément
lui-même pour en faire l’analyse.
___________________________________________________________________________
___________________________________________________________________________
Recueil de l’information Informations relatives au
système et à son
Définition du système et environnement, aux
ÉTAPE 1 composants, ...
Analyse technique de son environnement
et fonctionnelle
Analyse des caractéristiques
techniques et fonctionnelles
du système
Objectifs de l’analyse de
sûreté de fonctionnement
du système
Définition des limites de

résolution de l’analyse
Décomposition du système
(définition des composants)
Méthodes d’analyse
ÉTAPE 2
prévisionnelle de la sûreté de
Analyse
fonctionnement (choix d’une
qualitative
ou plusieurs méthodes,
application)
Modélisation de la sûreté de
fonctionnement du système
Obtention des défaillances

pertinentes
Enseignements
Évaluation d’une mesure de Données de sûreté de

la sûreté de fonctionnement fonctionnement
ÉTAPE 3
Analyse
Étude de sensibilité Incertitudes relatives aux
quantitative
données et aux
Enseignements hypothèses
ÉTAPE 4
Synthèse-Conclusions
Synthèse et
conclusions
Figure 2.4 : Étapes principales de l’analyse prévisionnelle de la sûreté de fonctionnement d’un système
___________________________________________________________________________
___________________________________________________________________________
Les méthodes de l’analyse qualitatives ont ensuite pour objectif la recherche de

toutes les causes de défaillance pouvant affecter la sûreté de fonctionnement du
système. De nombreuses méthodes existent et l’art du spécialiste consiste alors à
choisir les méthodes les plus adaptées aux objectifs des études, au système à analyser
et aux moyens dont il dispose.
L’utilisation de ces méthodes aboutit à une modélisation de la sûreté de
fonctionnement du système et des défaillances l’affectant. Cette modélisation est
basée sur la décomposition retenue pour le système et sur un certain nombre
d’hypothèses relatives, par exemple, au caractère catalectique des défaillances, aux
phases ou configurations de fonctionnement reconnues à priori importantes, ou aux
effets de telle défaillance.
Bien évidemment, la modélisation de la sûreté de fonctionnement d’un système
est étroitement liée à la modélisation des phénomènes physiques auxquels donnent
lieu les défauts du système.
D’une manière générale, l’analyste est conduit à effectuer un certain nombre
d’hypothèses spécifiques à chaque étude. Ce sera le cas, entre autres, pour l’impact
de l’environnement ou les autres systèmes sur le système étudié, la schématisation
des opérations de tests ou de maintenance, le comportement de l’opérateur en
situation normale ou incidentielle ou accidentelle.
Il est important de souligner que la qualité de l’étude entreprise dépendra
directement de la modélisation effectuée. Celle-ci permet de recenser et d’obtenir les
défaillances à prendre en compte (ou défaillances pertinentes) pour évaluer la sûreté
de fonctionnement du système ; ces défaillances sont généralement des modes de
défaillance de composants ou (et) leurs combinaisons.
Les enregistrements tirés de cette analyse qualitative sont relatifs aux
mécanismes de défaillance du système, aux combinaisons de défaillances menant à
l’événement indésirable. Ils dépendent dans une certaine mesure des méthodes
d’analyse utilisées.
2.3. Étape 3 : Analyse quantitative
La phase d’analyse quantitative consiste à caractériser par des mesures

(probabilité, par exemple) la sûreté de fonctionnement du système. Ces probabilités
sont obtenues par le traitement mathématique du modèle et par la prise en compte
des données relatives aux événements élémentaires. Outre les données de sûreté de
fonctionnement proprement dites et relatives aux composants, d’autres types
___________________________________________________________________________
___________________________________________________________________________
d’informations de nature quantitative sont généralement nécessaires telles que :
- les durées de fonctionnement (durée de mission, des phases de
fonctionnement),
- les caractéristiques des tests des systèmes en attente (fréquence et durée des
tests),
- les caractéristiques de la maintenance préventive ou corrective (fréquence et
durée de la maintenance),
- les données statistiques sur les agressions liées à l’environnement...
Des marges d’incertitude existent sur l’ensemble de ces données ; on
déterminera donc une marge d’incertitude sur le résultat final, cette étude étant
dénommée « évaluation des incertitudes ». Des incertitudes affectent aussi parfois
les hypothèses retenues pour la modélisation (exemple : incertitude sur les effets
d’une défaillance) et il apparaît aussi intéressant d’étudier l’effet de ces hypothèses
sur les résultats. Ces études seront dénommées « étude de sensibilité ».
2.4. Étape 4 : Synthèse et conclusions
La synthèse de l’analyse qualitative et quantitative mettra en évidence, par

exemple, les défaillances et leurs combinaisons qui compromettent la sûreté de
fonctionnement du système ainsi que les composants les plus critiques ou les
missions les plus importants du système. Seront alors dégagées des améliorations
techniques susceptibles d’augmenter la fiabilité, la disponibilité, la maintenabilité
ou la sécurité...
Les conclusions permettent de considérer le système soit comme satisfaisant au
regard des exigences de sûreté de fonctionnement soit comme peu satisfaisant. Dans
ce dernier cas, des propositions peuvent être faites, au vu de l’analyse précédente ou
d’éventuels compléments. Citons de façon non limitative :
- une amélioration de la fiabilité de composants;
- une modification des redondances ;
- une redondance supplémentaire ;
- une élimination de redondances inutiles ;
- une adjonction de protection ou de dispositif de surveillance ou de contrôle ;
- une protection supplémentaire contre les défauts de cause commune ;
- une modification des caractéristiques des tests périodiques ou de la
maintenance ;
- des essais périodiques supplémentaires de certains composants
- une maintenance préventive sur certains composants
___________________________________________________________________________
___________________________________________________________________________
- une modification des procédures d’exploitation pour réduire le risque

d’erreurs humaines...
3. PRINCIPALES CARACTERISTIQUES
Il faut souligner quelques caractéristiques particulièrement importantes de

l’analyse prévisionnelle de la sûreté de fonctionnement.
3.1. Caractère interactif

Exemples :
- La définition des composants, retenue dans le cadre de la décomposition du
système, dépend des données de sûreté de fonctionnement disponibles ; il serait de
peu d’intérêt d’effectuer une décomposition très fine pour rendre compte ensuite de
l’absence ou de l’insuffisance des données ! Il faut donc veiller à l’adéquation entre le
niveau de décomposition retenu et la disponibilité des données.
- La décomposition du système, le degré de finesse de l’analyse, les méthodes
choisies dépendent des moyens dont on dispose pour l’analyse ! La plupart du
temps, des moyens limités sont accordés. Un niveau de décomposition trop fin, des
méthodes trop lourdes peuvent conduire à « noyer » les analystes qui verront
approcher avec angoisse le fin prévue pour l’étude !
- La modélisation qualitative obtenue contient implicitement des aspects
quantitatifs. En effet, le choix des défaillances retenues, par exemple au niveau des
modes de défaillance, est souvent de nature probabiliste ; ainsi, on ne considère que
ceux connus pour tel composant sur la base d’une certaine expérience d’exploitation.
On ne peut toujours exclure l’hypothèse d’un autre mode de défaillance, moins
probable, non encore survenu faute d’expérience suffisante ! De même, pour
certaines méthodes, on ne retiendra souvent que les combinaisons de modes de
défaillance dont la probabilité est supérieure à une probabilité limite. Les aspects
qualitatifs et quantitatifs apparaissent donc parfois étroitement imbriqués.
- Les conclusions de l’analyse quantitatives peuvent mettre en évidence certains
aspects du système et nécessiter une analyse plus fine, remettant ainsi en cause la
décomposition initialement choisie !
Ces étroites interactions entre les différentes étapes compliquent la tâche de
l’analyste (surtout débutant) qui doit en être conscient dès le début de l’étude.
___________________________________________________________________________
___________________________________________________________________________
3.2. Caractère itératif
Le processus d’analyse d’un système est en fait essentiellement itératif, surtout

quand il intervient dans le cadre de la définition d’un projet. En premières
conclusions de l’étude entraînent généralement des améliorations et modifications
du système. L’influence de celles-ci est alors évaluée, et ainsi de suite jusqu’au
respect de certains objectifs (exemple : objectifs de fiabilité, objectifs de risque...) que
l’on a pu se fixer. La figure 2.5. représente le caractère itératif .
ETAPE 1
Analyse technique
et fonctionnelle
MODIFICATIONS
DU SYSTEME
ETAPE 2
Analyse qualitative
ETAPE 3 REVISION
Analyse quantitative DU PROJET
NON
ETAPE 4
Synthèse et conclusions
Les objectifs FIN

initiaux sont-ils DE
OUI L’ETUDE
remplis?
Figure 2.5.: Caractère itératif d’une étude de la sûreté de fonctionnement d’un système.
___________________________________________________________________________
___________________________________________________________________________
4. DEMARCHE D’EVALUATION PREVISIONNELLE
Une analyse de la sûreté de fonctionnement d’un système matériel se

décompose en quatre phases principales successives :
- la première étape consiste à définir précisément les objectifs de l’étude qui
peuvent varier selon le paramètre à évaluer (fiabilité, disponibilité, productivité...), le
type de système à étudier, l’étape de la conception ou encore le niveau de détail
désiré ; elle a aussi pour objectif de définir le système à étudier et son
environnement ;
- la seconde étape réside dans l’analyse fonctionnelle du système ; les méthodes
d’analyse fonctionnelle permettent de décrire les fonctions attendues d’un système et
ses caractéristiques, apportant ainsi une aide importante pour la compréhension et la
description synthétique des modes de fonctionnement nominaux du système étudié ;
- la troisième étape a pour but d’identifier les risques potentiels présentés par le
système du point de vue des objectifs fixés ; les méthodes utilisées procèdent d’une
démarche inductive (partant d’une cause quelconque, elles cherchent à mettre en
évidence les effets sur le système étudié) ou d’une démarche déductive (elles partent
d’un effet pour essayer de remonter à ses causes) ; elles s’appuient sur une
décomposition du système en sous-système, fonctions, composants..., à partir de
laquelle les éléments dangereux, les déviations ou les défaillances dangereuses sont
identifiés afin d’en déterminer les conséquences sur le système lui-même et/ou sur
les systèmes adjacents ; elles cherchent aussi à s’assurer que, pour chaque risque
potentiel, mis en évidence, les moyens de détection appropriés sont en place ;
- la dernière étape consiste à utiliser le modèle pour en tirer les résultats désirés
sous la forme d’une analyse qualitative et/ou quantitative selon les méthodes mises
en œuvre auparavant. A partir du modèle et des données statistiques sur les
événements qui s’y rencontrent, des traitements et des calculs peuvent être entrepris
nécessitant souvent l’emploi de logiciels appropriés. Les résultats obtenus sont divers
et variés : paramètres probabilistes liés à la sécurité ou à l’économie de l’installation,
mise en évidence des paramètres prépondérants vis-à-vis du risque envisagé,
évaluation de plusieurs conceptions possibles... Tous ces résultats sont finalement
des éléments d’aide à la décision qui permettront d’établir des spécifications pour les
composants les plus sensibles, des programmes d’essais pour les composants
nouveaux, les stratégies de maintenance à mettre en place ou encore le niveau de
risque du système et/ou de ses éléments.
___________________________________________________________________________
___________________________________________________________________________
Les différentes méthodes existantes d’analyse de la sûreté de fonctionnement se
différencient par un certain nombre de critères. Le tableau 2.1 répertorie les
principales méthodes en les comparant en fonction de la démarche utilisée, du type
d’évaluation, de l’événement de départ de l’analyse, du type et de la forme
d’expression des résultats.
___________________________________________________________________________
Critères Type de Type Type de Formalisation Liens entre les méthodes
Entité de départ
Méthodes démarche d'évaluation résultats utilisé Amont Aval
Chapitre 2
répertoire des
ENIT 2A GI
éléments Analyse AMDE
APR inductive qualitative situations tableaux
dangereux fonction HAZOP
dangereuses
qualitative et modes de répertoires des

tableaux & Anal. fonct. Méth. ACQ
AMDEC inductive semi- défaillance modes de
grilles et/ou APR AD ou DCC
quantitative composants défaillances
paramètres
répertoires des MAD
HAZOP inductive qualitative mesurables du tableaux APR
déviations MDCC
système
qualitative et séquences
événements Anal. fonct.
MACQ inductive semi- d'évenements arbre binaire MAD GdM
44
initiateur (EI) MDS
quantitative inacceptables
événement coupes minimales, arbre logique Méthodes

MAD déductive mixte GdM
redouté (ER) prob. d'occur. ER combinatoire inductives
événement séqu. d'évén. arbre binaire

MDCC mixte mixte initiateur ou inaccéptables, diag. logique AMDE /
critique coupes minim. combinatoire
coupes minim. et
fonctions ou diagramme
MDS quantitative paramètres de Analyse fonct. /
/ composants (blocs)
Tableau 2.1. : Les différentes méthodes d’Analyse Prévisionnelle

sûreté
états de
paramètres de
GdM déductive quantitative fonctionnement graphes d'états AMDE év. MAD
sûreté
et de panne
Principe de l’Analyse Prévisionnelle
___________________________________________________________________________
___________________________________________________________________________
Dr. K. Bourouni
Chapitre 3 Mathématiques de la Sûreté de Fonctionnement
___________________________________________________________________________
Probabilité d’événement
3
Variables aléatoires
Principales lois de probabilité
Relations fondamentales de la SdF
Taux de défaillances et MTTF pour les principales lois
de la SdF
Fiabilité et disponibilité d’une entité
CHAPITRE 3 : ÉLEMENTS MATHEMATIQUES

APPLIQUES A LA FIABILITE
Les diverses méthode d’analyse que nous aurons à décrire supposent, bien
entendu, des calculs plus ou moins complexes. Il a donc paru indispensable de
présenter ici un exposé des principaux concepts mathématiques nécessaires aux
calculs dans le domaine de la Sûreté de Fonctionnement Billinton [1983], après avoir
exposé les base de l’algèbre des événements et de la théorie des probabilités, nous
abord
ons les mesures de Sûreté de Fonctionnement et leurs principales relations.
1. PROBABILITE D’EVENEMENTS
Soit un ensemble des observables Ω. Considérons une application P qui associe

à chaque événement A, un nombre positif appelé probabilité, avec les propriétés
suivantes :
* P [Ω] = 1
P [A+B] = P [A] + P [B] si A.B = Ø (3.1)
avec : P [A + B] = P [A ∪ B] et P [A .B] = P [A ∩ B]
Le triplet (Ω, A,P) est appelé espace de probabilité.
___________________________________________________________________________
Chapitre 3 Cours de contrôle et Fiabilité
___________________________________________________________________________
L’application P possède les propriétés suivantes :
0 ≤ P[A] ≤ 1
P[A] = 1 Š P[A]
A ⊂ B ⇒ P[A] ≤ P[B]
1.1. Théorème de Poincaré
P [A+B] = P [A] + P [B] - P [A.B] (3.2)
Cas général :
n n n j –1 n j– 1 k– 1 n
P Σ A i = Σ P A i –Σ Σ P A iA j + Σ Σ Σ P A i.A j.A k – ... + ( – 1) P Π A i n
i =1 i =1 j=2 i = 1 j= 3 k =2 i = 1 i= 1
Si les événements sont incompatibles :

n n
∀i,j A i .A j = Φ (événements incompatibles 2 à 2) alors : P Σ A i =Σ P Ai
i =1 i =1
1.2. Théorème de probabilité conditionnelle
P A . X = P [A / X ] . P [X ] (3.3)
P[A/X] = est la probabilité conditionnelle de l’événement A rapportée à

l’événement X : C’est la probabilité que A se produise sachant que X s’est déjà
produit.
Ainsi, par définition :
P A.X
P [A / X]. =
P [X]
On en déduit :
P A 1.A 2...A n = P A 1 / A 2 ...A n . P A 2 / A 3 ...A n ...P A n – 1 / A n . P A n
Deux événements sont indépendants si et seulement si :
___________________________________________________________________________
___________________________________________________________________________
P A / B =P A
C’est-à-dire si et seulement si : P A .B = P A P B
1.3. Théorème des probabilités totales
On appelle système complet d’événements un ensemble dénombrable

d’événements Ai 2 à 2 incompatibles tels que :
n
P ΣAi = Σ P Ai = 1
i =1
Soit B un événement; le théorème des probabilités totales d’écrit :

n
P B = Σ P B /A i . P A i (3.4)
i =1
1.4. Théorème de Bayes
Étant donné un événement B de probabilité non nulle et Ai un ensemble

d’événements complets, on appelle théorème de Bayes la relation suivante :
P B /A i P A i
P A i/B = n
(3.5)
Σ P B /A i . P A i
i= 1
Ce théorème s’appelle aussi “théorème sur la probabilité des causes”. En effet,

si B est un événement pouvant avoir les causes X ou Y, ce théorème donne la
probabilité que l’événement B soit dû à la cause X :
P X P B /X
P X /B =
P X P B /X + P Y P B /Y
___________________________________________________________________________
___________________________________________________________________________
2. VARIABLES ALEATOIRES
2.1. Définition
Une variable aléatoire (v.a) est une variable pouvant prendre n’importe quelle
valeur d’un ensemble déterminé de valeurs numériques, et à laquelle est associée
une loi de probabilité.
Soient (Ω, A, P) un espace de probabilité et V une application de Ω dans IR. On
dit que V est une variable aléatoire si :
∀ x ∈ IR, V-1 ( ] Š ∞ , x [ ) ∈ A
Une telle variable peut être continue ou discontinue.
Exemples :
- La durée de vie d’un composant est une variable aléatoire continue
0 si un composant A est en fonctionnement

- La variable aléatoire étant égal à
1 si il est en panne
est une variable aléatoire discontinue.
Une variable aléatoire est caractérisée par sa fonction de répartition et par sa

densité de probabilité.
2.1.1. Fonction de répartition :

La fonction de répartition d’une variable aléatoire X définie de -∞ à +∞ est la
fonction F(x) définie par :
F(x) = P[X ≤ x]
Les propriétés de cette fonction sont les suivantes :
- lim F(x) = 0
x → Š∞
- lim F(x) = 1
x→+∞
- F(x) est non décroissante

- 0 ≤ F(x) ≤ 1 ∀ x
___________________________________________________________________________
___________________________________________________________________________
2.1.2. Densité de probabilité :

Lorsque la fonction de répartition F(x) est dérivable, sa dérivée f(x) est la
densité de probabilité :
dF (x)
f(x) =
dx
Les propriétés de cette fonction sont les suivantes :
x +∞
F(x) = f(x) dx ; f(x) dx = 1
Š∞ Š∞
Par ailleurs, on appelle moment d’ordre k de la v.a. X, lorsqu’il existe, le réel

défini par :
+∞
E Xk = x k f(x) dx
–∞
E[x] est l’espérance mathématique ou moyenne.
On appelle variance le réel V[x], lorsqu’il existe, défini par :
+∞
2
V [x] = x – E[x] f(x) dx
–∞
σ= V[x] est appelé écart-type ; d’où : σ 2 = V[x]
2.2. Algèbre des variables aléatoires

Pour toute constante finie a on a :
1) E[a X] = a E[X]
2) E [ X+a ] = E [ X ] + a
3) σ 2[ a X ] = a2σ 2[ X ]
4) σ 2[X+ a ] = σ2 [X]
5) σ 2[X] = E X 2 – E [X] 2
6) E X + Y = E(X) + E(Y)
7) σ 2[ X+ Y ] = σ 2[ X ] + σ 2[ Y ] + 2 cov ( X ,Y ) si X et Y sont non corrélées
8) E [X-Y] = E[X] - E[Y]
9) σ 2 [ X–Y ] = σ 2[ X ] + σ 2[ Y ] – 2 cov (X,Y )
10) E X – Y = E [ X ] – E[ Y ]
11) si X et Y sont indépendantes :
σ 2 [ X . Y ] = E2 [X] σ 2[Y ] + E2 [Y ] σ 2[X] + σ 2[X ] σ 2[Y ]
___________________________________________________________________________
___________________________________________________________________________
3. PRINCIPALES LOIS DE PROBABILITES
3.1. Lois discrètes
3.1.1. Loi binomiale

On suppose que l’on ait p pour-cent de pièces défectueuses dans un lot et que
l’on tire un échantillon non exhaustif de taille n, la loi binomiale B(n,p) donne la
probabilité d’avoir k éléments défectueux dans l’échantillon.
k k n– k
P (X = K) = Cn p 1 – p
0 ≤ k ≤ n; 0 ≤ p ≤ 1
(3.6)
où
p : probabilité de réalisation de l’événement
X : v.a représente le nombre de réalisation de l’événement
k n!
Cn =
k! (n Š k)!
k
* Fonction de répartition : F(k) = P[x ≤ k] = Σ Cni pi 1 –p n –i
i =1
* Espérance mathématique : E[x] = n.p
* Variance : σ 2 [x] = n.p.(1 Š p )
Exemple 3.1:
Pour réaliser le montage d’un système électronique, on dispose de résistances
issues d’une production importante, où l’on sait que le pourcentage P de défectueux
est de 5%. On doit utiliser 4 résistances.
1) Quelle est la probabilité d’en avoir 3 de mauvaises ?
2) Quelle est la probabilité d’en avoir un nombre inférieur ou égal à 3 de
mauvaises ?
Solution 3.1:
3 3 1
1) P(k = 3) = C4 × 0.05 × (1 Š 0.05) = 0.0005
k=3
2) P(k ≤ 3) = Σ C4k × 0.05k × (1 Š 0.05)4 Š k = 1 Š P(k = 4) = 0.9999
k=0
Remarque :
___________________________________________________________________________
___________________________________________________________________________
Lorsque n → ∞ et si n.p = Cte = m
⇒ La loi binomiale tend vers une loi de Poisson
3.1.2. Loi de Poisson

La loi de Poisson est une loi à un paramètre positif m défini par :
Šm mk
P(x = k) = e . (3.7)
k!
k i
m
* Fonction de répartition : P ( x = k ) = Σe –m
.
i!
i= 0
* Espérance mathématique : E [x] = m
* Variance : σ 2[x] = m
Exemple 3.2 :
Sur une machine de production, on sait qu’il y a en moyenne 10 pannes par
semaine. Quelle est la probabilité qu’il y ait 0 pannes lors d’une journée de
démonstration.
Solution 3.2 :
m = 10/5 = 2 pannes / jour
0
Š2 2
P(x = 0) = e . = 0.135
0!
3.2. Lois continues
3.2.1. Loi exponentielle

* Densité de probabilité :
Š λt
f(t) = λ e ; λ > 0; t > 0
(3.8)
οù λ est une constante positive et t le temps
Š λt
* Fonction de répartition : F(t) = 1 Š e
___________________________________________________________________________
___________________________________________________________________________
1
* Moyenne µ = θ = (MTBF)
λ
1
* Espérance mathématique : E(x) =
λ
1
* Variance : σ 2x = 2
λ
* Représentation graphique :
f(t)
t
Figure 3.1. : Représentation graphique de la densité de probabilité et de la fonction de
répartition de la loi exponentielle
Remarque :
C’est une loi, qui ne dépend que d’un paramètre (λ ou θ = 1/λ) : elle s’applique
généralement aux matériels électroniques, et d’une façon générale aux matériels
qui subissent des défaillances brutales (catalectiques), ou à des systèmes
complexes composés de plusieurs composants dont les lois de fiabilité élémentaires
sont différentes. Cette loi décrit la période pendant laquelle le taux de défaillance est
constant (vie utile, zone 2 de la courbe en baignoire cf figure 1.14).
Exemple 3.3 :
Sur un matériel électronique, on connaît le taux de défaillance : λ = 0.0001 / h .
Trouver la probabilité de défaillance entre t1 = 200 h et t2 = 300 h.
Solution 3.3 :
Probabilité de défaillance entre t1 et t2 :
t2
– λt – λt 1 – λt 2 – 200 × 0.0001 – 300 × 0.0001
λ.e dt = e –e =e –e = 0.001
t1
3.2.2. Loi normale (ou de Gauss) notée N(m,σ)
___________________________________________________________________________
___________________________________________________________________________
2
1 1 t–m
f(t) = exp – ;
σ 2π 2 σ
– ∞ < t < + ∞; σ > 0;– ∞ < m < + ∞ (3.9)
* Fonction de répartition :
t 2
1 1 x–m
F(t) = exp – dx
σ 2π 2 σ
–∞
* Espérance mathématique : E(x) = m
* Variance = σ2
* La loi N(0.1) est appelée loi normale réduite
* Représentation graphique
f(t) F(t)
68.26% 1
95.45%
99.73% t
σ m t
2σ
3σ
Figure 3.2. : Représentation graphique de la densité de probabilité et de la fonction de

répartition de la loi normale
Exemple 3.4 :
___________________________________________________________________________
___________________________________________________________________________
Les tolérances sur les valeurs d’une résistance sont en 10-2 Ω : Ti = 420 Ω et Ts
= 720 Ω. Ces résistances ont une valeur qui suit une loi de Gauss de moyenne 600.10-3
Ω et d’écart-type σ = 120.10-3 Ω.
Quel est le pourcentage de bonnes résistances?
Solution 3.4 :
Probabilité d’être entre 420Ω et 720 Ω
720 2
1 x – 600
exp – dx = F u 2 –F u 1
420
120 2π 2 × 1202
720 Š 600
avec : u2 =
=+1
120
420 Š 600
u1 = = Š 1.5
120
⇒ F(+1) = 0.84134 (Annexes 3.3)
F(-1.5) = 1 - F(1.5) = 1 - 0.03319 = 0.06681
d’où F(u2) - F(u1) = 0.774 = 77.4%
3.2.3. Loi log-normale

Une variable aléatoire est distribuée suivant une loi log-normale si son
logarithme est distribué suivant une loi normale.
2
1 1 log t – µ
f(t) = exp – , pour t ≥ 0 et σ > 0 (3.10)
σt 2π 2 σ
t 2
1 1 1 log x – m
F(t) = exp – dx
σ 2π x 2 σ
0
* Espérance mathématique :
σ2
E(x) = exp µ +
2
* Variance :
___________________________________________________________________________
___________________________________________________________________________
2.µ + σ2 2
σ 2x = e eσ – 1
Cette loi est souvent utilisée pour représenter les durées de répartition des
composants ou les incertitudes dans la connaissance d’une donnée de SdF.
Considérons l’intervalle de confiance [X0.05, X0.95] associée à un niveau de
confiance de 0.9.
X 0.05 = exp µ – 1.645 σ
X 0.95 = exp µ + 1.645 σ
µ
X 0.5 = Médiane = X 0.05 X 0.95 = e
La connaissance de l’intervalle de confiance permet d’en déduire les paramètres

de la loi log-normale
Notons que le : facteur d’erreur (FE)
X0.95 1.645 σ
FE = =e
X0.05
X 0.5
D’où : X 0.95 = X 0.5 FE et X 0.05 =
FE
3.2.4. Loi de Weibull
La loi de Weibull dépend des trois paramètres suivants :

n γ : paramètre de position (décalage à l’origine) γ ≥ 0 (homogène au temps)
n β : paramètre de forme, β > 0 sans dimension (décide de l’allure globale de

la loi) ;
n η : paramètre d’échelle (ou de durée de vie), η > 0 (homogène au temps).
β–1 β
β t–γ t–γ
f(t) = exp – pour t ≥ γ
η η η (3.11)
β
t–γ
F(t) =1 – exp – pour t ≥ γ
η
F(t) = 0 pour t < γ
___________________________________________________________________________
___________________________________________________________________________
1
* Moyenne : m = γ + η Γ 1 +
β
2 1
* Variance : σ 2 = η 2 Γ 1 + + Γ2 1 +
β β
∞
β–1
Γ(β) = x exp ( – x) dx fonction Gamma
0
Γ(β) = β – 1 ! pour les valeurs entière de β
Remarques :
Pour la distribution de Weibull à 2 paramètres (soit en faisant un changement
de variable t1 = t – γ ou si γ = 0 ), on fait la transformation suivante :
1
Y = ln ln = ln – ln R(t)
1 – F(t)
X = ln (t)
On obtient une relation linéaire :
Y = β X – ln (η)
Il existe un papier graphique (graphique d’Allan Plait) dont les ordonnées sont
proportionnelle à Y et graduées en F(t), et les abscisses sont proportionnelle à X et
graduées en t (figure 3. 3) .
Si l’on porte sur ce graphique des points (ti, F(ti)), ces points s’alignent
sensiblement sur une droite, si les durée de vie suivent une distribution de Weibull.
La pente de la droite sera proportionnelle à β et l’abscisse du point d’intersection de
la droite avec l’ordonnée Y = 0, soit F(t) = 0.632 correspondra au paramètre d’échelle
η.
De plus ces graphiques comportent un rapporteur d’angle permettant de
mesurer β.
___________________________________________________________________________
___________________________________________________________________________
F(t) (en%)
Y
-2.0 -1.0 0.0 1.0 2.0 3.0 4.0
99.9 X
99.0
90.0 1.0
0
0.0
50.0
30.0 - 1.0
0.5
1.0 β = 2.5 - 2.0

10.0
5.0 - 3.0
2.0
3.0
4.0 - 4.0
1.0
0.5 - 5.0
-6.0
η=4.8
0.1 t
0.1 0.2 0.5 2 5 10 20 50 100
Figure 3.3 : Représentation sur graphique à échelle fonctionnelle de la distribution de Weibull

(graphique d’Allan Plait)
4. RELATIONS FONDAMENTALES DANS LE DOMAINE DE LA

SURETE DE FONCTIONNEMENT
4.1. Définition et principales caractéristiques
4.1.1. Fiabilité d’une entité E

D’un point de vue mathématique, la fiabilité est une probabilité (notée P)
fonction du temps, que l’on désigne par R(t)
R(t) = P [ E non défaillante sur [0,t], en supposant qu’elle n’est pas défaillante
à l’instant t=0 ];
- L’aptitude contraire est appelée Défiabilité et sera notée R(t) :
R(t) = 1 – R(t) = F(t)
___________________________________________________________________________
___________________________________________________________________________
* Probabilité de défaillance :
F(t) = 1 – R(t)
Elle représente la fonction de répartition de la v.a. instant de défaillance
* Densité de probabilité de défaillance :
dF(t) dR(t)
f(t) = =–
dt dt
Remarques :
- R(t) est une fonction non croissante variant de 1 à 0 sur [0, + ∞ [
- lim R(t) = 0
t →+ ∞
- La probabilité de voir un dispositif cesser de fonctionner avant le temps t est

égale à F(t), mais la probabilité de voir le même dispositif cesser de fonctionner entre
t et t+dt est égale à f(t).dt.
- La probabilité f(t) dt de voir une entité cesser de fonctionner entre t et t+dt est
égale au produit de la probabilité de fonctionnement de cet appareil au temps t, soit
R(t), par la probabilité λ(t) dt de voir cette entité cesser de fonctionner entre t et t+dt,
s’il a fonctionné jusqu’à t.
f(t) dt = R(t) λ(t) dt
* Loi de survie et Fiabilité :

Considérons à un instant t donné le nombre N(t) de dispositifs en
fonctionnement et soit N(0) le nombre de dispositifs qui fonctionnent à t = 0, il vient :
N (t)
R(t) =
N(0)
Ce rapport constitue un estimateur de la fiabilité à l’instant t.
Densité de probabilité des durées de vie:

La probabilité pour qu’une entité soit défaillante entre t et t+dt est égale à f(t).dt
avec f(t) = - dR(t)/dt représente la densité de probabilité des durées de vie.
Un calcul approximatif de f(t) pour l’intervalle de durée de vie s’étendant de
ti-1 à ti est donné par :
R(t i – 1) – R(t i )
f(t) = f(t i – 1 < t < t i) =
t i – ti – 1
___________________________________________________________________________
___________________________________________________________________________
Soit, en désignant par N(ti) le nombre de survivants pour une durée de vie ti:
1 N(t i – 1) – N(t i) ni
f(t) = =
N(0) t i –t i – 1 N(0) ∆t i
avec :
ni = N(ti-1) – N(ti) : nombre de défaillance dans le ième intervalle.
∆ti = ti – ti-1 : durée du ième intervalle.
N(0) : nombre initial des entités essayées. (Voir exemple 3.5)
4.1.2. Disponibilité d’une entité
A(t) = P[E non défaillante à l’instant t];
- L’expression 1 - A(t) est l’Indisponibilité et sera notée A(t)

- dans le cas d’une entité irréparable : A(t) = R(t)
- dans le cas général (entité réparable, par exemple), on a la relation suivante:
A(t) ≥ R(t)
En effet, une entité contribue à la disponibilité A(t), mais non à la fiabilité R(t) si
l’entité tombe en panne avant le temps t puis est réparée pour être disponible au
temps t.
4.1.3. Maintenabilité d’une entité E:

La maintenabilité (maintenability) d’une entité repérable est caractérisée par
une probabilité M(t) que la maintenance d’une Entité E accomplie dans des
conditions données, avec des procédures et des moyens prescrits, soit achevée au
temps t, sachant que E est défaillante au temps t = 0.
M(t) = P [E est réparée sur [0.t];

on a aussi :
M(t) = 1 - P [E non réparée sur [0.t]]
- L’expression de 1 - M(t) est l’Immaintenabilité et sera notée M(t)

- M(t) est une fonction non décroissante variant de 0 à 1 sur [0, + ∞ [
- M(0) = 0 car l’entité E est défaillante à t = 0
- lim M (t) = 1
t → +∞
___________________________________________________________________________
___________________________________________________________________________
4.2. Définitions du MTTF, MTTR, MUT, MDT, MTBF
MTTF : Durée moyenne de fonctionnement d’une entité avant la

première défaillance (Mean Time To Failure)
MTTR : Durée moyenne de réparation (Mean Time To Repair)
MUT : Durée moyenne de fonctionnement après réparation (Mean
Up Time)
MDT : Durée moyenne d’indisponibilité (Mean Down Time)
Cette durée correspond aux phases suivantes :
- détection de la panne
- réparation de la panne
- remise en service
Le MDT traduit en fait la moyenne des durées des
indisponibilités consécutives à des défaillances.
MTBF : Durée moyenne entre deux défaillances consécutives d’une
entité réparée (Mean Time Between Failure)
Ces différentes notions sont illustrées par le schéma suivant (figure 3.4) :
REMISE
EN SERVICE DÉFAILLANCE
DÉFAILLANCE
0 Temps
MTTF MDT MUT
MTBF
Figure 3.4. : Représentation du MTTF, MUT, MDT, MTBF
Quelques commentaires :
- Le MUT est différent du MTTF; lorsqu’un système est remis en service après
réparation, tous les composants défaillants n’ont pas été nécessairement réparés et le
___________________________________________________________________________
___________________________________________________________________________
MUT caractérise cette durée moyenne de fonctionnement jusqu’à la prochaine
défaillance. Le MTTF caractérise la durée moyenne de fonctionnement d’un système
qui aurait été complètement réparé avant la remise en service.
- On a la relation suivante : MTBF = MUT + MDT
- Une autre signification est parfois donnée à MTBF : Moyenne des Temps de
Bon fonctionnement. Cette définition est celle que nous donnons au MTTF ou au
MUT. Cependant, pour de nombreux systèmes, MDT est faible devant MUT; la
différence entre MTTF et MTBF est donc également faible.
4.3. Densité de défaillance et de réparation, MTTF et MTTR
Soit T la variable aléatoire mesurant la durée de fonctionnement de l’entité :
R(t) = P[T>t] (3.12)
La fonction de répartition de la variable aléatoire T s’écrit :

F(t) = P[T ≤ t] = 1 Š R(t) = R(t)
La densité de défaillance U(t) s’écrit :
dF dR dR
U(t) = (t) = (t) = Š (t)
dt dt dt
Ainsi, U(t) dt est la probabilité que la première défaillance de l’entité survienne
durant le petit intervalle de temps [t, t+dt], sachant que l’entité est en fonctionnement
au temps t = 0.
On en déduit alors le MTTF :
+∞
MTTF = t U(t) dt
0
D’où :
+∞
dR(t)
MTTF = Š t dt
0 dt
+∞
∞
On montre en intégrant par partie, que : MTTF = R(t) dt – t R(t) 0
0
Supposons que le MTTF est défini; t R(t) tend vers zéro quand t tend vers
l’infini. D’où :
+∞
MTTF = R(t) dt (3.13)
0
___________________________________________________________________________
___________________________________________________________________________
Remarque :
Pour calculer le MTTF , il suffit de calculer le temps total de fonctionnement T
de toutes les entités et de le diviser par le nombre d’entité défaillantes Nd.
Σ N(ti – 1) +N(t i ) ∆ti

T i
θ= =
N 2N
Avec :
T : La durée total de fonctionnement des entités survivantes
N : Le nombre d’entités défaillantes
N(t i – 1) +N(t i )
Puisque représente la fiabilité moyenne entre ti-1 et ti, on
2N
obtient :
+∞
θ= R(t) dt
0
De la même manière, on définit la densité de réparation G(t); on a :

dM
G(t) = (t)
dt
Ainsi, G(t).dt est la probabilité que la réparation soit achevée durant l’intervalle
de temps [t, t+dt] sachant que l’entité est défaillante au temps t = 0.
On en déduit le MTTR :
∞
MTTR= t G(t) dt
0
On montre, en intégrant par partie que :
∞
MTTR= 1 Š M(t) dt
0 (3.14)
4.4. Taux de défaillance et de réparation
4.4.1. Taux de défaillance (instantané) :

C’est la limite, si elle existe, du quotient de la probabilité conditionnelle pour
que l’instant T d’une défaillance d’une entité soit compris dans un intervalle de
temps donné [t, t+∆t], par la durée de l’intervalle de temps, lorsque ∆t tend vers zéro
en supposant que l’entité n’a as eu de défaillance sur [0,t].
___________________________________________________________________________
___________________________________________________________________________

λ(t) = lim P
∆t → 0 ∆ t qu' elle n' a pas eu de défaillancesur [0,t]
Il en résulte en utilisant le théorème des probabilités conditionnelles :
E est défaillanteentre t et t + ∆t et
P
1 E non défaillante sur [0,t]
λ(t) = lim
∆t → 0 ∆ t P E non défaillante sur [0,t]
D’où :
P [E est défaillante sur [0, t + ∆t]]
1 1
λ(t) = lim –
∆t → 0 ∆t R(t)
P [E est défaillante sur [0, t ]]
R(t) – R(t + ∆ t)
λ(t) = lim
∆t → 0 ∆t.R(t)
dR(t)
–
dt
λ(t) = (3.15)
R(t)
Ce taux de défaillance est aussi appelé “taux de défaillance instantané”
Remarque :
On calcul approximativement le taux de défaillance, pour l’intervalle de durée
s’étendant de ti-1 à ti par :
f(t)
λ(t) =
R(t)
Avec :
ni
f(t) =
N(0) ∆t
R(ti – 1 ) + R(t i )
R(t) =
2
Où R(t) représente la fiabilité moyenne dans l’intervalle [ti-1 , ti].
Soit
___________________________________________________________________________
___________________________________________________________________________
2.n i ni
λ (t) = =
N(t i – 1) + N(t i ) ∆ti Ti
N(t i – 1) + N(t i )
Avec Ti = ∆t i représente la durée de fonctionnement totale des
2
entités survivantes pendant l’intervalle ∆ti (Exemple 3.5).
4.4.2. Taux de réparation (instantané) :

que l’instant T d’achèvement de la réparation d’une entité soit compris dans un
intervalle de temps [t, t+∆t], par la durée de l’intervalle de temps, lorsque ∆t tend
vers zéro, en supposant que l’entité a été en panne sur [0.t],
1 E est réparéeentre t et t + ∆t sachant

µ(t) = lim P
∆t → 0 ∆t qu' elle a été en panne sur [0,t]
Précisons que l’entité est supposée défaillante au temps t = 0 et en panne

jusqu’au temps t.
On montre, en utilisant le théorème des probabilités conditionnelles, que :
dM
(t)
dt
µ (t) =
1 – M (t) (3.16)
Ce taux de réparation est aussi appelé “taux de réparation instantané”.
Remarque :
Le taux de réparation peut s’assimiler à la proportion d’entités réparées sur [t,
t+∆t] rapportées aux entités non réparées à l’instant t.
4.5. Intensités de défaillance et de réparation
4.5.1. Intensité de défaillance

que l’instant T d’une défaillance d’une entité soit compris dans un intervalle de
temps donné [t, t+∆t], par la durée de l’intervalle de temps, lorsque ∆t tend vers zéro
sachant que l’entité est en fonctionnement au temps t = 0.
___________________________________________________________________________
___________________________________________________________________________
L’intensité de défaillance W(t) suppose que l’entité est en fonctionnement au
temps t = 0 (ou plus généralement à l’état normal), tandis que le taux de défaillance
admet, en plus, que l’entité n’a pas eu de défaillance sur [0,t].
L’intensité de défaillance W(t) est encore appelée “intensité de défaillance
inconditionnelle” (unconditionned failure intensity) par opposition à l’intensité de
défaillance conditionnelle qui admet, de plus, que l’entité est en fonctionnement au
temps t.
L’intensité de défaillance W(t) permet de calculer le nombre prévu de
défaillance. En effet, soit ND(t, t+dt) le nombre prévu de défaillance d’une entité
réparée, sachant que l’entité est en fonctionnement au temps t = 0.
∞
N D t, t + dt = Σ i.P i défaillancesdurant [t, t + dt] / C
i= 1
C étant l’événement : “l’entité est en fonctionnement au temps t = 0”

Au moins une défaillance se produit dans l’intervalle de temps [t, t+dt].
D’où :
N D t, t + dt = P une défaillancedurant [t, t + dt] / C
N D t, t + dt = W(t) dt
Ainsi, le nombre prévu de défaillances durant l’intervalle de temps [t1,t2] est:
t2
N D t 1, t 2 = W (t) dt
t1
Pour une entité non réparable, l’intensité de défaillance coïncide avec la densité
de défaillance U(t); ND(0.t) pour une telle entité est égale à la défiabilité R(t) et tend
vers un lorsque t tend vers l’infini. Pour une entité réparable, ND(0,t) tend vers
l’infini lorsque t tend vers l’infini.
4.5.2. L’intensité de réparation :

que l’instant T d’achèvement de la réparation d’une entité soit compris dans un
intervalle de temps donné [t, t+∆t], par la durée de l’intervalle de temps, lorsque ∆t
tend vers zéro, sachant que l’entité est en fonctionnement au temps t = 0.
L’intensité de réparation V(t) suppose que l’entité est en fonctionnement au
temps t = 0 (ou plus généralement dans un état normal), tandis que le taux de
réparation admet que l’entité a été en panne sur [0,t].
L’intensité de réparation V(t) est encore appelée “Intensité de réparation
inconditionnelle”; “unconditionnal repair intensity” par opposition à l’intensité de
réparation conditionnelle qui admet, de plus, que l’entité est en panne au temps t.
___________________________________________________________________________
___________________________________________________________________________
On définit un nombre prévu de réparations de manière analogue à la définition
du nombre prévu de défaillances :
t2
N R t 1, t 2 = V (t) dt
t1
4.6. Principales relations
Les considérations précédentes permettent de déduire les relations suivantes:

t
R(t) = exp – λ(u).du (3.17)
0
t
U(t) = λ(t) exp – λ(u).du (3.18)
0
t
M (t) = 1 – exp – µ (u).du (3.19)
0
t
G (t) = M (t) exp – M(u).du (3.20)
0
Les relations entre F(t), R(t), f(t) et λ(t) sont illustrées dans le tableau 3.1 :
Fonction F(t) R(t) f(t) λ (t)
t t
F(t) 1 – R(t) f(u).du 1 – exp – λ(u).du
0 0
∞ t
R(t) 1 – F(t) f(u).du exp – λ(u).du
t 0
dF(t) dR(t) t
f(t) – λ(t) exp – λ(u).du
dt dt 0
dF(t) f(t)
dt R'( t)
λ (t) – +∞
1 – F(t) R (t) f(u).du

t
Tableau 3.1 : Relations entre F(t), R(t), f(t) et λ(t)
Exemple 3.5 : Estimation de la fiabilité par la loi de survie

On considère un essai de N(0)=200 lampes à incandescence placées sur un banc
d’essai. Toutes les 100 heures, on notes le nombre N(t) de lampes qui fonctionnent
encore. Les résultats relatifs à la fiabilité sont illustrés dans le Tableau 3.2 et les
figures 3.5
___________________________________________________________________________
___________________________________________________________________________
Durées Nombre Nombre Densité de Taux de

Fiabilité
d’essais de cf fig 3.6
de probabilité défaillance
h survivants défaillants cf fig 3.5.a cf fig 3.5.b
0 200 1.000
10 0.000 50 0.000 513
100 190 0.950
2 0.00010 0.000 106
200 188 0.940
1 0.00005 0.000 053
300 187 0.935
1 0.000 05 0.000 054
400 186 0.930
2 0.000 10 0.000 108
500 184 0.920
4 0.000 10 0.000 220
600 180 0.900
18 0.000 20 0.001 053
700 162 0.810
63 0.000 90 0.004 828
800 99 0.495
53 0.003 15 0.007 310
900 46 0.230
28 0.002 65 0.008 750
1000 18 0.090
12 0.001 40 0.010 000
1100 6 0.030
6 0.000 30 0.020 000
1200 0 0.000
Tableau 3.2 : Fiabilité, densité de probabilité et taux de défaillance d’un lot de 200 lampes à
incandescence placées sur un banc d’essais
f(t) λ(t)
0.005
0.02
0.01
0
0
0 500 1000 t(h)
0 500 1000 t(h)
Figure 3.5.a. : Densité de probabilité f(t) des durées de vie d’un lot Figure 3.5.b: Taux de défaillanceλ (t) d’un lot de lampes
de lampes
Figure 3.5 : f(t) et λ(t) d’un lot d lampes
___________________________________________________________________________
___________________________________________________________________________
La fiabilité R(t) du lot des lampes en fonction de la durée d’essai t, (ou loi de
survie) est illustrée sur la figure 3.6.
R(t)
1
0.5
0
0 500 1000 t(h)
Figure 3.6 : Fiabilité R(t) d’un lot de lampes en fonction de la durée d’essai t, ou loi de survie
4.6.1. Relations entre les intensités de défaillance et de réparation :

Une entité peut tomber en panne dans l’intervalle de temps [t, t+dt] selon deux
scénarios différents :
- l’entité a été réparée dans l’intervalle de temps [x, x+dx], est en
fonctionnement jusqu’au temps t, puis tombe en panne,
- l’entité est en fonctionnement sur l’intervalle de temps [0,t], puis tombe en
panne.
On admet que l’entité est dans un état normal au temps t = 0. La probabilité du
premier scénario est V(x) dx U(t-x) dt puisque :
- V(x) dx est la probabilité que l’entité soit réparé durant l’intervalle de temps
[x, x+dx], l’entité étant en fonctionnement au temps t = 0
- U(t-x) dt est la probabilité que l’entité fonctionne jusqu’au temps t et tombe en
panne durant l’intervalle de temps [t, t+dt], l’entité étant en fonctionnement au
temps t =0 et ayant été réparée au temps x.
La probabilité du deuxième scénario est U(t) dt.
D’où :
___________________________________________________________________________
___________________________________________________________________________
t
W(t) dt = U(t) dt + dt V(x) U(t Š x) dx
0
Soit
t
W(t) = U(t)+ dt U(t Š x) V(x) dx
0
De manière analogue, considérons une entité tombant en panne dans

l’intervalle de temps [x, x+dx] en réparation jusqu’à l’instant t et réparée dans
l’intervalle de temps [t, t+dt]. On en déduit:
t
V(t) = G(t Š x) W(x) dx
0
On a ainsi obtenu les égalités suivantes :

t
W(t) = U(t)+ dt U(t Š x) V(x) dx
0
t
V(t) = G(t Š x) W(x) dx
0
Les intensités de défaillance et de réparation sont déduites, de manière

itérative, de ces deux équations quand les densités de défaillance U(t) et de
réparation G(t) sont données.
4.6.2 Calcul de l’indisponibilité :
On démontre que
A(t) = ND(0,t) - NR(0.t) (3.21)
C’est-à-dire que :
t
A(t) = W(x) Š V(x) dx
0
5. TAUX DE DEFAILLANCE ET MTTF POUR LES PRINCIPALES

LOIS DE PROBABILITE
Pour représenter les différents comportements de matériels, il est d’usage

d’utiliser les lois de probabilité suivantes :
- Loi exponentielle ;
- Loi normale ;
- Loi de Weibull ;
- Loi de Poisson.
___________________________________________________________________________
___________________________________________________________________________
Fonction de Répartition Densité de Probabilité Taux de Défaillance

F (t) = P [ T < t ] f (t) = dF(t)/dt
E LOIS CONTINUES
X F(t) =1 – e– λ0t
P λ(t) = λ
O F R(t) = 1 – F(T) = e– λt f(t) = λ e– λt
f λ(t) 1
N (R(t) =fiabilité) MTBF =
E λ
N
T λ λ
I
E
L
L
E t t t
Normale centrée réduite 1 1 t –m 2 1 t–m 2

f(t) = exp – ;
σ 2π 2 σ exp –
1
t
1 x –m 2
2 σ
F(t ) =
σ 2π –∞
exp –
2 σ
dx Σ ti Σ ti– m 2 t
N m=
k
;σ=
k –1 λ(t) 1 x –m 2
O F f λ(t) = exp – dx
2 σ
R 1
–∞
M 1 σ 2π
A
L 0.68
E 0.5
m t m- σ m m+ σ t t
t–γ β β t – γ β –1 t –γ β β t – γ β –1
F(t) =1 – exp – f(t) =
η η
exp –
η
λ(t ) =
η η
η
β : paramètrede forme Cas particuliers : 1
λ(t ) croissant si β > 1
β = 1, η , γ = 0, λ = λ(t ) cste si β = 1
η : paramètred' échelle η
λ(t ) décroissant si β < 1
⇔ Loi Exponentielle
γ : paramètrede localisation 1
β = 3,25, η = 1 , γ = 0 MTBF = E(t) = γ + η Γ(1 + )
W β
E γ =0, η = 1 ⇔ Loi Normale
γ =0, η = 1
I F 2 3 2
β = 2, λ = , γ = 0 λ(t)
B f η2 1.5
U 1 ⇔ LoideRayleigh
β=0.5
L γ =0, η = 1
L 1.1
β=3
β=0.2 β=1,5
1
0.9
β=1 β=1
0.5
β=3 0.1
t t t
θ β xβ – 1 e– θ t θ β t β – 1 e– θ t
t
F(t ) =
Γ(β)
dx θβ t β – 1 – θ t λ(t) = ∞
0 f(t) = e λ(t)
Γ (β ) Γ(β) u(t) dt
G Γ (β) = (β – 1) ! – (β – 1) Γ(β – 1)
A F f t
M β=0.5
E (θt) = β = V(θ t)
M 1 β=0.5
A β=0.5
0.05
β=1 β=5 β=2.0
β=2
β=5.0 β=5
10 20 30 40 50 t 10 20 30 40 50 t 10 20 30 40 50 t
Tableau 3.3: Distributions de probabilité : Lois continues

___________________________________________________________________________
___________________________________________________________________________
Le tableau 3.3. donne pour des lois fréquemment utilisées en Sûreté de

Fonctionnement (lois exponentielle, normale, log-normale, de Weibull) les
expressions et les allures :
- de la densité de fonctionnement U(t)
- de la défiabilité R(t)
- du taux de défaillance λ(t)
Le MTTF est également indiqué pour chaque loi. On rappelle que ces lois sont
relatives à la variable aléatoire T mesurant la durée de fonctionnement de l’entité.
5.1. Loi Exponentielle
5.1.1. Propriétés de la loi

* Densité de probabilité : f(t) = λ 0 e– λ0t
* Fonction de répartition : F(t) = 1 – e– λ0t
* Fiabilité (loi d’usure) : R(t) = e– λ0t
* Temps moyen de fonctionnement avant la première défaillance :

+∞ 1 –λt ∞ 1
MTTF = R(t). dt = – e 0 =
0 λ0 0 λ0
1
λ λ
R(t)
λ(t)
f(t)
t
1 2 λt 3 1 2 λt 3 1 2 3
a Probabilité de survie R(t) b densité de probabilité f(t) c taux de défaillance λ(t)
Figure 3.7 . Utilisation de la loi exponentielle dans le calcul de fiabilité

___________________________________________________________________________
___________________________________________________________________________
Exemple 3.6 :
Un équipement doit avoir une fiabilité de 0.98 pour une mission de 10 heures.
Déterminer la MTTF de cet équipement
Solution 3.6 :
R(t) = e– λ0t ⇔ 0.98 = e– 10 λ0
⇒ λ 0 = 0.002 défaillance/ h
1
θ0 = = 500 heures
λ0
5.1.2. Application à la fiabilité : Calcul de la distributions des durées de

réparation
La distribution exponentielle est très utilisée dans la distribution des durées de
réparation. En effet, le taux de réparation est supposé constant.
* Distribution de probabilité : g(t) = µ exp ( – µ t)
* Fonction de maintenabilité : M(t) = 1 – exp – µ t
1
* Durée moyenne de réparation : MTTR =
µ
n
t
* Estimation du MTTR à partir de n durées mesurées ti : MTTR = Σ ni
i= 1
5.2. Loi normale ou loi de Laplace-Gauss
5.2.1 Application à la fiabilité :

La distribution normale est utilisée pour représenter la distribution des durées
de vie de dispositifs en fin de vie (usure) car le taux de défaillance est toujours
croissant. On ne l’utilisera que si la moyenne des durées de vie est supérieure à 3 fois
l’écart type.
2
1 1 t–µ
* Densité de Probabilité : f(t) = exp –
σ 2π 2 σ
* Moyenne : µ
* Variance : σ2
___________________________________________________________________________
___________________________________________________________________________
5.2.2. Variable normale centrée réduite (de moyenne 0 et d’écart type 1) :
1 u2
* Densité de probabilité : ϕ (u) = exp (– )
2π 2
u
* Fonction de répartition : Φ (u) = ϕ(x) dx
0
t–µ µ– t
* Fiabilité : R(t) = 1 – Φ =Φ
σ σ
t–u
ϕ
1 σ
* Taux de défaillance : λ(t) =
σ t–u
Φ
σ
La représentation graphique de R(u), f(u) et σ λ(u) est illustrée sur la figure 3.8 :
1 0.5
σ λ(u)
3
R(u)
f(u)
-3 -2 -1 0 1 2 3 -3 -2 -1 0 1 2 3 -3 -2 -1 0 1 2 3
a Fiabilité R(u) b densité de probabilité f(u) c taux de défaillance (u) x

écart type σ
Figure 3.8 : Représentation graphique de R(u), f(u) et σ λ(u)
Exemple 3.7 :
La durée de vie d’un dispositif suit une loi normale de moyenne µ = 1 000 h et
d’écart type σ = 200 h. Calcuer sa fiabilité pour une mission de 700 h.
Solution 3.7 :
Pour une mission t = 700 h, sa fiabilité sera :
700 – 1000 1000 – 700
R(700) = 1 – Φ =Φ = Φ 1.5
200 200
D’après la table statistique (Annexes 3.3) de la loi normale réduite, on relève:
Φ(1,5) = 0,9332
___________________________________________________________________________
___________________________________________________________________________
A la fin de cette mission, le taux de défaillance sera :

1 0.1295
f(700) = ϕ(1.5) = = 6.475.10– 4
200 200
–4
f(700) 6.475.10 –4
λ(700) = = = 6.94 10 défaillancepar heure
R(700) 0.9332
5.3. Loi de Weibull
5.3.1. Application à la fiabilité :

Suivant les valeurs de β, le taux de défaillance est soit décroisant (β < 1) , soit
constant (β = 1), soit croissant (β > 1 ). La distribution de Weibull permet donc de
représenter les trois périodes de vie d’un dispositif (courbe en baignoire cf Figure
1.14).
β
t–γ
* Fiabilité : R(t) = exp – pour t ≥ γ; R(t) = 1 pour t < γ
η
β –1
β t –γ
* Taux de défaillance : λ(t) = pour t ≥ γ;
η η
1 /β
* La durée de vie correspondant à la fiabilité R est : E = γ + η – ln R
Ces trois fonctions sont représentées sur la figure 3.9
1 2.5
1 2
2
β=2
β=
1.5
f(t)
β=1
λ(t)
β
R(t)
= 1
β = 0. 1
5 β
=
β= 1 0.5
0.5 β = 0.5
β=
2 t t t
1 2 1 2 1 2
a fiabilité R(t) b densité de probabilité f(t) c taux de défaillance λ(t)
Figure 3.9 : Principales propriétés de la distribution de Weibull

___________________________________________________________________________
___________________________________________________________________________
Exemple 3.8 : Usure d’une pompe à eau

Les garnitures mécaniques d’une pompe à eau subissent un phénomène
d’usure accéléré, bien représenté par une loi de Weibull. Les temps d’observation du
comportement de ces garnitures débutent en même temps que leur mise en service (
γ = 0), et leur durée de vie moyenne est de 10 000 heures.
Sachant que le processus de détérioration est un processus de vieillissement
dont la cinétique est telle que β = 2, quelle est la probabilité de défaillance à 5 000
heures ?
Solution 3.8 :
L’espérance mathématique de la durée de vie moyenne est :
1 +β 1 +2
E(t) = γ + η Γ =0 +η Γ = 10.000
β 2
D’après la table de la loi gamma : Γ 3/2 = 0.88

D’où l’on déduit : η =11 360 heures
La probabilité de défaillance après 5 000 h est donc :
β
t 5000 2
F(t) = 1 – exp – = 1 – exp – = 0.18
η 11 360
Il y a donc 18 chances sur 100 pour que ces garnitures soient défaillantes après 5
000 h d’utilisation. Cette valeur servira à la prise de décision quant à leur fréquence
de remplacement.
5.4. La Loi log normale : Distribution des durée de réparation
* Distribution log normale : elle représente bien les durées de réparation, avec
un taux de réparation croissant au départ, puis passant par un maximum. Elle est
caractérisée par le fait que le logarithme des durées suit une loi normale.
2
1 1 ln t – m
g(t) = exp –
tσ 2π 2 σ
Si l’on désigne par ϕ(u) la distribution normale réduite et par F(u) la fonction de
répartition correspondante sachant que la variable réduite :
___________________________________________________________________________
___________________________________________________________________________
2 u
ln t – m 1 u
u= ; ϕ(u) = exp – ; Φ(u) = ϕ(x) .dx n
σ 2π 2 0
ϕ(u)
On obtient : g(t) =
tσ
* Fonction maintenabilité : M(t) = Φ(u )
ϕ (u)
* Taux de réparation : µ(t) =
t σ 1 – Φ(u)
σ2
* Durée moyenne de réparation : MTTR = exp m +
2
Remarques :
- La loi exponentielle est très souvent utilisée dans les calculs car ceux-ci s’en
trouvent grandement simplifiés. Cependant, cette loi ne décrit ni le cas de
composants jeunes (défaillances précoces) dont le taux de défaillance diminue dans
le temps, ni le cas de composants vieux dont le taux de défaillance augmente dans le
temps (dû à l’usure)
Avec cette loi on obtient :
Š λt
R(t) = e
1
MTTF =
λ
De même, si l’on suppose que le taux de réparation µ(t) est une constante µ, on
en déduit :
Š µt
M(t) = 1 Š e
1
MTTR =
µ
On note également τ la durée moyenne de réparation ( τ = 1/µ).
- La loi normale convient à des composants usés dont le taux de défaillance

augmente avec le temps.
- La loi de Weibull a les caractéristiques suivantes :
* β <1 : le taux de défaillance est décroissant avec le temps;
* β > 1 : le taux de défaillance est croissant avec le temps.
Cette loi correspond généralement bien aux composants mécaniques pour
___________________________________________________________________________
___________________________________________________________________________
lesquels les taux de défaillance sont rarement constants.
6. FIABILITE ET DISPONIBILITE D’UNE ENTITE
On distingue généralement trois classes d’entités :

- l’entité est irréparable
- l’entité est réparable : la réparation est entreprise lorsque l’on détecte la panne
et l’entité est, à la fin de la réparation, remise en service en étant aussi
“neuve” qu’avant;
- l’entité est en attente et est périodiquement testée : on admet que l’entité est à
l’arrêt et qu’un test est périodiquement effectué (démarrage de l’entité).
On évalue la fiabilité et la disponibilité de ces entités. Dans un souci de
simplification, on admet que les taux de défaillance et de réparation sont constants.
6.1. L’entité est irréparable
Sa disponibilité A(t) est égale à sa fiabilité R(t). On a précédemment vu :
A (t) = R(t) = e– λ t
6.2. L’entité est réparable
Le théorème des probabilités totales permet d’écrire :
A(t +dt) = P entitˇ en fonctionnement t et n'a pas de dˇfaillance entre t et t + ∆ t +

P entitˇ en panne t et est rˇparˇe entre t et t + ∆t
On suppose que les taux de défaillance et de réparation sont constants :
A (t + dt) = A (t) (1 – λ dt) +(1 – A (t)) µ dt

dA
(t) = µ – (λ + µ) A (t)
dt
La résolution peut éventuellement se faire en utilisant la transformation de
Laplace.
µ µ (1 – A(0)) – λ A (0) – (λ + µ) t
A (t) = – e (3.22)
λ +µ λ+ µ
___________________________________________________________________________
___________________________________________________________________________
Supposons que l’entité était disponible à t = 0 (A(0) = 1)
µ λ – (λ + µ) t
A (t) = – e
λ +µ λ+µ (3.23)
Nous obtenons la courbe 1 de la figure 3.10.

Supposons maintenant que l’entité n’était pas disponible à t = 0 (A(0) = 0)
µ
A (t) = 1 – e– (λ + µ) t
λ +µ (3.24)
Nous obtenons la courbe 2 de la figure 3.10.
A(t)
µ 1
λ +µ
2
Figure 3.10.: Disponibilité d’une entité
Il est intéressant de noter que :
Disponibilité asymptotique :
µ MTTF
lim A (t) = A (∞) = = (3.25)
t→∞ λ + µ MTTF + MTTR
Indisponibilité asymptotique :
___________________________________________________________________________
___________________________________________________________________________
MTTR λ
A (∞ ) = 1 – A (∞) = ≈ (3.26)
MTTF + MTTR µ
Ainsi :
- La disponibilité asymptotique est égale à la proportion du temps pendant
lequel l’entité est en état de fonctionner,
- L’indisponibilité asymptotique est égale à la proportion du temps pendant
lequel l’entité n’est pas en état de fonctionner.
On démontre que ces derniers résultats sont également vérifiés (avec des
conditions générales) pour des taux de défaillance et des taux de réparation µ(t)
non constants.
___________________________________________________________________________
___________________________________________________________________________
1. PROBABILITE D’EVENEMENTS .............................................................................................................. 46

1.1. THEOREME DE POINCARE ............................................................................................................................ 47
1.2. THEOREME DE PROBABILITE CONDITIONNELLE ........................................................................................... 47
1.3. THEOREME DES PROBABILITES TOTALES ..................................................................................................... 48
1.4. THEOREME DE BAYES ................................................................................................................................. 48
2. VARIABLES ALEATOIRES ........................................................................................................................ 49
2.1. DEFINITION ................................................................................................................................................. 49
2.1.1. Fonction de répartition : ..................................................................................................................... 49
2.1.2. Densité de probabilité : ....................................................................................................................... 50
2.2. ALGEBRE DES VARIABLES ALEATOIRES ....................................................................................................... 50
3. PRINCIPALES LOIS DE PROBABILITES ................................................................................................ 51
3.1. LOIS DISCRETES .......................................................................................................................................... 51
3.1.1. Loi binomiale ...................................................................................................................................... 51
3.1.2. Loi de Poisson ..................................................................................................................................... 52
3.2. LOIS CONTINUES ......................................................................................................................................... 52
3.2.1. Loi exponentielle ................................................................................................................................. 52
3.2.2. Loi normale (ou de Gauss) notée N(m,σ)............................................................................................ 53
3.2.3. Loi log-normale................................................................................................................................... 55
3.2.4. Loi de Weibull ..................................................................................................................................... 56
4. RELATIONS FONDAMENTALES DANS LE DOMAINE DE LA SURETE DE FONCTIONNEMENT
.............................................................................................................................................................................. 58
4.1. DEFINITION ET PRINCIPALES CARACTERISTIQUES ........................................................................................ 58
4.1.1. Fiabilité d’une entité E........................................................................................................................ 58
F(T) DT = R(T) λ(T) DT ....................................................................................................................................... 59
4.1.2. Disponibilité d’une entité .................................................................................................................... 60
4.1.3. Maintenabilité d’une entité E:............................................................................................................. 60
4.2. DEFINITIONS DU MTTF, MTTR, MUT, MDT, MTBF ................................................................................ 61
4.3. DENSITE DE DEFAILLANCE ET DE REPARATION, MTTF ET MTTR ............................................................... 62
4.4. TAUX DE DEFAILLANCE ET DE REPARATION ................................................................................................ 63
4.4.1. Taux de défaillance (instantané) : ....................................................................................................... 63
Remarque : .................................................................................................................................................... 64
4.4.2. Taux de réparation (instantané) : ....................................................................................................... 65
4.5. INTENSITES DE DEFAILLANCE ET DE REPARATION ....................................................................................... 65
4.5.1. Intensité de défaillance ....................................................................................................................... 65
4.5.2. L’intensité de réparation :................................................................................................................... 66
4.6. PRINCIPALES RELATIONS ............................................................................................................................. 67
Exemple 3.5 : Estimation de la fiabilité par la loi de survie ......................................................................... 67
4.6.1. Relations entre les intensités de défaillance et de réparation : ........................................................... 69
4.6.2 Calcul de l’indisponibilité :.................................................................................................................. 70
5. TAUX DE DEFAILLANCE ET MTTF POUR LES PRINCIPALES LOIS DE PROBABILITE .......... 70
5.1. LOI EXPONENTIELLE ................................................................................................................................... 72
5.1.1. Propriétés de la loi .............................................................................................................................. 72
5.1.2. Application à la fiabilité : Calcul de la distributions des durées de .................................................. 73
réparation ..................................................................................................................................................... 73
5.2. LOI NORMALE OU LOI DE LAPLACE-GAUSS ................................................................................................. 73
5.2.1 Application à la fiabilité : .................................................................................................................... 73
5.2.2. Variable normale centrée réduite (de moyenne 0 et d’écart type 1) : .......................... 74
5.3. LOI DE WEIBULL ......................................................................................................................................... 75
___________________________________________________________________________
___________________________________________________________________________
5.3.1. Application à la fiabilité : ................................................................................................................... 75
5.4. LA LOI LOG NORMALE : DISTRIBUTION DES DUREE DE REPARATION ........................................................... 76
6. FIABILITE ET DISPONIBILITE D’UNE ENTITE ................................................................................... 78
6.1. L’ENTITE EST IRREPARABLE ........................................................................................................................ 78
6.2. L’ENTITE EST REPARABLE ........................................................................................................................... 78
___________________________________________________________________________
___________________________________________________________________________
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
___________________________________________________________________________
Chapitre 4 Données de Sûreté de Fonctionnement
___________________________________________________________________________
Généralités
Elaboration des données
Exemple d’un système de recueil de données
Sources de données
CHAPITRE 4 : DONNEES DE SURETE DE

FONCTIONNEMENT
1. INTRODUCTION
Évaluer la Sûreté de Fonctionnement d’un composant requiert l’obtention

d’informations sur ce composant. Elles sont relatives à des événements (défaillances
ou pannes) survenant sur ces composants. Leur obtention dépend en partie de la
nature des composants.
Très schématiquement, la démarche consiste à observer pendant un certain
temps de fonctionnement, dans des conditions données, des matériels auxquels on
s’intéresse et à répertorier toutes les défaillances ou pannes que subissent ces
___________________________________________________________________________
___________________________________________________________________________
matériels. On obtient ainsi les informations de base qui permettent de quantifier la

Sûreté de Fonctionnement.
A l’origine, les données cherchées étaient relatives à la fiabilité des composants;
d’où le nom de données de fiabilité utilisé pour les qualifier. Lorsque ces données
recouvrent d’autres domaines que celui strict de la fiabilité (par exemple les données
relatives aux durées de maintenance), on parlera de données de Sûreté de
Fonctionnement.
1.1. Composants
Schématiquement, on distingue quatre types de composants :
1.1.1. Les composants électroniques :

Ces composants (diodes, transistors, etc.) présentent généralement les
caractéristiques suivantes :
- ils constituent des populations de composants identiques de taille statistique
élevée,
- ils ne sont pas réparables.
Ces deux facteurs conjugués permettent d’appliquer efficacement des méthodes

statistiques simples pour évaluer leur fiabilité. Celle-ci sera souvent déterminée par
l’intermédiaire d’essais de fiabilité.
1.1.2. Les composants électriques :

Ces composants (ligne électrique, transformateur, etc.) présentent généralement
les caractéristiques suivantes :
- ils constituent des populations de composants de taille statistique élevée,
- ils sont réparables
Généralement, la Sûreté de Fonctionnement de ces matériels sera déduite

d’essais de fiabilité ou de l’analyse de l’expérience d’exploitation réelle de ces
matériels dans des installations industrielles.
1.1.3. Les composants éléctro-mécaniques actifs :
Ces composants (moto-pompes, disjoncteurs, etc.) présentent généralement les

caractéristiques suivantes :
___________________________________________________________________________
___________________________________________________________________________
- ils constituent des populations de matériels identiques de faible taille
statistique,
- ils sont réparables
Ces composants se composent souvent eux-mêmes d’un nombre important de
pièces élémentaires, voire d’un système à l’autre; d’où la nécessité de regrouper ces
composants dans des classes de composants aux caractéristiques semblables pour
évaluer la Sûreté de Fonctionnement d’une population aussi homogène que possible.
Ceci peut conduire à des périodes d’observation longues si l’on veut évaluer la Sûreté de
Fonctionnement avec une marge d’incertitude faible.
La possibilité de réparer ces composants introduit une première difficulté; en
effet, comment doit-on considérer ce matériel après réparation ? La réparation
constitue-t-elle une remise à neuf ? La réponse dépend essentiellement de la nature
de la panne et de la réparation effectuée.
Généralement la Sûreté de Fonctionnement de ces matériels sera déduite de
l’analyse de l’expérience d’exploitation réelle de ces matériels dans des
installations industrielles.
1.1.4. Les composants mécaniques passifs

Il s’agit essentiellement de composants purement mécaniques tels que les
tuyauteries, les éléments de supportage, les pièces de structure. Les sollicitations
vont les amener à travailler essentiellement en fatigue. Les paramètres qui influent
de manière prépondérante sur le comportement de ces matériels sont les contraintes
externes liées aux conditions de fonctionnement.
Leurs caractéristiques ne sont pas toujours faciles à définir; ils sont souvent
difficilement réparables. Par ailleurs, leurs caractéristiques et performances sont
souvent propres à des systèmes ou à des installations industrielles (exemple: pièces
de structure).
1.2. Recherche de données événementielles
Un événement est ici défini comme «une prise de connaissance de variation(s)

de caractéristique(s) fonctionnelle(s) d’un ensemble délimité». Citons à titre
d’exemple : la défaillance, la panne, la réparation, la substitution, la dérive d’un
paramètre, etc.
On distingue deux principaux moyens de recherche de données
événementielles.
___________________________________________________________________________
___________________________________________________________________________
1.2.1. Les essais de fiabilité

Ils sont dessinés à fournir les données événementielles lorsque l’observation du
comportement des matériels en exploitation est difficile, voire impossible (matériels
nouveaux non exploités par exemple). Selon la façon de réaliser les essais, les
traitements mathématiques qui permettront le calcul des paramètres sont différents.
On distingue principalement deux types d’essais :
- Type I : l’essai se termine au temps T avant que tous les composants (N)
soient défaillants ; le critère d’arrêt de l’essai est donc la durée.
- Type II : l’essai se termine au temps de la r-ième défaillance (r < N); le critère
d’arrêt de l’essai est donc un nombre de défaillances.
Dans le type I, le temps T est fixé et les instants de défaillances correspondent à

des variables aléatoires.
Dans le type II, le nombre de r de défaillances est fixé et les instants de
défaillances correspondent à des variables aléatoires.
Dans ce dernier cas, si on suppose que le taux de défaillance est constant, on
peut démontrer que les bornes de l’intervalle de confiance sont telles que :
χ α2 (2r)
2
λ inf = (4.1)
2T
χ 21 – α (2r)
2
λ sup = (4.2)
2T
χ 2α ν est déduit de la loi χ 2 (khi-deux) à ν degré de liberté (Annexes 3.5).

Pour les tests de type I, la limite supérieure de l’intervalle de confiance est
obtenue à partir de la loi χ 2 à 2 r +2 degrés de liberté.
Par ailleurs, on dit qu’un essai est non censuré lorsqu’il est poursuivi jusqu’à la
défaillance de tous les matériels.
Remarques :
- On peut réaliser des plans mixtes pour lesquels on définit un critère d’arrêt
qui est l’obtention d’un nombre déterminé de pannes ou la fin d’une durée fixée si le
nombre de pannes déterminé n’a pas été observé au cours de cette durée.
- On définit également des essais progressifs pour lesquels la décision d’arrêt
dépend des résultats déjà obtenus.
___________________________________________________________________________
___________________________________________________________________________
- Des essais identiques, réalisés dans des conditions de contraintes extérieures
différentes, peuvent permettre de déterminer l’influence de l’environnement sur la
fiabilité. Cette influence de l’environnement, si elle se révèle très difficile à évaluer
matériellement, reste sans nul doute un caractère important et, dans certains cas,
primordial. Par ailleurs les essais de fiabilité ne permettent généralement pas de
reproduire, avec fidélité, les conditions d’environnement de l’exploitation réelle. En
conséquence, les valeurs de paramètres obtenues à partir d’essais présentent toujours
le risque d’être mal adaptées à l’application qu’on se propose d’en faire.
- Les essais de fiabilité sont souvent très coûteux à la fois en moyens et en
temps. Pour ces raisons, on accorde la préférence - lorsque le choix existe bien sûr -
au recueil de données en exploitation.
1.2.2. Le recueil de données en exploitation

On observe alors le comportement des composants dans les conditions réelles
d’exploitation et on relève toutes les données événementielles qui, après traitement,
donneront accès aux paramètres recherchés. Les paramètres de fiabilité qui en sont
déduits sont évidemment fonction des politiques de maintenance préventive, de
réparation, de test, etc. qui sont suivies sur ces composants : de tels paramètres
peuvent être très différents de ceux résultant d’essais de fiabilité.
2. ÉLABORATION DE DONNEES
2.1. Paramètres de Sûreté de Fonctionnement
Afin de caractériser la Sûreté de Fonctionnement d’un composant (ou d’une

entité), on cherche à évaluer les paramètres suivants :
- taux de défaillance en fonctionnement (symbole λ)
- taux de défaillance à l’arrêt (symbole λa)
- taux de défaillance à la sollicitation (symbole γ)
- taux de réparation (symbole µ)
- MTTF, MTTR, MUT, MDT, MTBF
2.1.1. Taux de défaillance en fonctionnement

Ce paramètre exprime la probabilité pour qu’une entité E, qui a fonctionné
pendant un temps t, soit défaillante au cours de l’unité de temps qui suit.
Mathématiquement, on écrit :
___________________________________________________________________________
___________________________________________________________________________
1 E est défaillanteentre t et t + ∆t sachant

λ = lim P
∆t → 0 ∆t qu' ellen' a pas eu de défaillancesur [0,t]
L’hypothèse du taux de défaillance constant est souvent retenue : en effet, elle

conduit à des calculs simples et, souvent, le faible nombre de données
événementielles ne permet pas de privilégier une autre hypothèse.
Dans ce cas un estimateur λ du taux de défaillance est :
Nf
λ= (4.3)
Tf
avec :
Nf : le nombre de défaillances observées en fonctionnement
Tf : la durée cumulée de fonctionnement
2.1.2. Taux de défaillance à l’arrêt

Sa définition est analogue à celle du taux de défaillance en fonctionnement :

λ a = lim P (4.4)
∆t → 0 ∆t qu' elleétait à l' arrêt, en état de fonctionnement sur [0,t]
Si l’on admet que le taux de défaillance est constant, un estimateur λ a du taux

de défaillance est :
Na
λa = (4.5)
Ta
avec :
Na : le nombre de défaillances survenues à l’arrêt
Ta : la durée cumulée d’arrêt
Remarque :
Ce paramètre est très difficile d’accès et il convient généralement de distinguer
entre :
- les pannes latentes : leur détection s’effectue lors de la première sollicitation
qui suit leur occurrence;
- les pannes immédiatement observables;
2.1.3. Taux de défaillance à la sollicitation
___________________________________________________________________________
___________________________________________________________________________
Ce paramètre exprime la probabilité pour que l’entité E refuse de changer d’état
lorsque cela lui est demandé sous forme d’une sollicitation.
Si on admet que ce taux de défaillance est constant, un estimateur γ de ce taux

de défaillance est :
N ds
γ= (4.6)
Ns
avec :
Nds : le nombre de défaillances observées à la sollicitation
Ns : le nombre de sollicitations
2.1.4. Taux de réparation

Ce paramètre exprime la probabilité pour qu’une entité E, qui a été en panne
pendant un temps t, retrouve son aptitude à remplir sa fonction dans l’unité de
temps qui suit. Dans le cas d’une entité non réparable, on procède à un
remplacement et on parle parfois de taux de substitution.
Mathématiquement, on écrit :
1 E soit réparée, ou remplacéeentre t et t + ∆t

µ = lim P
∆t → 0 ∆ t sachant qu' elle a été en panne sur [0,t]
Si on admet que le taux de réparation est constant, un estimateur µ du taux de

réparation est :
Nr
µ= (4.7)
Tr
avec :
Nr : le nombre de réparations
Tr : la durée cumulée de réparation
2.1.5. MTTF, MTTR, MUT, MDT, MTBF

On rappelle que certaines relations simples existent :
1
MTTR =
µ
___________________________________________________________________________
___________________________________________________________________________
Dans la majorité des cas, la durée de réparation (MTTR) et la durée moyenne

d’indisponibilité (MDT) sont très faibles devant la durée de fonctionnement (MTBF).
On a alors :
1
MTBF ≈ MUT ≈ MTTF ≈ (4.8)
λ
2.2. Lois de probabilités des paramètres
Les paramètres peuvent être modélisés par différentes lois de probabilités. Les
lois les plus utilisées ont été présentées dans le chapitre précédent. On rappelle qu’il
ne suffit pas, pour modéliser une variable aléatoire par une loi; il faut également
s’assurer que la variable aléatoire considérée est effectivement régie par cette loi.
Dans ce but, il existe des tests d’hypothèses : les deux principaux sont les tests du
khi-deux et le test de Kolmogorov-Smirnov.
L’utilisation d’un test d’hypothèse s’accompagne de deux risques:
- le risque de première espèce : c’est le risque α de rejeter une hypothèse alors
qu’elle est vraie;
- le risque de seconde espèce : c’est le risque β d’accepter une hypothèse fausse.
La quantité 1 - β est alors appelée puissance du test.
La loi exponentielle est plus utilisée pour des raisons liées à sa validité et a sa
commodité d’emploi.
Les observations effectuées sur des composants (surtout électroniques) ont

permis d’établir la «courbe en baignoire» donnant l’évolution du taux de défaillance
en fonction du temps. On rappelle qu’il existe alors une période «duré de vie utile»
pendant laquelle le taux de défaillance est constant. En ce qui concerne les
équipements mécaniques et électro-mécaniques, par contre, l’adaptation de cette
courbe à l’évolution du taux de défaillance soulève bien des difficultés et
controverses. L’hypothèse de l’existence d’une durée de vie utile pendant laquelle le
taux de défaillance serai constant n’est pas toujours admise.
2.3. Calcul d’estimateurs et d’intervalles de confiance
Il est important d’affecter chaque estimateur d’un intervalle de confiance à un

niveau de confiance donné. Par principe, on cherche ainsi à évaluer les bornes d’un
intervalle encadrant la valeur de l’estimateur; si on affirme que le paramètre
appartient à cet intervalle, il y a une probabilité α pour que l’on se trompe. De
___________________________________________________________________________
___________________________________________________________________________
manière simplifiée, on peut dire que le paramètre cherché aura une probabilité
choisie α de ne pas appartenir à cet intervalle. Celui-ci est appelé intervalle de
confiance et la quantité (1-α) est appelée niveau de confiance.
Abordons maintenant le calcul de l’estimateur et de l’intervalle de confiance
d’un taux de défaillance en fonctionnement. Soit :
λ : estimateur du taux de défaillance
λ sup : borne supérieure de l’intervalle de confiance au niveau de confiance 1-α
λ inf : borne inférieure de l’intervalle de confiance au niveau de confiance 1-α
On a :
Nf nombre de défaillancesen fonctionnement
λ= = (4.9)
Tf durée cumulée de fonctionnement
Supposons que λ est constant; le nombre de défaillances est distribué suivant

une loi de Poisson. On en déduit que les limites de l’intervalle de confiance sont les
suivantes :
2 2 Nf + 2
χ
α
1–
2
λ sup = (4.10)
2 Tf
2 2 Nf
χ
α
2
λ inf = (4.11)
2 Tf
avec α = P λ ∉ λ inf,λ sup
Dans le cas d’un taux de défaillance à la sollicitation, en reprenant des notations
analogues à celles employées ci-dessus, on écrit :
N ds nombre de défaillancesà la sollicitation

γ= = (4.12)
Ns nombre total de sollicitation
Le nombre de défaillances étant distribué suivant une loi binomiale, on montre

que :
Ns
α
γinf est la solution de : Σ i i
CN x 1 – x
s
Ns – i
=
2
i =N ds
___________________________________________________________________________
___________________________________________________________________________
N ds
α
γsup est la solution de : Σ CNi x i s
1–x Ns – i
=
2
i =0
i Ns!
avec : α = P γ ∉ γ inf ,γ sup et CNs =
i!(Ns – i)!
Exemple 4.1 :
On considère une population de pompes qui ont subi 2 défaillances en
fonctionnement pour une durée cumulée de fonctionnement de 10.000 heures.
On peut écrire :
2
λ= = 2.10– 4 / h
10.000
Dans la pratique, on cherche souvent à encadrer cette valeur par les bornes de
l’intervalle de confiance au niveau de confiance de 0.9 (soit 90%)
D’où :
χ 2 (4)
0.05 0.711
λ inf = = ≈ 3.6.10 – 5 / h
20.000 20.000
χ 2 (6)
0.95 12.6
λ sup = = = 6.3.10– 4 / h
20.000 20.000
Ainsi, on obtient :
Ğ4
λ = 2.10 /h
L’intervalle de confiance est : [ 3,6 10-5 / h; 6.3 10-4 / h ]
On constate que :
λ sup
≈ 18
λ inf
On suppose que l’on ait poursuivi l’observation de cette population de pompes
et qu’au terme de 70.000 heures de fonctionnement cumulées, on ait recensé 14
défaillances :
14
λ= = 2.10– 4 / h
70.000
___________________________________________________________________________
___________________________________________________________________________
χ 2 (28)
0.05 16,9
λ inf = = = 1,2 10– 4 / h
140.000 140.000
χ 2 (30)
0.95 43,8
λ sup = ≈ = 3,1 10– 4 / h
140.000 140.000
Ainsi :
λ = 2 10 – 4 / h
Ce qui nous donne comme intervalle de confiance : [ 1.2 10-4 / h; 3.1 10-4 / h ]
On constate que :
λ sup
≈ 2.6
λ inf
On remarque que la précision des résultats est ainsi nettement améliorée.
Remarques :
Il arrive que les populations homogènes soient de faible taille et il n’est pas rare
qu’aucune défaillance ne se produise, même au cours d’une période d’observation
assez longue. L’estimation d’un taux de défaillance à priori se relève alors délicate.
Plusieurs méthodes ont été proposées afin de calculer un estimateur du taux de
défaillance:
- la première consiste à calculer cet estimateur comme la borne supérieure de
l’intervalle de confiance unilatérale au niveau de confiance 60 %. Ceci revient, sur le
plan pratique, à considérer qu’il s’est produit 0.9 défaillance et la valeur calculée est
telle que la valeur réelle a une probabilité égale à 0.4 de lui être supérieure. Cette
estimation peut sembler pessimiste.
- la deuxième consiste à calculer cet estimateur comme la borne supérieure de
l’intervalle de confiance unilatérale au niveau de confiance 50 %. Cette valeur est
telle que la valeur réelle a la même probabilité (0.5) de lui être inférieure ou
supérieure. L’estimateur se calcule par :
χ 2 (2)
0.5 0.7
λ= ≈ (4.13)
2T T
avec :
T : durée de fonctionnement observé
ou
___________________________________________________________________________
___________________________________________________________________________
1
γ =1 – 1 /N
(4.14)
2
avec :
N : nombre de sollicitations observées
Dès que N est grand, cette dernière formule s’écrit également :

0.7
γ≈ (4.15)
N
Sur un plan pratique, cette méthode consiste donc à considérer qu’il y a eu
sensiblement 0.7 défaillance; cette méthode est très utilisée dans le domaine
nucléaire.
2.4. Évaluation par jugement d’experts
Ces méthodes se sont développées à partir de l’idée que des experts, confrontés
à l’expérience d’entités et donc à leur défaillance et à leur panne, pouvaient être en
mesure d’en déduire des paramètres de Sûreté de Fonctionnement. Des expériences
ont été menées en Grande-Bretagne (United Kingdom Atomic Energy Authority :
UKAEA) en 1967 et aux Etats-Unis en 1977 afin de comparer la fiabilité réellement
observée à la fiabilité prédite par des jugements d’experts.
Dans la première expérience décrite par Green [1970], 73 experts devaient
estimer la fiabilité (sous forme d’un taux de défaillance) de 16 équipements
(électriques et mécaniques) essentiellement utilisés dans les systèmes de sécurité du
domaine nucléaire. On peut noter les résultats suivants :
- il existe une importante dispersion des estimations des experts : le rapport
entre la fiabilité prédite et celle réellement observée peut varier de 10-2 à 70!
- si on utilise le rapport moyen, on constate que celui-ci varie de 0.5 à 9;
- environ le tiers des estimateurs pour chaque équipement se situe à l’intérieur
d’un facteur 2.
- dans l’ensemble, les experts sont trop pessimistes,
Dans la deuxième expérience réalisée par 62 experts sur 8 équipements de

l’aéronautique, il apparut que :
- les estimations des experts suivent approximativement une loi log-normale.
- le rapport entre la moyenne de la loi log-normale et la valeur observée était
comprise entre 0.9 et 5.
___________________________________________________________________________
___________________________________________________________________________
Ces techniques (appelées méthodes de Delphi) ont été utilisées par divers
auteurs ( Shooman and Sinkar [1977] et Green [1970]); elles furent employées à
grande échelle en 1977 dans le cadre du projet IEEE-500 (Institute of Electrical and
Electronics Engineers : IEEE) aux Etats-Unis pour l’obtention de données de fiabilité
relatives aux composants électriques et électroniques ainsi que pour les chaînes de
mesure des centrales nucléaires (IEEE standard 500).
En conclusion, il apparaît préférable, quand c’est possible, d’obtenir des
données de fiabilité à partir d’une analyse rigoureuse de l’expérience d’exploitation
plutôt que par jugements d’experts. Néanmoins, cette dernière méthode peut être
intéressante quand les données sont rares ou quand une grande précision sur celles-
ci n’est pas requise. L’utilisation des méthodes de type Delphi en conjonction avec
des méthodes bayésiennes peut être recommandée; des estimations «à priori» sont
élaborées à partir du jugement d’experts et des estimations « à posteriori» en sont
déduites à l’aide d’informations «à posteriori»; des travaux ont montré l’intérêt
d’une telle approche (Apostolakis [1978]).
3. EXEMPLE D’UN SYSTEME DE RECUEIL DE DONNEES
Nous présenterons, comme annoncé, un exemple détaillé : «le Système de

Recueil de Données de Fiabilité» (SRDF), mis en place par Électricité de France (EDF)
et relatif aux matériels des centrales nucléaires. C’est en 1974 qu’EDF a pris cette
décision, la première expérience s’effectuant sur les six tranches nucléaires à eau
pressurisée de 900 MWe de Fessenheim et de Bugey. En 1983, il a été décidé
d’étendre ce système à toutes les tranches nucléaires à eau pressurisée exploitées par
EDF (une quarantaine en 1985). Ce système a pour vocation de permettre un suivi
aussi exhaustif que possible du comportement en exploitation d’un certain nombre
de matériels choisis en fonction de leur importance vis-à-vis, soit de la sûreté, soit de
la disponibilité des tranches. Cette connaissance permet d’en déduire des estimateurs
des paramètres de Sûreté de Fonctionnement.
Le nombre de matériels suivis est d’environ 1.100 par paire de tranches
nucléaires depuis la mise en service réelle du système en avril 1978. Actuellement,
ces 1.100 matériels comprennent notamment : 509 robinets (vannes de tous types), 92
pompes, 35 réservoirs, 30 échangeurs, 6 turbines, 4 groupes électrogènes de secours,
102 moteurs, 152 appareils de coupure, 26 transformateurs, etc.
En 1982, l’échantillon statistique recueilli représente 24 années x tranches
d’expérience ou 150 000 heures de fonctionnement et 4 000 défaillances dont 30%
___________________________________________________________________________
___________________________________________________________________________
concernent la robinetterie; en 1986, il correspond à environ 100 années x tranches

d’expérience.
Ces équipements présentent en général la particularité d’être munis de
compteurs d’impulsion et de compteurs horaires afin de faciliter l’accès aux nombres
de sollicitations et aux temps de fonctionnement.
3.1. Collecte de l’information et des données
La collecte de l’information porte bien entendu sur les matériels dont la liste est
évoquée ci-dessus. Elle s’effectue à l’aide de trois catégories de fiches rédigées par les
agents (deux par paire de tranches nucléaires) chargés de collecte de données en
centrales nucléaires.
3.1.1. Les fiches signalétiques :

Elles sont des véritables cartes d’identité, ces fiches sont établies une fois pour
toutes à raison d’une par matériel suivi. Elles en donnent les caractéristiques
techniques ou historiques (date de mise en service, entretien, etc.) en précisant les
conditions de fonctionnement et fournissent des informations sur l’environnement.
Ces fiches permettent de constituer des groupes de matériels identiques sur lesquels
porteront les traitements statistiques.
3.1.2. Les fiches de fonctionnement

Chaque année, une fiche est remplie pour chaque matériel suivi. Elle résume les
principales données de fonctionnement de la tranche nucléaire, et de chaque matériel
: elle mentionne principalement le nombre d’heures de fonctionnement et le nombre
de sollicitations au cours de l’année écoulée.
3.1.3. Les fiches de défaillance :

Ces fiches sont rédigées chaque fois qu’un incident affecte le matériel suivi. Les
incidents sont répérés et collectés à partir des ordres de travaux quotidiens
rassemblés dans le bureau du chef de quart de la centrale nucléaire. Les agents
chargés du SRDF effectuent le tri de ces ordres de travaux et font l’analyse de la
défaillance en complétant les informations recueillies éventuellement par les dossiers
d’intervention, les consignations, les cahiers de quart, les documents statistiques ou
historiques ou les enquêtes sur le terrain.
Une fiche est ensuite rédigée à l’aide d’un guide d’analyse logique des
défaillances; elle est vérifiée puis introduite directement dans le fichier informatique
___________________________________________________________________________
___________________________________________________________________________
central d’EDF à partir d’un écran, clavier local. En moyenne, 350 fiches de
défaillances sont émises par an et par paire de tranches.
3.2. Traitement de l’information
Dès qu’une fiche a été introduite dans l’ordinateur, elle fait l’objet d’un certain
nombre de tests, réalisés automatiquement et qui permettent de vérifier la cohérence
des informations, la présence de renseignements jugés indispensables, etc.
A partir des informations contenues dans les fiches signalétiques, l’ordinateur
constitue des groupes de matériels identiques, groupes sur lesquels porteront les
traitements statistiques.
Périodiquement, une récapitulation des défaillances est effectuée pour chaque
groupe de matériels identiques. Les informations introduites peuvent à tout moment
être vérifiées, modifiées et complétées. Un logiciel permet de plus de consulter les
fichiers par l’intermédiaire de questions exprimées sous forme d’équations
booléennes. Il est ainsi possible, par exemple, de dresser la liste des défaillances
survenues au cours d’une période donnée sur un certain type de matériel
appartenant à un système donné. Ce procédé, par sa souplesse, permet d’apporter
rapidement des réponses précises à des questions formulées par le personnel
d’exploitation.
3.3. Restitution des données
Les fichiers ainsi constitués peuvent être interrogés à tout moment et selon de
nombreux critères de tri. Divers traitements «à la demande» permettent aux
utilisateurs de formuler des questions de nature très variée :
- calcul des paramètres de Sûreté de Fonctionnement d’une population de
matériels présentant des caractéristiques données :
- calcul des paramètres de Sûreté de Fonctionnement d’une population de
matériels présentant des caractéristiques données :
* taux de défaillance en fonctionnement,
* taux de défaillance à la sollicitation,
* taux de réparation,
* taux d’indisponibilité,
- recherche de la loi statistique la mieux adaptée pour représenter la durée de
vie d’un ensemble d’équipements donné; les limites d’un intervalle de confiance sont
aussi calculées.
___________________________________________________________________________
___________________________________________________________________________
4. SOURCES DE DONNEES
On distingue deux types de sources de données :

- les banques de données de Sûreté de Fonctionnement : elles sont caractérisées
par une évolution de ces données sous la forme de la mise à jour périodique.
Dans le domaine nucléaire, ces banques sont nombreuses; les pays ayant engagé
d’importants programmes de construction de centrales nucléaires ont généralement
ressenti le besoin de disposer de telles banques. Souvent, ces banques se limitent à
des données de fiabilité ou de disponibilité;
- les documents contenant des listes de données de Sûreté de Fonctionnement:
ceux-ci ont été généralement élaborés dans un domaine particulier pour des objectifs
spécifiques (étude de fiabilité, évaluation de risque) et peuvent constituer une source
importante de données.
4.1. Les banques de données
On recense ici les principales banques connues; celle créée par Électricité de
France a déjà été évoquée ci-dessus
4.1.1. Banque de données de fiabilité du Centre National d’Études des

Télécommunications (CNET)
Cette banque est élaborée grâce à l’exploitation statistique des défaillances des
équipements de télécommunications; un recueil de ces données est publié et fait
l’objet d’une mise à jour périodique. Très largement orienté vers les matériels
électroniques, il concerne notamment les circuits intégrés, les transistors, les diodes,
les résistances, les potentiomètres, les composants inductifs, les relais, les
commutateurs, les connecteurs, les ventilateurs, etc.
Pour tous ces matériels, les taux de défaillance sont donnés sous forme de
relations analytiques et d’abaques qui permettent de faire intervenir les
caractéristiques technologiques, les conditions d’utilisation, les facteurs (ou
coefficients) d’environnement.
4.1.2. Banque de données de fiabilité pour les équipements aux Etats-Unis
___________________________________________________________________________
___________________________________________________________________________
- Military Handbook 217B (MIL HDBK 217B) : ce document considère les
composants électroniques employés sur des équipements militaires. Les taux de
défaillances sont calculés selon une modélisation bien déterminée.
- NPRD 2 (Non electronic Parts Reliability Data (1981)) : ce document concerne
les composants mécaniques et électromécaniques employés sur des équipements
militaires. Dès 1996, un premier travail de collecte de données de fiabilité des
éléments mécaniques a été entrepris; l’expérience de grands organismes américains
tels la NASA, la NAVY était prise en compte.
4.1.3. Offshore REliability DAta (OREDA)

Cette banque de données est relative aux matériels de plates-formes pétrolières
opérant en Mer du Nord et en Mer Adriatique. La première publication a été faite en
1984 et il est prévu une ré-actualisation des données. On y trouve des données de
composants intervenant dans les systèmes de sûreté (détection d’incendie, alarmes,
lute contre l’incendie, etc.), les systèmes généraux (pompes, vannes échangeurs,
compresseurs, etc.), les systèmes électriques (générateurs, transformateurs, etc.), les
systèmes auxiliaires, les systèmes de manutention et les équipements de forage. Les
données présentées sont généralement des taux de défaillance et des durées de
réparation.
4.1.4. System Reliability Service Data Bank (SYREL)

Dès 1961, UKAEA (United Kingdom Atomic Energy Authority) en Grande
Bretagne a commencé à recenser les incidents sur ses centrales nucléaires. Ce travail a
abouti à la création de SYREL à partir de 1987.
SYREL est une banque élaborée par «Systems Reliability Service» (SRS). Elle est
en réalité constituée d’une banque relative aux données de fiabilité. Les événements
sont généralement des ordres de travaux émis dans les différentes installations;
celles-ci comprennent des installations nucléaires et sont généralement étendues à
d’autres installations industrielles. Il est à noter que la banque de données de fiabilité
est régulièrement enrichie de données élaborées à la suite d’enquêtes effectuées dans
diverses installations, chez des constructeurs.
4.1.5. Nuclear Plant Reliability Data System (NPRDS)

Cette banque de données de fiabilité est réalisée par l’INPO (Institute of
Nuclear Power Operations) sur les composants des centrales nucléaires aux Etats-
Unis.
___________________________________________________________________________
___________________________________________________________________________
A la fin de 1984, 86 réacteurs nucléaires (réacteurs à eau pressurisée et à eau

bouillante) alimentent cette banque qui contient 25.000 comptes rendus de
défaillances. A cette même date, quelque 4.000 à 5.000 composants issus d’environ 30
systèmes importants pour la disponibilité ou la sûreté sont suivis.
Les comptes rendus de défaillance sont élaborés à partir des ordres de travaux
collectés en centrale nucléaire; ils sont ensuite centralisés et vérifiés par les
spécialistes de l’INPO. Après des débuts difficiles, la qualité et l’exhaustivité des
comptes rendus de défaillance se sont grandement améliorées et cette très
importante banque de données est maintenant considérée comme fonctionnant de
manière satisfaisante.
4.1.6 European Reliability Data System (ERDS)

ERDS a été développée au niveau européen par le centre de recherche d’ISPRA
(Italie) de la communauté Européenne depuis 1977. Elle suit des composants de
centrales en eau pressurisée et à eau bouillante. Elle est constituée de 4 banques de
données :
- Component Event Data Bank (CEDB) : cette banque comprend des
informations provenant de centrales nucléaires de différents pays de la Communauté
Européenne; 2 000 composants de centrales nucléaires ont fait l’objet d’une
classification et cette banque est en développement avec le concours de diverses
compagnies exploitant des centrales nucléaires.
- Abnormal Occurence Reporting System (AORS) : cette banque comprend le
compte rendu d’événements significatifs survenant sur un certain nombre de
centrales nucléaires de la Communauté Européenne.
- Operating Unit Status Report (OURS) : cette banque comprend des
informations relatives à la disponibilité de 83 centrales nucléaires européennes
(incluant l’Espagne et la Suisse) depuis 1982.
- Reliability Parameter Data Bank (RPDB): cette banque en cours de définition
comprendra les paramètres de fiabilité de divers composants.
4.2. Les documents sources de données
On recense ici les divers documents constituant d’importantes sources de

données de Sûreté de Fonctionnement
4.2.1. Évaluation Probabiliste de Risque de centrales nucléaires
___________________________________________________________________________
___________________________________________________________________________
A l’occasion de la première évaluation probabiliste de Risque (ERP) effectuée
sur des centrales nucléaires à eau pressurisée et à eau bouillante aux Etats-Unis, un
important effort fut effectué pour rassembler et élaborer des données de Sûreté de
Fonctionnement relatives à des composants de ces centrales. Des données provenant
de divers domaines industriels furent analysées et proposées pour ces composants en
faisant largement appel au jugement de l’ingénieur. Ce rapport a ainsi constitué la
première banque de données de Sûreté de Fonctionnement de ce domaine industriel.
Depuis, de nombreuses EPR ont été réalisées et constituent également des sources de
données de Sûreté de Fonctionnement. Les plus récentes de ces EPR ayant
généralement les mêmes sources de données, on se contentera d’en citer quelques-
unes. En outre, les EPR relatives à une centrale nucléaire de type à haute température
ou à neutrons rapides peuvent être des sources intéressantes de données pour des
composants de systèmes véhiculant respectivement de l’hélium et du sodium.
4.2.2. Analyse d’événements significatifs survenant sur des centrales

nucléaires
Les événements significatifs survenus sur des centrales nucléaires américaines
et pouvant avoir des effets sur la sûreté de ces installations font l’objet de rapports
systématiques (LER: Licence Event Report). Ces derniers ont été analysés,
généralement sur plusieurs années, pour différents types de composants (pompes,
vannes, instrumentation et contrôle, mécanismes de barres de contrôle, batteries,
chargeurs, redresseurs, diesels) et des données de fiabilité et de disponibilité en ont
été déduites.
4.2.3. In-Plant Reliability Data System (IPRDS)

IEEE (The Institute of Electrical and Electronics Engineers) a entrepris en 1977
un effort pour collecter et analyser des données provenant de réacteurs nucléaires
dont une dizaine furent choisis; 150 000 comptes rendus de maintenance furent ainsi
étudiés. Un rapport de méthode ainsi que des rapports relatifs aux pompes, vannes,
diesels, batteries, chargeurs et redresseurs furent publiés.
4.2.4. Document IEEE Stsd 500-1984

IEEE avait publié un premier document en 1977. Un important effort a été
effectué pour améliorer la qualité de ces données et étendre le nombre de
composants considérés au domaine des composants mécaniques. La dernière édition
IEE-Sdt 500-1984 s’est en partie appuyée sur «In-Plant Reliability Data System»
___________________________________________________________________________
___________________________________________________________________________
1. INTRODUCTION ........................................................................................................................................... 86
1.1. COMPOSANTS .............................................................................................................................................. 87
1.1.1. Les composants électroniques : .......................................................................................................... 87
1.1.2. Les composants électriques : .............................................................................................................. 87
1.1.3. Les composants éléctro-mécaniques actifs : ....................................................................................... 87
1.1.4. Les composants mécaniques passifs .................................................................................................... 88
1.2. RECHERCHE DE DONNEES EVENEMENTIELLES ............................................................................................. 88
1.2.1. Les essais de fiabilité .......................................................................................................................... 89
1.2.2. Le recueil de données en exploitation ................................................................................................. 90
2. ÉLABORATION DE DONNEES .................................................................................................................. 90
2.1. PARAMETRES DE SURETE DE FONCTIONNEMENT ........................................................................................ 90
2.1.1. Taux de défaillance en fonctionnement ............................................................................................... 90
2.1.2. Taux de défaillance à l’arrêt ............................................................................................................... 91
2.1.3. Taux de défaillance à la sollicitation .................................................................................................. 91
2.1.4. Taux de réparation .............................................................................................................................. 92
2.1.5. MTTF, MTTR, MUT, MDT, MTBF ..................................................................................................... 92
2.2. LOIS DE PROBABILITES DES PARAMETRES .................................................................................................... 93
2.3. CALCUL D’ESTIMATEURS ET D’INTERVALLES DE CONFIANCE ...................................................................... 93
2.4. ÉVALUATION PAR JUGEMENT D’EXPERTS .................................................................................................... 97
3. EXEMPLE D’UN SYSTEME DE RECUEIL DE DONNEES .................................................................... 98
3.1. COLLECTE DE L’INFORMATION ET DES DONNEES ......................................................................................... 99
3.1.1. Les fiches signalétiques : .................................................................................................................... 99
3.1.2. Les fiches de fonctionnement .............................................................................................................. 99
3.1.3. Les fiches de défaillance : ................................................................................................................... 99
3.2. TRAITEMENT DE L’INFORMATION .............................................................................................................. 100
3.3. RESTITUTION DES DONNEES ...................................................................................................................... 100
4. SOURCES DE DONNEES ........................................................................................................................... 101
4.1. LES BANQUES DE DONNEES ....................................................................................................................... 101
4.1.1. Banque de données de fiabilité du Centre National d’Études des Télécommunications (CNET) ..... 101
4.1.2. Banque de données de fiabilité pour les équipements aux Etats-Unis .............................................. 101
4.1.3. Offshore REliability DAta (OREDA) ................................................................................................ 102
4.1.4. System Reliability Service Data Bank (SYREL) ................................................................................ 102
4.1.5. Nuclear Plant Reliability Data System (NPRDS).............................................................................. 102
4.1.6 European Reliability Data System (ERDS) ........................................................................................ 103
4.2. LES DOCUMENTS SOURCES DE DONNEES ................................................................................................... 103
4.2.1. Évaluation Probabiliste de Risque de centrales nucléaires .............................................................. 103
4.2.2. Analyse d’événements significatifs survenant sur des centrales nucléaires ...................................... 104
4.2.3. In-Plant Reliability Data System (IPRDS) ........................................................................................ 104
4.2.4. Document IEEE Stsd 500-1984......................................................................................................... 104
___________________________________________________________________________
___________________________________________________________________________
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
___________________________________________________________________________
___________________________________________________________________________
Introduction
Principes de la méthode
Utilisation de l’Analyse Préliminaire des Dangers
dans l’Industrie Aéronautique
Utilisation de l’Analyse Préliminaire des Dangers
dans l’Industrie chimique
CHAPITRE 5 : ANALYSE PRELIMINAIRE DES

DANGERS
1. INTRODUCTION
L’Analyse Préliminaire des Dangers (ADP) a été utilisée pour la première fois
aux Etats-Unis, au début des années 1960, dans le cadre de l’analyse de sécurité de
missiles à propergols liquides ; elle a ensuite été formalisée par l’industrie
aéronautique et notamment par la société Boeing. Depuis cette utilisation, elle s’est
généralisée à de nombreuses industries : chimie, nucléaire, aéronautique. En France
l’Union des Industries Chimiques la recommande depuis le début des années 1980.
Dans ce chapitre, après la présentation des principes de cette méthode, des
exemples de sa mise en œuvre dans l’aéronautique et la chimie seront présentés.
2. PRINCIPES DE LA METHODE
La méthode a pour objectif :

- d’identifier les dangers d’une installation industrielle et ses causes
(exemples : entités dangereuses, situations dangereuses, accidents potentiels),
- d’évaluer la gravité des conséquences liées aux situations dangereuses et aux
accidents potentiels.
On en déduit tous les moyens, toutes les actions correctives permettant
d’éliminer ou de maîtriser les situations dangereuses et les accidents potentiels mis
en évidence précédemment.
___________________________________________________________________________
___________________________________________________________________________
Cette méthode peut être orientée vers les aspects liés à la sécurité de
l’installation. Il est recommandé de commencer l’Analyse Préliminaire des Dangers
dès les premières phases de la conception en utilisant toutes les données alors
disponibles. Au fur et à mesure du déroulement du projet, cette analyse sera
périodiquement vérifiée, remise à jour et complétée jusqu’à la fin de vie de
l’installation.
L’identification des dangers est effectuée à l’aide de l’expérience et du
jugement des ingénieurs, aidés par l’utilisation des listes-guides élaborées pour
un domaine précis et régulièrement enrichies
Comme son nom l’indique, cette méthode doit être considérée comme
préliminaire à la réalisation d’études complémentaires de Sûreté de Fonctionnement.
En effet, la mise en évidence d’un danger majeur ou de la nécessité de l’approfondir
conduit généralement à faire ensuite appel à d’autres méthodes de l’analyse
prévisionnelle de Sûreté de Fonctionnement.
L’utilisation de cette analyse préliminaire permet, par exemple, de définir des
entités à analyser en détail ou des événements indésirables dont il faut chercher
les causes par la méthode de l’Arbre de Causes (chapitre 7).
Cette analyse peut inclure une évaluation des risques liés à ces dangers. Le
risque est une mesure d’un danger associant une mesure de l’occurrence d’un
événement indésirable et une mesure de ses effets ou conséquences. C’est
notamment le cas, lorsque l’analyse comprend une évaluation précise ou grossière
de la probabilité d’occurrence des situations dangereuses et des accidents
potentiels. L’analyse est alors dénommée « Analyse Préliminaire des Risques ».
Cette extension de l’Analyse Préliminaire des Dangers se révèle souvent
indispensable à effectuer, par exemple, lorsqu’on désire adapter des mesures
préventives aux accidents potentiels les plus probables.
3. UTILISATION DE L’ANALYSE PRELIMINAIRE DES DANGERS

DANS L’INDUSTRIE AERONAUTIQUE
Les dangers et leurs causes sont caractérisés par les concepts suivants : les
entités dangereuses, les situations dangereuses, les accidents potentiels.
L’entité dangereuse (exemple : le carburant) doit être soumis à certains
événements ou conditions (électricité statique) pour entraîner une situation
dangereuse ; celle-ci doit être associée à un événement ou condition supplémentaire
pour se transformer en accident supplémentaire.
Les résultats de l’analyse sont présentés dans un tableau à colonnes (tableau
5.1) qui rappelle à l’Analyse des Modes de Défaillances et de leurs Effets (chapitre 9).
___________________________________________________________________________
107
ENIT 2A GI Dr. K. Bourouni
___________________________________________________________________________
Cette analyse est effectuée à l’aide de la liste-guide des entités dangereuses et des
situations dangereuses (tableau 5.2).
1 2 3 4 5 6 7 8 9 10 11
événem- événem-
Système entités ent situation ent accident effets ou classific- mesures applicat-
ou Phase dangere- causant dangere- causant potentiel conséqu- ation par préventi- ion de ces
fonction uses une use un ences gravité ves mesures
situation accident
dangere- potentiel
use
Tableau 5.1. : Analyse Préliminaire des Dangers
Les colonnes correspondent aux notions suivantes :

- Système ou fonction : identification de l’ensemble étudié.
- Phase : identification des phases ou des modes d’utilisation du système de la
fonction pendant lesquels certaines entités peuvent générer un danger.
- Entités dangereuses : identification des entités du système ou de la fonction
auxquelles on peut associer un danger intrinsèque.
- événements causant une situation dangereuse : identification des conditions,
événements indésirables, pannes ou erreurs qui peuvent transformer une
entité dangereuse en situation dangereuse.
- Situation dangereuse : identification des situations dangereuses, résultant de
l’interaction d’une entité dangereuse et de l’ensemble du système à la suite
d’un événement décrit précédemment.
- Evénement causant un accident potentiel : identification des conditions,
événements indésirables, pannes ou erreurs qui peuvent transformer une
situation dangereuse en accident
- Accident potentiel : identification des possibilités d’accidents résultant des
situations dangereuses à la suite d’un événement décrit précédemment.
- Effets ou conséquences : identification des effets ou conséquences des accidents
potentiels, lorsqu’ils se produisent.
- Classification par gravité : appréciation de la gravité des effets ou conséquences
suivant la classification en mineure, significative, critique, catastrophique.
- Mesures préventives : recensement des mesures proposées pour éliminer ou
maîtriser les dangers ainsi identifiés (situations dangereuses ou accidents
potentiels). Exemples : amélioration de la conception, système de sécurité
supplémentaire, élaboration de procédures particulières, etc.
- Application de ces mesures : recueil d’informations relatives aux mesures
___________________________________________________________________________
___________________________________________________________________________
préventives proposées : est-ce que ces mesures ont été incorporées dans le
système ? Se sont-elles relevées efficaces?
ENTITÉS SITUATIONS DANGEREUSES
* Combustible * Accélération
* Propergols * Contamination
* Catalyseurs chimiques * Corrosion
* Charges explosives * Réactions chimiques
* Capacités * Électricité (pannes, chocs, chaleurs, action
* Batteries faite par mégarde)
* Conteneurs sous pression * Explosion
* Ressorts tendus * Feu
* Systèmes de suspension * Chaleur, température (y compris
* Fluides sous pression variations)
* Générateurs électriques * Fuites
* Objets susceptibles de tomber * Humidité, buée
* Objets susceptibles de se déplacer, * Oxydation
d’être catapultés * Pression (trop élevée, trop faible, variations
* Dispositif de chauffage rapides)
* Pompes * Chutes, mouvements, catapultage
* Ventilateurs, hélices, soufflantes d’objets
* Machines tournantes * Radiations (thermique, électromagnétique,
* Interrupteurs, dispositifs de mies à feu ultraviolet, nucléaire, ionisation, etc.)
* Éléments nucléaires * Chocs
* Réacteurs * Concentration de contraintes
* Matériaux favorables à l’électricité statique * Endommagement structurel
* Énergie sous toutes ses formes * Vibration et bruit...
Tableau 5.2. Liste guide des entités dangereuses et des situations dangereuses utilisées dans
l’aéronautique
___________________________________________________________________________
109
___________________________________________________________________________
4. UTILISATION DE L’ANALYSE PRELIMINAIRE DES DANGERS

DANS L’INDUSTRIE CHIMIQUE
L’Analyse Préliminaire des Dangers tient généralement compte des risques

inhérents :
- aux différents produits mis en œuvre (matières premières, produits
intermédiaires et finis) et à leurs propriétés intrinsèques (corrosion, combustion,
toxicité, etc.)
- aux procédés retenus (réactions chimiques et opérations diverses) voire aux
équipements (réservoirs sous pression, réacteurs chimiques, etc.)
Des listes guides sont utilisées ; les premiers et deuxièmes types de risques sont
basés, respectivement, sur des «FICHES PRODUITS» et des «FICHES PROCƒDƒS».
L’emploi de telles listes pour la réflexion sur les problèmes de sécurité est une
garantie de prise en compte de tous les facteurs. On trouvera dans les tableaux 5.3 et
5.4. le contenu de ces fiches.
Ces fiches seront établies pour chaque installation et révisées pour chacune des
phases successives : recherche, développement, conception, réalisation, et
exploitation
L’application de cette méthode à l’industrie chimique a été précisée par un
groupe de travail de l’Union des Industries Chimiques.
___________________________________________________________________________
___________________________________________________________________________
Fiche produit Formule brute
USINE DE : NOM:
FABRICATION : FORMULE DÉVELOPPÉE OU
COMPOSITION :
P.M
Annexe
1. Propriétés
ou référence
1.1. État à 20°C; gazeux, liquide, pâteux, pulvérulent, solide
1.2. Température de fusion
1.3. Température d’ébullition.
1.4. Tension de la vapeur
1.5. Température critique
1.6. Pression critique
1.7. Poids spécifique
1.8. Densité des vapeurs
2. Solubilités.
2.1. Insolubiliés
3. Chaleur spécifique
3.1. Chaleur de formation

3.2. Chaleur de fusion
3.3. Chaleur de conversation
3.4. Chaleur de dissolution
3.5. Chaleur de combustion
3.6. Chaleur de polymérisation
4. Combustion
4.1. Point éclair
4.2. Température d’auto-inflammation
4.3. Limite d’inflam./air.
4.4. Limites d’inflam. dans les conditions opératoires
4.5. Énergie d’allumage
4.6. Résistivité
4.7. Pyrophoricité
4.8.% O 2 minimum entretenant la combustion
4.9. Produits de combustion
___________________________________________________________________________
111
___________________________________________________________________________
5. Agents extincteurs Annexe

(eau, eau pulvérisée, mousse, CO2 , halogénés, poudre) ou référence
5.1. Agents extincteurs incompatibles
6. Corrosion
6.1. Matériaux préconisés

6.2. Matériaux prohibés
7. Incompatibilités
7.1. * Eau
7.2. * Fluides caloporteurs
7.3. * Métaux
7.4. * Plastiques
7.5. * Autres
8. Stabilités : risques, ... de Peroxydation, de Polymérisation
8.1. * Stabilité thermique

8.2. * Stabilité de la lumière
8.3. * Sensibilité au Choc
8.4. * Sensibilité à la friction
Catalyseur de :
8.5. * Polymérisation
8.6. * Décomposition
Inhibiteurs de :
8.7. * Polymérisation
8.8. * Décomposition
9. Analyse produit
Technique ou commercial : Additifs
10. Effets des impuretés
10.1. Par concentration

10.2. Par réaction avec d’autres produits présents dans le
procédé
10.3. Par formation de sous-produits présentant des
risques
___________________________________________________________________________
___________________________________________________________________________
11. Hygiène industrielle Annexe

ou référence
11.1. Limite olfactive
11.2. Valeur M.A.C
12. Toxicité
12.1. DL 50
12.2. CL 50
12.3. Irritations oculaire et cutanée
12.4. Sensibilité de la peau
12.5. Toxicité subaigue
12.6. Autres effets
13. Réglementation
13.1. Installation classées

13.2. Étiquetage
13.3. Maladies professionnelles
13.4. Surveillance médicale spéciale
13.5. Substances vénéneuses
13.6. Transports
RTMD
AIR-ADR
IMCO-IATA
13.7. Réglementation spécifique
14. Stockage
14.1. Précautions
15. Destruction
15.1. En cas d’epandage

15.2. Stock inutilisable
Tableau 5.3. Fiche Produit
___________________________________________________________________________
113
___________________________________________________________________________
Fiche procédé Produits mis en oeuvre : noms et quantités
USINE DE : -
FABRICATION : -
-
-
PHASE : -
Annexe
1. Équation de la réaction principale et des réactions secondaires et
ou référence
chaleurs réactionnelles (préciser en clair: Exothermique ou
Endothermique):
2. Conditions opératoires : opération continue, semi-continue, discontinue
2.1.Mode opératoire résumé
2.2. Schéma de l’appareillage (type schéma de procédé):
2.3. Solvant
2.4. Catalyseur
2.5. Température °C : Pression : PH:
2.6. Conditions particulières (atmosphère inerte, obscurité, etc.)
2.7. T°C maximal supportée par le mélange réactionnel sans risque de
dégradation
3. Risques
3.1. Potentiel énergétique maximum (P.E.M) :
3.2. Volume de gaz émis en cas de décomposition :
3.3. Produits chimiques incompatibles dont l’addition provoque une
réaction violente:
3.4. Risque d’accumulation d’impuretés instables :
3.5. Risque de retard au démarrage de la réaction :
3.6. Risque de désamorçage de la réaction :
3.7. Les mélanges réactionnels sont-ils susceptibles d’évoluer?
3.8. Risques toxiques à court et long terme des matières premières, des
intermédiaires, des impuretés et des produits fabriqués par les
réactions normales, secondaires ou anormales.
3.9. Risque d’incendie ou d’explosion: vapeurs, poussières
inflammables, sources d’ignition.
4. Dispositifs prévus pour assurer la maîtrise de la réaction en cas de :

4.1. Montée en T°
4.2. Montée en pressions (soupape, tampon d’explosion, vidange rapide...):
4.3. Emballement (inhibiteurs, dilution...):
___________________________________________________________________________
___________________________________________________________________________
5. Moyens de prévention de contamination par mélange intempestif des Annexe

réactifs ou référence
5.1. Retour indésirable par réseau de distribution des réactifs ou des
fluides des services généraux (air comprimé, azote, vide,...)
5.2. Fuite de fluides caloporteurs dans le mélange réactionnel (présence
dans le même atelier de produits incompatibles)
6. Mesures propres à parer les conséquences d’une panne:

6.1. D’énergie électrique
6.2. D’eau
6.3. De fluides caloporteurs (chauffage, refroidissement, ...)
6.4. D’agitation;
6.5. De régulation
6.6.....
7. Mesures propres à éviter les fausses manoeuvres:

7.1. Oubli de charge d’un réactif
7.2. Double charge d’un réactif
7.3. Confusion et réactif
7.4. Interversion de l’ordre de chargement
7.5. Autres fausses manoeuvres possibles
8. Corrosion (matériaux à proscrire/matériaux à utiliser):

8.1. Influence de la température
8.2. Evolution des compositions
8.3. Teneurs en produits secondaires ou impuretés
9. Moyens d’élimination et de destruction des effluents (gazeux, liquide,

solide)
10. Anomalies observées et incidents divers:

Consigner toute observation d’un phénomène inattendu ou d’incident
survenant au cours de la recherche, du développement ou de
l’exploitation du procédé, tels que : émission de gaz, fumées, flammes, ...
apparition de mousses, émulsion, débordement, ... formation de
goudron, dépôt, précipité, polymère...
Tableau 5.4. : Fiche Procédé
___________________________________________________________________________
115
Chapitre 6 Méthode du Diagramme du Succès
___________________________________________________________________________
Introduction
Principe d’élaboration
Évaluation de la fiabilité d’un système irréparable
Diagrammes de succès particuliers
Diagrammes de succès complexes
Évaluation de la sûreté de fonctionnement d’un
système réparable
Méthode de décompte des composants
CHAPITRE 6 : LA METHODE DU DIAGRAMME DE

SUCCES (MDS)
1. INTRODUCTION
La Méthode du Diagramme de Succès (MDS) est la première à avoir été utilisée

pour analyser des systèmes et permettre des calculs de fiabilité. Les limites de cette
méthode ont été mises en évidences au début des années 1960 : la recherche des voies
nouvelles et plus fines d’analyse des défaillances a conduit à la méthode de l’AMDE.
Par ailleurs, elle peut être utilisée dans certaines conditions, pour l’évaluation de la
fiabilité, de la disponibilité, et de la maintenabilité des systèmes réparables.
2. PRINCIPES D’ELABORATION
Considérons une fonction F d’un système S. L’analyse par diagramme de succès a

pour but de représenter le fonctionnement du système et plus particulièrement, la
fonction F.
___________________________________________________________________________
___________________________________________________________________________
Pour cette modélisation, des blocs représentent généralement des composants, des
sous-systèmes ou des fonctions. La modélisation consiste à rechercher les liens entre
les blocs.
Les principes suivants sont appliqués :
- Les blocs qui représentent des composants dont la défaillance (ou la panne)
entraîne la défaillance du système (c’est-à-dire la perte de la fonction F) sont placés en
série : on obtient un diagramme série (figure 6.1)
E S
C1 C2
(Entrée) (Sortie)
Figure 6.1. : Diagramme série
Le signal de sortie (la fonction F) est présent si les deux composants fonctionnent.
- Les blocs qui représentent des composants, dont la défaillance (ou la panne) ne
provoque la défaillance du système qu’en combinaison avec d’autres blocs, sont
disposés en parallèle avec ces derniers : on obtient un diagramme parallèle
(figure 6.2).
C1
E S
(Sortie)
(Entrée)
C2
Figure 6.2. : Diagramme parallèle
Le signal de sortie (fonction F) est présent si au mois un des composants

fonctionne.
Le diagramme de succès est donc relatif à une fonction donnée du système S. C’est
un graphe admettant une entrée et une sortie dont les sommets (appelés blocs)
représentent des composants du système et dont les arcs traduisent les relations entre
les différents composants.
___________________________________________________________________________
___________________________________________________________________________
Considérons maintenant le diagramme de succès suivant :
C1 C2
E S
(Sortie)
(Entrée)
C3 C4
Figure 6.3. : Diagramme série parallèle
Le système fonctionne si :
- Les composants c1 et c2 fonctionnent
ou
- Les composants c3 et c4 fonctionnent.
Soient E1, E2, E3 et E4 les événements correspondant, respectivement aux

fonctionnements des composants c1, c2, c3 et c4. Le premier « chemin » (de E à S) sera
appelé chemin de succès E1 E2 ; le deuxième chemin de succès E3 E4.
On appellera « lien » toute combinaison de fonctionnement de composants
permettant d’assurer la fonction requise ( E1.E2 , E3.E4 , E1.E2.E3 , E1.E2.E3.E4 ). Un lien
est donc constitué par l’ensemble de fonctionnements de composants permettant d’aller
de E en S sur le diagramme de succès, il n’y a pas toujours équivalence entre les
« chemins de succès » et les « liens » : un chemin de succès peut comprendre, plusieurs
fois, le fonctionnement d’un même composant. Un « lien minimal » sera une des plus
petites combinaisons de fonctionnement de composants permettant d’assurer la
fonction requise ; seuls E1.E2 et E3.E4 sont des liens minimaux du diagramme de succès
de la figure 6.3. En outre, des symboles de redondance peuvent être utilisés pour
représenter des cas plus complexes (tableau 6.1)
___________________________________________________________________________
___________________________________________________________________________
Redondance m/n :
C1
représente le cas où on
exige qu’au moins m
E S
C2 m/n composants parmi les
n placés en parallèle
soient non défaillants
Cn pour que le système
fonctionne
C1 Redondance passive
avec un organe de
E S commutation
commun:
C2
représente le cas où il
existe des composants
en réserve qui
Cn n’interviennent qu’en
secours du composant
principal
autre représentation parfois utilisée
E S
C1
C2
Cn
Tableau 6.1. : Symbole de redondance
L’analyse par la MDS présente des aspects d’une part, d’une méthode de
recherche de défaillance et d’autre part, d’un moyen de représentation du
fonctionnement et les défaillances.
___________________________________________________________________________
___________________________________________________________________________
3. ÉVALUATION DE LA FIABILITE D’UN SYSTEME IRREPARABLES
3.1. Diagrammes de succès particuliers
3.1.1. Diagramme série

Le diagramme série et ses éléments sont représentés à la figure 6.4.
E S
C1 C2 Ci Cn
Figure 6.4. : Diagramme série
Soit Ei l’événement « le composant Ci fonctionne à l’instant t » ; la fiabilité du

système s’écrit :
R = P [E1.E2. ... .Ei. ... . En]
Lorsque les événements sont indépendants :
n
R= Π P Ei
i= 1
Notons : ri = P [Ei]
n
R= Π ri (6.1)
i= 1
Supposons que les taux de défaillance λi des composants sont constants. Il en

résulte que :
- la fiabilité du système est :
n
R = exp – Σ λi t (6.2)
i =1
- le taux de défaillance du système est λ :
n
λ= Σ λi (6.3)
i =1
___________________________________________________________________________
___________________________________________________________________________
- Le MTTF (durée moyenne de fonctionnement d’une entité avant la première
défaillance)
1
MTTF = (6.4)
n
Σ λi
i=1
Si tous les composants ont le même taux de défaillance λ, le MTTF obtenu est
1
MTTF =
nλ
Le MTTF d’un système série de n composants identiques est donc n fois plus
faible que le MTTF d’un seul composants.
3.1.2. Diagramme Parallèle
Le diagramme parallèle et ses éléments sont représentés à la figure 6.5
C1
C2
E S
Ci
Ci
Figure 6.5. : Diagramme parallèle
Avec les notations précédentes, on obtient :
R = P [ E1 + E2 + ... + Ei + ... + En ]
___________________________________________________________________________
___________________________________________________________________________
R = 1 – P E1 +E 2 +... +Ei + ... + E n
R = 1 – P E1 .E2 ... E i ... En
Lorsque les événements sont indépendants entre eux :

n
R=1– Π P Ei avec P Ei = 1 – ri
i= 1
D’où
n
R=1– Π 1 – ri (6.5)
i=1
Deux types de fonctionnement de telles configurations sont distingués :
*Redondance active : tous les composants sont normalement en

fonctionnement permanent
*Redondance passive : il est nécessaire de mettre en service au moins un
composant sain lors de la défaillance du composant en
fonctionnement
a. Redondance active
Dans ce cas, les événements Ei sont indépendants entre eux. Supposons que les
taux de défaillance λi des composants sont constants. Il en résulte que :
- La fiabilité du système est :
n
R=1– Π 1 – e– λ t i
i= 1
n n n n
– λit – λi +λj t
R= Σe – Σ Σe + Σ Σ Σ ... + –1 n+1
exp – Σ λi t (6.6)
i=1 i = 1j ≠i i = 1 j ≠ i k≠ i i= 1
k≠
- Le taux de défaillance du système est :
n j≠i
1
λ=
R Σ λi e – λit
Π 1 – e– λj t
(6.7)
i= 1 j = 1,n
___________________________________________________________________________
___________________________________________________________________________
- Le MTTF du système est :
n ∞
1 1
MTTF = Σ 1
λi
– ΣΣ λ i +λ j
+ Σ Σ Σ λi +λ1j +λk ... + – 1 n + 1 n (6.8)
i=1 i = 1j ≠i i = 1 j ≠ i k≠ i
k≠ j
Σ λi
i =1
- si tous les composants ont le même taux de défaillance, le MTTF obtenu est :
n
1
Σ i
i=1
MTTF = (6.9)
λ
Exemple 6.1:
Le MTTF d’un système constitué par 2 composants identiques en parallèle est 1.5
fois plus important que le MTTF d’un seul composant.
b. Redondance passive
C1
E S
C2
Cn
Figure 6.6 : Diagramme parallèle avec redondance passive
Dans ce cas, les commutations peuvent être la cause de défaillances. La fiabilité

n’est simple à déterminer que lorsque les commutateurs sont parfaitement fiables.
Cette fois-ci, les événements à considérer ne sont plus indépendants et une autre
approche doit être faite.
Supposons qu’un composant fonctionne et que n-1 composants sont en attente ; la
densité de défaillance du système est :
t xn– 1 x2
U(t) = . .... u 1(x1) u2(x2 – x 1)... ...un(t – x n – 1) dx1 dx 2...dx n – 1
xn – 1 = 0 xn – 2 = 0 x1 = 0
où ui est la densité de défaillance du composant i.
___________________________________________________________________________
___________________________________________________________________________
La fiabilité du système est :

t
R(t) = 1 – U(τ) dτ
0
U(t) est le produit de convolution des Ui(t)
U(t) = u1(t) * u2(t) * .... * ui(t) * ... * un(t)
L’utilisation de la transformation de Laplace permet de calculer U(t) puis d’en

déduire R(t).
n
1 1
L R(t) = L U(t) =
s s Π L Ui(t)
i= 1
Admettons que les taux de défaillance des composants sont constants :
u i(t) = λ i e – λit
n
1 λ
L R(t) =
s Π s + iλi
i =1
Lorsque tous les taux de défaillance sont distincts :
n
R(t) = Σ Bi e– λ t i (6.10)
i =0
avec :
n
Π λj
j =1
Bi = n
et λ0 = 0 (3.11)
Π λ j –λ i
j =0
j≠i
D’où
n – λi t
e
R(t) = λ 1 λ 2 ...λ n Σ n (6.12)
i =1
Π λi – λj
j= 0
j≠i
___________________________________________________________________________
___________________________________________________________________________
Lorsque tous les taux de défaillance sont égaux à λ :
n
λ
L U(t) = n
λ+s
U(t) est une loi d’Erlang :
n n – 1 – λt
λ t e
U(t) =
n –1 !
D’où
n i –1 – λt
λt e
R(t) = Σ i–1! (6.13)
i =1
Exemple 6.2
– λt – λt
Pour n = 2 ; on obtient R(t) = e + λte
Calcul du MTTF d’un système constitué par n composants identiques en

redondance passive :
Étant donné que :

d
MTTF = lim L U(t)
s → 0 ds
Il en résulte que :
n
MTTF = (6.14)
λ
Le MTTF d’un tel système est évidemment supérieur au MTTF du même

système fonctionnant en redondance active.
c . Diagramme parallèle m/n

Considérons une telle configuration à redondance active où le système fonctionne
si au moins m composants parmi les n fonctionnent (figure 6.7). Supposons que les
composants sont indépendants et identiques :
R = P [au moins m composants parmi n fonctionnent]
___________________________________________________________________________
___________________________________________________________________________
C1
E S
C2 m/n
Cn
Figure 6.7. : Diagramme parallèle m/n
Le nombre de composants en fonctionnement suit une loi binomiale de paramètres

r et n.
D’où :
n
n!
R= Σ Ckn r k 1 – r n– k
; avec Ckn =
k! n – k !
k=m
Exemple 6.3:
Diagramme parallèle 2/3 ;
2 3 2 3
R = 3 r 1 – r + r = 3r – 2r
d. Diagramme série parallèle
Branche i :
ni entités en série
E S
p Branches
en
redondance
Figure 6.8. Diagramme série parallèle
___________________________________________________________________________
___________________________________________________________________________
Considérons des composants indépendants et des redondances actives. La fiabilité

obtenue est :
p nj
R=1 – Π 1– Π rij (6.15)

i= 1 j =1
où rij est la fiabilité du j-ième composant de la branche i.
c c c
E S
c c c
c c c
Figure 6.9. : Diagramme série-parallèle avec redondances passives
Si les redondances sont passives et si les entités sont identiques avec le même taux
de défaillance constant λ, nous obtenons
p i– 1 –n λ t p– 1 – n λ t
n λt e nλt e
R= Σ i–1!
=e –nλt
+nλte –nλt
+ ... +
p–1!
(6.16)
i= 1
e. Diagramme parallèle-série
Considérons des composants indépendants et des redondances actives (figure

6.10). La fiabilité obtenue est :
n Pi
R= Π 1 – Π 1 – rij
i= 1 j=1 (6.17)
où rij est la fiabilité du j-ième composant de l’étage i

___________________________________________________________________________
___________________________________________________________________________
E S
Etage 1 Etage 2 Etage n

P1 composants P2 composants Pn composants
en redondance en redondance en redondance
Figure 6.10. : diagramme parallèle-série
C C C
E S
C C C
Figure 6.11. : diagramme parallèle-série avec redondance passive
n p – λjt
e
R= Π λ 1...λ pi Σ p
(6.18)
i= 1 j =1
Π λ j –λ k
k =0
___________________________________________________________________________
___________________________________________________________________________
Fiabilité du système
Système Diagramme
Composants identiques
Formule générale
et λ constant
Diagramme série – nλt
n R= e
Composants E S
en série C1 Cn R= Π ri MTTF=
1
i=1
nλ
Diagramme parallèle
– λt n
C1 R = 1 – (1 – e )
Composants
en parallèle : S
n
E
redondance R= 1 – Π 1 –ri n
active i= 1
Σ 1i
i=1
MTTF=
Cn λ
p branches; n
C1.1
composants par
Composants branche
en série E S
parallèle ; p nj
redondance R= 1 – Π 1– Π rij R= 1 – 1 – e– nλt

p
active i=1 j =1
Cp.1
p branches; incommposants par branches
n étages; p branches
par étage
Composants
en parallèle E S Pi n
n
série; – λt p
R= Π 1– Π 1 – r ij R= 1 – 1 – e
redondance i= 1 j=1
active
Cp.1 Cp.n
Tableau 6.2. : formules de calcul de fiabilité pour des configurations simples
___________________________________________________________________________
___________________________________________________________________________
Si les redondances sont passives, et si les entités sont identiques avec le même taux
de défaillance constant λ, nous obtenons dans le cas de 2 composants en redondance
par étage :
p
R = e – λt + λ t e – λt
On trouvera dans le tableau 6.2. les formules de calcul de la fiabilité des

principales configurations étudiées précédemment.
3.2. Diagramme de succès complexe ; cas général
Quatre méthodes sont disponibles pour traiter un diagramme complexe ; elles

reposent principalement sur l’utilisation :
- du théorème des probabilités totales
- des liens minimaux et des coupes minimales
- de la fonction de structure
- de la table de vérité
3.2.1. Utilisation du théorème des probabilités totales

Soit un diagramme complexe ne se réduisant pas aux cas précédents. La
figure 6.12 en présente un.
C1 C4
E S
C2
C3 C5
Figure 6.12. : Diagramme complexe
Le théorème des probabilités totales en prenant comme ensemble d’événements

___________________________________________________________________________
___________________________________________________________________________
complets les deux événements « le composant x fonctionne à l’instant t » et « le
composant x est défaillant à l’instant t » de probabilités respectives rx et 1-rx. La fiabilité
du système s’écrit alors :
R = P [S fonctionne sur [0,t]/ x fonctionne à t]. rx + P[S fonctionne sur [0,t]/ x est
défaillant à t]. (1-rx)
Lorsque les diagrammes obtenus se ramènent aux cas précédents, la fiabilité est
facilement déduite. Dans les cas plus compliqués, ce théorème est appliqué autant de
fois qu’il sera nécessaire.
Dans l’exemple précédent, soit x = c2, on note rci = ri. Si c2 fonctionne à t, le
diagramme devient :
C4
E S
C5
Figure 6.13. : Équivalent du diagramme complexe si C2 fonctionne
P [ S fonctionne sur [0,t] /c2 fonctionne à t ] = 1- (1-r4) (1-r5).
Si c2 est défaillant à t, le diagramme devient :
C1 C4
E S
C3 C5
Figure 6.14 : Équivalent du diagramme complexe si C2 est en panne
P [ S fonctionne sur [0,t]/c2 en panne à t ] = 1- (1 - r1 r4) (1 - r3 r4).

La fiabilité est donc :
R = [ 1 - (1 - r4) (1 - r5) ] r2 + [ 1 - (1 - r1 r4) (1 - r3 r4) ] (1 - r2)
R = (r4 + r5 - r4 r5) r2 + (r1 r4 + r3 r5 - r1 r3 r4 r5) (1 - r2)
___________________________________________________________________________
___________________________________________________________________________
3.2.2. Utilisation des liens minimaux et des coupes minimales
Notons Li les liens minimaux associés à un diagramme de succès. A titre

d’exemple, il existe un lien minimal du diagramme série de la figure 6.4. (diagramme
série)
L1 = E1. E2.....Ei....En
Par contre, il existe n liens minimaux du diagramme parallèle de la figure (6.5)

parallèle :
Li = Ei i = 1, 2, ..., n
Lorsque tous les liens minimaux (au nombre de q) d’un diagramme de succès ont
été identifiés, nous pouvons écrire :
E = L1 +L2+....+Lq
où E est l’événement « le système fonctionne à l’instant t ». En effet E est la

somme booléenne de tous les liens.
D’où :
q
R=P Σ Li (6.19)
i =1
Les liens minimaux sont généralement faciles à identifier pour les diagrammes de
succès combinant les diagrammes série et les diagrammes parallèles. Pour les autres
diagrammes de succès, l’inspection visuelle du diagramme ne suffit pas toujours et il
faut avoir recours à des méthodes qui se prêtent bien à l’informatisation.
Exemple de ces méthodes :

Elle consiste, dans un premier temps, à identifier tous les chemins de succès
minimaux. Un chemin de succès est dit minimal si, le long d’un chemin, aucun nœud
n’est traversé plus d’une fois. On déduit facilement de la liste de ces chemins, celle des
liens puis celle des liens minimaux.
___________________________________________________________________________
___________________________________________________________________________
Considérons le diagramme de la figure 6.12 : Les liens minimaux sont : E1.E4 ;

E2.E4 ; E2.E5 ; E3.E5
D’où on a :
R = P [E1 . E4 + E2 .E4 + E2 E5 +E3 E5]
Des calculs semblables peuvent être effectués à partir des coupes minimales :
celles-ci représentent les plus petites combinaisons de défaillance de composants qui
compromettent la fonction requise. Autrement dit, les coupes minimales représentent
les plus petites combinaisons de défaillances de composants empêchant d’aller de E à S
sur le diagramme de succès. Si on note Ci les coupes minimales associées à un
diagramme de succès :
m
R=P Σ Ci (6.20)
i =1
Il existe également des méthodes permettant d’identifier les coupes minimales

d’un diagramme de succès.
Exemple 6.4 :
Les étapes sont les suivantes :

1. Identification de tous les chemins de succès minimaux ; E1.E4 , E2.E4 , E2.E5.E3.E5
sont des chemins de succès minimaux.
2. Construction d’une matrice d’incidence permettant d’affecter les composants à
chaque chemin.
Composants
Chemins C1 C2 C3 C4 C5
1 1 0 0 1 0
2 0 1 0 1 0
3 0 1 0 0 1
4 0 0 1 0 1
3. Examen des colonnes de la matrice : si tous les éléments d’une colonne sont
égaux à 1, le composant associé donne lieu à une coupe d’ordre 1. Il n’existe pas,
ici, de coupe d’ordre 1.
___________________________________________________________________________
___________________________________________________________________________
4. Examen des colonnes combinées deux à deux, selon les règles suivantes : 0+0 ;
0+1 =1 ; 1+1 = 1. De cette manière, on cherche à connaître l’incidence des
événements Ei+Ej (i j) sur les chemins. Si tous les éléments d’une nouvelle
colonne sont égaux à 1, les composants associés donnent lieu à une coupe
d’ordre 2. Les coupes contenant des coupes d’ordre 1 sont éliminés : on obtient
ainsi les coupes minimales d’ordre 2. Il existe une coupe minimale d’ordre 2 :
E4 E 5
5. Répétition de l’étape précédente jusqu'à l’ordre maximal envisageable pour les
coupes. Dans l’exemple, les coupes minimales d’ordre 3 sont :
E1 .E 2.E3, E1.E2 .E5, E2.E3 .E 4
On vérifie facilement que : R = P E4.E 5 + E1.E2 .E3 + E1 .E2.E5 + E 2.E3.E4
3.2.3. Utilisation de la fonction structure

A chaque composant d’un diagramme de succès, on associe une variable d’état
booléenne telle que :
xi = 1 si le composant est en état de panne
xi = 0 si le composant est dans l’état de fonctionnement
A chaque diagramme de succès correspond une fonction de structure unique.

Ainsi, les fonctions de structure des diagrammes série et parallèle (figure 8.4 et 8.5) sont
respectivement les suivantes :
n
Ψ(x) = Ψ x 1,x2...,x n = 1 – Π 1 – xi (6.21)
i =1
n
Ψ(x) = Ψ x 1,x2...,x n = Π xi (6.22)
i= 1
La fonction de structure a une intéressante propriété : la défiabilité s’obtient

simplement en remplaçant les variables xi par la défiabilité des composants dans la
fonction de structure mise sous forme simple.
Nous en déduisons, pour les diagrammes série et parallèle :
n n
R= Π 1 – ri ou R = Π ri
i= 1 i =1
___________________________________________________________________________
___________________________________________________________________________
n n
R= Π ri ou R =1 – Π 1 –ri
i= 1 i =1
Nous retrouvons les formules (6.1) et (6.5).

Le calcul de la fiabilité du diagramme complexe nécessite d’abord l’établissement
de la fonction de structure. Plusieurs cas peuvent se présenter :
- Établissement direct de la fonction de structure : c’est aisé lorsque le diagramme
de succès de réduit à des combinaisons de diagrammes série et de diagrammes
parallèles. La combinaison des fonctions de structure correspondantes est ensuite mise
sous forme simple.
- Établissement de la fonction de structure à partir des coupes minimales ou des
liens minimaux : il est parfois possible d’identifier les coupes minimales ou les liens
minimaux associés à un diagramme de succès.
Exemple 6.5 .
Considérons le diagramme complexe de la figure (6.12).
Soit Ei l’événement « le composant ci est défaillant à l’instant t ».

Les coupes minimales sont :
E4 .E 5, E1 .E 2E3, E1 .E 2E5, E2 .E 3E4
La fonction de structure est :
Ψ(x) = 1 - [1 - x4 x5] [1 - x1 x2 x3] [1 - x1 x2 x5] [1 - x2 x3 x5]
La fonction de structure mise sous forme simple est :
Ψ(x) = x4 x5 + x1 x2 x3 + x1 x2 x5 + x2 x3 x4 - x1 x2 x3 x4 - x1 x2 x3 x5 - x1 x2 x4 x5 - x2 x3
x4 x5 + x1 x2 x3 x4 x5
Posons 1 – xi = xi On obtient :
1 – Ψ(x) = x4 + x5 – x4 x 5 x2 + x1 x 4 +x3 x 5 –x1 x3 x4 x5 1 – x2
R = (r4 + r5 - r4 r5) r2 + (r1 r4 + r3 r5 - r1 r3 r4 r5) (1 - r2)
Cette formule est identique à celle obtenue à l’aide du théorème des probabilités
totales.
___________________________________________________________________________
___________________________________________________________________________
- Établissement de la fonction de structure à partir d’une composition linéaire de

fonction de structure. Nous avons vu que toute fonction de structure peut s’écrire :
Ψ x 1, ... ,x i – 1, xi, xi + 1 , ... , xn = xi Ψ x 1, ... , xi – 1, 1, x i + 1,..., xn +

1 – xi Ψ x1, ... , x i – 1, 0 , x i + 1 , ... , x n
= xi Ψi1 (x) + 1 –x i Ψi0 (x)
Lorsque les fonctions de structure Ψi1(x) , Ψi0(x) sont faciles à établir, on en déduit
immédiatement la fonction de structure Ψ(x).
Ceci conduit à décomposer le diagramme de succès en plusieurs diagrammes de
succès dont les fonctions de structure sont aisées à écrire. Cette méthode est semblable à
celle utilisant le théorème des probabilités totales.
Exemple 6.6.
Considérons de nouveau le diagramme complexe de la figure 6.12. Calculons
Ψ2(x) et Ψ20(x) :
1
Ψ21(x) = 1 – 1 – x1 1 – x4 1 – 1 – x3 1 – x5
= x1 + x4 – x1 x 4 x3 + x5 – x3 x 5
Ψ20(x) = x4 x5
On vérifie facilement que : Ψ(x) = x2 Ψ21 (x) + 1 – x 2 Ψ20(x)
4. ÉVALUATION DE LA SURETE DE FONCTIONNEMENT D’UN

SYSTEME REPARABLE
Dans des conditions de restrictives, la MDS peut être utilisée pour l’évaluation
quantitative de mesures de fiabilité, de disponibilité et de maintenabilité de systèmes
réparables ; les calculs sont alors aisés et rapides à effectuer.
Comme dans le paragraphe précédent, il convient de supposer l’indépendance
entre les événements (défaillance, réparation) intervenant dans la vie des
composants. Cette hypothèse implique notamment :
- l’absence d’événements (ou blocs) répétés dans le diagramme de succès.
- l’existence d’autant de réparateurs que de composants ; les stratégies de
maintenance doivent être indépendantes les unes des autres.
___________________________________________________________________________
___________________________________________________________________________
- la présence de redondance uniquement de type actif ; en effet pour une
redondance de type passif les périodes de fonctionnement de chacune des
entités dépendent de la disponibilité des autres entités.
4.1. Calcul de la disponibilité.
Le calcul de la disponibilité est envisageable car la disponibilité ne dépend que de

l’état du système - et donc des composants - à l’instant t.
4.1.1. Diagramme série (figure 6.4) :

La disponibilité A(t) du système est le produit de la disponibilité ai(t) des
différents composants :
n
A(t) = Π a i(t) (6.23)
i= 1
Dans le cas où les taux de défaillance λi et de réparation µi des composants sont

constants, nous obtenons, en supposant ai(0) = 1.
n
µi λi
A(t) = Π λi +µi
+
λ i +µ i
e– λi + µ i t
(6.24)
i =1
D’où
n
µi
A(∞) = lim A(t) =
t →∞
Π λ i + µi (6.25)
i=1
λi
Dans le cas où << 1
µi
n
λ
A(∞) ≈ 1 – Σ µii (6.26)
i=1
n
λi
A(∞) ≈ Σ µi
i= 1
4.1.2. Diagramme parallèle :
L’indisponibilité A(t) du système est le produit des indisponibilité ai (t) des
différents composants :
n
A(t) = Π a i(t)
i= 1
Soit :
___________________________________________________________________________
___________________________________________________________________________
n
A(t) = 1 – Π 1 – ai(t)
i= 1
Dans le cas où les taux de défaillance λi et de réparation µi des composants sont

constants, nous obtenons, en supposant Ai(0) = 1 :
n
λi
A(t) = 1 – Π λ i + µi
1 – e – (λ i + µi) t (6.27)
i= 1
D’où
n
µi
A(∞ ) = lim A(t) = 1 –
t→∞
Π λ i +µi
i= 1
λi
Dans le cas où : << 1
µi
n
λ
A(∞ ) ≈ 1 – Π µii (6.28)
i= 1
n
λ
A(∞) ≈ Π µii
i=1
4.1.3. Diagramme complexe :
Considérons maintenant un diagramme de succès où les éléments ne sont pas
répétés et sont placés soit en série, soit en parallèle. On peut alors remplacer chaque
ensemble d’éléments en série par un seul élément de disponibilité équivalente et chaque
ensemble d’éléments en parallèle par un seul élément de disponibilité équivalente.
L’application successive de ces réductions et l’utilisation des formules associées :
n
A(t) = Π a i(t)
i= 1
n
A(t) = 1 – Π 1 – ai(t)
i =1
permet d’obtenir la disponibilité du système. C’est cette méthode qui est la plus
utilisée pour l’étude des systèmes simples.
Remarque :
Comme en général ai(t) est voisin de 1 ( ai (t) << 1 ), les calculs se feront très
simplement en utilisant les indisponibilités : en effet dans le cas du diagramme série :
___________________________________________________________________________
___________________________________________________________________________
n n n
A(t) = 1 – Π a i(t) = 1 – Π 1 –a i(t) ≈ Σ a i(t)
i= 1 i =1 i =1
4.2. Méthode du lambda-mu
Cette méthode, au départ surtout développée dans le cadre de la méthode de

l’Arbre des Causes (MAC, voir chapitre 7), s’applique en réalité au diagramme de
succès lorsque toutes les conditions énumérées précédemment sont vérifiées. Elle donne
les formules de base de calcul des taux de défaillance et de réparation asymptotiques
pour des diagrammes série et parallèle. Ces formules ne seront pas justifiées dans ce
paragraphe ; nécessitant le recours à la Méthode de l’Espace des États (MEE, voir
chapitre 8), elles seront démontrées dans le chapitre MEE. Elles supposent, de plus, que
les λi/µi sont petits devant 1.
4.2.1. Diagramme série (figure 6.4) :

Les taux de défaillance et de réparation asymptotiques sont les suivants :
n
λ (∞ ) = Σ λi (6.29)
i =1
n
Σ λi
i =1
M(∞) = (6.30)
n
λi
Σ µi
i=1
4.2.2. Diagramme parallèle (figure 6.5) :

Les taux de défaillance et de réparation asymptotiques sont les suivants :
n n
λi
λ (∞ ) = Π µi Σ µi (6.31)
i =1 i =1
n
M(∞) = Σ µi (6.32)
i= 1
Exemple 6.7
___________________________________________________________________________
___________________________________________________________________________
Le tableau 6.3. donne les résultats de ces calculs pour des diagrammes série et
parallèle constitué de 2 éléments.
Les calculs précédents se généralisent à un diagramme de succès où les éléments
ne sont pas répétés et sont placés soit en série, soit en parallèle. On peut alors remplacer
chaque ensemble d’éléments en série par un seul élément de taux de défaillance et de
réparation équivalents ; on procède de même pour chaque ensemble d’éléments en
parallèle.
Taux de défaillance Fiabilité

Diagramme de Succès et de réparation disponibilité
asymptotique et maintena-
bilité
λ(∞) = λ 1 + λ 2
Diagramme E S λ 1 +λ 2
série C1 C2 M(∞) =
λ1 λ2 R(t) ≈ e – λ(∞) t
+
µ1 µ2 λ(∞)
A(t) ≈
M (∞)
C1 M(t) ≈1 –
λ 1 λ2
E S λ(∞) = µ + µ2 e – M(∞) t
Diagramme µ 1 µ2 1
parallèle M(∞) = µ1 +µ2
C2
Tableau 6.3 :. Mesures de fiabilité, disponibilité et maintenabilité des diagrammes série et

parallèle d’un système réparable.
4.3. Commentaires.
Les nombreuses conditions énumérées précédemment montrent les limites de

l’évaluation quantitative de la fiabilité, de la disponibilité et de la maintenabilité à partir
du diagramme de succès. Il s’avère nécessaire, avant d’utiliser ces techniques, de
s’assurer soigneusement de l’indépendance entre les événements considérés. Si des
calculs de disponibilité sont possibles directement à partir du diagramme de succès, les
calculs de fiabilité (ou de maintenabilité) ne permettent d’obtenir que des taux de
défaillance (ou de réparation) asymptotique par la méthode lambda-mu qui est en
réalité dérivée de la MEE.
Lorsque les événements considérés ne sont pas indépendants, d’autres méthodes
___________________________________________________________________________
___________________________________________________________________________
doivent être utilisées. Lorsque des éléments se trouvent répétés dans le diagramme de
succès, la MAC et les techniques de réduction associées (coupes minimales) seront
employées. Lorsque des dépendances statistiques existent entre les éléments, telles que
celles résultant d’un seul réparateur, on aura recours à la MEE.
5. METHODE DE DECOMPTE DES COMPOSANTS (MDC)
Cette méthode « Parts Count Reliability Prediction » est basée sur l’hypothèse que
tous les composants du système doivent être en fonctionnement pour que le système
fonctionne. Le diagramme de succès du système est alors un diagramme série :
n
λ= Σ λi
i =1
Le taux de défaillance est simplement obtenu en additionnant les taux de

défaillance de tous les composants du système.
Lorsque le diagramme de succès du système n’est pas un diagramme série
(exemple : présence d’une redondance) l’application de cette méthode permet d’obtenir
un majorant du taux de défaillance. Cette méthode est très utile pour obtenir très
rapidement un taux de défaillance pessimiste ; néanmoins, il s’avère très difficile de
connaître la marge de conservatisme qui en résulte.
Cette méthode a été très utilisée pour des systèmes électroniques où la défaillance
d’un composant quelconque (transistor, résistance...) entraîne généralement la
défaillance du système : elle donne alors l’ordre de grandeur du taux de défaillance.
Elle est souvent couplée à une modélisation du taux de défaillance en fonction d’un
taux de défaillance de base et de coefficient d’influence.
6. CONCLUSION
La Méthode du Diagramme de Succès (MDS) conduit à une modélisation du

fonctionnement d’un système. Le diagramme de succès obtenu permet le calcul
généralement aisé, de la fiabilité (ou disponibilité) du système supposé irréparable.
Dans certaines conditions très restrictives, ce calcul peut être étendu à ceux de la
fiabilité, de la disponibilité et de la maintenabilité d’un système réparable.
Cette méthode est utilisable lorsqu’une analyse détaillée des causes de défaillance
(et de leurs combinaisons) n’est pas requise et lorsqu’il y a indépendance entre les
défaillances (et les réparations) des composants.
___________________________________________________________________________
___________________________________________________________________________
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
___________________________________________________________________________
___________________________________________________________________________
Introduction : Exposé de la méthode

Etapes de la Méthode
Concepts de base
Elaboration de l’arbre des causes : Principes
Coupes minimales et implicants premiers
Exercice d’application : Détermination des coupes
minimales
Analyse quantitative
CHAPITRE 7 : LA METHODE DE L’ARBRE DES

CAUSES (FAULT TREE METHOD)
1. INTRODUCTION
Cette méthode de l’Arbre des Causes («Fault Tree Method») est aussi connue
sous le nom de Arbre des Défauts ou Arbre des fautes à cause du mode de
présentation des résultats. De nombreuses analyses de systèmes très divers ont été
menées à Electricité de France (EDF) en utilisant cette méthode.
2. EXPOSE DE LA METHODE :
Partant d’un événement indésirable unique et bien défini, il s’agit de

représenter graphiquement les combinaisons d’événements qui consistent à la
réalisation de cet événement indésirable. L’Arbre des Défauts sera donc formé de
niveaux successifs tels que chaque événement soit généré à partir des événements
du niveau inférieur par l’intermédiaire de divers opérateurs (ou portes) logiques. Le
processus déductif est poursuivi jusqu'à ce qu’on arrive à des événements
élémentaires caractérisés par les trois critères suivants :
- ils sont indépendants entre eux,
- leurs probabilités peuvent être estimées (même si cette estimation est
entachée d’incertitude),
- il y a plus besoin de les décomposer en événements plus simples.

___________________________________________________________________________
Ces événements élémentaires peuvent être des pannes, des erreurs humaines,
des conditions extérieures, etc.
La Méthode de l’Arbre des Causes présente donc l’avantage de ne pas exiger
l’examen des pannes sans conséquences significatives. C’est un outil orienté vers
la représentation logique des interactions entre divers événements et
particulièrement bien adapté, de ce fait, à l’étude des systèmes.
Un Arbre des Défauts est dit indépendant du temps si les événements
élémentaires, une fois qu’ils sont apparus, demeurent, jusqu'à la fin de la mission ;
d’une manière un peu imagée, on peut dire qu’il s’agit d’événements non réparables.
La probabilité de l’événement indésirable dépend donc du taux d’apparition des
événements élémentaires, et il est inutile d’intervenir dans les calculs de la durée de
présence de ces événements.
Exemple 7.1
Considérons le système permettant à distance d’allumer la lampe (figure
7.1).
Batterie B.P
Fusible
Figure 7.1: Système d’allumage à distance d’une lampe
L’événement indésirable ici «la lampe ne s’allume pas» lorsqu’on appuie sur le
bouton poussoir.
Les causes possibles sont les suivantes :
- le bouton-poussoir est bloqué,
- la batterie est déchargée,
- le fusible est ouvert,
- le fil est débranché,
- la lampe est grillée.
Ceci est représenté par l’arbre suivant :
___________________________________________________________________________
___________________________________________________________________________
La lampe ne
s’allume pas
Le bouton-poussoir La batterie Le fusible est Le fil est La lampe est

est bloqué est déchargée ouvert débranché grillée
Figure 7.2. : Arbre de Causes du système d’allumage
L’événement indésirable est ici lié à cinq événements de base par

l’intermédiaire d’une porte (ou opérateur) logique « OU » : un quelconque de ces
cinq événements de base empêche la lampe de s’allumer.
Une autre porte logique très souvent utilisée est la porte « ET » (voir exemple
7.2).
Ainsi, la démarche de l’Arbre des Causes est la suivante :
Définition d’un
événement indésirable
L’arbre des causes est constitué de

combinaisons d’événements
conduisant à l’événement indésirable
Les combinaisons d’événements

sont construites à l’aide
des portes logiques
Chaque événement est représenté

par un événement où est inscrit
un libellé le décrivant
Figure 7.3.: Démarche liée à l’arbre des Causes

___________________________________________________________________________
3. ÉTAPES DE LA METHODE
La méthode de l’Arbre des Défauts comporte six étapes (figure 7.3):
1. La définition de l’événement indésirable,

2. L’examen du système,
3. La construction de l’Arbre des Défauts,
4. Le recueil des données quantitatives,
5. L’évaluation de la probabilité,
6. L’analyse des résultats obtenus
3.1. La définition de l’événement indésirable :
Étudier la sécurité d’un système en utilisant l’Arbre des Défauts exige que l’on
commence par définir l’événement indésirable. Pour un avion de transport, par
exemple, la perte de vies humaines ou la destruction de l’appareil pourraient être
considérées comme le seul événement indésirable. Mais cet événement conduirait à
un Arbre de Causes trop compliqué et très difficile à construire. La liste des
événements indésirables peut être établie au terme d’une Analyse Préliminaire des
Risques, première estimation intuitive, purement qualitative, des événements
portant atteinte à la sécurité.
En conclusion, un Arbre de Causes est construit à partir d’un événement
indésirable, unique, bien défini et choisi - au terme d’une Analyse Préliminaire
des Risques - de telle manière qu’il n’entraîne pas une complexité dans la
construction de l’arbre.
3.2. L’examen du Système :
Les ingénieurs et techniciens chargés des études de sécurité doivent acquérir

une très bonne connaissance de l’ensemble du système et de son utilisation.
3.3. La construction de l’Arbre des Causes :
L’Arbre des Causes (ou défauts) est constitué, ainsi, de niveaux successifs
d’événements, chacun d’entre eux étant généré par une combinaison des événements
du niveau inférieur. Le niveau auquel se situe l’un des événements ne préjuge en rien
de l’ordre de grandeur de la probabilité qui lui sera ultérieurement affectée.
___________________________________________________________________________
___________________________________________________________________________
Exemple 7.2
A l’atterrissage, la panne d’un dispositif d’anti-dérapage d’avion de transport
peut à priori induire à une sortie latérale de piste, même en l’absence de mauvaise
réaction de l’équipage : il faut au moins, pour cela, qu’il y ait un fort vent de travers
et que la piste soit glissante. Mais, en l’absence de panne de moteur, il est
vraisemblable que le pilote corrigera aisément tout écart latéral ; et si une panne de
moteur s’est produite suffisamment longtemps avant l’arrondi, le pilote compensera
la dissymétrie de poussée au cours de l’approche, portera une plus grande attention
à l’état de l’atmosphère et de la piste et se trouvera bien armé pour faire face à la
panne. L’événement « Sortie latérale de piste à l’atterrissage en l’absence de
mauvaise réaction de l’équipage » est donc généré par la combinaison suivante :
- Panne du dispositif d’anti-dérapage
- ET piste glissante
- ET fort vent de travers
- ET Panne de moteur survenant en fin d’approche.
Dans la pratique, le choix entre les portes ET et OU peut être fait en se référant
à la règle suivante : si l’événement considéré entraîne, à lui seul, celui du niveau
supérieur, il faut le faire entrer dans une porte OU. Sinon, identifier les événements
qui doivent nécessairement survenir en même temps pour que l’événement du
niveau supérieur soit généré, et les relier à une porte ET.
3.4. Le recueil des données quantitatives :
Il s’agit d’écrire les variables aléatoires caractéristiques de la présence des

événements élémentaires auxquels l’Arbre des Défauts a abouti. Pour un arbre
indépendant du temps, il suffit de connaître la densité de probabilité de l’instant
d’apparition de chaque événement élémentaire Xi. Dans le cas d’un arbre dépendant
du temps, et pour chaque Xi, on doit considérer un succession de périodes de durées
(τi) aléatoires où Xi est présent, et de périodes de durées (θi) aléatoires où Xi est
absent : il faut donc connaître les fonctions décrivant la probabilité des variables
aléatoires (τi) et (θi).

___________________________________________________________________________
3.5. L’évaluation de la probabilité :
Cette étape débute suite à la construction de l’Arbre des Défauts et le recueil

des données quantitatives. Il s’agit :
- de déterminer la probabilité d’apparition de l’événement indésirable,
- de déterminer, avec leurs probabilités, les chemins les plus critiques, c’est-à-
dire les plus probables parmi les combinaisons d’événements susceptibles
d’entraîner l’événement indésirable.
L’analyse des résultats obtenus :

Comme la construction de l’arbre, l’analyse des résultats obtenu doit être
confiée à des équipes pluridisciplinaires dominant les divers aspects de la
conception, de la fabrication, de l’utilisation du système. L’Arbre des Défauts peut
être utilisé dans plusieurs perspectives :
(1) porter un jugement sur la probabilité d’apparition de l’événement
indésirable
(2) déterminer les chemins les plus critiques et identifier les points faibles du
système,
(3) mettre en évidence les fausses redondances
(4) respecter l’influence d’un événement donné, qu’il soit ou non élémentaire,
Il est important de bien distinguer les deux aspects de l’Arbre des Causes qui
sont dans la pratique, profondément liés :
- déterminer les diverses combinaisons possibles d’événements qui entraînent la
réalisation d’un événement indésirable unique ;
- représenter graphiquement ces combinaisons au moyen d’une structure
arborescente.
Dans le cadre de son premier objectif, cette méthode permet, grâce à un
raisonnement déductif s’appuyant sur un certain nombre de principes et de règles,
d’accéder aux multiples causes d’un événement unique préalablement bien défini.
On représentera ces causes sous forme d’un arbre conformément au deuxième
objectif. Il faut cependant noter que l’on peut représenter sous la même forme
d’arbre, des combinaisons d’événements déterminées par d’autres méthodes
d’analyse.
L’Arbre des Causes représente ainsi graphiquement les combinaisons des
événements qui conduisent à la réalisation d’un événement unique ; ce dernier
constitue l’événement de tête de l’Arbre des Causes et est, la plupart du temps, un
événement indésirable pour le système étudié.
___________________________________________________________________________
___________________________________________________________________________
L’arbre des Causes est formé de niveaux successifs d’événements tels que,
chaque événement est généré à partir des événements du niveau inférieur par
l’intermédiaire de divers opérateurs (ou portes) logiques. Ces événements sont
généralement des défauts associés à des défaillances de matériels, des erreurs
humaines, des défauts de logiciels, etc. pouvant conduire à l’événement indésirable.
Ce processus déductif est poursuivi jusqu'à ce que l’on obtienne des
événements dits « événements de base » ; ces derniers sont généralement des
événements indépendants entre eux et dont on connaît le probabilité d’occurrence.
Il est important de mentionner qu’un Arbre de Causes n’est évidemment pas
un modèle de toutes les défaillances possibles dans le système ; c’est par contre ;
un modèle de la logique des interactions entre des événements conduisant à
l’événement indésirable.
4. CONCEPTS DE BASE
4.1. Evénement indésirable
L’analyse par l’Arbre des Causes se concentre sur un événement particulier

qualifié d’ »indésirable ».
Cet événement devient l’événement « sommet » de l’arbre et l’analyse a pour
but d’en déterminer toutes les causes. Souvent, cet événement est un événement
catastrophique ; cependant, cet événement peut être plus simplement une
indisponibilité de système affectant la sécurité mais également la disponibilité d’une
installation (aspect économique). Afin de faciliter l’analyse, l’événement indésirable
doit être défini de façon précise. En effet, si cet événement est beaucoup trop général
(exemple : chute d’un avion, fusion d’un cœur de réacteur nucléaire...), l’analyse
devient inextricable et impossible à réaliser. Si par contre, cet événement est trop
spécifique, l’analyse risque de ne pas mettre en évidence les éléments importants du
système.
4.2. Représentation des portes logiques
Les portes logiques lient les événements suivant des relations de causalité. Les
principaux symboles généralement utilisés sont représentés dans le tableau 7.1.

___________________________________________________________________________
Tableau 7.1 : Présentation des portes logiques utilisées dans la MAC

Symbole Nom du Symbole Signification du symbole
S
L’événement de “sortie”
(ici S) de la porte ET est
généré si tous les
Porte ET événements d’entrée (ici
E1, E2 et E 3) sont présents
simultanément
E1 E2 E3
S
(ici S) de la porte OU est
généré si l’un au moins des
Porte OU événements d’entrée (ici E 1
ou E 2 ou E 3) est présent :
la porte est appelée aussi
OU exclusif
E1 E2 E3
S L’événement de “sortie”
(ici S) est généré si tous les
événements d’entrée (ici
Porte ET
E1 avant E2 E1 et E 2) sont présents et si
avec
condition la condition (ici E 1 est
présent avant E 2) est
réalisée
E1 E2
S (ici S) de la porte OU est
généré si l’un au moins
des événements d’entrée
Porte OU
Exclusion (ici E 1 ou E 2 ou E 3) est
avec
exclusion présent et si la condition
est réalisée (ici, il faut que
E1 et E 2 ne soient pas
E1 E2 présents simultanément);
la porte est appelée aussi
OU EXCLUSIF
___________________________________________________________________________
___________________________________________________________________________
Tableau 7.1 : Suite
S
(ici S) est généré
x Porte SI
l’événements d’entrée
(ici E 1) est présent et si la
condition X est réalisée
E1
S
(ici S) est généré si m des
2/4 Porte événements d’entrée sont
COMBINAISON
m/n (ici 2/4) présents (ici il suffit que 2
des événements E 1, E2, E3,
E1 E2 E3 E4 E4 soient présents)
D’autres portes logiques sont utilisées dans des applications particulières

(tableau 7.2)

___________________________________________________________________________
Tableau 7.2: Représentation d’autres portes logiques parfois utilisées
S L’événement de “sortie” (ici

S) est généré avec un retard
10 min x donné (ici 10 min) par rapport

Porte Délai
à l’événement d’entrée (ici E 1)
à condition que celui-ci n’ait

E1 pas disparu entre temps.
S
L’événement de “sortie” (ici S)
est généré à partir de certaines
Porte combinaisons des entrées qui
MATRICIELLE
ne sont pas pour le moment
explicitées
E1 E2 E3
Une porte
QUANTIFICATION fait
6
Porte correspondre à un événement
QUANTIFICATION (ici E 1) une valeur
numérique (ici 6)
E1
___________________________________________________________________________
___________________________________________________________________________
Tableau 7.2 Suite
Σ
Une porte de
SOMMATION effectue la
Porte
SOMMATION somme des valeurs issues
6 12
des diverses portes
QUANTIFICATION
E1 E1
S L’événement de “sortie”
(ici S) de la porte de
COMPARAISON est
≥ 48
Porte généré si la valeur issue
MATRICIELLE de la porte
Σ SOMMATION vérifie
une certaine inégalité (ici
supérieure à 48)
Il convient de noter que d’autres symboles sont parfois employés (tableau 7.3)
pour les portes « OU EXCLUSIF » et « ET AVEC CONDITION ».

___________________________________________________________________________
Tableau 7.3. : Diverses représentations de certaines portes logiques
Porte Logique Symbole Autre symbole utilisé Référence
Porte
OU Exclusion “EXCLUSIVE OR”
EXCLUSIF
E1 avant E 2 6
E1 E2
ET AVEC Porte
E1 avant E 2
CONDITION “PRIORITY AND”
E1 E2 1
E1 E2
En outre, des portes logiques de type NON peuvent se révéler utiles : citons le
cas de la porte NON-OU (ou NON-ET) dont l’événement complémentaire de
l’événement de sortie de la porte logique OU (ou respectivement ET).
Habituellement, les portes logiques de type NON sont représentées par les symboles
des portes logiques surmontées d’un petit cercle.
3.3. Représentation des événements
Les symboles habituellement utilisés sont représentés dans le tableau 7.4.
___________________________________________________________________________
___________________________________________________________________________
Tableau 7.4. Représentation des événements
Représentation d’un événement

(événement indésirable ou
rectangle
intermédiaire) résultant de la
combinaison d’autres événements
par l’intermédiaire d’une porte
logique.

cercle élémentaire ne nécessitant pas de
futur développement

qui ne peut être considéré comme
losange élémentaire mais dont les causes
ne sont pas et ne seront pas
développées

double dont les causes ne sont pas encore
losange développées mais le seront
ultérieurement

de base qui est un événement
maison survenant normalement pendant
le fonctionnement du système.

ovale conditionnel qui peut être utilisé
avec certaines portes logiques
Notons qu’un événement complémentaire peut être représenté par le symbole

habituel surmonté d’un petit cercle.
Les symboles dits « transferts de sous-arbres » (tableau 7.5) permettent de
réduire la taille d’un Arbre des Causes en évitant le duplication de sous-arbres
identiques ou semblables.

___________________________________________________________________________
Tableau 7.5. Représentation des symboles « transferts de sous-arbres »
La partie de l’arbre des causes qui

suit le symbole
triangle est transféré à l’emplacement

indiqué par le symbole
Une partie semblable, mais non

identique à celle qui suit le
symbole
triangle est transféré à l’emplacement

inversé indiqué par le symbole
4.4. Défauts, défaillances et pannes
Comme nous l’avons vu au chapitre 1, la panne ou la défaillance d’un système

(ou d’un composant) est la conséquence de l’existence d’une ou plusieurs pannes ou
défaillances de composants du système (ou de pièces du composant). La MAC a pour
objet de rechercher, à partir d’un événement indésirable, les pannes ou les
défaillances de composants dont la combinaison entraîne l’apparition de l’événement
indésirable.
___________________________________________________________________________
___________________________________________________________________________
4.5. Classes de défaillances
Nous avons classé au chapitre 1, les défaillances en 3 classes selon leurs causes :
- défaillance première,
- défaillance seconde,
- défaillance de commande.
Cette classification est très utile pour la construction de l’arbre des Causes ; la
figure 7.4. représente l’arbre des Causes d’un composant.
Défaillance d’un
composant
Défaillance Défaillance Défaillance

première seconde de commande
Figure 7.4. : Arbre des Causes d’un composant
4.6. Événements de base
L’analyse des causes des événements doit être faite jusqu'à ce que l’on obtienne
des événements de base ». Aussi est-il important de définir de tels événements qui
fixent une limite à l’analyse.
Les événement de base de l’Arbre des Causes sont les suivants :
- les événements élémentaires ne nécessitant pas de futur développement
(symbole le cercle). Un tel événement est généralement suffisamment bien
décrit et connu pour qu’il soit inutile d’en rechercher les causes ; sa
probabilité est généralement connue (une erreur humaine élémentaire, une
indisponibilité de composant à la suite d’une maintenance préventive, etc.),
- l’événement ne peut être considéré comme élémentaire que si les causes ne
sont pas et ne seront pas développées (symbole : le losange). Dans un tel cas,

___________________________________________________________________________
on a atteint les limites du système étudié en aboutissant à cet événement ;
- l’événement est un événement survenant normalement pendant le
fonctionnement du système (symbole : la maison). Un tel événement peut être
lié à l’environnement du système.
En ce qui concerne le niveau de finesse de l’étude, on peut commencer par un
niveau moyen et affiner au fur et à mesure, sinon an va se trouver immergé par un
nombre important de données).
5. ÉLABORATION DE L’ARBRE DES CAUSES : PRINCIPES
L’élaboration de l’Arbre des Causes est une technique qui a évolué depuis
l’époque de sa création ; elle fut longtemps considérée comme un art, réservé aux
analystes. Cependant, l’extrême étendue de son champ d’application a permis, au fur
et à mesure, de mettre en évidence des principes et des règles. Il reste toujours vraie,
qu’il est difficile jusqu’aujourd’hui, de définir un algorithme précis et rigoureux pour
élaborer un tel arbre de causes.
Voici cependant des éléments permettant de guider à construire un arbre de
causes.
5.1. Recherche des causes immédiates, nécessaires et suffisantes

(1er Principe)
Il est nécessaire de rechercher les causes immédiates, nécessaires et suffisantes

(INS) de l’événement indésirable. On prendra deux exemples
Exemple 7.3
un système représenté par la figure suivante :
B
A D E
Figure 7.5. Exemple 7.4

Un signal de sortie de l’élément A devient un signal d’entrée des composants B
et C ; ces derniers envoient un signal au composant D, puis ce dernier, au composant
E. Il existe ainsi, une redondance au niveau de B et C. On choisit comme événement
___________________________________________________________________________
___________________________________________________________________________
indésirable « pas de signal d’entrée pour E ». On doit procéder étape par étape dans
la recherche des causes immédiates. La cause immédiate de l’événement indésirable
est « pas de signal de sortie de D ». On doit résister à la tentation d’indiquer que
l’événement « pas de signal d’entrée pour D » est la cause immédiate de « pas de
signal d’entrée pour E » .
Pour les causes immédiates de « pas de signal de sortie » :
- « pas de signal de sortie de D malgré l’existence d’un signal d’entrée pour
D » (événement 1)
- « pas de signal d’entrée pour D » (événement 2).
On effectue ensuite la recherche des causes immédiates des causes de ces deux
événements :
- si la limite de l’étude est le niveau « composant » l’événement 1 peut être
reformulé comme « défaillance de D » ; il ne sera donc pas analysé plus en détail et
sera considéré comme un événement de base. La précipitation de l’analyste dans
l’étape suivante aurait pu conduire à ignorer cet événement ;
- les cause INS de l’événement 2 sont « pas de signal de sortie de B et pas de
signal de sortie de C » ; cet événement est l’intersection de deux événements :
∗ « pas de signal de sortie de B »
∗ « pas de signal de sortie de C »
Il convient de noter que ces causes doivent être nécessaires et suffisantes : ainsi,
par exemple, l’événement « pas de signal de sortie de B » n’est pas suffisant et les
causes de l’événement « pas de sortie de B » et « pas de signal de sortie de C » et
« pas de signal de sortie de A » ne sont pas toutes nécessaires.
L’analyse se produit ensuite suivant la même procédure. Ainsi la recherche des
causes INS doit être faite, étape par étape, de manière aussi rigoureuse et
minutieuse que possible. Il ne faut surtout pas « brûler les étapes » !
Exemple 7.4 :
Soit un système représenté par la figure 7.6. Il s’agit d’un échangeur permettant
de refroidir un fluide primaire de débit Q et de température T1 jusqu'à la
température T2 ; le fluide secondaire qui a un débit q et une température t1 à l’entrée
et une température t2 à la sortie de l’échangeur. L’événement indésirable est ici
« augmentation trop importante de la température T2 ». On imagine l’existence de
sous-systèmes permettant d’alimenter l’échangeur côté primaire et secondaire.

___________________________________________________________________________
t2
Fluide primaire
Q T1 T2
t1
q
Fluide secondaire
Figure 7.6 : Exemple 7.5 : Echangeur de chaleur
Le recherche des causes INS à l’événement indésirable doit être effectuée , dans
un premier temps, au niveau même de l’échangeur, en ignorant les sous-systèmes
qui l’alimentent. La démarche la plus simple consiste à considérer les paramètres
physiques importants et les lois qui régissent le comportement de l’échangeur. Par
exemple, on définira les températures aux entrées et aux sorties de l’échangeur et les
débits de fluides primaire et secondaire.
Les causes INS sont alors les suivantes :

- augmentation trop importante de T1,
- augmentation trop importante de Q,
- augmentation trop importante de t1
- diminution trop importante de q.
Un modèle plus précis pourrait être établi de la manière suivante :

- écriture de toutes les lois de comportement de l’échangeur (exemple : prise
en compte des coefficients d’échange)
- détermination des paramètres dont la variation entraîne l’événement
indésirable,
- analyse des défaillances possibles de l’échangeur (exemple : fuite interne, fuite
externe) et de leur influence sur les lois de comportement de l’échangeur (exemple :
prise en compte de possibles réactions exothermiques entre fluide primaire et
secondaire)
L’analyse se poursuit en recherchant les causes INS aux variations de
___________________________________________________________________________
___________________________________________________________________________
paramètres physiques mises en évidence précédemment .
La relation entre ces paramètres peut s’écrire :

q cp t 2 – t1
Q Cp T 1 – T2 = q cp t 2 – t1 ⇒ T2 = T1 –
Q Cp
A partir de cette relation, on peut déduire les causes INS.
Cet exemple illustre l’intérêt de parfois revenir aux paramètres physiques et

aux lois qui régissent le comportement de composants, sous-systèmes ou du système
dans la recherche des causes INS de certains événements. Cette méthode garantit la
rigueur et l’exhaustivité de l’analyse ; mais, sa lourdeur doit conduire à ne l’utiliser
qu’à bon escient.
En conclusion, il apparaît que la recherche des causes INS doit être effectuée
étape par étape, de manière aussi rigoureuse que possible ; une importante aide à
cette recherche peut être la considération des paramètres physiques et des lois qui
régissent le comportement des composants, des sous-systèmes ou du système.
5.2. Classement des événements intermédiaires (2e Principe)
La recherche des causes INS à l’événement indésirable a permis d’obtenir des

événements intermédiaires (Ei). Un classement de ces derniers est alors effectué. On
distingue principalement trois classes d’événements :
- Ei est un événement de base
- Ei est un défaut de composant : comme on l’a précédemment vu, la défaillance
associée se décompose en défaillance première, seconde et de commande. L’analyse
de poursuit ensuite conformément au 3ème principe qu’on analysera ultérieurement.
- Ei est un « défaut du système » : cette classe d’événement mérite quelque
explication . Il s’agit d’événements qui ne sont pas des événements de base et pour
lesquels on ne peut pas spécifier un composant du système pour cause de ceux-ci ;
généralement, plus d’un composant est alors responsable d’un tel événement. Un
événement combinant un événement de base et un défaut de composant fait
également partie de cette classe d’événement. La recherche des causes INS conduit
alors à définir des événements intermédiaires liés par des opérateurs logiques.
L’analyse de chaque événement intermédiaire est représentée schématiquement
à la figure 7.7.

___________________________________________________________________________
Dˇfinition
dÕun ˇvˇnement
intermˇdiaire
1
Ei
1
Ei est-il un
ˇvˇnement de
base?
Oui Non
1
Ei est-il un
Obtention des ˇvˇnements de base
dˇfaut de
comosant?
Oui Non
Recherche Recherche Recherche Ei

1
de la des des est un

dˇfaillance dˇfaillances dˇfaillances de dˇfaut
premi¸re secondes commandes du syst¸me
Recherche
des causes
INS
Dˇfinition des
2
ˇvˇnements Ei
intermˇdiaires liˇs par
des portes logiques
Figure 7.7. : Représentation schématique de l’analyse de chaque événement intermédiaire
___________________________________________________________________________
___________________________________________________________________________
5.3. Analyse des défauts de composants (3ème principe)

Dès que l’on rencontre un défaut de composant, on utilise l’Arbre des Causes à
la figure 7.4. Si la recherche des causes INS conduit à définir :
a) une défaillance première : on obtient un événement de base,
b) une ou des défaillances secondes : la recherche de leurs causes INS conduit à
définir des événement intermédiaires liés par des portes logiques,
c) une ou des défaillances de commande : de même, le recherche de leurs causes
INS conduit à définir des événements intermédiaires liés par des portes
logiques.
5.4. Recherche des causes, nécessaires et suffisantes des

événements intermédiaires jusqu'à l’obtention des événements de
base (4ème principe)
L’application des principes précédents a permis d’obtenir, à partir de l’analyse

des événements intermédiaires, des événements de base ou de nouveaux événements
intermédiaires.
On applique ces principes aux nouveaux événements intermédiaires jusqu'à ce
que l’on n’obtienne plus des événements de base.
L’ensemble de la démarche est représenté sur la figure 7.8.

___________________________________________________________________________
Application des
règles à chaque
événement
intermédiaire
Obtention des Recherche des Tous les

Définition de premiers événements causes INS de événements Oui Obtention de
l’événement Recherche des intermédiaires sont l’arbre des
cause INS intermédiaires liés chaque
indésirable par des portes événement des événements de causes
logiques intermédiaire base
Non
Obtention de
nouveaux événements
intermédiaires liés
part des portes
logiques
Figure 7.8. : Représentation schématique de l’élaboration de l’Arbre des Causes.
5.5. Démarche itérative (5ème principe)
Dans la pratique, il apparaît souvent nécessaire de revenir sur certaines

caractéristiques de l’arbre que l’on est en train d’élaborer. Par exemple :
- telle analyse d’événement amène à préciser la connaissance du système et à
constater qu’il a oublié de prendre en compte certaines caractéristiques (états de
fonctionnement, particularités de la maintenance, etc.). On est donc obligé de
redéfinir certains événements intermédiaires, d’en rajouter d’autres. L’analyse peut
aussi montrer la nécessité de préciser certains effets de défaillance et de réaliser des
études complémentaires de fonctionnement. On sera parfois amené, dans l’attente de
ces résultats d’étude, à faire un certain nombre d’hypothèses ;
- il peut s’avérer nécessaire de préciser tel événement de base lié à un
composant et d’analyser plus en détail tel composant particulier : ceci oblige une
révision des limites fixées à l’analyse.
Ainsi on doit pas hésiter à revenir sur certains événements de l’arbre, sur la
structure de certaines branches de celui-ci..., l’élaboration de l’Arbre des Causes
devenant une démarche itérative jusqu'à l’obtention de résultats satisfaisants.
___________________________________________________________________________
___________________________________________________________________________
5.6. Autres règles
Pour faciliter l’élaboration de l’Arbre des Causes, des règles ont été émises et
développées ces dernières années. Retenons ici quatre d’entre elles :
* « pas de miracle » (No Miracle Rule)
On trouve que parfois que la défaillance d’un composant est arrêtée par
l’existence miraculeuse et inattendue d’un défaillance d’un autre composant ! Dans
ce cas le système est appelé « non cohérent », l’existence simultanée de deux
défaillances conduisant à un fonctionnement du système. Dans l’analyse, bien
évidemment, on supposera que le deuxième composant fonctionne normalement
pendant l’existence de la première défaillance.
* « compléter les portes » (Complète the Gate Rule)
Afin d’être méthodique, il est conseillé de bien spécifier tous les événements
d’entrée d’une porte logique avant d’entreprendre l’analyse détaillée de l’un d’entre
eux.
∗ « pas de porte à porte » No Gate-to-Gate Rule »
∗ Une porte logique ne doit pas être connectée à une autre porte logique. Le
« porte à porte » peut conduire à des confusions et révéler une
compréhension insuffisante du système (risque d’avoir sauté des étapes du
raisonnement déductif)
∗ « les causes sont antérieures aux conséquences ! »
Rechercher les causes d’un événement revient à remonter dans le temps ; en
effet, les causes d’un événement doivent être antérieures à l’existence de
celui-ci. Cette règle permet d’éliminer certaines causes et branches de l’arbre,
facilitant notamment la résolution des systèmes dits « bouclés ».
6. EXERCICE D’ILLUSTRATION : ELABORATION DE L’ARBRE

DES CAUSES
Afin d’illustrer les principes de la MAC, nous présentons un système simple

(figure 7.9.) et un événement indésirable, qu’on analyse par cette méthode.
On suppose que le fil AB traverse une zone où se trouvent des vapeurs
inflammables ; on admet qu’une Analyse Préliminaire des Dangers a montré que
l’événement critique à éviter est la surchauffe du fil AB. Cet événement est donc
l’événement indésirable.

___________________________________________________________________________
B.P Batterie
Fusible
Moteur
Relais M
Batterie
A Fil B
Figure 7.9.
6.1. Analyse par Arbre des Causes
L’événement indésirable est la « surchauffe du fil AB ». Il ne peut résulter que

de la présence d’un courant élevé dans le 2ème circuit, le 2ème circuit étant
évidemment maintenu fermé. L’existence d’un courant élevé dans le 2ème circuit
nécessite la présence d’un court-circuit du moteur ; par hypothèse ; c’est la seule
source de courant élevé que l’on considère dans le cadre de cet exercice.
On en déduit l’Arbre des Causes suivant :
Surchauffe
du fil AB
Court-circuit Le 2 ¸me circuit

du moteur est restˇ fermˇ
Figure 7.10.
L’événement indésirable est ainsi engendré par deux événements
___________________________________________________________________________
___________________________________________________________________________
intermédiaires au travers d’une porte ET. L’événement intermédiaire « court-circuit

du moteur » est une défaillance du moteur tandis que l’autre événement
intermédiaire peut être classé comme un défaut du système. On commence par
rechercher les causes du court-circuit du moteur :
- défaillance première : c’est un court-circuit qui résulte d’une défaillance
propre au moteur dont l’origine est, par exemple, le vieillissement. C’est un
événement de base ;
- défaillance seconde : il existe une cause externe. Ainsi par exemple, si le
contact du relais reste collé, il en résulte un fonctionnement prolongé du moteur et,
par suite, un court circuit du moteur dû à son échauffement ;
- défaillance de commande : il n’existe pas de telle défaillance.
On obtient l’Arbre des Causes suivants :
Surchauffe
du fil AB

Le contact du Dˇfaillance
relais reste collˇ premi¸re
Figure 7.11.
On poursuit l’étude par l’élaboration de la branche gauche de l’arbre ;

l’événement intermédiaire « le contact du relais reste collé », est un défaut du relais.
On en cherche les causes :
- défaillance première : le contact du relais reste collé par suite, par exemple,
d’un défaut d’origine mécanique. C’est un événement de base ;
- défaillance seconde : le contact du relais reste collé si un courant élevé traverse
le contact, c’est-à-dire s’il existe un court-circuit du moteur ;
- défaillance de commande : le contact du relais reste collé si le contact du

___________________________________________________________________________
bouton-poussoir (B.P) reste collé,
Surchauffe
du fil AB

Le contact du Le contact du Dˇfaillance

relais reste collˇ B.P reste collˇ premi¸re
Figure 7.12.
Dans l’Arbre des Causes ainsi élaboré, on constate une incohérence : le court-
circuit du moteur ne peut être à la fois la cause de l’événement « le contact du relais
reste collé » et la conséquence de ce même événement (règle « les causes sont
antérieures aux conséquences »). Il convient donc de supprimer le dernier événement
intermédiaire « cour-circuit du moteur » de l’écriture de l’arbre.
L’autre événement intermédiaire est un défaut du contact du B.P. :
- défaillance première : c’est une défaillance d’origine mécanique, par exemple.
C’est un événement de base ;
- défaillance seconde : il n’en existe pas ;
- défaillance de commande : le contact du B.P. reste collé si l’opérateur ne
___________________________________________________________________________
___________________________________________________________________________
relâche pas le B.P. par suite d’une erreur humaine. On ne cherche pas à en
développer les causes dans le cadre de cet exercice : c’est un événement de base.
Il est important de noter ici que l’opérateur a été implicitement considéré
comme un composant du système : ainsi « l’opérateur ne relâche pas le B.P. » est une
défaillance seconde du contact du B.P. due au composant opérateur. Si l’opérateur
n’avait pas été considéré comme un composant, l’erreur humaine aurait été une
cause de la défaillance première du B.P.
On obtient l’Arbre des Causes suivant :

___________________________________________________________________________
Surchauffe
du fil AB

B.P reste collˇ premi¸re
LÕopˇrateur Dˇfaillance
ne relache premi¸re
pas le
B.P
Figure 7.13.
La construction de la branche gauche de cet arbre est considérée comme

terminée puisqu’on est remonté jusqu’aux événements de base. On cherche
maintenant à développer la branche de droite de l’Arbre des Causes : le 2ème circuit
est resté fermé si le contact du relais est resté collé et si le fusible n’ouvre pas le
circuit.
___________________________________________________________________________
___________________________________________________________________________
Surchauffe
du fil AB
Court-circuit du Le 2¸me circuit

moteur est restˇ fermˇ
Le contact du Dˇfaillance Le contact du Le fusible nÕouvre

relais reste collˇ premi¸re relais reste collˇ pas le circuit
Le contact du B.P Dˇfaillance

reste collˇ premi¸re
pas le
B.P
Figure 7.14.
Les deux événements intermédiaires obtenus sont des défauts de composants ;

on considère d’abord « le fusible n’ouvre pas le circuit » :
- défaillance première : un tel défaut, pour des raisons internes au fusible (au
demeurant extrêmement improbable !), est un événement de base ;
- défaillance seconde : il n’en existe pas ;
- défaillance de commande : « l’opérateur a surdimensionné le fusible » en est
une cause. De nouveau, ici, l’opérateur est considéré comme un composant.
- Les causes de l’événement « le contact du relais reste collé » ont déjà été

___________________________________________________________________________
développées précédemment. On en déduit l’Arbre des Causes suivant :
Surchauffe
du fil AB


Le contact du B.P court-circuit du Le contact du B.P LÕopˇrateur Dˇfaillance

Dˇfaillance Dˇfaillance ne relache premi¸re
reste collˇ premi¸re moteur reste collˇ premi¸re pas le
B.P
pas le
B.P
Figure 7.15 Elaboration d’un arbre de causes
Les deux événements intermédiaires « court-circuit du moteur » et « le contact

du B.P. reste collé » ont déjà été précédemment développés. On en déduit l’Arbre des
Causes suivant :
___________________________________________________________________________
___________________________________________________________________________
Surchauffe
du fil AB



Dˇfaillance Dˇfaillance ne relache premi¸re
reste collˇ premi¸re moteur reste collˇ premi¸re pas le
B.P
Le contact du B.P LÕopˇrateur

LÕopˇrateur Dˇfaillance reste collˇ Dˇfaillance ne relache Dˇfaillance
ne relache premi¸re premi¸re pas le premi¸re
pas le B.P
B.P
Figure 7.16. Elaboration d’un arbre de Causes
Dans l’Arbre des Causes ainsi élaboré, on constate une incohérence du même
type que celle précédemment constatée : » le contact du relais reste collé » ne peut
être à la fois la cause du « court-circuit du moteur » et la conséquence de ce même
événement ! Il convient donc de supprimer le dernier événement intermédiaire « le
contact du relais reste collé », de l’écriture de l’arbre. On obtient finalement l’Arbre
des Causes suivant :

___________________________________________________________________________
Surchauffe
du fil AB



Dˇfaillance Dˇfaillance ne relache
reste collˇ moteur reste collˇ premi¸re
premi¸re premi¸re pas le
B.P
Dˇfaillance
premi¸re
pas le LÕopˇrateur
ne relache Dˇfaillance
B.P
pas le premi¸re
B.P
Figure 7.17 Elaboration d’un arbre de Causes
6.2. Commentaires
L’élaboration de l’Arbre des Causes suscite des commentaires :

un Arbre des Causes est un modèle des combinaisons entre les défaillances les
plus envisageables et les plus probables.
Généralement, on ne retient (consciemment ou inconsciemment, que les défauts
les plus envisageables et les plus probables. Pour « le contact du relais reste collé », il
n’a, par exemple, pas été envisagé de défaut de conception du relais tel que le contact
du relais reste collé, par suite de l’existence d’un vernis déposé sur le contact, non
encore séché au moment de l’essai de mise en service mais qui sécherait ensuite.
Un tel défaut, exceptionnel, a déjà été constaté. Néanmoins dans ce cas, on ne
___________________________________________________________________________
___________________________________________________________________________
doit pas une grande erreur, la probabilité d’un tel défaut étant négligeable par
rapport à la probabilité d’un blocage mécanique d’un relais.
Généralement, on ne fera pas intervenir dans un Arbre des Causes des
événements fortement improbables au regard des autres événements pris en compte.
- Une AMDE effectuée préalablement à la construction de l’Arbre des Causes
facilite beaucoup cette construction.
C’est aussi un moyen très utile pour éviter des oublis dans la construction de
l’Arbre des Causes. Dans le cadre de l’exemple présent, la construction de l’Arbre
des Causes. Dans le cadre de l’exemple présent, la construction de l’Arbre des Causes
a été effectuée sans l’aide d’une AMDE. Si on se reporte à l’AMDE élaborée au
paragraphe (**), on constatera que le travail fait alors aurait grandement simplifié
l’analyse des causes des événements : pour trouver les causes de l’événement « le
contact du relais reste collé » il suffisait de se reporter à la colonne « causes
possibles » du tableau AMDE.
7. COUPES MINIMALES ET IMPLICANTS PREMIERS
7.1. Définition des coupes minimales
Une coupe est un ensemble d’événement entraînant l’événement indésirable ;

l’expression « chemin » est parfois utilisée. On considère à titre d’exemple la figure
7.18.
L’ensemble de défaillances, constitué par l’événement « A et B et C », entraîne
l’événement T. L’événement « A et B et C » représente donc une coupe ; est-ce-que
cette combinaison d’événements est la plus petite combinaison de défaillances
entraînant l’événement T ? L’examen de l’arbre permet de mettre en évidence une
combinaison d’événements plus petite « A et B » qui entraîne l’événement T. Est-ce la
plus petite ? Il apparaît ainsi nécessaire d’introduire la notion de coupe minimale.
Une coupe minimale est la plus petite combinaison entraînant l’événement
indésirable ; ainsi, par définition, si un des événements d’une coupe minimale ne se
produit pas, l’événement indésirable ne se réalise pas ; l’expression « chemin
critique » est parfois utilisé.
Un Arbre des Causes a un nombre fini de coupes minimales :
une coupe minimale d’ordre 1 représente (si elle existe) les simples défaillances
qui entraînent l’événement indésirable,

___________________________________________________________________________
E1 E2
A E3 C E4
B C A B
C E4
A B
Figure 7. 18 : Exemple d’un Arbre des Causes et de son arbre réduit.
- une coupe minimale d’ordre 2 représente (si elle existe) les doubles
défaillances qui, se produisant en même temps, entraînent l’événement indésirable...,
Il est important de mettre en évidence les coupes minimales d’ordre minimal :
___________________________________________________________________________
___________________________________________________________________________
elles représentent en effet les « maillons faibles » du système.
7.2. Recherche des coupes minimales
La recherche des coupes minimales se fait à partir d’une transformation de

l’Arbre des Causes en une expression booléenne. Un arbres des causes peut être
interprété comme une représentation de relation booléennes entre les événements
qui entraînent l’événement indésirable ; d’où l’importance de l’algèbre booléenne
dans la recherche des coupes minimales.
Cette algèbre est appliquée à la méthode des arbres des causes de la manière
suivante :
- à chaque événement de base est associée une variable booléenne ;
- on associe à l’événement de sortie ET une variable booléenne égale au produit
booléen des variables booléennes des événements d’entrée
- on associe à l’événement de sortie d’une porte OU une variable booléenne
égale à la somme booléenne des variables booléennes des événements d’entrée.
Il faut noter que les autres portes logiques se prêtent beaucoup plus
difficilement à l’utilisation de l’algèbre booléenne.
En définitive, nous obtenons pour l’événement indésirable, une expression
booléenne en fonction des variables booléennes associées à chaque événement de
base. L’utilisation des lois de l’algèbre booléenne permet de mettre l’expression
booléenne de l’événement indésirable sous la forme :
F = C1 + C2 + ... + Ci + ... + Cm (7.1)
Où Ci est le produit de mi événements de base,
1 2 mi
Ci = Bi .Bi • ... • Bi (7.2)
L’expression F est réduite et les événements Ci sont les coupes minimales ; la

coupe Ci est dite d’ordre mi.
Il faut noter que la recherche de l’expression réduite peut se faire selon divers
algorithmes classiques (tableau de Karnaugh, Algorithme de Mac Cluskey ou de
Tison). Dans l’exemple de la figure 7.18, calculons l’expression booléenne de
l’événement T :

___________________________________________________________________________
E3 = B + C
E1 = A + (B + C) = A + B + C
E4 = A.B
E2 = C + (A.B)
T = E1E2 = (A + B + C).(C + (A.B))

T= (A + B + C).C+(A + B + C).(A.B)
T= A.C.B.C + C + A.B + C.A.B
T= C + A.B
Les coupes minimales sont C et A.B ; l’Arbre des Causes représentant les
événements C et A.B est appelé « arbre réduit »
Bien évidemment ces traitements peuvent être réalisés automatiquement pas
des programmes informatiques de calcul.
7.3. Implicants premiers
L’existence des coupes minimales et la validité des équations (6.1) et (6.2)

nécessitent que le système possède une propriété appelée « cohérence ». D’une
manière générale, un système est dit cohérent si :
- la panne de tous les composants entraîne la panne du système
- le fonctionnement de tous les composants entraîne le fonctionnement du
système,
- lorsque le système est en panne, aucune défaillance supplémentaire ne rétablit
le fonctionnement du système,
- lorsque le système est en fonctionnement, aucune réparation n’induit la panne
du système.
La plupart des systèmes possède ces propriétés qui peuvent être interprétées
mathématiquement.
Pour les systèmes non cohérents, des implicants sont définis comme étant des
produits d’événements de base ou de leurs complémentaires. Des impliquants
premiers sont des impliquants ne contenant aucun autre implicant.
L’événement indésirable se met ainsi sous la forme :
F = I1 + I2 + ...+ Ii + .... + Iw (7.3)
où chaque implicant premier Ii se met sous la forme d’un produit d’événements

de base ou de leurs complémentaires.
___________________________________________________________________________
___________________________________________________________________________
8. EXERCICE D’ILLUSTRATION : DETERMINATION DES COUPES

MINIMALES
Effectuons la réduction de l’Arbre des Causes de l’événement « surchauffe du

fil AB » conformément aux principes définis dans ce chapitre.
8.1. Réduction de l’arbre des Causes
On désigne de la manière suivante les quatre événements de base de cet Arbre

des Causes :
A : « le contact du BP reste collé »
Bp : « le contact du relais reste collé (défaillance première) »,
Cp : « court-circuit du moteur (défaillance première) »,
D : « le fusible n’ouvre pas le circuit »,
Dans un souci de simplification, chacun des événements A et D regroupe deux

événements de base. Soit F l’événement indésirable : on utilise les lois de l’algèbre
booléenne pour écrire la forme booléenne de chaque événement intermédiaire.
L’événement final F s’écrit (Figure 7.19):
F = (A + Bp + Cp).(A+Bp+Cp).D

___________________________________________________________________________
Surchauffe
du fil AB
A+ B p + Cp (A+ Bp + Cp) . D

A+ B p Cp (A+ Bp + Cp) D

A Bp Cp Bp
A
Dˇfaillance Dˇfaillance ne relache
reste collˇ moteur reste collˇ premi¸re
premi¸re premi¸re pas le
B.P
Dˇfaillance
premi¸re
pas le LÕopˇrateur
ne relache Dˇfaillance
B.P
pas le premi¸re
B.P
Figure 7.19 : Elaboration d’un arbre de Causes réduit
L’utilisation de la loi de l’idempotence (X.X=X) permet d’écrire :
F = (A+Bp+Cp).D = A.D + Bp.D + Cp.D
On obtient alors l’Arbre des Causes réduit suivant :
___________________________________________________________________________
___________________________________________________________________________
Surchauffe
du fil AB
Le fusible
nÕouvre pas le
circuit
A
court-circuit du Le contact du court-circuit du
moteur relais reste moteur
collˇ
Dˇfaillance Dˇfaillance pas le
premi¸re premi¸re B.P
pas le
B.P
Figure 7.20. Arbre des Causes réduit
Les trois coupes minimales conduisant à la surchauffe du fil sont les suivantes :
- A.D : « le contact du B.P. reste collé » et « le fusible n’ouvre pas le circuit ».
- Bp.D : « le contact du relais reste collé (défaillance première) » et « le fusible
n’ouvre pas le circuit ».
- Cp.D : « court-circuit du moteur (défaillance première) » et « le fusible n’ouvre
pas le circuit ».
Dans l’utilisation de cette méthode, l’importance de la réduction de l’Arbre des

Causes obtenu en première analyse est évidente. Des raisonnements menés sur
l’arbre non réduit peuvent se révéler faux ; ainsi, on risquerait de croire que la
surchauffe du fil AB résulte de combinaison de trois événements : « le contact du B.P.
reste collé », « le contact du relais reste collé » et « le fusible n’ouvre pas le circuit ».
En réalité il n’en est rien ; l’élimination des dépendances entre événements,
réalisée grâce à la technique de réduction booléenne de l’Arbre des Causes, montre
que la surchauffe de fil AB résulte des combinaisons de seulement deux événements.
8.2. Enregistrements

___________________________________________________________________________
L’utilisation de la méthode de l’Arbre des Causes comme méthode d’analyse
d’un système permet de recenser les combinaisons de défaillance conduisant à la
surchauffe du fil AB et de les représenter graphiquement.
Les trois coupes minimales conduisant à l’événement indésirable sont ensuite
obtenues par réduction de l’Arbre des Causes. Dans le cadre de l’exercice
d’illustration, on a ainsi montré qu’il existe trois doubles défaillances entraînant « la
surchauffe du fil AB ».
Rappelons que pour faciliter la construction de l’Arbre des Causes, il est utile
de réaliser préalablement une AMDE : le cas présent illustre bien la nécessité de
coupler les démarches inductive et déductive pour l’analyse d’un système.
9. ANALYSE QUANTITATIVE
Dans ce paragraphe on va aborder le calcul de la probabilité de l’événement

indésirable une fois les coupes minimales obtenues.
P[f] = P [C1 + C2 + ... + Cm] (7.4)
L’application du théorème de Poincaré permet d’écrire :
n m jŠ 1 m jŠ 1 k Š 1
P[F] = Σ P[Ci] Š Σ Σ P[CiCj] + Σ Σ Σ P[Ci.Cj.Ck] Š... + Š 1 mP C1.C2...Cm (7. ) 5
i=1 j =2 i =1 j =3 k=2 i =1
En pratique, si les probabilités élémentaires mises en jeu sont faibles, il suffit de

se contenter du premier terme de la formule qui donne une évaluation de P[F] :
m
P F ≈ ΣP Coupe min imale i
(7.6)
i= 1
Un encadrement de P[F] est :

n m jŠ 1 n
Σ P[Ci] Š Σ Σ P[Ci.Cj] ≤ P[F]≤ Σ P[Ci] (7.7)

i =1 j =2 i=1 i= 1
L’erreur commise en utilisant le majorant comme évaluation de P[F] est ainsi

connue. Notons que la somme des 2k premiers termes de P[F] est toujours un
___________________________________________________________________________
___________________________________________________________________________
minorant de P[F] en employant ce « principe d’inclusion-exclusion ».

Chaque coupe minimale s’exprime de la manière suivante :
1 2 mi
Ci = Bi .Bi • ... • Bi
Le calcul de la probabilité de chaque coupe minimale ou des intersections de

coupes minimales dépend des nombreuses caractéristiques des événements de base.
On admet généralement l’indépendance entre les événements de base et la seule
utilisation de portes logiques de type Ou et ET.
9.1. Système irréparable
Les événements de base sont susceptibles d’apparaître à la suite de défaillances

de composants : ils subissent ensuite puisque les composants sont irréparables.
Admettons que l’événement F correspond à la disponibilité (ou fiabilité) du système.
9.1.1. Méthode directe
Remarquons immédiatement que le calcul est très simple pour un Arbre des
Causes où les événements de base ne sont pas répétés. La représentation par Arbre
des Causes est équivalente à une représentation par diagramme de succès. De
manière analogue au traitement du diagramme de succès, la probabilité de
l’événement indésirable est calculée en partant des probabilités des événements de
base.
On remonte alors dans l’Arbre des Causes en utilisant les formules de la figure
7.21. En règle général, les probabilités des événements de base correspondent à des
indisponibilités de composants ; dans un souci de simplification de la présentation,
on supposera que c’est toujours le cas.

___________________________________________________________________________
P[F] = a (t) +a (t) Ša (t) a (t) P[F] = a1 (t) a 2(t)
1 2 1 2
F F
P1 P2 P1 P2
a1 (t) a2 (t) a1 (t) a2 (t)
Figure 7.21 : Calcul associé aux portes OU et ET
En appliquant successivement les formules précédentes aux différents niveaux

de l’Arbre des Causes, la probabilité de l’événement indésirable est obtenue. Notons
que, lorsque les ai(t) sont très petits (ai(t)<<1), les calculs dans l’Arbre des Causes se
font très simplement. En effet, dans le cas des portes Ou et ET, on a respectivement :
P[F] ≈ a1(t) + a2(t)
P[F] = a1 (t) . a2 (t)
9.1.2. Méthodes des coupes minimales
Revenons au cas du calcul à ,partir des coupes minimales. La formule (9.3)

permet le calcul de la probabilité de l’événement indésirable à partir des coupes
minimales ; la formule (9.5) en donne un encadrement. Souvent, on peut se contenter
de calculer les probabilités des coupes minimales et d’en faire la somme. La
contribution de chaque coupe minimale à l’indisponibilité du système est alors :
mi
P Ci = P
1 2
Bi ⋅B i ⋅ ... ⋅
m
Bi i = Π ai(t) (7.8)
j=1
A titre d’exemple, admettons que les événements de base correspondent à des

défaillances à la sollicitation de composants en attente et à des défaillances en
fonctionnement de composants disponibles à l’instant t = 0. Les taux de défaillance γi
et λk sont supposés constants. La probabilité d’occurrence d’une coupe minimale est
de la forme :
___________________________________________________________________________
___________________________________________________________________________
mi
P Ci = Π γjΠ 1 Š eŠ λ t
k
(7.9)
j=1 k
10. DIAGRAMME DE SUCCES ET ARBRE DE CAUSES
La Méthode de l’Arbre des Causes (MAC) permet de représenter les

combinaisons de défaillance conduisant à la réalisation d’un événement indésirable.
Il existe une correspondance entre les représentations que sont le diagramme de
succès et l’Arbre des Causes.
Exemple :
- un diagramme série et une porte OU,
- un diagramme parallèle et une porte ET
Dans un souci de simplification du tableau, les blocs des diagrammes de succès

représentent ici des événements tels que « fonctionnement ». On peut considérer
qu’il y a correspondance entre ces divers représentations. Néanmoins, il est
important de rappeler que :
- la MAC est une méthode qui procède par la recherche déductive des causes
des événements à partir de l’événement indésirable
- la MDS dérive d’une analyse fonctionnelle du système.
Ces méthodes sont donc très différents dans leurs principes de recherche des
combinaisons de défaillances et la correspondance entre celles-ci se limite aux
moyens de représentations qui leur sont associés.

___________________________________________________________________________
Syst¸me Diagramme de Succˇs Diagramme de Succˇs
E S
Composants
E1 E2
en sˇrie
E1 E2
S
E1
Composants E S
en parall¸le
E2
E1 E2
Tableau 7.6 : diagramme de succès et arbre des Causes
Il convient aussi de se souvenir que la MDS ne définit pas de principe très

précis et rigoureux de recherche des combinaisons de défaillance, conduisant à la
défaillance d’un système et que, historiquement, la MAC a été élaborée pour
dépasser ces insuffisances ! il en reste pas moins que la MDS est intéressante pour les
systèmes peu complexes - généralement irréparables - dont la modélisation est
simple et qui ne nécessitent pas d’analyse détaillée des causes de défaillance, des
cheminements des défaillances et de leurs combinaisons.
11. CONCLUSION
La méthode de l’Arbre des Causes (MAC) est la méthode la plus couramment

utilisée dans les analyses de fiabilité, de disponibilité ou de sécurité des systèmes :
elle a pour objectif le recensement de toute les causes, de tous les défauts (et leurs
combinaisons) entraînant l’apparition d’un événement indésirable. Elle permet
donc d’identifier les points faibles de la conception. Elle constitue également un
moyen de représentation de la logique des défaillances. L’existence de nombreux et
___________________________________________________________________________
___________________________________________________________________________
performants programmes informatiques de calcul associés à cette méthode est aussi

un élément favorisant son utilisation.
Cependant, l’emploi de cette méthode se révèle difficile, voire impossible
pour l’étude des systèmes élémentaires en interaction et fortement dépendants du
temps; elle peut parfois demeurer un utile complément à d’autres méthodes plus
adaptées.
C’est enfin un bon instrument de dialogue pour des équipes pluridisciplinaires.

___________________________________________________________________________
1
2
3
4
5
6
7
8
9
___________________________________________________________________________
Chapitre 8 Méthode de l’Espace des Etats
___________________________________________________________________________
Introduction
Principe de la méthode
Disponibilité des systèmes réparables
Fiabilité des systèmes réparables
Maintenabilité des systèmes réparables
Conclusion
CHAPITRE 8 : METHODE DE L’ESPACE

DES ETATS (MEE)
1. INTRODUCTION
La MEE a été développée pour l’analyse de la Sûreté de Fonctionnement de

systèmes réparables. Dan ce chapitre on étudiera comment évaluer la disponibilité,
la fiabilité et la maintenabilité des systèmes modélisés par de tels processus. On
traitera tout d’abord les systèmes simples réparables, ensuite le problème posé par
les grands systèmes est abordé.
2. PRINCIPE DE LA METHODE
Considérons un système constitué de n composants : chaque composant ayant

un nombre fini d’états de fonctionnement et de panne; ce système est supposé
réparable : les composants sont réparés après constatation de la panne.
___________________________________________________________________________
___________________________________________________________________________
Il possède donc :
1. des États de Fonctionnement :

* les états où la fonction du système est réalisée, des composants du
système pouvant être en panne
* l’état de bon fonctionnement est l’état où aucun composant n’est en
panne
2. des États de panne :

* Les états où la fonction du système n’est pas réalisée : un ou plusieurs
composants du système étant en panne
L’analyse comportera trois parties :
1) Le recensement et le classement de tous les états du système en états de

fonctionnement ou en états de panne. Si chaque composant a deux états
(fonctionnement et panne) et si le système a n composants, le nombre
maximal des états est 2n.
Au cours de la vie d’un système, des états de panne peuvent apparaître à la
suite de l’existence de défaillances ou disparaître à la suite de réparations.
2) Le recensement de toutes les transitions possibles entre ces différents états

et l’identification de toutes les causes de transition.
3) Le calcul des probabilités de se trouver dans les différents états au cours

d’une période de vie du système, ou le calcul de caractéristiques de sûreté de
fonctionnement (MTTF, MTBF, MTTR, etc.)
L’analyse qualitative peut être représentée par un graphe d’états construit de la

manière illustrée sur la figure 8.1.
- Chaque sommet est un état de système;
- Chaque arc symbolise une transition entre deux sommets qu’il unit. A un arc
est associé un taux de transition entre 2 états.
Si la probabilité de passer (directement) de l’état i à l’état j entre les instants t
et t + dt est aij dt alors aij est le taux de transition entre les état i et j.
Lorsque les taux de transition sont constants, on parle de processus
Markovien homogène. Dans ce cours, on ne traitera que ce type de cas.
Exemples 8.1 :
___________________________________________________________________________
___________________________________________________________________________
1) Prenons le cas d’un système constitué d’un seul composant ayant deux états
(figure 8.1) : fonctionnement (état 1) et panne (état 2)
λ
Etat 1 Etat 2
µ
Figure 8.1.: Graphe d’états d’un système à un composant
λ); la
Le taux de transition entre l’état (1) et l’état (2) est le taux de défaillance (λ
transition entre l’état 2 et l’état 1 est le taux de réparation du composant (µ µ).
2) Un système constitué de deux composants en redondance active possède 4

états (figure 8.2) :
- état 1 : (symbolisé par 00) : les deux composants sont en fonctionnement,
- état 2 : (symbolisé par 10) : le composant 1 est en panne, le composant 2 est
en fonctionnement,
- état 3 : (symbolisé par 01) : le composant 1 est en fonctionnement, le
composant 2 est en panne
- état 4 : (symbolisé par 11) : les deux composants sont en panne.
Etat 2
10
λ1 λ2
µ1
µ2
Etat 1 00 11 Etat 4
λ2 λ1
µ1
µ2
01
Etat 3
Figure 8.2.: Graphe d’états d’un système à deux composants
La modélisation de la fiabilité du système nécessite de calculer la probabilité de
___________________________________________________________________________
___________________________________________________________________________
se trouver dans un état de fonctionnement (états 1, 2,3) sans avoir transité par un
état de panne du système (état 4). Dans ce but, les états de panne du système sont
rendus «absorbants» en supprimant les transitions depuis les états de panne du
système vers les états de fonctionnement. Le graphe modélisant la fiabilité du
système devient le suivant (figure 8.3) :
Etat 2
10
λ1 λ2
µ1
Etat 1 00 11 Etat 4
λ2
λ1
µ2
01
Etat 3
Figure 8.3. : Graphe d’états modélisant la fiabilité d’un système à deux composants
3. DISPONIBILITE DE SYSTEME REPARABLES
La disponibilité des systèmes réparables de type Markovien est évaluée en

écrivant les équations d’états du système et en les résolvant.
Dans un deuxième temps, les méthodes permettant un calcul approché de cette
disponibilité (avec des conditions de validité généralement rencontrées) sont
développées.
Nous supposons que :
- Le système a p états;
- Les états de fonctionnement du système sont numérotés de 1 à l;
- Les états de panne sont numérotés l + 1 à p
- aij est le taux de transition de l’état i vers l’état j
3.1. Équations d’état du système
___________________________________________________________________________
___________________________________________________________________________
Évaluons la probabilité Qi(t+dt) pour que le système soit dans l’état i à l’instant
t+dt :
- si le système était dans l’état i à l’instant t; il est nécessairement resté dans cet
état; la probabilité d’une telle «absence de transition» est :
1Š Σ aij dt
j≠i
- si le système était dans un état j différent de i à l’instant t, la transition j → i a
nécessairement eu lieu; la probabilité d’une telle transition est :
aji dt
D’où :
Q i (t + dt) = P le système est dans l' état i à l' instan t t et y reste
+ Σ P le système est dans l' état j à l' instan t t et dans l' état i à l'instan t t + dt
j≠i
Finalement :
Qi(t + dt) = Qi(t). 1 Š Σ aij dt + Σ Qj(t).a jidt

j≠i j≠ i
Qi (t + dt) – Qi(t)
dt
= – Qi(t) Σ aij dt + Σ Qj (t) aji
j≠ i j≠ i
dQi(t)
dt
= – Qi(t) Σ aij dt + Σ Qj (t) aji
j≠ i j≠ i
Posons :
aii = Š Σ aij
j≠ i
p
dQi(t)
dt
= Σ Qj (t) aji ∀i = 1, 2..., p
(8.1)
j =1
Dans le cas d’un processus dit «homogène», les termes aij sont constants et
Qi(t) est différentiable. L’ensemble des équations différentiables (8.1) constitue les
équations d’état du système.
Matriciellement, on obtient :
___________________________________________________________________________
___________________________________________________________________________
dQ1(t) dQ2(t) dQp(t)
, ,..., = Q1 (t), Q2 (t)..., Qp(t) A (8.2)
dt dt dt
3.2. Résolution
Si on connaît la distribution initiale Qi(0), la résolution des équations (8.1) peut

être effectuée par les méthodes de résolution explicite à l’aide de la transformation
de Laplace, de discrétisation ou de calcul de valeurs propres de matrices A.
La résolution d’un système linéaire d’équations différentielles du premier ordre
est classique en analyse numérique et de nombreux programmes informatiques sont
disponibles.
La résolution des équations d’états par calcul des valeurs propres de la matrice
conduit à une solution du système d’équations différentielles connues explicitement
à l’aide d’une exponentielle de matrice.
At
Q(t) = Q(0) e
Cette méthode est très peu employée car la précision risque d’être mauvaise
lorsque le nombre d’états est assez grand.
Par ailleurs, si le système a n composants, le nombre d’états à prendre en

compte est de l’ordre de p = 2n et la matrice A a pour dimension p x p. Il en résulte
que les programmes informatiques développés ne peuvent traiter que des systèmes
ayant un nombre assez limité d’états.
Par ailleurs, il s’avère facile d’obtenir la probabilité asymptotique Qi(∞) d’être
dans l’état i lorsque t tend vers l’infini : elle est généralement rapidement atteinte.
Les équations (8.2) s’écrivent alors :
p
Σ Qj(∞) aji = 0 ∀i = 1, 2,..., p (8.3)
j =1
Remarquons que :
Σ Qj(∞) aji
j≠i
Qi(∞) = Š (8.4)
aii
La résolution des équations (8.1) utilisant la transformée de Laplace ou des

équation (8.3) conduit à :
___________________________________________________________________________
___________________________________________________________________________
a11 ... a1,p – 1 0
. 0
.
.
1
Qi (∞) = al,1 al,p – 1 1
∆
. . (8.5)
. 0
.
ap,1 ap,p – 1 0
avec :
a11 ... a1.p – 1 1
. .
∆= . .
. .
ap.1 ... ap.p – 1 1
La connaissance de Qi(t) permet d’en déduire la disponibilité du système :
A (t) = P le système est dans un des états de fonctionnement

l
A(t) = Σ Qi(t)
i= 1
La disponibilité asymptotique (lorsque t tend vers l’infini) en est déduite :

a11 ... a1,p – 1 1
. 1
.
.
1 al,1 al,p – 1 1
A (∞) =
∆ al+1,1 al +1,p – 1 0
. . (8.6)
. 0
.
ap,1 ap, p – 1 0
L’indisponibilité asymptotique s’obtient simplement en échangeant les «zéros»
et les «uns» dans la dernière colonne du déterminant du numérateur :
___________________________________________________________________________
___________________________________________________________________________
a11 ... a1,p – 1 0

. 0
.
.
1 al,1 al,p – 1 0
A (∞) = 1 – A (∞) =
∆ al+1,1 al +1,p – 1 1
. . (8.7)
. 1
.
ap,1 ap, p – 1 1
Remarque :
Ces valeurs ne dépendent pas des probabilités initiales Qi(0) et donc de l’état
initial du système.
Sous une forme plus concise, nous pouvons écrire :
CofacteurA i, p
Qi (∞) =
A*
Où le numérateur est le cofacteur de l’élément ai,p de la matrice A et où A *

est le déterminant de la matrice A* obtenue à partir de A en remplaçant chaque
élément de la dernière colonne par 1. D’où :
∞
Σ Cofacteur A i,p
n =1
A (∞) =
A*
Exemple 8.2 :
Considérons le graphe de la figure 8.2
___________________________________________________________________________
___________________________________________________________________________
– ( λ 1 +λ 2 ) λ1 λ2 0
µ1 – µ1 +λ 2 0 0
µ2 0 – µ2 +λ 1 0
0 µ2 µ1 1
A (∞) =
– ( λ 1 +λ 2 ) λ1 λ2 1
µ1 – µ1 +λ 2 0 1
µ2 0 – µ2 +λ 1 1
0 µ2 µ1 1
λ 1 λ 2 λ 1 + µ 1 +λ 2 + µ2
A (∞) =
λ 1 + µ1 λ 2 + µ2 λ 1 + µ1 +λ 2 + µ2
λ1 λ 2
=
λ 1 + µ1 λ 2 + µ2
Par ailleurs, on montre facilement que :
µ1 µ 2
Q1(∞) =
µ1 + λ 1 µ2 + λ 2
λ 1 µ2
Q2(∞) =
µ1 + λ 1 µ2 + λ2
λ 2 µ1
Q3(∞) =
µ1 + λ 1 µ2 + λ2
λ1 λ2
Q4(∞) = A (∞) =
µ1 + λ 1 µ2 + λ 2
Remarque :
L’indisponibilité asymptotique du système est égale au produit des
indisponibilités asymptotiques des deux composants.
En régime stationnaire, le graphe d’état a une propriété intéressante qui peut
faciliter le calcul de ces caractéristiques : c’est la conservation du flux.
Soit ε un ensemble quelconque d’états de système. En régime stationnaire, la
fréquence des transitions vers l’extérieur de ε est égale à la fréquence de transitions
vers l’intérieur.
___________________________________________________________________________
___________________________________________________________________________
ΣΣ
Qi (∞) aij = ΣΣ
Q j(∞) aji (8.8)
i ∈ε j∉ ε j ∉ε i∈ ε
Exemple 8.3.
Considérons un système constitué de deux composants identiques en
redondance passive, de taux de défaillance λ et de taux de réparation µ .
Quand le premier tombe en panne; le second démarre (avec une probabilité
supposée égale à 1) et la réparation du premier commence tout de suite. Lorsque les
deux composants sont en panne, il y a deux réparateurs (figure 8.4).
λ λ
Etat 2
10 11 Etat 3
Etat 1 00 01
µ 2µ
Figure 8.4. : Graphe d’états d’un système à deux composants
Q1 ∞ λ = µ Q2 ∞ ; Q2 ∞ λ = 2 µ Q3 ∞
D’où :
2
λ
Q3 ∞ = 2
Q1(∞)
2µ
En tenant compte de :
Q1 ∞ + Q2 ∞ + Q3 ∞ = 1
On obtient :
λ2
A = Q3 ∞ =
2 µ2 + 2 µ λ + λ 2
___________________________________________________________________________
___________________________________________________________________________
3.3. Durée moyenne et fréquence asymptotique d’occupation des états
Considérons un état i et des transitions associées (figure 8.5)
a ij
Etat Etat
i j
a ik
Figure 8.5.: Transitions associées à un état i
Soit TSi la variable aléatoire de la durée d’occupation de l’état i. Calculons la

densité de probabilité fTS i(t) de TSi . La probabilité d’entrer dans l’état j est :
P [ On ne quitte pas l’état i entre 0 et t et on quitte l’état i pour l’état j entre t et t + dt ]
Soit :
les transitions i → k (k ≠ j) n'ont pas lieu entre 0 et t et
P
la transition i → j a lieu entre t et t + dt
= exp – Σ aik t aij e– aij t
dt = aij eaijt dt
k≠j
On déduit alors la densité de probabilité :

fTS (t) = – aii e– aiit
i
La durée d’occupation d’un état est ainsi distribuée selon un loi exponentielle;
la durée moyenne d’occupation d’un état i du graphe est donc :
1 1
di = Š = (8.9)
aii
Σ aij
j≠i
La durée di est ainsi l’inverse de taux de départ de l’état i. Soit d’i la durée
moyenne d’occupation des autres états entre deux passages par l’état i:
di
Qi(∞) = '
di +di
___________________________________________________________________________
___________________________________________________________________________
D’où :
'
1 – Qi(∞ )
di = di
Qi(∞ )
Nous en déduisons la fréquence fri asymptotique d’occupation d’un état i :
1
fr i =
'
di +di
Qi( ∞)
fr i = = – aii Qi( ∞)
di (8.10)
La fréquence fri est ainsi le produit de la probabilité asymptotique d’être dans

l’état i par le taux de départ de l’état i.
Nous pouvons également définir la fréquence asymptotique d’occupation d’un
ensemble d’états du graphe comme la somme des fréquences asymptotiques
d’occupation des différents états de l’ensemble, diminuée de la fréquence
asymptotique des transitions entre états de l’ensemble.
Exemple 8.4:
On considère 2 états i et j :
frij = fri + frj Š a ij Qi ∞ Š aji Qj ∞
La fréquence asymptotique d’occupation des États i et j est égale à la fréquence

moyenne d’occupation de tous les autres états (conservation de flux).
1 1
frij = Qi (∞) + Qj (∞)
dij dij
Qi (∞) +Qj (∞)

dij = (8.11)
frij
Ces considérations permettent d’obtenir très simplement les MTTR, MUT,
___________________________________________________________________________
___________________________________________________________________________
MTBF du système. En effet :
- le MTTR est la durée moyenne d’occupation de l’ensemble des états de
panne
- le MUT est la durée moyenne d’occupation des états de fonctionnement,
- le MTBF se déduit des valeurs précédentes
MTBF = MUT + MTTR
Montrons tout l’intérêt de ces concepts en considérant le graphe de la

disponibilité de la figure 8.2.
La durée moyenne et la fréquence asymptotique d’occupation des différents
états du graphe sont données dans le tableau suivant :
Etat di fri
1 µ 1 µ2 λ 1 + λ 2
1
λ1 + λ2 µ 1 + λ1 µ 2 + λ2
1 λ 1 µ2 µ1 +λ 2
2
µ1 + λ 2 µ 1 + λ1 µ2 + λ 2
1 λ 2 µ1 µ 2 + λ 1
3
µ2 + λ 1 µ 1 +λ 1 µ2 +λ 2
1 λ 1 λ 2 µ1 +µ2
4
µ1 + µ2 µ1 + λ 1 µ2 + λ 2
Tableau 8.1.: Durée moyenne et fréquence asymptotique d’occupation des états du graphe de
la figure 8.2.
L’état 4 est l’état de panne : la durée moyenne d’occupation de cet état est donc
la durée moyenne des réparation du système :
1
MTTR =
µ 1 +µ2
La fréquence asymptotique d’occupation de l’état 4 est :

λ1 λ2
fr4 = µ 1 +µ2
µ1 +λ 1 µ2 +λ 2
L’inverse de cette fréquence est la durée moyenne entre deux défaillances du
___________________________________________________________________________
___________________________________________________________________________
système, c’est-à-dire le MTBF. D’où :
µ1 +λ 1 µ2 +λ 2
MTBF =
µ 1 + µ2 λ 1 λ 2
La durée moyenne de fonctionnement après réparation (MUT) en est déduite :

MUT = MTBF - MTTR
µ1 µ 2 + µ1 λ 2 + λ1 µ2
MUT =
µ 1 +µ2 λ 1 λ 2
Les fréquences asymptotiques d’occupation de l’ensembles des états 1, 2 et 3 :
fr1,2,3 = fr1 + fr2 +fr3 – a12 Q1 – a13 Q1 – a21 Q2 – a31 Q 3

= λ 1 + λ 2 Q 1 + λ 1 + µ2 Q 2 + λ 1 + µ1 Q 3 – λ 1 + λ 2 Q 1
– µ2 Q 2 – µ1 Q 3
λ 1 λ 2 µ1 + µ 2
= λ 1 Q 3 – µ2 Q 2 =
µ 1 +λ 1 µ2 +λ 2
1
Nous retrouvons fr1,2,3 = fr4 =
MTBF
La durée moyenne d’occupation des états de fonctionnement (MUT) en résulte :

Q1 ∞ + Q2 ∞ + Q3 ∞
d1,2,3 =
fr1,2,3
µ1 µ 2 + λ 1 µ2 + λ 2 µ1
d1,2,3 =
λ 1 λ 2 µ1 + µ2
3.4. Coupes minimales d’événements et d’états

Une coupe minimale représente les états de panne où les composants impliqués
dans la coupe sont en panne et où les états des autres composants est quelconque (en
fonctionnement ou en panne).
Ainsi, la probabilité d’une coupe minimale est la probabilité de l’ensemble de
ces états.
___________________________________________________________________________
___________________________________________________________________________
Etats de fonctionnement Etats de Panne
i k
Figure 8.6 : Graphe d’états
En général, un état de panne fait l’objet de réparation; le nombre maximal de

transitions de réparations liées à un état de panne est égal au nombre de défaillance
dans l’état.
Considérons les États i, j, k :
- état i : toute réparation conduit à un état de fonctionnement : un tel état sera
appelé «coupe minimale d’état»
- état j : une réparation conduit à un état de fonctionnement, tandis que l’autre
réparation conduit à un état de panne.
- état k : toute réparation conduit à un état de panne.
Une coupe minimale d’état est donc un état pour lequel toute réparation d’un
composant en panne conduit à un état de fonctionnement.
Les autres états de panne du graphe seront dénommés coupes non minimales
d’états.
→ Les États de panne associés à une coupe minimale comprennent la coupe

minimale d’état et toutes les coupes non minimales d’états qui s’en déduisent par
une défaillance supplémentaire.
Ceci est illustré par la figure 8.7 représentant le graphe d’état d’un système-
série constitué par les composants A et B; les états 2 et 3 sont des coupes minimales
d’états.
___________________________________________________________________________
___________________________________________________________________________
Etats de fonctionnement Etats de Panne
Etat 2
Coupe
AB minimale A
λΑ λΒ
µΑ
µΒ
Etat 1 A B AB
λΒ λΑ Etat 4
µΑ
µΒ
AB Coupe
minimale B
Etat 3
Figure 8.7 : Graphe d’états d’un système-série (composant A et B)
Pour les systèmes fiables, on pourra généralement faire l’approximation

suivante :
P Ci ≈ P Coupe minimale d' état

(8.12)
Cette approximation s’avère intéressante pour les grands systèmes réparables

(avec un nombre important de composants) afin de réduire le nombre d’états à
considérer en ne tenant compte que des états les plus probables. Calculons
maintenant la fréquence asymptotique d’occupation des états d’une coupe minimale
Cj :
fr Ci = Σ QEp ∞ Σ µk (8.13)
p
E ∈ εp(Cj ) k
où
ε p(Cj) : ensemble des états de panne Ep à la coupe minimale Cj
k : ensemble des transitions de réparations associées à la coupe minimale
d’état.
D’où :
___________________________________________________________________________
___________________________________________________________________________
fr Ci = Σ µk Σ QEp ∞ = Σ µk P Cj
k p
E ∈ εp(Cj) k
Notons :
Mj = Σ µk (8.14)
k
Mj est égal à la somme des taux de réparation qui partent de la coupe minimale
d’état associée à Cj. D’où :
fr Cj = M j P Cj
On en déduit une approximation au premier ordre de la fréquence
asymptotique d’occupation des états de toutes les coupes minimales :
m
fr C1+ C2 +...+Cm ≈ Σ M j P Cj (8.15)
j =1
Une telle formule permet de calculer le MTTR ou durée moyenne d’occupation

de l’ensemble des états de panne à partir des probabilités des coupes minimales :
m
Σ P Cj
j =1
MTTR ≈ m
(8.16)
Σ M j P Cj
j =1
Le taux de réparation équivalent est :
m
Σ M j P Cj
j =1
µ≈ m
(8.17)
Σ P Cj
j =1
De telles formules peuvent être intéressantes lorsque les composants sont

indépendants et que les probabilités des coupes minimales se calculent aisément.
3.5. Séquence d’état
___________________________________________________________________________
___________________________________________________________________________
Une approximation de la disponibilité asymptotique peut être obtenue par des
λi
calculs très simples à la main pour les systèmes fiables dont les sont petits devant
µi
1.
Définitions :
Tout d’abord, nous définissons :
- une séquence d’États comme une succession envisageable d’états (de
fonctionnement ou de pannes) du graphe; de transitions existent entre ces différentes
états.
- une séquence indésirable d’états comme une séquence d’états menant de
l’état de bon fonctionnement à un état de panne.
- une séquence réduite et indésirable d’états comme une séquence indésirable
menant de l’état initial de bon fonctionnement à un état de panne sans jamais passer
deux fois par le même état.
Dans le cas contraire, on parle de «séquences bouclée et indésirable d’états»
λi
Pour un systèmes fiable dont les sont petits devant 1, la probabilité
µi
asymptotique d’être dans l’état de bon fonctionnement est voisine de 1.
En effet; on quitte rarement l’état 1 et; lorsqu’on la quitte; on revient
rapidement dans l’état.
Illustration :
a12 a23
Etat 1 Etat 2 Etat 3
a1i a2k
a2j
Figure 8.8 : Graphe d’états

a12 Q1 ∞ = – a22 Q2 ∞
D’où :
___________________________________________________________________________
___________________________________________________________________________
a12
Q2 ∞ ≈ –
a22
La probabilité asymptotique d’être dans l’état 3 est :
a12 a23
Q3 ∞ ≈ –
– a22 – a33
De manière générale; on peut associer à chaque État (autre que l’état de bon
fonctionnement) des séquences réduites d’états; parmi ces séquences; on considère
celles qui correspondent aux chemins les plus directs de l’état initial à l’état
considéré.
On obtient ainsi l’indisponibilité du système à l’aide de la formule qui suit :
∞ Π taux de transition (associéà la séquenceréduite

et indésirabled' états)
A∞ ≈ Σ
séquences Π aii (8.18)
réduites i ∈ tous les états de
et la séquenceréduite
indésirables et indésirabled' états
d' états (sauf le premier)
Exemple 8.5 :
Reconsidérons encore une fois la figure 8.2.
Il existe un seul état de panne; l’état 4 et deux séquences réduites et indésirables
d’États (figure 8.9 et figure 8.10).
Etat 2
10
λ1 λ2
Etat 1 00 11 Etat 4
Figure 8.9 : Séquences réduite et indésirable d’états

La contribution de cette séquence est :
λ1 λ2
µ 1 +λ 2 µ1 +µ2
___________________________________________________________________________
___________________________________________________________________________
Etat 1 00 11 Etat 4
λ2 λ1
01
Etat 3
Figure 8.10 : Séquences réduite et indésirable d’états
La contribution de cette séquence est

λ2 λ1
µ 2 +λ 1 µ1 +µ2
Il en résulte que :
λ1 λ 2 1 1
A (∞ ) = +
µ1 +µ1 µ 1 +λ 2 µ 2 +λ 1
4. FIABILITE DE SYSTEMES REPARABLES
4.1. Équations d’états du système et résolution
Nous cherchons à évaluer la probabilité Pi (t + dt) pour que le système soit dans
l’état i à l’instant t+dt.
Dans le graphe modélisant la fiabilité, les états de panne sont absorbants, c’est-
à-dire :
aij = 0 pour i > l et j ≤ l
Les équations d’état sont semblables à celles qui permettent de calculer la
disponibilité :
p
dPi
dt
(t) = Σ Pi(t) a ji ∀i = 1,2,...,p
(8.19)
i=1
D’où :
dP1 dP2 dPp
(t), (t), ..., = P 1(t), P2(t), ..., Pp(t) . A '
dt dt dt
La matrice A’ est également appelée matrice de taux de transition :

___________________________________________________________________________
___________________________________________________________________________
- A’ est une matrice carrée de dimension p
- l’élément aij est le taux de transition de l’état i vers l’état j
i ≠ j pour i > l et j ≤ l, aij = 0
∞
- l’élément : aii = Š Σ a ij
j≠ i
Soit A 'l la matrice déduite de A’ par la seule considération des l premières
lignes et colonnes.
A’l : matrice réduite des taux de transition :
dP1 dP2 dPl '

(t), (t), ... , = P1(t), P1(t),...,Pl (t) . A l (8.20)
dt dt dt
La connaissance des Pi(t) permet d’en déduire la fiabilité sur l’intervalle de

temps [0,t] qui est égale à la somme des probabilités d’être dans les différents états de
fonctionnement.
l
R(t) = Σ Pi(t)
i =1
Le calcul de Pi (∞) ne présente pas beaucoup d’intérêt car Pi (∞) → 0 (le système
est en état de panne quand t → ∞ )
⇒ On caractérise autrement ces états :
L’expression la plus utile est celle de la durée moyenne de fonctionnement
avant la première défaillance (MTTF) ou temps moyen de fonctionnement avant
l’absorption par un état de panne :
∞
MTTF = R(t).dt
0
Utilisons la transformation de Laplace :
MTTF = lim L R(t) = R(0)

s→ 0
l
MTTF = Σ Pi (0)
i=1
L’équation matricielle (8.8) s’écrit d’après la transformation de Laplace :
–1
P(s) = P0 s I – A 'l
___________________________________________________________________________
___________________________________________________________________________
avec
P(s) = P1(s), P2 (s), ... , Pl(s)
P0 = P1(0) ; P2(0) ; ... ; Pl (0)
On obtient finalement :
0 P1 (0) . . . P1 (0)
1 a11 .. . a1l
1
1
MTTF = '
. . . (8.21)
Al
. . .
. . .
1 al1 all
Ainsi la MTTF; contrairement à la disponibilité asymptotique; dépend de l’état

initial.
* Relation entre le taux de défaillance asymptotique λ (∞ ) et la MTTF.
dR(t)
–
dt 1
λ (∞ ) = lim =
t→∞ R(t) MTTF
Reprenons l’exemple du système à deux composants de la figure 8.3. et

supposons qu’à l’état initial le système est dans l’état 1 :
0 1 0 0
1 Š λ1 + λ 2 λ1 λ2 1 λ1 λ2
1 µ1 Š µ1 + λ 2 0 1 Š µ 1 + λ2 0
1 µ2 0 Š µ2 + λ 1 1 0 Š µ2 + λ 1
MTTF = =
Š λ 1 + λ2 λ1 λ2 Š λ 1 + λ2 λ1 λ2
µ1 Š µ1 + λ 2 0 µ1 Š µ 1 + λ2 0
µ2 0 Š µ 2 + λ1 µ2 0 Š µ2 + λ 1
___________________________________________________________________________
___________________________________________________________________________
λ 1 λ 1 + µ 1 +λ 2 λ 2 + µ2 + λ 1 + µ1 λ 2 + µ2
MTTF =
λ 1 λ 2 λ 1 + µ1 + λ 2 + µ2
Une autre caractéristique intéressante de la fiabilité à calculer est la durée de

fonctionnement après réparation (MUT).
Le MUT est différent du MTTF car, en général, le système après réparation peut
se trouver dans un état de fonctionnement où les composants ne sont pas forcément
tous disponibles.
Ainsi, après la remise en service du système, celui-ci peut se trouver dans l’un
AR
des états de fonctionnement, avec une probabilité Q i égale à la probabilité de l’état
i après remise en service du système.
p
Σ Qj(∞) aji
AR l= i+ 1
Qi = i = 1, 2, ... , l
l p
Σ Σ Q j(∞) aji (8.22)
i =1 j =l +1
Le MUT ne dépendra pas de l’état initial du système.
Exemple 8.6.
Reprenons toujours l’exemple redondant :
AR
Qi =0
µ 2 Q4 ∞ µ2
Q2 = =
µ2 Q 4 ∞ + µ 1 Q 4 ∞ µ1 + µ2
AR
µ 1 Q4 ∞ µ1
Q3 = =
µ2 Q4 ∞ +µ1 Q4 ∞ µ1 + µ2
D’où :
___________________________________________________________________________
___________________________________________________________________________
0 1 µ2 µ1
1 – λ 1 + λ2 λ1 λ2
1 µ1 – µ1 + λ 2 0
1 µ2 0 – µ 2 + λ1
MUT =
µ1 + µ2 –λ 1 λ 2 λ 1 + µ1 + λ 2 + µ 2
µ1 µ 2 + µ1 λ2 + λ1 µ2
MUT =
µ1 + µ 2 λ 1λ2
4.2. Méthode des états de fonctionnement minimal
Cette méthode permet de calculer une approximation de la fiabilité,

généralement par des calculs simples à la main.
Considérons deux types de fonctionnement :
- Les états de fonctionnement minimal; ces états possèdent au moins une
transition vers les états de panne. Soit ε FM l’ensemble de ces états.
- Les états de fonctionnement non minimal : ces états ne possèdent aucune
transition vers les états de panne.
Désignons par ε F l’ensemble des états de fonctionnement et ε P l’ensemble des
états de panne. Un composant critique, pour un état de fonctionnement minimal
donné, est un composant dont la défaillance provoque la défaillance du système. Le
calcul de fiabilité est généralement compliqué car la présence d’états absorbants crée
des dépendances entre les composants.
La méthode se propose de calculer une approximation du taux de défaillance

λ(t) du système:
1 le système a une défaillanceentre t et t + dt / le système

λ(t) = lim P
∆t → 0 ∆t n' a pas eu de défaillancesur [0,t]
Pour que le système ait une défaillance entre t et t + dt; il est nécessaire qu’il
occupe, à l’instant t, un état possédant au moins une transition vers les états de
panne c’est-à-dire un état de fonctionnement minimal.
D’où :
___________________________________________________________________________
___________________________________________________________________________
Σ λ i Pi(t)
i ∈ εFM
λ(t) =
Σ Pi(t) (8.23)
i ∈ εF
p
Avec : λi = Σ aij
j = l +1
Remarquons que λ i représente la somme de taux de défaillance des

composants critiques de l’état i.
Cette formule n’est pas directement utilisable car on ne connaît pas les Pi(t). Par
contre il est plus facile de connaître les Qi(t) (pas d’état absorbant dans le graphe).
On définit le pseudo-taux de défaillance :
Σ λ iQi(t)
i ∈ εFM
λ(t) = l (8.24)
Σ Qi(t)
i ∈ εF
On montre que λ(t) est une bonne approximation de λ(t) .
* Approximation pour les petites valeurs de t : lorsque t → 0 ; les réparations ont

moins de moins d’importance et le système se comporte comme s’il n’était pas
réparable. Dans ce cas (système non réparable), la fiabilité étant égale à la
disponibilité; il en résulte que λ(t) est une bonne approximation de λ(t) .
λ(t) ≈ λ(t)
t →0
* Approximation pour les grandes valeurs de t
On montre que λ(t) est une bonne approximation de λ(t) dans les conditions
suivantes:
λi F
l
<<1, ∀i ∈ εM
Σ aij
i =1
Cette condition exprime que pour tout état de fonctionnement minimal ; le taux
___________________________________________________________________________
___________________________________________________________________________
de transition vers les états de Panne est petit devant la somme des taux de transition
vers les autres états de fonctionnement.
La connaissance de λ(t) permet de calculer une approximation de la fiabilité.
t
R(t) ≈ exp – λ(u) du
0
1
Rappelons que λ ∞ =
MUT
Ainsi, les états de fonctionnement minimal jouent un rôle très important dans
l’évaluation du taux de défaillance d’un système.
Exemple 8.7 :
Considérons le graphe de la figure 8.3.
Il existe deux états de fonctionnement minimal (états 2 et 3):
λ 1 λ 2 µ 1 +µ2
λ ∞ =
λ 1 µ 2 + λ 2 µ1 + µ 1 µ2
Les conditions de validité s’écrivent : λ 2 <<µ1 ; λ 1 <<µ2 . Nous vérifions

facilement que :
1
λ∞ =
MUT
___________________________________________________________________________
___________________________________________________________________________
Etat 2
10
λ1 λ2
µ1
Etat 1 00 11 Etat 4
λ2
λ1
µ2
01
Etat 3
4.3. Méthode des séquences des états
Considérons des séquences d’état menant de l’état initial de bon

fonctionnement à l’état de panne absorbant. Soit Sq une telle séquence où :
Sq = E1F, E F2 , ..., E pp
F
E1 = État de bon fonctionnement
Sq = E1F, E F2 , ..., E Fp – 1 : États de fonctionnement
p
Ep : État de panne absorbant
Remarque :
Le nombre de transitions jusqu’à l’état de panne absorbant est une variable
aléatoire ;
⇒ On peut imaginer les séquences réduites d’états :
___________________________________________________________________________
___________________________________________________________________________
Etats de Fonctionnement Etats

de Panne
a12 a23
F
E2
F F
E1 Ep Š 1
p
Ep
a1i
Figure 8.11 : Exemple d’une séquence d’états.
∞ Π taux de transition de la séquenceréduite d' Etat

λ= Σ (8.25)
séquences Π aii
réduites ι ∈ tous les états de
de l' état 1 à la séquence réduite
l' état de Panne absorbant (sauf le premier et le dernier)
∞
Π aij
i,j ∈ S q
λ≈ Σ p– 1
(8.26)
séquences
réduites
Π aii
de l' état 1 à i =2
l' état dePanne absorbant
Exemple 8.8. :
Reprenons le graphe de la figure 8.3. Il existe deux séquences réduites de l’état
1 à l’état de Panne (figures 8.12 et 8.13).
Etat 2
λ1 10 λ2
Etat 1 00 11 Etat 4
___________________________________________________________________________
___________________________________________________________________________
Figure 8.12: Séquence réduite d’états
λ1 λ 2
La contribution de cette séquence est :
µ1 + λ 2
Etat 1 11 Etat 4
00
λ2
λ1
01
Etat 3
Figure 8.13: Séquence réduite d’états

λ1 λ 2
La contribution de cette séquence est
µ2 + λ 1
D’où :
1 1
λ = λ1 λ2 +
µ1 + λ 2 µ 2 + λ 2
Avec les conditions de validité : λ 2 << µ 1; λ 1 << µ2
4.4. Coupe minimal d’événements et d’états
Les coupes minimales étant Cj ( j=1...m )
R(t) = P C 1 +C2 + ...Cm

m
R(t) = ΣP Cj
j =1
Une coupe minimale correspond à un ensemble d’états de Panne. Pour le calcul

de la fiabilité, ces états sont absorbant : il n’existe pas ainsi de transitions des états de
Panne vers les états de bon fonctionnement.
Le taux de défaillance du système peut être évalué à partir des considérations
sur les états de fonctionnement minimal.
___________________________________________________________________________
___________________________________________________________________________
∞
Σ λ i Pi(t)
i ∈ εFM
λ (t) = ∞
Σ Pi(t)
i ∈ εF
Où λ i(t) est la somme de taux de défaillance des composants critiques de l’état

i.
Une approximation souvent faite consiste à remplacer les Pi(t) par Qi(t). Qi(t)
étant la probabilité d’être dans l’état i lors de calcul de la disponibilité
Le calcul à partir des coupes minimales s’avère facile pour les systèmes fiables.
Il est en effet alors possible d’effectuer un calcul de chaque coupe minimale ; le
graphe d’états est construit à partir des seuls composants impliquées dans la coupe
minimale. Ainsi :
- un graphe d’état est élaboré pour chaque coupe minimale;
- le graphe d’état est construit à partir des seules composants impliqués dans la
coupe minimale
- la probabilité de chaque coupe minimale est calculée en énumérant les
séquences réduites menant de l’état de bon fonctionnement à l’état absorbant
(formule 8.10).
Exemple 8.9.
Considérons un système constitué de trois composants et dont les coupes
minimales sont A.B et A.C (figure 8.14). La figure 8.15 donne les graphes d’états
construits sur les deux principaux états de panne associés aux coupes minimales.
___________________________________________________________________________
___________________________________________________________________________
Evénement
indésirable E
E1 E2
A B A C
Coupe minimale : A.B et A.C
Figure 8.14 : Arbre de Causes réduit relatif à l’événement indésirable E
ETATS DE FONCTIONNEMENT ETATS DE PANNE

Etat 6
λB
ABC
Etat 2
ABC
λA λA λC
µA Etat7
λB
Etat 3 ABC Coupe minimale
A.B
Etat 1 ABC ABC état 6 + état 8
λC
Coupe minimale
µB λA Etat 8 A.C
µC Etat5 état 7 + état 8
λC ABC
µC λB ABC
Etat 3
ABC µB
A
λA
Figure 8.15 : Coupes minimales et graphe d’états pour la fiabilité
___________________________________________________________________________
___________________________________________________________________________
Le taux de défaillance asymptotique du système est :
λC λB λA λA
λ s(∞ ) ≈ λ A + λA +λ B +λ C
µC µB µA µA
On retrouve :
λ s(∞ ) ≈ λ A.B(∞ ) +λ A .C(∞ )
La comparaison des figure 8.14 et 8.15 fait clairement apparaître les transitions
négligées.
Cette méthode s’avère très facile à utiliser pour les grands systèmes qui ont fait
l’objet d’une analyse par arbre des causes et pour lesquels des dépendances existent
entre les composants, par exemple, au niveau des réparateurs. Elle permet de scinder
les graphes d’états en autant de graphes d’états plus facilement calculables; il
convient de ne pas oublier les conditions de validité.
___________________________________________________________________________
___________________________________________________________________________
ETATS DE FONCTIONNEMENT ETATS DE PANNE
Etat 2’
AB λΒ
λΑ
µΑ
Etat 1’ AB AB Etat 6’
λΒ λΑ
µΒ
AB
Etat 3’
λ A.B λB + λA
∞ ≅ λA λ B
µB µA
Etat 2”
AC λC
λΑ
µΑ
Etat 1” AC A C Etat 8”
λC
λΑ
µC
AC
Etat 4”
λ A.C λC + λA
∞ ≅ λA λ C
µC µA
Figure 8.16. : Graphes d’états construits sur les coupes minimales A.B et A.C
___________________________________________________________________________
___________________________________________________________________________
5. MAINTENABILITE DES SYSTEMES REPARABLES
Quand un système est réparable, il est important de connaître des

caractéristiques relatives à sa maintenabilité telle que la durée moyenne d’occupation
d’un état de panne et le taux de réparation du système.
Il existe plusieurs stratégies possibles de réparation et de remise en service d’un
système quand il tombe en panne :
* on remet en service un des composants utiles pour rejoindre un des états de
fonctionnement. Cependant, d’autres composants de ce système peuvent être en
réparation.
Dans ce cas, il est intéressant de connaître la durée moyenne d’occupation des
états de fonctionnement après réparation (partielle) : c’est le MUT. Il ne dépend pas
de l’état initial. Il est obtenu à partir du calcul de la durée moyenne d’occupation de
l’ensemble constitué par les états de fonctionnement du graphe de disponibilité du
système. Le calcul de la durée moyenne d’occupation des états de panne donnera le
MTTR. Dans ce cas, le MTTR ne dépend pas de l’état initial. Il est obtenu à partir du
calcul de la durée moyenne d’occupation de l’ensemble constitué par les états de
panne.
* on remet en service tous les composants en panne et on redémarre toujours de
l’état de bon fonctionnement où tout est disponible ; on s’interdit ainsi de redémarrer
avec des composants en réparation.
La durée moyenne de fonctionnement jusqu’au premier état de panne du
système est le MTTF du système; il est obtenu à partir du graphe de fiabilité du
système et il dépend de l’état initial du système.
On peut également définir la durée moyenne de réparation d’un état de panne
donné. Ce MTTR dépend de l’état initial de panne et il sera calculé par une formule
de type (8.21) dans laquelle on aura inversé les états de panne et de fonctionnement.
Evaluons le taux de réparation du système. Considérons les états de panne
minimale ; un état de panne minimal est un état de panne qui possède au moins une
transition vers les états de fonctionnement dans le graphe d’état permettant de
calculer la disponibilité. Soit ε P
M l’ensemble de ces états.
On rappelle que :
1 le système est réparéentre t et t + ∆t /

µ (t) = lim P
∆t → 0 ∆ t le système a été en panne sur [0,t]
On en déduit :
___________________________________________________________________________
___________________________________________________________________________
Σ
µ i Pi(t)
∞
P
i ∈ εM
µ (t) = où µ i = Σ aij (8.27)
Σ Pi(t)
j≠i
i ∈ εP j ∈ εF
Par analogie avec l’approximation utilisée pour le taux de défaillance,
considérions le pseudo-taux de réparation M(t) défini par :
Σ µi Qi(t)
P
i ∈ εM
µ(t) = (8.28)
1 – A(t)
On peut montrer que le pseudo-taux de réparation est une bonne

approximation du taux de réparation du système. La définition du pseudo-taux de
réparation est en réalité la suivante :
1 le système est réparéentre t et t + ∆t /

µ(t) = lim P
∆t → 0 ∆t le système a été en panne au temps t
La méthode des états de panne minimale est équivalente à la méthode des états
de fonctionnement minimal.
Il résulte de la définition de λ(t) et de µ(t) que A(t), λ(t) et µ(t) sont liés par la
relation suivante :
dA
(t) = – λ(t) A (t) + µ(t) (1 – A(t))
dt
Pour le calcul de la disponibilité, le système est équivalent à un système à un
composant de taux de défaillance λ(t) et de taux de réparation µ(t) .
Le taux de réparation µ(t) peut être déduit de la connaissance de A(t) et de λ(t) :
dA
(t) + λ A (t)
dt
µ(t) =
1 – A (t)
Le plus souvent, on se contente de calculer la limite µ(∞) qui en pratique est
atteinte très rapidement :
λ(∞ ) A (∞)
µ(∞) = (8.29)
1 – A (∞ )
On retrouve évidemment la formule de A (∞ ) pour un composant :
µ(∞)
A (∞ ) =
λ(∞) + µ(∞)
___________________________________________________________________________
___________________________________________________________________________
6. FIABILITE, DISPONIBILITE ET MAINTENABILITE DES

SYSTEMES SIMPLES REPARABLES
Dans ce paragraphe, nous présentons le calcul de mesures de Sûreté de

Fonctionnement de système série et parallèle, c’est-à-dire de systèmes qui sont
respectivement modélisés par des diagrammes série et parallèle dans le cadre de la
méthode du Diagramme de Succès (MDS, voir Chapitre 6).
Des calculs de disponibilité et de fiabilité en fonction du temps sont d’abord
présentés; ensuite, des caractéristiques asymptotiques de la Sûreté de
Fonctionnement sont calculées, généralement de manière approchée, par les diverses
méthodes exposées précédemment.
Tableau 8.2 : Disponibilité instantanée et asymptotique de systèmes simples réparables

constitués de composants identiques.
___________________________________________________________________________
___________________________________________________________________________
Tableau 8.3. : Fiabilité de systèmes simples réparables constitués de composants identiques
6.1. Disponibilité et fiabilité en fonction du temps
De tels calculs nécessitent la résolution des équations (8.1) et (8.20)

généralement par l’utilisation de la transformation de Laplace. Nous nous
contenterons ici de présenter la disponibilité et la fiabilité de quelques systèmes
simples souvent rencontrés. Le tableau 8.2. donne la disponibilité instantanée et la
disponibilité asymptotique de systèmes simples réparables constitués de composants
identiques de taux de défaillance λ et de taux de réparation µ ; ces disponibilités sont
données en fonction du nombre de réparateurs.
La probabilité Qi(t) d’être dans l’état i s’écrit généralement :
p
Qi(t) = Σ b ij es t
j
i =0
où les si sont des racines d’une équation de degré p+1 ; une de ces racines est
nulle et les autres sont négatives. Il en résulte que la disponibilité comprend un
terme constant et une somme d’exponentielles décroissantes avec le temps. Le
tableau 8.3. présente la fiabilité de tels systèmes ainsi qu’une approximation de cette
fiabilité pour λ << 10 µ.
6.2. Mesures associées à un système série
Nous aborderons successivement le cas du système série à deux composants

puis à n composants. Les principaux résultats sont résumés dans le tableau 8.4.
___________________________________________________________________________
___________________________________________________________________________
6.2.1. Système série à deux composants

Le graphe d’états relatif à la disponibilité est le même que celui de la figure 8.2.
(figure 8.17).
Etat 2
10
λ1 λ2
µ1
µ2
Etat 1 00 11 Etat 4
λ2 λ1
µ1
µ2
01
Etat 3
Figure 8.17. : Graphe d’états modélisant la disponibilité d’un système série à deux
composants.
6.2.2. Système série à n composants
Le graphe d’états relatif à la disponibilité du système est illustré sur la figure

8.18 .
L’état de fonctionnement minimal est l’état 1 : les états de panne minimale sont
les n états de panne. Calculons le pseudo-taux de défaillance λ s(t) :
∞
Σ λ i Qi(t)
∞
F
i ∈ εM
λ s(t) = ∞ λi = Σ aij
Σ Q i(t) i∈ε P
F
i∈ε
D’où :
∞
λ s(t) = Σ λi
i =1
___________________________________________________________________________
___________________________________________________________________________
C1 Etat 1 de panne
λ1
µ1
λi
Etat 1 0 Ci Etat i de panne
µi
λn
µn
Cn Etat n de panne
Etat 3
Figure 8.18. : Graphe d’états modélisant la disponibilité d’un système série à n composants
Faisons également le calcul du pseudo-taux de réparation :

∞
Σ µi Qi(t)
∞
F
i ∈ε
µs(t) =
M
A s(t)
µi = Σ aij
F
i∈ε
Les composants étant indépendants :
∞
Pi(t) = 1 – A i(t) Π A j(t)
j≠i
∞
Pi(t) = 1 – A i(t) Π A j(t)
j≠i
D’où
n
Σ µ i 1 – A i(t) Π A j(t)
i =1 j≠i
µs(t) =
A s(t)
Le pseudo-taux de réparation asymptotique est :
n
Π µj n
j =1
µs(∞) =
n n Σ λj
Π λ j + µj – Π µj j = 1
j =1 j=1
___________________________________________________________________________
___________________________________________________________________________
Avec la condition :
λi
<<1 ∀i = 1... n
µi
D’où :
n
Σ λi
i =1
µs(∞) ≈
n
λ
Σ µii
i=1
6.3. Mesures associées à un système parallèle
6.3.1. Système parallèle à deux composants

Il est nécessaire de préciser le type de redondance (active ou passive) ainsi que
la règle de maintenance. A titre d’exemple, nous considérons deux cas différents de
maintenance :
- 1er cas : on dispose de deux réparateurs et la réparation de chaque composant
est entreprise après défaillance ;
- 2ème cas : on ne dispose que d’un réparateur. Il existe une priorité de
réparation au premier composant défaillant.
a) Redondance active
Lorsqu’on dispose de deux réparateurs, les graphes de disponibilité et de
fiabilité sont respectivement représentés sur les figures 8.2 et 8.3. L’état 4 est l’état de
panne.
λ1 λ2
A s(∞) = Q4(∞) =
λ 1 + µ 1 λ 2 + µ2
λi
Généralement <<1 . D’où :
µi
λ1 λ2
A s(∞) ≈ (8.30)
µ 1 µ2
Cherchons les taux de défaillance et de réparation (λs, µs) d’un composant

équivalent aux deux composants en parallèle .
___________________________________________________________________________
___________________________________________________________________________
Etant donné que :
λs
µs = µ1 + µ2 et A s(∞) =
λ s + µs
Nous en déduisons :
1 1
λ1 λ2 µ + µ
1 2
λ s(∞) =
λ1 λ2
1+ +
µ1 µ2
λi
Généralement <<1 . D’où :
µi
1 1
λ s(∞ ) ≈ λ 1 λ2 +
µ1 µ2
Les deux composants en parallèle (redondance active) sont donc équivalents à
un composant tel que :
1 1
λ s(∞) ≈ λ 1 λ2 + µs = µ 1 + µ 2
µ 1 µ2
(8.31)
Supposons maintenant qu’on ne dispose que d’un seul réparateur. La politique

de maintenance est alors la suivante : la priorité de réparation est au premier
composant en panne. Il devient important de tenir compte de l’ordre chronologique
d’apparition des pannes. Le graphe des états modélisant la disponibilité du système
est représenté sur la figure 8.19 :
état 1 : état de bon fonctionnement
état 2 : le composant 1 est en panne, le composant 2 est en fonctionnement
état 3 : le composant 1 est fonctionnement, le composant 2 est en panne
état 4 : les deux composants sont en panne ; le composant 1 étant tombé en
panne le premier
état 5 : les deux composants sont en panne ; le composant 2 étant tombé en
panne le premier.
___________________________________________________________________________
___________________________________________________________________________
Etat 2
10
λ1 λ1
µ1
11 Etat 5
µ1
Etat 1 00
λ2 µ2
11 Etat 4
λ2
µ2
01
Etat 3
Figure 8.19. : Graphe d’états modélisant la disponibilité d’un système parallèle à deux
composants lorsqu’on ne dispose que d’un réparateur
Calculons une approximation de A s(∞) et λ s(∞) par la méthode des séquences

d’états.
λ1 λ2 λ2 λ 1
A s(∞) = +
µ1 + λ 2 µ1 µ 2 + λ 1 µ2
1 1
A s(∞) ≈ λ 1 λ 2 +
µ21 µ22 (8.32)
Si les composants sont identiques, cette indisponibilité asymptotique est donc le

double de celle du système équivalent avec 2 réparateurs.
Nous pouvons maintenant calculer le taux de réparation à l’aide de la méthode
des états de panne minimale.
∞
Σ µi Q i(t)
i ∈ εPM 1
µ(t) =
A (t)
Les états 4 et 5 sont des états de panne minimale.
µ 1 P4(t) + µ2 P5(t)
µ(t) =
A (t)
___________________________________________________________________________
___________________________________________________________________________
µ1 + µ2 µ1 µ2
µs(∞) =
2 2 (8.33)
µ1 + µ2
Si les composants sont identiques, le taux de réparation asymptotique est donc

la moitié de celui du système équivalent avec deux réparateurs.
Par ailleurs, le calcul de λ s(∞ ) nécessite de rendre absorbants les états 4 et 5. On
obtient le même graphe d’états que celui de la figure 8.3 ; bien évidemment, la
politique de maintenance n’a pas d’effet. D’où :
1 1
λ s(∞ ) ≈ λ 1 λ2 +
µ1 µ2 (8.34)
b) Redondance passive
Lorsqu’on dispose de deux réparateurs, le graphe d’états modélisant la
disponibilité est le suivant (Figure 8.20) :
état 1 : le composant 1 est en fonctionnement, le composant 2 est en attente à
l’arrêt
état 2 : le composant 1 est en panne, le composant 2 a démarré
état 3 : le composant 1 est en fonctionnement, le composant 2 est en panne
état 4 : les deux composants sont en panne.
Etat 2
10d
λ1 1 – γ λ2
µ1
µ2
λ1 γ
Etat 1 00a 11 Etat 4
λ1
µ1
µ2
01
Etat 3
Figure 8.20. : Graphe d’états modélisant la disponibilité d’un système parallèle à deux
composants en redondance passive (2 réparateurs).
___________________________________________________________________________
___________________________________________________________________________
Le taux de défaillance à la sollicitation du composant 2 est γ. Nous obtenons une

valeur approchée de A s(∞) par la méthode des séquences d’états :
λ1 γ λ1 λ 2 1 – γ
A s(∞) ≈ +
µ1 + µ2 µ1 µ1 + µ 2 (8.35)
Le taux de réparation du système est facile à calculer :

µ s = µ 1 + µ2
(8.36)
Le graphe d’états modélisant la fiabilité est obtenu en rendant absorbant l’état

de la panne (état 4) :
λ 1 1 – γ λ2
λ s(∞ ) ≈ λ 1 γ +
µ1 (8.37)
Lorsqu’on dispose d’un seul réparateur, les résultats sont présentés dans le
tableau 8.4.
6.3.2. Système parallèle à n composants

Considérons un système possédant n composants en redondance active. Le
graphe comporte n états de fonctionnement minimal, chacun d’eux étant caractérisé
par le fait qu’un seul composant n’est pas en panne. Il existe un seul état de panne
minimale. Nous admettons par ailleurs qu’il existe autant de réparateurs que
nécessaire. Les composants étant indépendants :
n
A s(t) = Π A i(t)
i=1
n λi
A s(∞) = Π λ i + µi (8.38)
i =1
Le pseudo-taux de défaillance est donné par :
___________________________________________________________________________
___________________________________________________________________________
Σ
λ i Qi(t)
F
i ∈ εM
λ s(t) = ∞
Σ Q i(t)
F
i∈ε
Les composants étant indépendants :
∞
Qi(t) = ai(t) Π 1 – ai(t)
j ≠i
D’où :
n
Σ λi ai(t) Π 1 – ai(t)
i =1 j≠i
λ s(t) =
1– Π 1 – ai(t)
j ≠i
n n
Σ λ i Σ µi
i =1 i =1
λ s(∞ ) =
n n
Π λ i + µi – Π λi
j =1 j =1
Dans le cas où l’indisponibilité du système est petite devant 1, on obtient :
n λi n
λ s(∞ ) ≈ Π λ + µ Σ µi (8.39)
i =1 i i i =1
λi
Si <<1
µi
n λ n
i
λ s(∞ ) ≈ Π µ i Σ µi
i =1 i =1
Nous retrouvons la même expression par la méthode des séquences d’états. Le
pseudo-taux de réparation est simple à calculer puisqu’il n’existe qu’un seul état de
panne.
n
µs = Σ µi (8.40)
i =1
Les principaux résultats sont résumés dans le tableau 8.4.
___________________________________________________________________________
___________________________________________________________________________
6.4. Mesures associées à un système parallèle m/n
Supposons que la redondance est active, que les composants sont identiques et
que l’on dispose de n réparateurs. Les états de fonctionnement minimal sont
construits par m composants en fonctionnement et (n - m) composants en panne. Soit
Sk(t) la probabilité pour que k composants fonctionnent à l’instant t :
Sk (t) = Cnk ak(t) (1 – a(t)) n – k

.
D’où :
m –1
A s(t) = Σ Cnk ak(t) (1 – a(t)) n – k
k =0
m –1
µkλ n – k
A s(∞) = Σ Ckn
α+µn
(8.41)
k =0
λ
avec <<1
µ
m –1
λ n– k
A s(∞) = Σ Ckn
µ
k =0
Les pseudo-taux de défaillance et de réparation :
m λ Sm (t)
λ s(t) =
n
Σ S k(t)
k =m
n – m + 1 µ Sm – 1(t)
µs(t) =
m –1
Σ Sk (t)
k =0
D’où :
m λ Cnm µm λ n – m
λ s(∞) =
n
Σ Ckn µk λn –k
k =m
n – m + 1 µ Cnm – 1 µ m – 1 λ n – m + 1 (8.42)
µs(∞) =
m –1
Σ Ckn µk λ n –k
k =0
___________________________________________________________________________
___________________________________________________________________________
Tableau 8.4. : Caractéristiques de sûreté de fonctionnement de quelques systèmes simples

réparables
___________________________________________________________________________
___________________________________________________________________________
7. CONCLUSION
La méthode de l’Espace des États permet d’évaluer la disponibilité, la fiabilité et

la maintenabilité des systèmes réparables.
Cette méthode se révèle très utile, et souvent irremplaçable pour l’évaluation
des systèmes réparables. Lorsque les systèmes réparables sont modélisables par des
processus markoviens, la méthode est facile à mettre en oeuvre, du moins pour les
systèmes de petite taille. Pour les grands systèmes, elle peut être employée avec la
méthode de l’Arbre des Causes; des approximations se révèlent nécessaire.
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
___________________________________________________________________________
_________________________________________________________________________________________
Introduction
Elaboration de l’AMDE
Présentation et analyse des résultats
Exercice d’illustration
l’AMDEC
AMDE et Analyse des Défauts
CHAPITRE 9 : L’ANALYSE DES MODES DE

DEFAILLANCE ET DE LEUR EFFETS (AMDE)
ET DE LEUR CRITICITE (AMDEC)
1. INTRODUCTION
La méthode de l’Analyse des Modes de Défaillance et de leurs Effets (AMDE)

(FMEA : Failure Mode and Effects Analysis) fut employée pour la première fois à
partir des années 1960 dans le domaine de l’aéronautique pour l’analyse de la
sécurité des avions. Depuis, l’utilisation de cette méthode s’est généralisée dans de
très nombreux domaines industriels tel que l’aérospatial pour l’Analyse de sécurité
des modules lunaires, centrales nucléaire, Chimie, Automobile, etc.
2. ÉLABORATION DE L’AMDE
L’AMDE est une méthode inductive de système utilisée pour l’étude

systématique des causes et des effets des défaillances qui peuvent affecter les
composants de ce système.
_________________________________________________________________________________________

Chapitre 9 Analyse des Modes de Défaillances et de leurs Effets et de leur Criticité
_________________________________________________________________________________________
L’AMDE permet :
- d’évaluer les effets de chaque mode de défaillances des composants d’un
système sur les différentes fonctions du système ,
- d’identifier les modes de défaillance ayant d’importants effets sur la
disponibilité, la fiabilité, la maintenabilité ou la sécurité... de ce système
On distingue quatre principales étapes pour réaliser une AMDE (figure 9.1) :
1. Définition du système, de ses fonctions et de ses composants.
2. Établissement des modes de défaillance - et de leurs causes - des
composants
3. Étude des effets des modes de défaillance
4. Conclusions, recommandations.
Une AMDE est réalisée

pour un état donné de
fonctionnement
Définition Identification Etude des

du système des modes de effets des
de ses fonctions défaillance des modes de
et de composants et défaillances
ses composants de leurs causes des composants
1 2 3
Conclusions
Recommandations
- bilan des défaillances

- criticité (?)
- procédure de détection/
de maintenance
Figure 9.1 : Étapes de l’élaboration de l’AMDE
_________________________________________________________________________________________

_________________________________________________________________________________________
2.1. Définition du système, de ses fonctions et de ses composants
Cette méthode nécessite une définition précise du système à étudier et de ses

fonctions. Les divers états de fonctionnement du système doivent être établis. Il est
également indispensable de définir :
- les principales fonctions du système,
- les limites fonctionnelles du système dans son ensemble ainsi que celles de ses
composants,
- les spécifications relatives au fonctionnement du système et de ses composants
ainsi que celle relative à l’environnement dans lequel le système et ses
composants sont installés.
Il est particulièrement important de bien recenser et caractériser les divers états
du système (en attente, en fonctionnement, en secours, en test, en maintenance...) :
Ceux-ci peuvent en effet être très nombreux, notamment dans les systèmes
redondants. Or une AMDE ne peut être généralement réalisées que pour un état
bien défini du système ; le travail risque de devenir très lourd et sans réel objet si
l’on effectue une AMDE pour chaque état. Ainsi, il est nécessaire de choisir
judiciairement les états de fonctionnements du système particulièrement
importants en vue d’une telle analyse ; ce choix pourra s’effectuer à l’aide d’une
Analyse Préliminaire des Dangers (APD)
Il faut également définir le niveau de décomposition du système en fonction des
composants pour lesquels on dispose d’informations jugées suffisantes.
2.2. Élaboration des modes de défaillances des composants et de

leurs causes
On recense les modes de défaillance de chaque composant du système dans

l’état de fonctionnement étudié pour le système (figure 9.2). On rappelle qu’un
mode de défaillance d’un composant est défini comme l’effet par lequel une
défaillance de ce composant est observée. Le recensement doit être aussi complet
que possible, l’analyse qui suit étant essentiellement fondée sur cette liste ; ainsi, en
première analyse, des modes de défaillance potentiels seront identifiés.
Il est nécessaire en même temps d’établir les causes possibles de chaque mode
de défaillance. Certes, il n’est pas toujours facile de distinguer entre “ modes de
défaillance ” d’un composant et “ causes ” de défaillance ; c’est souvent un des
premiers obstacles rencontrés dans l’analyse.
_________________________________________________________________________________________

_________________________________________________________________________________________
Pour aider à cette distinction, on peut dire que les modes de défaillance sont
les effets de causes de défaillance sur les fonctions du composant. Les modes de
défaillance se définissent donc relativement aux effets sur le composant ou aux
fonctions de celui-ci.
PRISE EN
ANALYSE FONCTIONS COMPTE DE L’ETAT
DE L’EXPÉRIENCE DU DE
D’EXPLOITATION COMPOSANTS FONCTTIONNEME NT
DU
SYSTEME
RECENSEMENT 1ère LISTE DE CAUSES

MODES DE
ESSAIS DES MODES DE INTERNES ET
EXTERNES DE DÉFAILLANCE
DE FIABILITÉ MODES DE DÉFAILLANCE ET LEURS CAUSES
TESTS... DÉFAILLANCE RETENUE POUR DÉFAILLANCE
DU RETENUES POUR
POTENTEILS DU L’ANALYSE L’ANALYSE
COMPOSANT COMPOSANT
ANALYSE
PRÉVISONNELLE DE LA
SÛRETÉ DE
FONCTIONNEMENT DU
COMPOSANT
Figure 9.2 : Établissement des modes de défaillance d’un composant et de leurs causes
Il faut mentionner ici la difficulté, voire même l’impossibilité, de recenser toutes

les causes possibles d’un mode de défaillance ; en effet, celles-ci peuvent être très
nombreuses, très diverses et parfois à peine imaginable. Seule, une analyse très
détaillée utilisant les autres méthodes classiques d’analyse (telles la Méthode de
l’Arbre des Causes, la Méthode des Combinaisons des Pannes, etc.) permettrait de
réaliser une modélisation en considérant le composant comme un système et ses
constituants comme des composants.
La recherche des modes de défaillance est guidée par les considérations
suivantes :
- si le composant a déjà été utilisé dans des installations, on s’aide du retour de
l’expérience d’exploitation de ce composant, des éventuels essais ou tests auxquels ce
composant a été soumis.
- si le composant est de conception nouvelle, on se réfère à des composants dont
la conception et les fonctions sont proches de ce dernier ou en définitive à une
analyse de fiabilité de ce composant.
Il existe une classification des principaux modes de défaillance utilisés,
_________________________________________________________________________________________

_________________________________________________________________________________________
susceptible d’aider à leur recensement :

- fonctionnement prématuré (ou intempestif),
- ne fonctionne pas au moment prévu,
- ne s’arrête pas au moment prévu,
- défaillance en fonctionnement.
Pendant une analyse, on doit considérer au moins ces quatre éventuels modes
de défaillance.
On pourra également s’aider de la liste-guide de modes de défaillance
génériques du tableau 9.1.
Tableau 9.1. Liste guide de modes de défaillance générique

Modes de défaillance générique
1. Défaillance structurelle (rupture) 18. Mise en marche erronée

2. Blocage physique au coincement 19. Ne s’arrête pas
3. Vibrations 20. Ne démarre pas
4. Ne reste pas en position 21. Ne commute pas
5. Ne s’ouvre pas 22. Fonctionnement prématuré
6. Ne se ferme pas 23. Fonctionnement après le délai
7. Défaillance en position ouverte prévu (retard)
8. Défaillance en position fermée 24. Entrée erronée (augmentation)
9. Fuite externe 25. Entrée erronée (diminution)
10. Fuite interne 26. Sortie erronée (augmentation)
11. Dépasse la limite supérieure tolérée 27. Sortie erronée (diminution)
12. Est en dessous de la limite 28. Perte de l’entrée
inférieure tolérée 29. Perte de la sortie
13. Fonctionnement intempestif 30. court-circuit (électrique)
14. Fonctionnement intermittent 31. Circuit ouvert (électrique)
15. Fonctionnement irrégulier 32. Fuite électrique
16. Indication erronée 33. Autres conditions de défaillance
17. Écoulement réduit exceptionnelles suivant les
caractéristiques du système, les
conditions de fonctionnement et
les contraintes opérationnelles
_________________________________________________________________________________________

_________________________________________________________________________________________
Les modes de défaillance sont définis pour un certain état de fonctionnement

du composant et du système ; la considération d’un autre état de fonctionnement du
système peut amener à modifier la précédente liste des modes de défaillance.
Exemple 9.1:
Considérons un système comprenant une vanne ouverte dans l’état de
fonctionnement du système : l’ouverture de la vanne est normale dans cet état alors
qu’elle peut devenir un mode de défaillance dans un autre état du système.
Les modes de défaillance généralement considérés pour un groupe moto-
pompe :
- refus de démarrer,
- refus de s’arrêter,
- débit de la pompe inférieure au débit requis (défaillance de fonctionnement)
- pression de refoulement de la pompe inférieure à la pression requise
(défaillance en fonctionnement),
- démarrage intempestif
- fuite externe
Bien évidemment, ces modes de défaillance devront être adaptés à chaque

étude particulière (on pourra rajouter ou enlever quelques modes de défaillance). Ce
même exemple peut permettre de préciser les causes internes et externes (voir
tableau 9.2).
A travers cet exemple, il paraît évident qu’il faut définir les causes de
défaillance de façon homogène par rapport à des parties du composant : on utilise
donc une décomposition du composant en parties telles que partie mécanique, partie
électronique (moteur), alimentation électrique, etc.
Une modélisation du composant et des relations avec son environnement
(alimentation électrique par exemple) est réalisée peu à peu.
Des causes de défaillance peuvent se révéler en réalité des modes de
défaillance.
_________________________________________________________________________________________

_________________________________________________________________________________________
Tableau 9.2. : Modes de défaillance d’une moto-pompe
Modes de défaillance Causes internes Causes externes
Refus de démarrer - Blocage mécanique - Perte de l’alimentation

électrique
- erreur humaine (exemple
: les opérateurs ont trop
resserré les garnitures lors
d’une précédente
intervention)
Débit de la pompe - défaillance mécanique - perte de l’alimentation

inférieur au débit requis - Vibrations électrique
- cavitation
- perte de charge
importante en amont
Gardons l’exemple de la pompe. On aborde le problème de ses vibrations. Elles
ont été classés ici comme causes internes. On a ainsi supposé que les vibrations
anormales de certaine parties mécaniques de la pompe entraînaient sa défaillance en
fonctionnement et étaient ainsi équivalentes à d’autres défaillances mécaniques
(exemple : rupture brutale du rotor). Imaginons que ces vibrations anormales soient
susceptibles d’avoir des effets importants sur la tuyauterie et des composants en aval
de la pompe. Dans ce cas, les vibrations anormales de la pompe doivent être
considérées comme mode de défaillance. Ainsi, les modes et les causes de défaillance
ne peuvent être définis que dans le cadre d’une analyse itérative incluant la
considération des effets.
2.3. Étude des effets des modes de défaillance des composants
Les effets de chaque mode de défaillance sur les fonctions du système ainsi que
sur chacun de ses composants sont systématiquement étudiés et évalués. Ces effets
sont décrits de façon aussi complète que possible, en supposant l’existence d’un seul
mode de défaillance, tous les autres composants étant en fonctionnement ou en état
de fonctionner. Cette étape aide à mieux définir ou redéfinir les causes d’un mode de
défaillance ; un mode de défaillance d’un composant peut en entraîner un autre. On
identifie ainsi les défaillances secondes.
_________________________________________________________________________________________

_________________________________________________________________________________________
L’analyste ne doit pas perdre de vue les objectifs de l’étude ; ceci conduira par
exemple, à limiter la considération de ces effets au système proprement dit, ou au
contraire, à prendre en compte les effets sur les système environnants en interaction
avec le système étudié. Il n’est pas toujours facile de choisir a priori la limite de
considération de ces effets. Il est généralement nécessaire quand on réalise une
AMDE d’un système élémentaire de mentionner les effets sur les autres systèmes
élémentaires. On peut être amené à distinguer les effets sur le système étudié des
autres effets sur les systèmes externes ou environnants ; cette distinction facilite
l’utilisation éventuelle d’une méthode prolongeant l’AMDE comme la MCPR
(Méthode des Combinaisons de Pannes Résumées).
En outre, il est généralement important de mentionner, parmi les effets des
modes de défaillance, ceux résultant de l’existence des systèmes d’alarme et de
contrôle, ceci aidera l’analyste à identifier les modes de défaillance qui font l’objet
d’une détection.
2.4. Conclusions, Recommandations
Les étapes précédentes ayant été achevées, l’analyste est alors en mesure d’en
tirer les conclusions en relation avec les objectifs de l’étude et d’émettre toutes les
recommandations utiles.
La démarche que cette méthode suit, aboutit à des résultats intéressants ?
Citons notamment et de façon non limitative :
- l’assurance que tous les modes de défaillance convenables et leurs effets sur le
fonctionnement du système ont été pris en compte au niveau de la conception ;
- l’identification des simples défaillances ; l’AMDE a surtout été utilisée dans ce but
pour l’évaluation de la fiabilité du module lunaire LEM. Dans le domaine
nucléaire, les systèmes de sûreté étant généralement conçus pour respecter le
critère de simple défaillance (leurs fonctions ne doivent pas être affectées par la
défaillance d’un composant), l’AMDE permet d’assurer que ce critère de
conception est vérifié,
- le recensement des modes de défaillance suivant l’ampleur de leurs effets sur les
fonctions
- l’identification des défaillances secondes, des besoins en redondance ;
- l’établissement, pour chaque mode de défaillance, de procédures de détection
(alarmes, tests périodiques...) ; on peut ainsi juger si ces procédures sont bien
adaptées ;
- l’établissement, pour chaque mode de défaillance, de procédures de maintenance ;
la maintenabilité des systèmes est donc étudiée.
_________________________________________________________________________________________

_________________________________________________________________________________________
3. PRESENTATION DE L’ANALYSE ET DES RESULTATS
L’analyse et ses résultats sont généralement présentés sous forme de tableaux à

colonnes. Dans le domaine nucléaire, à Electricité de France, on utilise un tableau à
neuf colonnes (tableau 9.3.) relativement peu différent des tableaux préconisés dans
d’autres domaines industriels.
On indique généralement, en tête du tableau AMDE, le nom du “ Projet ” du
“ Système ” ainsi que les documents de référence de l’analyse. Puis les neuf colonnes
sont remplies :
- Identification du composant (repères, désignation, type, lieu) : il s’agit
d’indiquer tous les renseignements permettant d’identifier et de localiser le
composant à étudier dans le système de référence
- Fonctions, états : il est nécessaire de recenser toutes les fonctions du
composant ainsi que ses différentes états de fonctionnement en distinguant les états
de fonctionnement d’un composant des états de fonctionnement du système.
- Modes de défaillance : Ils sont recensés pour chaque composant dans les
différents états de fonctionnement du composant et du système
- Causes possibles d’une défaillance (causes internes et externes) : on définit des
causes possibles de chaque mode de défaillance recensés dans la colonne précédente.
Il est préférable de regrouper, d’une part, les causes internes au composant et,
d’autre part, les causes externes au composant (et éventuellement au système)
_________________________________________________________________________________________

Chapitre 9
ENIT 2A GI
ANALYSE DES MODES DE DÉFAILLANCE DES
COMPOSANTS ET DE LEURS EFFETS SUR LE SYSTÈME
PROJET : DOCUMENT DE
SYSTÈME RÉFÉRENCE :
:
Identification
du composant Causes possibles Effets sur Effets sur les Moyens Fréquence
245
(Repères, Fonctions, Modes de d’une défaillance le système systèmes de des Observations
designation, états défaillance (Causes internes, externes détection inspections
type, lieu) externes) ou essais
Tableau 9.3. Tableau AMDE utilisé à l’Electricité de France
_________________________________________________________________________________________
_________________________________________________________________________________________
Analyse des Modes de Défaillances et de leurs Effets et de leur Criticité
Dr. K. Bourouni
_________________________________________________________________________________________
Cette recherche ne peut généralement prétendre, au moins dans un premier

temps, à l’exhaustivité : en effet, certaines causes de défaillances (externes) sont, par
exemple, des modes de défaillance d’autres composants et seront généralement
découvertes plus tard dans l’analyse.
- Effets sur le système : les effets de chaque mode de défaillance sur les
composants, le système et leurs fonctions font ici l’objet d’un inventaire aussi
complet que possible
- Effets sur les systèmes externes : on indique les effets de chaque mode de
défaillance sur les systèmes (et leurs composants) qui sont en étroite interaction avec
le système étudié. Cette distinction s’avère intéressante, lorsqu’on réalise en parallèle
de l’AMDE de plusieurs systèmes en interaction, ou lorsqu’on risque de prolonger
cette analyse par l’utilisation de la MCPR.
- Moyens de détection : on recense tous les moyens (systèmes procédures...)
permettant de mettre en évidence le mode de défaillance étudié : citons les alarmes,
les tests périodiques, les inspections...
- Fréquences des inspections ou essais : on note ici la fréquence des inspections
ou essais du composant étudié.
- Observations : Cette dernière colonne est réservée aux remarques et
observations, explicitant les autres rubriques du tableau. On l’utilise également pour
mentionner des problèmes inhabituels, des effets particuliers, d’éventuelles analyses
de doubles défaillances de cause commune. D’une manière générale, on peut faire
figurer toutes les observations jugées nécessaires pour la compréhension de
l’analyse. A titre d’exemple le tableau 9.4. présente le début d’une AMDE réellement
effectuée sur une vanne d’un système de sûreté d’une centrale nucléaire.
_________________________________________________________________________________________

_________________________________________________________________________________________
Tableau 9.4. : Tableau d’analyse des modes de défaillance et de leurs effets (exemple)
Identification Fonctions Mode de Causes Effet sur le Moyens de Actions de Observatio

du composant Etats défaillance possibles système détection l’opérateur ns
(repères, d’une élémentaire
désignation, défaillance
type, lieu) (internes-
externes)
Repère : Fonction : 1. Vanne * Défaut * Réglage du * Dispositif de * l’opérateur * Les vannes

031 VD réglage du bloquée en mécanique débit fin de course devra venir réglantes
débit position interne d’alimentation * Débit positionner la associées aux
Désignation: d’alimentation grande * Défaut du du GV n°1 par la vanne en local MPS sont
du GV n°1 par d’alimentati-
Vanne de ouverture circuit MPS 021 PO alimentées par
la MPS 021 PO on du GV n°1 * l’opérateur
réglage du débit pneumatique impossible la même voie
Etats : vanne Mesures de devra soir arrêter
d’alimentation de commande depuis la salle que la MPS;
normalement débit la MPS 021 PO
du GV n°1 par la * Manque d’air de commande les vannes
ouverte anorrmalem- soit venir fermer
MPS 021 P0 Les signaux de (SAR) * En cas de RTE, réglantes
de RTV ou de ent élevées en local la vanne
démarrage de * Manque de associées aux
RTGV, 051 VD
Type : Vanne l’ASG tension de (101 et 102 TPS sont
réglante confirment commande l’isolement du GV MD). alimentées en
l’ouverture en 125 V (Voie A) n°1 est impossible voies A et B
Eventuelleme
grand de la depuis la salle de
Lieu : KA 0524 nt alarme de
vanne commande
haut débit
(101 et 102
MD); deuil
fixé à 120 t/h
4. EXERCICE D’ILLUSTRATION
A titre d’illustration, nous analysons par l’AMDE un système élémentaire

(figure 9.3)
B.P Batterie
Batterie Moteur
Relais
M
A B
Figure 9.3. Exercice d’illustration
_________________________________________________________________________________________

_________________________________________________________________________________________
4.1. Présentation de l’exercice :
Le système représenté sur la figure ci-dessus permet à un opérateur de

commander à distance le fonctionnement d’un moteur à courant continu ; pour cela
l’opérateur appuie sur un bouton poussoir (B.P) provoquant ainsi l’excitation d’un
relais, la fermeture du contact associé et l’alimentation électrique du moteur. Lorsque
l’opérateur relâche le bouton-poussoir, le moteur s’arrête. Un fusible permet de
protéger le circuit électrique contre tout court-circuit.
On suppose que le fil AB traverse une zone où se trouvent des vapeurs
inflammables : on admet qu’une Analyse Préliminaire des Dangers a montré que
l’événement indésirable à éviter est le surchauffe du fil AB.
Le système est conçu pour faire fonctionner le moteur électrique pendant un
temps très court ; on admet ainsi qu’un fonctionnement prolongé de ce moteur peut
entraîner sa destruction par suite d’un échauffement du moteur électrique et de
l’apparition d’un court-circuit. On admet également qu’après l’apparition d’un
courant élevé dans le circuit dû à un court-circuit, le contact du relais reste collé,
même après la désexcitation du relais.
Dans un souci de simplification, on ne tient pas compte des sources d’énergie et
de leurs éventuelles défaillances. De même l’analyse ne porte que sur le bouton
poussoir (B.P), le relais, le fusible et le moteur et on ne considère, pour ces
composants, qu’un ou deux défaillances.
4.2 Réalisation de l’AMDE
On représente ci-dessous les résultats de l’AMDE (tableau 9.5)
_________________________________________________________________________________________

_________________________________________________________________________________________
Tableau 9.5. AMDE du système
Composants Modes de défaillance Causes Possibles Effets sur le système

- le B.P. est bloqué - défaillance - perte de la fonction du système : le
première (mécanique) moteur ne tourne pas
Bouton poussoir - le contact du B.P reste - défaillance - le moteur tourne pendant un
(B.P.) collé première (mécanique) temps trop long : d’où un court-
- l’opérateur ne relâche
circuit du moteur, puis l’apparition
pas le B.P. (erreur d’un courant élevé et la fusion du
humaine) fusible
Relais - le contact du relais - défaillance - perte de la fonction du système : le
reste ouvert première (mécanique) moteur ne tourne pas
- le moteur tourne pendant un
- le contact du relais - défaillance temps trop long : d’où un court-
reste collé première (mécanique) circuit du moteur, puis l’apparition
d’un courant élevé et la fusion du
- un courant élevé fusible
traverse le contact
Fusible - le fusible ne fond pas - défaillance - en cas de court-circuit, le fusible
première n’ouvre pas le circuit
- l’opérateur a sur-
dimensionné le fusible
(erreur humaine)
Moteur - le moteur ne tourne - défaillance - perte de la fonction du système : le
pas première moteur ne tourne pas
- le B.P est bloqué
- le contact du relais
ouvert
- court-circuit - le court-circuit du moteur entraîne
- défaillance l’apparition d’un courant élevé puis
première la fusion du fusible; le contact du
- le moteur tourne relais reste collé
pendant un temps trop
long
Cette analyse permet de faire les commentaires suivants :

- les modes de défaillance de ces composants sont faciles à déterminer, compte
tenu du caractère connu des composants et de leur utilisation courante.
- Les causes possibles de ces modes de défaillance sont plus difficile à
déterminer. Il faut prendre soin de distinguer les causes internes au composant
(défaillance première) et les causes externes au composant. Es causes externes
peuvent être des modes de défaillance d’autres composants : elles ne seront donc
pleinement déterminées que lorsque l’analyse des conséquence (ou effets) des modes
de défaillance (et de leur combinaisons) de tous les composants aura été effectuée.
C’est ainsi, par exemple, que les causes possibles (le B.P. est bloqué, le contact du
relais reste ouvert) du mode de défaillance “ le moteur ne tourne pas ” ne sont
répertoriées que si l’analyse des effets de modes de défaillance du bouton-poussoir et
du relais a été préalablement effectuée. On notera l’existence des deux autres causes
_________________________________________________________________________________________

_________________________________________________________________________________________
de défaillance (le contact du B.P. reste collé - le contact du relais reste collé), qui,
dans un souci de simplicité, n’ont pas été indiquées dans le tableau AMDE : en effet,
ces deux causes de défaillance n’empêchent pas dans un premier temps, le moteur de
tourner mais elles peuvent compromettre, dans un deuxième temps, le
fonctionnement du moteur si ces défaillances sont passées inaperçue.
- l’AMDE exige, pour chaque composant et pour chacun de ses modes de
défaillance, l’étude des effets de ces modes de défaillance sur le système : c’est une
précieuse aide à la connaissance du système et de ses défaillances. On peut constater
que cette analyse qui se limite, au départ de l’étude, aux simples défaillances (c’est-à-
dire les modes de défaillance) conduit parfois à considérer des défaillances multiples
dans le système. C’est aussi une méthode d’analyse utile pour découvrir et recenser
des défaillances de cause commune : ainsi, dans cette analyse, il apparaît que le
“ court-circuit du moteur ” entraîne la défaillance du relais (“ le contact du relais
reste collé ”), mettant ainsi en évidence l’existence de défaillance en cascade.
On ne constate pas dans la colonne “ effets sur le système ” l’apparition de
l’événement indésirable “ surchauffe du fil AB ” ; ainsi aucun mode de défaillance
n’entraîne directement la surchauffe du fil AB ; d’autres méthodes d’analyse doivent
donc être utilisées. L’AMDE apparaît ainsi, dans cet exercice, comme une
intéressante méthode préliminaire d’analyse.
5 ANALYSE DES MODES DE DEFAILLANCE, DE LEURS EFFETS ET

DE LEUR CRITICITE (AMDEC)
5.1. Introduction
Une extension naturelle de l’AMDE est “ l’Analyse des Modes de Défaillance,

de leurs Effets et de leur Criticité ” (AMDEC) (FMECA: Failure Mode, Effects and
Critically Analysis) où l’on considère la probabilité d’occurrence de chaque mode de
défaillance et la classe de gravité des effets de ces défaillance.
Technique spécifique de la sûreté de fonctionnement, l'Analyse des Modes de
Défaillance, de leurs Effets et de leur Criticité (AMDEC) est avant tout une méthode
d'analyse de systèmes (systèmes au sens large composé d'éléments fonctionnels ou
physiques, matériels, logiciels, humains ...), s'appuyant sur un raisonnement
inductif (causes conséquences), pour l'étude organisée des causes, des effets des
défaillances et de leur criticité.
L'AMDEC a été employée pour la première fois à partir des années 1960 dans le
domaine de l'aéronautique pour l'analyse de la sécurité des avions. Ce type d’analyse
_________________________________________________________________________________________

_________________________________________________________________________________________
a été largement utilisé par la NASA notamment pour la conception du module
lunaire LEM. La mise en œuvre s'est longtemps limitée à l'utilisation dans le cadre
d'études de fiabilité sur du matériel.
Bien qu'ayant subi de nombreuses critiques dues au coût et à la lourdeur de son
application, elle reste néanmoins une des méthodes les plus répandues et l'une des
plus efficaces. Elle est en effet de plus en plus utilisée en sécurité, maintenance et
disponibilité non seulement sur le matériel, mais aussi sur le système, le fonctionnel et le
logiciel.
Aussi est-elle maintenant largement recommandée au niveau international et
systématiquement utilisée dans toutes les industries à risque, comme le nucléaire, le
spatial et la chimie, dans le but de faire des analyses préventives de la sûreté de
fonctionnement. Elle a été reprise dan de nombreux autres domaines, comme chez
Toyota au Japon.
Dans le ferroviaire, la méthode a été expérimentée sur le logiciel critique dans le
cadre des projets SACEM de la RATP et MAGGALY de SEMALY. Une adaptation de
cette méthode a donné naissance à la méthode AEEL (Analyse des Effets des Erreurs
du Logiciel) qui ressemble beaucoup à l'AMDEC.
L’AMDEC considère la probabilité d’occurrence de chaque mode de défaillance
et la classe de gravité des effets de ces défaillance ; on peut ainsi s’assurer que les
modes de défaillance ayant d’importants effets ont des probabilité d’occurrence
suffisamment faibles, grâce aux méthodes de conception, aux diverses vérifications
(en usine, sur le site, ...), aux procédures de test, ect.
Ainsi l’AMDEC peut être décrite comme une méthode comportant deux
parties :
- l’AMDE au sens strict
- l’analyse de criticité, qui a pour but d’évaluer, pour chaque mode de
défaillance, le couple probabilité-gravité.
Pour juger de la “ gravité ” des divers modes de défaillance, on affecte aux

effets (ou conséquences) de chaque mode de défaillance une classe de gravité
(mineurs, significatifs, critiques ou catastrophiques).
La criticité d’un mode de défaillance d’un composant est appréciée à l’aide du
couple probabilité-gravité. Plus la probabilité est grande et plus les effets sont jugés
graves, plus la criticité du mode de défaillance est importante et plus il devient
nécessaire de prendre des mesures correctives.
Le classement des modes de défaillance en fonction du couple probabilité-
gravité se fait parfois en utilisant un tableau tel que celui représenté ci-dessous
(tableau 9.6)
Bien évidemment, la définition des classes de gravité doit être adaptée à chaque
_________________________________________________________________________________________

_________________________________________________________________________________________
système étudié. Parfois, on propose même “ un nombre de criticité ” indiquant le

nombre prévisible de défaillances pour un composant et un mode de défaillance
critique particulier.
Tableau 9.6. : Classe de gravité des défaillances
Probabilité Très faible faible moyenne forte
Gravité
Classe I
ou
Effets mineurs
Classe II
ou
Effets
significatifs
Classe III
ou
Effets critiques
Classe IV
ou
Effets
catastrophiques
5.2. Types d’AMDEC
Selon les objectifs visés, plusieurs types d’AMDEC sont utilisés lors des phases
successives de développement d’un produit : AMDEC produit, AMDEC processus,
AMDEC machine…(voir tableau 9.7).
On distingue également deux autres types d’AMDEC:

- AMDEC Sécurité qui est presque équivalente à l'AMDEC machine mais la
gravité des défaillances est ciblée sur l'opérateur au lieu du produit.
- AMDEC Organisation : permet de valider l'organisation qui doit fournir un
service.
_________________________________________________________________________________________

_________________________________________________________________________________________
Tableau 9.7 : Différents types AMDEC
Types Objectifs
d’AMDEC
Analyse de la conception d’un produit pour améliorer la qualité et la
AMDEC fiabilité de celui-ci.
produit
Analyse des opérations de production pour améliorer la qualité de
AMDEC fabrication du produit.
processus
Analyse de la conception et/ou de l’exploitation d’un moyen ou

AMDEC équipement de production pour améliorer la disponibilité et la
machine sécurité de celui-ci.
5.3. L’AMDEC Machine
L’AMDEC machine a pour but d’évaluer et de garantir la fiabilité, la

maintenabilité, la disponibilité et la sécurité des machines par la maîtrise des
défaillances. Elle a pour objectif final l’obtention, au meilleur coût, du rendement
global maximum des machines de production et équipements industriels.
Son rôle n’est pas de mettre en cause les fonctions de la machine mais plutôt
d’analyser dans quelle mesure ces fonctions peuvent ne plus être assurées
correctement.
L’étude AMDEC machine vise à :
- Réduire le nombre des défaillances :
- Prévenir des pannes,
- Fiabiliser la conception,
- Améliorer la fabrication, le montage et l’installation,
- Optimiser l’utilisation et la conduite,
- Améliorer la surveillance et les tests,
- Améliorer la maintenance préventive,
- Détecter précoce des dégradations;
- Réduire les temps d’indisponibilité après défaillance :
- Prendre en compte la maintenabilité dès la conception,
- Améliorer la testabilité,
- Aider au diagnostic,
- Améliorer la maintenance corrective;
- Améliorer la sécurité.
_________________________________________________________________________________________

_________________________________________________________________________________________
5.3.1. Principe de base :
Il s’agit d’une analyse critique consistant à identifier de façon inductive et

systématique les risque de dysfonctionnement des machines puis à en rechercher
les origines et leurs conséquences. Elle permet de mettre en évidence les points
critiques et de proposer des actions correctives adaptées. Ces actions peuvent
concerner aussi bien la conception des machines étudiées que leur fabrication, leur
utilisation ou leur maintenance. C’est essentiellement une méthode préventive.
L’AMDEC est une méthode participative. Fondée sur la mise en commun des
expériences diverses et des connaissances de chaque participant, elle trouve tout son
efficacité dans sa pratique en groupe de travail pluridisciplinaire. La composition du
groupe de travail entre d’ailleurs pour une large part dans le succès d’une étude
AMDEC. Cette réflexion en commun est source de créativité. Elle favorise les
échanges techniques entre les différentes équipes d’une entreprise. Elle permet
l’évolution des connaissances et contribue même à la formation technique des
participants.
5.3.2. Démarche de l’AMDEC machine :
Une étude AMDEC machine comporte 4 étapes successives, soit un total de 21

opérations (Figure 9.4)
_________________________________________________________________________________________

_________________________________________________________________________________________
ETAPE 1 : INITIALISATION
1- Définition du système à étudier
2- Définition de la phase de fonctionnement
3- Définition des objectifs à atteindre
4- Constitution du groupe de travail
5- Etablissement du planning
6- Mise au point des supports de l’étude
ETAPE 2 : DECOMPOSITION FONCTIONNELLE

7-Découpage du système
8-Identification des fonctions des sous-ensembles
9-Identification des fonctions des éléments
ETAPE 3 : ANALYSE AMDEC

Phase 3a-Analyse des mécanismes de défaillance
10-Identification des modes de défaillance
11-Recherche des causes
12-Recherche des effets
13-Recensement des détections
Phase 3b-Evaluation de la criticité

14-Estimation du temps d’intervention
15-Evaluation des critères de cotation
16-Calcul de la criticité
Phase 3c-Proposition d’actions correctives

17-Recherche des actions correctives
18-Calcul de la nouvelle criticité
ETAPE 4 : SYNTHESE
19-Hièrachisation des défaillances
20-Liste des points critiques
21-Liste de recommandations
Figure 9.4 : Déroulement de l’étude
La puissance d’une étude AMDEC réside autant dans son contenu que dans son
exploitation. Une étude AMDEC resterait sans valeur si elle n’était pas suivie par la
mise en place effective des actions correctives préconisées par le groupe,
accompagnées d’un contrôle systématique.
_________________________________________________________________________________________

_________________________________________________________________________________________
Etape 1 : INITIALISATION
Étape 1.1- But

L’initialisation de l’AMDEC machine est une étape préliminaire à ne pas
négliger. Elle consiste à poser clairement le problème, à définir le contenu et les
limites de l’étude à mener et à réunir tous les documents et informations nécessaires
à son bon déroulement.
Etape 1.2-Démarche
1- Définir le système à étudier et ses limites matérielles. Dans cette opération, la
documentation technique disponible sur le système doit être réunie, à savoir,
selon le cas, les plans d’ensemble, les plans détaillés et la nomenclature des
composants, le descriptif du processus de fabrication, les notices techniques
de fonctionnement, les procédures d’utilisation et de maintenance.
2- Définir la phase de fonctionnement pour laquelle l’étude sera menée. Cette
phase se caractérise en particulier par une mission à accomplir.
3- Définir les objectifs à atteindre qui peuvent être exprimés en termes
d’amélioration de fiabilité, maintenabilité, disponibilité, sécurité ou
maintenance du système.
Les limites techniques de remise en question du système étudié peuvent être
imposées ainsi que le champ possible des interventions à proposer.
4- Constituer un groupe de travail, de 5 à 8 personnes, qui doit être
pluridisciplinaire, motivé et compétent.
5- Établir le planning et la durée des réunions qui doit être limitée à 2 ou 3
heures pour une meilleure efficacité.
6- Mettre au point les supports de l’étude : les grilles et la méthode de cotation
de la criticité, les tableaux de saisie AMDEC machine et les feuilles de
synthèse.
Tableau 9.8 : Tableau AMDEC
ANALYSE DES MODES DE DÉFAILLANCE DE LEURS EFFETS ET DE AMDEC

LEUR CRITICITÉ MACHIN
E
Système: Phase de Date de page:…/…
Sous-système: fonctionnement: l'analyse:
Élément Fonction Mode de Cause Effet Détection TA F G D C Action
défaillance
_________________________________________________________________________________________

_________________________________________________________________________________________
Étape 2 : DÉCOMPOSITION FONCTIONNELLE
Étape 2.1. But

Il ne s’agit pas dans cette étape de faire l’analyse critique de l’adéquation des
fonctions de la machine au besoin, mais seulement d’identifier clairement les
éléments à étudier et les fonctions à assurer.
C’est une étape indispensable car il est nécessaire de bien connaître les fonctions
de la machine pour en analyser ensuite les risques de dysfonctionnement. Les
relations entre l’analyse fonctionnelle et l’analyse AMDEC sont indiquées sur la
figure 9.6.
Arrêt machine
Besoin utilisateur MACHINE Pertes économiques
Sécurité, environnement
Pertes ou dégradations
fonctionnement
Fonctions de service
Sous-ensemble des fonctions techniques
Fonctions techniques
Défaillance et de services
Bon
Fonctions élémentaires Pertes ou dégradations

Élément
des fonctions
élémentaires
PARTICIPATION DES
ENCHAÎNEMENT
ÉLÉMENTS AU BON
DES EFFETS DE LA
FONCTIONNEMENT
DÉFAILLANCE
DE L’ENSEMBLE
Figure 9.5. Relations entre analyse fonctionnelle et AMDEC
Étape 2.2- Démarche

7- Découper le système en blocs fonctionnels, sous une forme arborescente
(Figure 9.6), selon autant de niveaux que nécessaire. Puis définir le niveau de
l’étude et les éléments à traiter correspondants.
_________________________________________________________________________________________

_________________________________________________________________________________________
MACHINE M
UNITE UNITE UNITE

FONCTIONNELLE A FONCTIONNELLE B FONCTIONNELLE C
SOUS-
SOUS-ENSEMBLE BA SOUS-
SOUS-ENSEMBLE BB
ORGANE BAA ORGANE BAB ORGANE BBA ORGANE BBB ORGANE BBC
Figure 9.6. Représentation arborescente d’une machine
8- Faire l’inventaire des milieux environnants des sous-ensembles auxquels

appartiennent les éléments étudiés, dans la phase de fonctionnement retenue,
pour identifier les fonctions principales et de contrainte. Le résultat de cette
opération peut être présenté sous forme d’un digramme de contexte comme le
montre le schéma ci-dessous.
MILIEU
MILIEU ENVIRONNANT 4
MILIEU
ENVIRONNANT 6
ENVIRONNANT 2
FP FC4
FC2
MILIEU
FC1
SOUS- FC3
MILIEU ü FP: fonction principale
ENVIRONNANT 1 ENSEMBLE ENVIRONNANT 3 FC: fonction de contrainte
MILIEU
ENVIRONNANT 5
Figure 9.7. : Diagramme de contexte d’utilisation d’un sous-ensemble
_________________________________________________________________________________________

_________________________________________________________________________________________
9- Identifier les fonctions de chaque élément du sous-ensemble dans la phase de

fonctionnement retenue. Là encore, on peut s’appuyer sur des représentations
graphiques, comme les diagrammes fonctionnels (voir schéma ci-dessous.).
Les fonctions de chaque élément seront introduites dans le tableau AMDEC
(voir tableau 9.3.).
MILIEU
ENVIRONNANT 1
MILIEU
ENVIRONNANT 2
ORGANE 1
ORGANE 4
MILIEU
ENVIRONNANT 4 ORGANE 2
ORGANE 5
MILIEU
ENVIRONNANT 5 ORGANE 3 MILIEU
SOUS-ENSEMBLE ENVIRONNANT 3
Figure 9.8. Diagramme fonctionnel d’un sous-ensemble
Étape 3 : ANALYSE AMDEC
Étape 3.1- But

L’analyse AMDEC proprement dite consiste à identifier les dysfonctionnements
potentiels ou déjà constatés de la machine, à mettre en évidence les points critiques et
à proposer des actions correctives pour y remédier.
Cette étape doit être menée élément par élément, au niveau de détail choisi.
C’est le travail essentiel de l’étude où la synergie de groupe doit jouer à fond.
Cette analyse comporte 3 phases successives :
Phase 3a - Analyse des mécanismes de défaillance

Phase 3a.1- But
Cette phase consiste à examiner comment et pourquoi les fonctions de la
machine risquent de ne pas être assurées correctement. Il s’agit d’une étude
purement qualitative. On identifie les mécanismes de défaillances (voir Figure 9.10)
_________________________________________________________________________________________

_________________________________________________________________________________________
des éléments de la machine de manière exhaustive, pour la phase de fonctionnement

considérée et au niveau d’analyse choisi.
L’analyse des mécanismes de défaillance se base sur l’état actuel ou prévu de la
machine au moment de l’étude.
EFFETS sur la
disponibilité du
Détections Détections moyen de
Conception production
EFFETS sur la
qualité du
produit
EFFETS sur le fabriqué
CAUSES MODE fonctionnement
Fabrication
de la de la et l’état de la
défaillance défaillance machine EFFETS sur le
Internes Dégradation coût de la
à l’élément de la fonction Dégradations maintenance
de l’élément fonctionnelles
Exploitation Externes et matérielles EFFETS sur la
à l’élément Perte de la de la machine sécurité des
fonction de opérateurs et de
l’élément l’environnement
Figure 9.9: Mécanisme de défaillance
Phase 3a.2-Démarche :
10- Identifier les modes de défaillance de l’élément en relation avec les fonctions
à assurer, dans la phase de fonctionnement retenue.
11- Rechercher les causes possibles de défaillance, pour chaque mode de
défaillance identifié.
12- Rechercher les effets sur le système et sur l’utilisateur, pour chaque
combinaison cause - mode de défaillance.
13- Rechercher les détections possibles, pour chaque combinaison cause - mode
de défaillance.
Phase 3b- Évaluation de la criticité

Phase3b.1- But
Cette phase consiste à évaluer la criticité des défaillances de chaque, à partir de
plusieurs critères de cotation indépendants.
_________________________________________________________________________________________

_________________________________________________________________________________________
Pour chaque critère de cotation, on attribue un niveau (une note ou un indice.)
Un niveau de criticité en est ensuite déduit, ce qui permet de hiérarchiser les
défaillances et d’identifier les points critiques.
Détection la plus probable
Causes Effets les plus

Mode de
Primaires graves de la
défaillance
de la défaillance défaillance
Niveau de fréquence F
Niveau de
probabilité de
Niveau de Gravité G
non-détection N
Niveau de
Criticité
C
Figure 9.10. : Principe d’évaluation de la criticité
Phase 3b.2. Démarche

14- Déterminer (à partir de l’historique de la machine) ou estimer le temps
d’arrêt et les coûts d’intervention corrective (coût main d’œuvre direct, coût
pièce de rechange, coût sous-traitance), pour chaque combinaison cause –
mode – effet.
15- Évaluer le niveau atteint par les critères de fréquence, de gravité et
probabilité de non-détection, pour chaque combinaison cause – mode – effet.
Les critères de cotation sont fixés selon l’étude faite, on cite :
- La fréquence d’apparition de la défaillance,
- La gravité de la défaillance sur la qualité, sur la sécurité de l’utilisateur
machine, sur le coût de l’intervention et sur l’indisponibilité de la machine.
- La probabilité de non-détection de la défaillance.
Pour effectuer cette évaluation, on utilise des grilles de cotation (ou barèmes)
_________________________________________________________________________________________

_________________________________________________________________________________________
définies selon 3 ou plus fréquemment 4 ou même 5 niveaux. On s’appuie sur :

- Les connaissances des membres du groupe sur les dysfonctionnements.
- Les banques de données de fiabilité, historiques d’avaries, retours
d’expérience, etc.
16- Calculer le niveau de criticité, pour chaque combinaison cause – mode –
effet. Ce niveau est le produit des niveaux atteints par les critères de cotation
indiqués dans l’opération précédente.
C = F. G. N
Phase 3c- Proposition d’actions correctives

Phase3c.1- But
Cette phase consiste à proposer des actions ou mesures amélioratives (Figure
9.11) destinées à faire chuter la criticité des défaillances, en agissant sur un ou
plusieurs des critères de fréquence, de gravité et probabilité de non-détection.
Ces actions peuvent concerner selon le cas le constructeur ou l’utilisateur de la
machine.
Actions de détection
Détection
Causes de la Mode de Effets de la

défaillance défaillance défaillance
Actions de prévention Actions de réduction
Figure 9.11. : Actions correctives
_________________________________________________________________________________________

_________________________________________________________________________________________
Phase 3c.2- Démarche
17- Rechercher des actions correctives, pour chaque combinaison cause – mode
– effet.
Ces actions correctives sont des moyens, dispositifs, procédures ou documents
permettant la diminution de la valeur de la criticité. Elles sont de 3 types :
- Actions de prévention des défaillances,
- Actions de détection préventive des défaillances,
- Action de réduction des effets.
Plusieurs possibilités existent dans la recherche des actions selon les objectifs
de l’étude :
- On ne s’intéresse qu’aux défaillances critiques,
- On s’intéresse à toutes les défaillances systématiquement,
- On oriente l’action à engager selon le niveau de criticité obtenu.
18- Après proposition et analyse des mesures à engager, le groupe peut évaluer
la nouvelle criticité pour juger de manière prévisionnelle de leur impact.
En effet, la mise en place des actions correctives préconisées doit logiquement
entraîner la réduction de la criticité de la défaillance étudiée. Le mécanisme de
défaillance s’en trouve modifié, voire éliminé, par la mise en place des actions.
Cependant, il convient de prendre garde au fait qu’une modification de la
machine peut engendrer de nouveaux dysfonctionnements qu’il est nécessaire
d’analyser.
Étape 4 : SYNTHESE
Phase 4.1.But
Cette étape consiste à effectuer un bilan de l’étude et à fournir les éléments
permettant de définir et lancer, en toute connaissance de cause, les actions à
effectuer. Ce bilan est essentiel pour tirer vraiment parti de l’analyse.
Phase 4.2- Démarche

19- Hiérarchiser les défaillances selon les niveaux atteints par les critères de
criticité, avant et après actions correctives.
On peut classer les défaillances entre elles, selon leurs niveaux respectifs de
fréquence de gravité de probabilité de non-détection ou encore selon leurs
niveaux de criticité.
On peut utiliser des représentations graphiques (histogrammes, des courbes
ABC, etc.).
20- Effectuer la liste des points critiques de la machine. Cette liste permet de
recenser les points faibles de la machine et les éléments les plus critiques pour
le bon fonctionnement du système.
_________________________________________________________________________________________

_________________________________________________________________________________________
21- Établir la liste ordonnée des actions proposées. Cette liste permet de
recenser, voire de classer par ordre de priorité, les actions préconisées.
Un plan d’action peut être établi et des responsables désignés.
6. AMDE ET ANALYSE DES DEFAUTS
Dans certains cas, la lourdeur de l’approche de type AMDE basée sur l’analyse
de tous les composants du système quelle que soit leur importance, est un handicap à
son utilisation. Aussi, d’autres méthodes très semblables ont été développées,
notamment pour les systèmes véhiculant des fluides.
Une approche consiste à partir des hypothèses de défauts (ou de dérives) au
niveau du système. Chaque défaut imaginé (exemple : absence de débit) fait l’objet
d’une recherche de causes, suivie d’une recherche des effets ou conséquences sur
toute l’installation. L’approche la plus utilisée est
6.1. L’Analyse de type “ HAZOP ”
Elle est actuellement utilisée dans l’industrie chimique anglaise ; cette méthode
appelée “ Hazard and Operability Study ” (HAZOP) a été initialement développée
par la société “ Imperial Chemical Industries ” au début des années 1970. Cette
méthode a été utilisée dans tout nouveau projet d’installation ou d’extension
d’anciennes installations.
HAZOP consiste pour un système (généralement thermo-hydraulique) à
remplir un tableau produit ci-après.
Ce tableau possède un certain nombre de “ mots-guides ” destinés à guider

l’analyste :
NONE : absence de débit, débit inversé, absence de courant...
MORE OF : excès de température, de pression, de débit, de viscosité...
LESS OF : baisse de température, de pression, de débit, de viscosité...
PART OF : changement dans la composition du fluide
MORE THAN : présence d’impuretés, d’autres phases...
OTHER : en dehors du fonctionnement normal (démarrage,
maintenance...)
A chacune des étapes de l’étude et à l’aide de ces “ mots guides ”, on recense
_________________________________________________________________________________________

_________________________________________________________________________________________
toutes les causes possibles de défaillance et leurs effets (ou conséquences), en
commençant par l’examen des paramètres importants de l’installation et de leurs
possibles variations ; les causes de ces variations sont identifiées au niveau des
défaillances envisageables de composants. On examine ensuite les effets de ces
causes de défaillances.
Tableau 9.7: Tableau lié à une analyse “HAZOP”
Mots-guide Déviation Causes Possibles Conséquences Actions

nécessaires
None Pas d'écoulement
MORE Plus de débit
Plus de Pression
Plus de température
LESS OF Moins de débit
Moins de température
PART OF Concentration très élevée
de l'eau ou de la vapeur
MORE THAN Présence d'acide
organique
OTHER Maintenance
Si, en première analyse, une défaillance est estimée importante par sa

probabilité d’occurrence et ses effets, les actions requises pour réduire sa probabilité
et/ou ses effets sont prévues et indiquées.
La méthode “ HAZOP ” apparaît ainsi comme une adaptation particulière de
l’AMDE aux circuits thermo-hydrauliques ; mais également comme une méthode de
type “ causes-conséquences ”
Les “ mots guides ”, utilisées comme référence, semblent être équivalents à des
pertes de fonctions de sous-systèmes ou de systèmes. Une analyse, d’abord
déductive, permet de recenser les modes de défaillances de composants susceptibles
d’avoir des effets représentés par le “ mot-guide ” : une analyse purement inductive
est ensuite effectuée sur ces composants afin de recenser tous les effets des modes de
défaillance de ces composants.
Cette méthode permet d’accéder rapidement aux composants dont les modes
de défaillances peuvent avoir des effets à corriger. Contrairement à l’AMDE, cette
méthode ne nécessite pas l’étude systématique des modes de défaillance de chaque
_________________________________________________________________________________________

_________________________________________________________________________________________
composant et de leurs effets ; l’analyse des systèmes s’en trouve apparemment

simplifie. Cependant, l’emploi de cette méthode pose de nombreux problèmes ; ainsi,
il est difficile d’affecter à chaque “ mot-guide ” une portion bien délimitée du
système puis des causes de défaillances ; des erreurs peuvent alors être commises
dans l’analyse.
7. CONCLUSION
Bien que simple, la méthode s'accompagne d'une lourdeur certaine et la
réalisation exige un travail souvent important et fastidieux.
Une des difficultés est dans l'optimisation de l'effort entre le coût de l'analyse
AMDEC (dépendant de la profondeur de l'analyse) et le coût de l'amélioration à
apporter.
La solution pour surmonter le volume des entités à étudier est de conduire des
AMDEC fonctionnelles. Cette approche permet de détecter les fonctions les plus
critiques et de limiter ensuite l'AMDEC " physique " aux composants qui réalisent
tout ou partie de ces fonctions.
La cohérence entre d'une part la gestion des AMDEC et des améliorations
préconisées et d'autre part, les différentes versions du système est l'une des autres
principales difficultés à résoudre.
Aussi, la méthode n'est pas bien adaptée aux projets en temps réel car elle ne
permet pas de bien appréhender l'aspect temporel des scénarios.
Néanmoins l'AMDEC fournit :
- une autre vision du système,
- des supports de réflexion, de décision et d'amélioration,
- des informations à gérer au niveau des études de sûreté de fonctionnement et
des actions à entreprendre.
_________________________________________________________________________________________

Chapitre 10 Maintenance Basée sur la Fiabilité MBF
___________________________________________________________________________
Introduction
Définition de la démarche MBF
Les objectifs de la MBF
La démarche MBF technique
Les étapes de la MBF
Conclusion
CHAPITRE 10 : LA MAINTENANCE BASEE SUR

LA FIABILITE (MBF)
1. INTRODUCTION
La maintenance a été considérée longtemps comme un mal nécessaire. Dans

beaucoup de domaines industriels, cette vision est toujours présente.
L’intérêt de la maintenance est traditionnellement basé sur le fait qu’une
défaillance est mauvaise et qu’elle doit donc être prévenue à tout prix. Cette
approche est utopique ; il est parfois techniquement impossible de pratiquer une
technique préventive et souvent économiquement peu rentable en comparaison des
bénéfices potentiels. Le problème est plutôt de trouver un minimum de maintenance
sans porter préjudice à la performance de l’outil de production, à la qualité des
produits fabriqué, à la sécurité des hommes et des équipements et à la protection de
l’environnement.
Par ailleurs, on constate que la maintenance est rarement abordée à la
conception. Les performances en termes de Sûreté de Fonctionnement (notamment la
___________________________________________________________________________
Chapitre 10 Cours Contrôle et Fiabilité
___________________________________________________________________________
disponibilité, la fiabilité, la maintenanbilité et la logistique de la maintenance, norme

ISO 9000-4) et de sécurité sont très rarement étudiées. Les fournisseurs de
maintenance en réalisent quotidiennement leurs profits.
La complexité des marchés, des produits, des process, associée à la récession
économique que vit le monde depuis plus de deux décennies a poussé les industriels
à optimiser leurs moyens de fabrication, à augmenter les performances des produits
(y compris leur qualité) tout en optimisant les coûts de revient.
La maintenance est une source de productivité. Cette affirmation nécessite,
pour être vérifiée, d’une part que l’on doit prévoir et ajuster la maintenance en
fonction des performances envisagées et des critères d’évaluation que se fixe
l’entreprise ; d’autre part que ce travail doit être en permanence réajusté. En effet, un
système technique se situe toujours dans un environnement en perpétuel
changement. Il est par nature lui-même soumis à des évolutions de comportement
(vieillissement). Pour atteindre cet objectif, il est donc indispensable de mettre en
place des moyens organisationnels et techniques ainsi que des systèmes
d’information ad hoc. C’est dans cette direction qu’évoluent les recommandations
des référentiels d’assurance qualité actuelle (ISO, EAQF, QS, etc.). L’ambition de la
MBF (Maintenance Basée sur la Fiabilité) est de guider la démarche industrielle dans
cette voie.
C’est à la fin des années 60 que des groupes d’études concernés par la
maintenance des avions civils (maintenance steering group) ont proposé une
démarche de maintenance adaptée : MSG (CEI95). Trois versions successives ont vu
le jour et ont servi de base à l’élaboration de la maintenance des Boeing 747, DC10,
CONCORDE et Airbus A340. Les évolutions lentes entre les trois versions
successives de la MSG ont vu la diminution des révisions planifiées remplacées par
un plus grand nombre d’actions de maintenance conditionnelle.
Le poids important de la sécurité a conduit principalement à assurer la fiabilité
inhérente à l’équipement en imposant l’exhaustivité des études dans un premier
temps et à la prise en compte de l’approche économique dans un deuxième temps.
Dans le domaine de la production électrique et en particulier d’origine
nucléaire en France, cette méthode a été adaptée et a pris le nom d’Optimisation de
la Maintenance par la Fiabilité (OMF) (MER91, ZWI 92).
La méthode originelle y est simplifiée, elle approche l’optimum pour des coûts
réduits. La maintenance préventive est considérablement augmentée (70% des
actions de maintenance) et une action est faite pour améliorer les matériels.
___________________________________________________________________________
___________________________________________________________________________
2. DEFINITION DE LA DEMARCHE MBF
La MBF est un outil permettant d’optimiser les actions de maintenance

programmées. Les critères pris en compte sont généralement la sécurité, la
disponibilité et le coût de maintenance. Lorsqu’il s’agit de produits fabriqués, la
notion de qualité est, elle aussi, prise en compte.
Par conséquent le terme fiabilité inclus dans l’acronyme « MBF » est bien trop
restrictif, même s’il représente un des facteurs fondamentaux de la sûreté de
fonctionnement. Le terme de « Maintenance Basée sur la Disponibilité » aurait été
plus juste. La MBF s’inscrit dans le cadre d’un projet d’entreprise. Par conséquent,
l’implication de la direction est primordiale. Les objectifs doivent être clairement
identifiés et les enjeux correspondants évalués.
La MBF est un outil fédérateur. Tous les acteurs sont concernés :
- Le personnel de maintenance
- La production
- Le service après vente pour les retours clients
- La qualité
- Les services économiques
- La direction
La MBF est dynamique, elle permet l’utilisation de l’expérience acquise durant
toute la vie opérationnelle du produit ou du process et impose une évaluation des
prévisions.
3. LES OBJECTIFS DE LA MBF
La maintenance basée sur la fiabilité apparaît au premier abord comme

principalement destinée à élaborer un programme de maintenance préventive
optimisée, ayant pour but la sûreté des moyens de production, en tenant compte des
aspects économiques. Cependant, elle a un but beaucoup plus ambitieux. En effet, le
second aspect de l’application de la MBF dans les entreprises, principalement dans
les PME, réside dans son utilisation comme vecteur principal d’amélioration de
l’organisation de la maintenance, ceci malgré le manque de ressources générales
observées. C’est la marche initiale nécessaire pour aller vers la certification de
l’entreprise. Un troisième aspect lié à la conservation des données de maintenance
et de production (base de données pour le retour d’expérience) est également un
objectif non négligeable de cette méthode.
___________________________________________________________________________
___________________________________________________________________________
Il est très important que le programme de maintenance préventive

s’approche d’un niveau optimal afin de minimiser les risques de défaillance,
tout en conservant une capacité de service maximale des moyens de production
et en dégageant des facteurs de gains dans les entreprises. Cette optimisation doit
donc s’appuyer sur une optimisation technique (obtention du Plan de Maintenance
Technique (PMT)) suivi d’une évaluation économique tenant compte des contraintes
organisationnelles et conduisant au Plan de Maintenance Optimisé (PMO). La mise
en œuvre de cette étape pourra conduire très souvent à une diminution des coûts
de maintenance à performance égale.
Le but de chacun est l’obtention d’un outil de production sûr de
fonctionnement à un coût raisonnable. La MBF entre naturellement dans la partie
« logistique de la maintenance » de la notion de Sûreté de Fonctionnement. C’est
pourquoi la MBF s’appuie sur une méthodologie d’élaboration d’un programme de
maintenance préventive pour les équipements en exploitation au moyen d’une
approche logique, structurée, pragmatique, économique et sûre.
Un certain nombre d’apports de la MBF peuvent être évoqués dès à présent, ils
sont souvent difficiles à quantifier et sont évidemment fonction du type d’industrie
et des moyens mis en œuvre pour mettre en place la MBF.
Sur le plan technique, la MBF conduit à :
- La détermination des sites et des équipements importants,
- L’identification des équipements à maintenir en priorité,
- La définition des fonctions et des défaillances associées aux équipements,
- L’identification des défaillances principales avec leurs modes et causes de
défaillances,
- L’identification des causes de défaillances principales avec leurs effets et
fréquence,
- La définition des modifications à réaliser au niveau du process,
- L’identification des tâches de maintenance préventives,
- La définition du planning des actions préventives,
- Une meilleure utilisation des appareils de contrôle,
- La création d’une documentation plus homogène et plus compréhensible par
tous,
- Une augmentation de la durée de vie des équipements.
La création d’un historique de maintenance pour chaque équipement critique

et la mise en place d’un retour d’expérience pragmatique et efficace va permettre la
validation du programme de maintenance planifié et donc une mise à jour
___________________________________________________________________________
___________________________________________________________________________
périodique. On obtient également une bonne traçabilité des prises de décision.
Donc la MBF a pour objectifs :
- De définir et de justifier en conception les actions de maintenance
programmée à mettre en place,
- De redéfinir en exploitation les actions de maintenance programmée,
- D’assurer et d’augmenter les performances de l’outil de production en matière
de sûreté de fonctionnement,
- De déterminer les recommandations relatives aux enjeux technico-
économiques (investissement, rénovation, procédure, justification),
L’application de cet outil provoque des effets positifs indirects :

- Il permet une connaissance du système sur le plan statique et dynamique
(comportement dans le temps),
- Il permet de mieux appréhender l’environnement dans lequel le système
évolue,
- Il responsabilise le personnel,
- Il assure une cohésion entre différentes entités de l’entreprise (production,
maintenance, qualité, services économiques et direction) et amorce une
nouvelle organisation dans un axe TPM (Total Productive Management),
- Il agit sur la sécurité des biens et des personnes,
- Il valide les modifications réalisées au fur et à mesure de la vie du produit ou
du process.
4. LA DEMARCHE MBF TECHNIQUE
La mise en place de la démarche doit se faire par une organisation en groupe de

projets dans lesquels différents acteurs sont impliqués pour la mise en place de la
méthode MBF.
La direction présente les objectifs du projet, la politique qu’elle compte
appliquer pour favoriser la participation de l’ensemble des services production,
qualité et maintenance. Elle décide, dans chaque site, des priorités respectives entre
productivité, qualité, sécurité et sûreté de fonctionnement (disponibilité avec
maintenabilité, fiabilité et logistique de maintenance). Ces décisions sont nécessaires
au bon déroulement et à la bonne fin du projet.
Un certain nombre de groupes vont être crées. On en distingue trois de durée
de vie très différente : le « MBF Groupe Management », le « MBF Groupe Pilote » et
le « MBF Groupe Equipement»
___________________________________________________________________________
___________________________________________________________________________
Les Acteurs Leurs Mission / Actions
Direction Implication des

Politique
& Hommes dans
interne
le projet
Pilote &
Responsables
Production Qualité Maintenance Définition Validation

du cadre & des résultats
MBF Groupe d’analyse
Management
Pilote
et Définition et Confirmation
Resp. Maintenance Préparation & des
des analyses résultats
MBF Groupe
Pilote
Pilote
et
Resp. Maintenance Elaboration
Validation
& des
Opérateurs en : Production des analyses
résultats
qualité
MBF Groupe
d’équipement
Figure 10.1. Les acteurs de la démarche MBF
Le «MBF Groupe Management» regroupe les responsables des services

maintenance, production et qualité. Il est animé par un pilote, le chef de projet MBF,
qui oriente les différentes réflexions. Il est le garant du respect de la méthode. Les
travaux de ce groupe conduisent, dans le cadre de la politique interne définie en
collaboration avec la direction, à la définition du cadre des analyses, au choix des
personnes impliquées dans les autres groupes et à la validation des différents
résultats obtenus par les autres acteurs.
Le «MBF groupe pilote» constitue la cheville ouvrière de l’analyse. En suivant
les directives du groupe management, il prépare dans le détail l’ensemble des
analyses pour les faire valider par le groupe équipement puis pour les faire entériner
par le groupe management. Il effectue donc la part la plus importante du travail lié à
la MBF et ne fait appel aux deus autres groupes que pour des apports ciblés et
___________________________________________________________________________
___________________________________________________________________________
ponctuels (l’objectif est de minimiser le temps d’occupation des opérateurs dans la
démarche).
Le «MBF Groupe équipement» est chargé du recueil des données sur le terrain.
Il comprend les personnes venant des services production et maintenance qui
connaissent le mieux l’équipement étudié. Après analyse de l’équipement par le
groupe pilote, il valide et définit les actions de maintenance à entreprendre et élabore
les actions préventives à mettre en place ainsi que leur répartition entre la production
et la maintenance.
L’identification précise des participants des différents groupes est assurée grâce
à une fiche (Figure 10.2). Ceci favorise la responsabilisation de chacun et les
discussions souhaitables pour l’élaboration de ce programme qui concerne toute
l’entreprise. Chaque partie de la «Procédure MBF» est conçue par le «MBF Groupe
Pilote», soumise ensuite à discussion avec les «MBF groupes équipement» et à la
validation finale par le «MBF Groupe Management». Le nombre de participants par
réunion doit être réduit (8 maximum) pour bien prendre compte tous les avis
exprimés et favoriser une démarche constructive.
MBF Maintenance Basée sur la Fiabilité

Entreprise :...................... Projet : ...............
fiche de synthèse de l’étude Site : ..............................................................

par équipement Equipement : ...............................................
MBF Groupe Personnes Réunions Dates Commentaires
Management
Pilote
Equipement
VALIDATION PAR GROUPE MANAGEMENT : ............... DATE : .......................
Figure 10.2. Fiche 1 : Synthèse de l’étude MBF en cours
___________________________________________________________________________
___________________________________________________________________________
5. LES ETAPES DE LA DEMARCHE MBF
Les étapes d’une analyse MBF sont les suivantes :

- Détermination des sites et équipements à étudier
- Analyses des défaillances fonctionnelles :
∗ Préparation des feuilles AMDEC
∗ Validations des feuilles AMDEC
- Etablissement du PMT (Plan de Maintenance Technique)
∗ Préparation des feuilles de taches
∗ Validation du programme de maintenance préventive
- Optimisation et retour d’expérience
∗ Synthèse des relevés et rapports d’intervention
∗ Mise à jour.
5.1. Etape 1: Etude des sites de production
Le choix du premier site à étudier est très important, c’est sur cette première
expérience. Il est donc primordial de faire un choix judicieux. Ce choix est obtenu à
travers la réalisation de la première étape de la démarche (figure 10.3).
Cette étape, consiste en fait, à décomposer l’entreprise en différents sites de
production puis à déterminer les moyens de production du site et de les classer en se
basant sur la connaissance du personnel de l’entreprise et en utilisant la matrice de
criticité SDQ (Figure 10.4). Cette matrice permet de définir les équipements les plus
critiques en se basant sur des critères de Sécurité, Disponibilité et de Qualité. Les
données sont recueillies sous forme de fiche dite fiche SDQ (Figure 10.5)
___________________________________________________________________________
___________________________________________________________________________
étape 1
décomposition entreprise Critères qualitatifs

de l’entreprise en (direction, comptabilité,
différents sites connaissances globales
fonctionnels et de la production
géographiques Classement / Limitation
des sites à étudier
(grandes fonctions de production)
décomposition
topo fonctionnelle
des grandes
fonctions de
productions de
chaque site
Moyens de production
de chaque site
matrice de
criticité
(SDQ)
Classement / Limitation Fiche 2

des moyens à étudier S-DQ
Figure 10.3. Etape 1 : le choix de l’équipement à étudier
sécurité qualité
S Q
Inacceptable
Négligeable
A contrôler
10 CCS
Inacceptable 9 CCP/Q 8 CCP 6 CCP

Disponibilité
A contrôler 7 CCQ 5 CSCP/Q 3 CSCP

D
Négligeable 4 CCQ 2 CSCQ 1 CDT
Figure 10.4. Matrice de criticité SDQ pour les équipements
___________________________________________________________________________
___________________________________________________________________________
MBF Maintenance Basée sur la Fiabilité Entreprise : ................... Projet : ...........

Décomposition des grandes fonctions Date : ...............
de production
SP Site de EQ Equipements S D Q CR Remarques

Production classés
VALIDATION PAR GROUPE MANAGEMENT : ........................... DATE : ................
Figure 10.5. Fiche 2 : liste des grandes fonctions de production
Les critères pris en compte pour effectuer le classement des équipements sont :
la sécurité (S), la disponibilité (D) et la qualité (Q).
L’expérience acquise par le personnel lors du fonctionnement des équipements
et de leur utilisation dans l’entreprise peut favoriser le choix des sites d’étude.
Chaque équipement est conventionnellement classifié selon une notion de
chemin fonctionnel :
- Chemin critique de sécurité (CCS) si S = 1,
- Chemin critique de production (CCP) si D = 1,
- Chemin critique de qualité (CCQ) si Q = 1,
- Chemin sous-critique de qualité (CSCQ) si Q = 0,
- Chemin à défaillance tolérée (CDT) si Q et D = -1.
Par exemple, le groupe prendra en compte :
1. Pour le critère sécurité :

− L’influence de la panne sur l’environnement de travail,
− Les directives réglementaires,
− Les préconisations et expériences malencontreuses.
___________________________________________________________________________
___________________________________________________________________________
2. Pour le critère disponibilité liée à la production et à la maintenance :
− L’influences des arrêts
− L’existence d’un équipement redondant,
− L’influence sur les autres équipements,
− Les fréquences de pannes,
− Les temps d’arrêt dus aux pannes et aux remises en état.
3. Pour le critère qualité :

− Le pourcentage de pertes dues aux équipements
− L’influence sur la qualité finale du produit.
La sécurité est mise à part ; tout équipement dont la défaillance pose un

problème de sécurité doit être placé dans la case de criticité 10 (S = 1).
Trois niveaux sont utilisés pour les critères qualité et disponibilité de
l’équipement :
- Inacceptable (D et/ou Q = 1) :
Tous les efforts doivent être faits pour éviter que la défaillance de cet
équipement ne se produise,
- A contrôler (D et/ ou Q = 0) :
Cette défaillance sera évitée en faisant des rondes d’inspection,
- Négligeable (D et Q = -1) :
La défaillance de cet équipement a des conséquences négligeables et elle ne se
produit pas fréquemment.
Pour l’exemple de la figure 10.4, le «MBF groupe management» a décidé de
privilégier, au niveau de la criticité globale, la qualité du produit fabriqué par
rapport à la disponibilité de l’équipement. Pour un choix inverse, il suffit d’inverser
les cases de la matrice par rapport à sa première diagonale.
5.2. Etape 2. : Analyse des défaillances fonctionnelles
Cette seconde étape comporte également plusieurs phases qui vont être suivies
en utilisant les fiches 3, 4 et 5. C’est la phase la plus délicate. En effet, il faut veiller à
ne pas oublier des paramètres importants pour la sûreté de fonctionnement de
l’équipement étudié. Cette étape prend beaucoup de temps ; on admet que la
définition des fonctions correspond à 30% du temps total d’une MBF.
Pour chacun des équipements classés dans la fiche 2, jusqu’au niveau choisi par
le groupe, on effectue alors une analyse des défaillances qui sont critiques pour
l’équipement.
___________________________________________________________________________
___________________________________________________________________________
On peut distinguer trois phases à cette étape :

- L’analyse fonctionnelle de l’équipement ;
- Les mises en évidences des équipements qui interviennent dans les
défaillances critiques ;
- L’étude AMDEC de ces équipements.
On obtient alors la liste hiérarchisée des causes de défaillances des équipements

qui conduisent à une défaillance fonctionnelle critique de l’équipement.
étape 2
décomposition
méthodes des
fonctionnelle des
intéracteurs
équipements
fonctions des
moyens de production
modes de
défaillance
fonctionnels
matrice de
criticité
(GF)
moyens de
détection
Classement / Limitation
des défaillances Fiche 3
fonctionnelles (E)
Figure 10.6. Analyse des défaillances fonctionnelles
5.2.1. Les méthodes de Analyse fonctionnelle de l’équipement

Les méthodes d’analyse fonctionnelle sont nombreuses. Pour une utilisation
dans un milieu industriel et pour des personnels proche du terrain, la méthode de
l’inventaire systématique du milieu environnant (conforme à la norme X50-153
(AFN92), dite méthode des interacteurs) paraît la plus facile à mettre en œuvre.
___________________________________________________________________________
___________________________________________________________________________
FC1
ME 1
ME 1 objet
à
étudier
FC2
ME 3
ME 5 FP1 FP2
FP = groupe verbal + MEi + MEj

ME 4 FC = groupe verbal + MEk
Figure 10.7. Analyse fonctionnelle externe
élément
extérieur 1
élément 1 Fk 1
élément 2
élément 3 flux
élément 4
élément Fk : Fonction de conception ou

extérieur 2 Fonction interne à l’équipement
Figure 10.8. Analyse fonctionnelle interne
Les buts de l’analyse fonctionnelle sont :

- Fournir une description de chaque moyen de production,
- Etablir une liste de toutes les fonctions et interfaces avec d’autres équipements
et le milieu environnant qui leur sont directement rattachés,
- Permettre l’identification de toutes les défaillances fonctionnelles potentielles.
Cette analyse doit également définir clairement les fonctions cachées (fonctions
en état de veille), ainsi que les défaillances fonctionnelles cachées qui peuvent avoir
une influence critique sur la sécurité des équipements et sur certains paramètres
économiques.
Succinctement, cette méthode permet d’identifier la totalité des fonctions d’un
système à partir des relations de celui–ci avec son environnement.
___________________________________________________________________________
___________________________________________________________________________
Les trois phases de l’analyse sont :

- L’analyse du besoin,
- L’étude de l’environnement,
- La détermination des fonctions de l’équipement.
Ces différentes fonctions sont listées sur la fiche 3. On affecte à chaque fonction
une mesure de l’efficacité de détection E de l’apparition de la défaillance : 1 s’il existe
un moyen de détection et 0 sinon.

Analyse des modes Site : ..............................Date : ..............
de défaillances fonctionnelles Equipement : .........................................
Fonctions de Modes de défaillance Moyens de Grille de

l’équipement fonctionnelle détection criticité
classés
F DF E G F CR
VALIDATION PAR GROUPE SYSTEME N° : ................................ DATE : ................
Figure 10.9. Fiche3 : analyse des modes de défaillance fonctionnelle
Les modes de défaillance fonctionnelles sont donc associés à chaque machine de

production en spécifiant le mieux :
- l’impact de la défaillance sur la sécurité, la production et la qualité,
- la fréquence des défaillances,
- les défaillances non détectées ou ayant peu de chances d’être détectées
pendant l’exploitation,
- les effets induits, par exemple :
* influence sur la sécurité,
* avec un effet significatif du point de vue économique.
___________________________________________________________________________
___________________________________________________________________________
Dans le but de limiter l’étude à l’essentiel, la liste des modes de défaillance est
hiérarchisée en utilisant plusieurs critères. En s’inspirant des éléments du
logigramme de décision décrit au paragraphe suivant et en utilisant une grille de
criticité faisant intervenir la fréquence (F) et la gravité (G) de chaque défaillance
fonctionnelle, on définit une criticité globale de chaque défaillance fonctionnelle pour
effectuer un classement simultané selon la sécurité (S) (1er critère), la non détection
(ND) (2ème critère) et la criticité (CR = F x G) (3ème critère - Figure 10.10). Il est alors
possible de décider de ne pas prendre en considération certaines défaillances.
Pour le troisième critère (fréquence et gravité), quatre niveaux sont utilisés, les
différentes classes sont à établir au niveau du «MBF groupe pilote» pour
homogénéiser ce choix au niveau d’un site. On s’attache à déterminer un nombre
pair de classes pour éviter le choix systématique intermédiaire.
3 Arret Prod. ss rebut

GRAVITE
2 Arrêt prod. et rebut
4 Aucune
1 Casse
Frequence
1/jour 1 1
1/mois 2 6
1/semestre 3 3
1/(>semestre) 4 16
Figure 10.10. Matrice de criticité FG utilisée pour hiérarchiser les différentes défaillances
fonctionnelles
5.2.2. Mises en évidences des composants et équipements qui interviennent

dans les défaillances fonctionnelles critiques
En prenant les différentes fonctions dans l’ordre de la fiche 3, il est nécessaire

maintenant de lier la défaillance fonctionnelle à la décomposition organique de
l’équipement. On passe souvent par la création d’une arborescence représentant la
décomposition topo-fonctionnelle de l’équipement en se limitant aux fonctions les
plus critiques.
___________________________________________________________________________
___________________________________________________________________________
étape 2
Suite
décomposition
méthodes des
organique des
intéracteurs
fonctions
organes impliqués
dans les défaillances
fonctionnelles
Fiche 4
Analyse
AMDEC
Causes, modes, effets
des défaillances des Fiche 5
équipements (M)
Figure 10.11. AMDEC des équipements
Le nombre de niveaux est fonction de la profondeur d’analyse que l’on veut

atteindre ; cependant il est recommandé de ne pas dépasser 3 niveaux par zone
fonctionnelle. On obtient ainsi une liste des éléments maintenables impliqués dans
les défaillances fonctionnelles critiques. La fiche 4 (Figure 10.12) permet de réaliser
cette liste.
Analyse des modes Site : ..............................Date : ..............
de défaillances fonctionnelles Equipement : .........................................
Fonctions de Eléments
Sous-ensembles Spécialités
l’équipement maintenables
F SE
VALIDATION PAR GROUPE EQUIPEMENT N° : ................................ DATE : ................
Figure 10.12. Décomposition organique des zones fonctionnelles

___________________________________________________________________________
___________________________________________________________________________
5.2.3. Etude AMDEC des équipements
Pour chacun des équipements impliqués dans les défaillances fonctionnelle
critiques, une AMDEC simplifiée est réalisée (Figure 10.14). Elle consiste à étudier et
lister les différents modes, cause, effets de défaillances des équipements en utilisant
comme outils de communication au niveau du groupe des méthodologies
généralement bien connues telles que les graphes de Pareto ou les diagrammes
cause/effets
MILIEU DOCUMENTATION ORGANISATION

ENVIRONNEMENT
Sûreté de
fonctionnement d’un
système
HOMMES ORGANISATION
Figure 10.13. Exemple de diagramme causes/effets pour étudier la sûreté de fonctionnement d’un
système (source RATP France)
Entreprise : ................... Projet : ...........

MBF Maintenance Basée sur la Fiabilité Site : ..............................Date : ..............
Analyse des modes et causes Equipement : ...................Fonction

de défaillances et leurs effets Ss ensemble :
Eléments Modes de Causes de la Effets de la

Criticité
défaillance défaillance défaillance
classées
EM MD CD G F CR
VALIDATION PAR GROUPE SYSTEME N° : ................................ DATE : ................
Figure 10.14. Fiche 5. : AMDEC des équipements de base
___________________________________________________________________________
___________________________________________________________________________
La fiche 5 permet de recueillir les différents éléments d’analyse. Elle est

préparée par le groupe pilote puis complétée par le groupe équipement. Il est
important que les notions de mode, cause et effet soient prises à un même niveau
d’analyse organique. En effet, pour des niveaux successifs, il est très probable qu’un
même terme soit successivement interprété comme cause, mode et effet d’une
défaillance. Pour chaque mode de défaillance, on peut trouver plusieurs causes de
défaillance ainsi que plusieurs effets. Ces différentes notions ont été définies au
chapitre 1.
Rappelons que l’effet d’une défaillance est la concrétisation de la conséquence
de la défaillance sur le client de l’équipement étudié. Cet effet peut être local ou agir
sur son environnement (défaillances engendrées).
En fonction de l’axe dans lequel est faite l’AMDEC, les effets peuvent être pris
dans des domaines différents. La figure 10.15. donne quelques types d’effets pour les
différentes composantes de la sûreté de fonctionnement d’un système.
1- Sans influence (négligeable)
2 - Influence mineure sans blessure
Pour la SECURITE
3 - Influence moyenne avec blessure
4 - Influence importante risque de mort
1- Mineures
2 - Significatives
Pour la FIABILITE
3 - Critiques
4 - Catastrophiques
1- Arrêt de fonctionnement < T 1

2 - Arrêt de fonctionnement > T 1 et <T 2
Pour la DISPONIBILITE
3 - Arrêt de fonctionnement > T 2 et <T 3
4 - Arrêt de fonctionnement > T 3
1- MTTR < T 1
2 - MTTR > T 1 et <T 2
Pour la MAINTENABILITE
3 - MTTR > T 2 et <T 3
4 - MTTR > T 3
Figure 10.15. Quelques exemples d’effets de défaillances
C’est au niveau de l’effet que se mesure la gravité de la défaillance de

l’équipement. On peut donc parler de criticité pour chaque triplet (cause-mode-effet)
d’une défaillance en utilisant une matrice de criticité (voir chapitre 9).
La figure 10.16. donne un exemple de niveaux de fréquence et de gravité pour
___________________________________________________________________________
___________________________________________________________________________
un système donné en orientant la gravité sur un arrêt de production.
INDICE DE INDICE DE
CRITERE G CRITERE F
GRAVITE FREQUENCE
Temps d’arrêt Moins d’une fois
1 1
inférieur à 12 heures par an
Temps d’arrêt Moins d’une fois par
2 inférieur à 24 heures 2 mois
Temps d’arrêt Moins d’une fois par
3 3
inférieur à 1 semaine semaine
Temps d’arrêt Plus d’une fois par
4 4
supérieur à 1 semaine semaine
Figure 10.16. Exemple de niveaux de gravité / fréquence
A la fin de cette étape, nous disposons donc d’une liste hiérarchisée,

volontairement limitée aux plus critiques, des modes et causes de défaillance dont
nous voulons éviter ou diminuer les conséquences en mettant en place des actions de
maintenance adaptées.
5.3. Etape 3 : Elaboration du Plan de Maintenance Technique

La figure 10.17 donne les principales phases de cette étape.
étape 3
logigramme
de décision
liste des tâches

envisageables
intervenants, intervalles
Fiche 6
Planification des
tâches
PMT
Fiche 7
Figure 10.17. Etape 3 : décisions de tâches de maintenance
___________________________________________________________________________
___________________________________________________________________________
5.3.1. Le logigramme de décision :

Les étapes précédentes nous ont permis de définir pour chaque cause de
défaillance la valeur des critères E, S, D, Q et M (détectabilité, sécurité, disponibilité,
qualité et maintenabilité). Ils sont reportés sur la fiche de décision (fiche 6 - Figure
10.18).
Entreprise : ................... Projet : ..................
MBF Maintenance Basée sur la Fiabilité Site : ..............................Date : ......................
Décision / Equipement : ...................Fonction ..............
Tâches Ss ensemble : ..................................................
Critères Eléments Tâches Intervalle

Spécifications
proposées préventif
S D Q M E MD CD
VALIDATION PAR GROUPE MANAGEMENT : .............................................. DATE : ............................
Figure 10.18. Fiche 6 : décisions / tâches
Le processus logique conduit à l’une des conséquences ou catégories d’effets

suivants (en fonction des critères S, D, Q, M et E).
- Impact sur la Sécurité (CCS) :
Cette catégorie doit être abordée sachant qu’il doit être compris qu’une action
est nécessaire afin d’assurer un fonctionnement sûr. Toutes les questions pour cette
catégorie doivent être posées. Si, de cette analyse dans cette catégorie, il ne résulte
aucune action (s) efficace (s), alors, une reprise de la conception est obligatoire.
- Impact direct sur la Production (CCP) ou sur la Qualité (CCQ) :
Une action (ou des actions) est souhaitable si elle réduit le risque de défaillance
à un niveau acceptable. Si, au sein du processus logique, toutes les réponses sont
«Non», et si les pénalités opérationnelles sont sévères, une reprise de la conception
est souhaitable, autrement, aucune action de maintenance préventive n’est créée.
___________________________________________________________________________
___________________________________________________________________________
une action de lubrification et/ou entretien oui lubrification et/ou nettoyage
prévient-elle la défaillance ?
non
Une vérification visuelle régulière de l’état du système oui Vérification régulière de l’état
en fonctionnement prévient-elle la défaillance ?
non
la remise en état régulière du système oui remise en état régulière

prévient-elle la défaillance ?
non
le remplacement régulier de l’élément oui remplacement régulier

prévient-il la défaillance ?
non
existe-il une tâche de maintenance conditionnelle ou oui la programmer

prévisionnelle applicable, efficace et économique ?
non
est-il économiquement souhaitable d’attendre oui préparer la tâche

la défaillance ? (maintenance corrective)
non
est-il possible et souhaitable d’éliminer la oui

reconception
défaillance en modifiant le système ?
Figure 10.19. Logigramme de décision des tâches de maintenance
Dans le cas où la défaillance n’est pas détectée de manière évidente (E = 1), le

traitement précédent doit être modifié, une action de maintenance est obligatoire.
Dans le cas où l’élément défaillant est sur un CSCP ou un CSCQ, alors il
convient de faire intervenir la notion du coût de prévention par rapport au coût
engendré par l’apparition de la défaillance.
Une étude de la maintenabilité de l’élément est souhaitable (M=1).
- Une action est applicable lorsqu’elle peut être mise en pratique,
- Une action est efficace si elle permet de réduire le taux de défaillance et de
maîtriser son évaluation,
- Une action est économique si elle peut être réalisée dans des conditions
économiques satisfaisantes.
___________________________________________________________________________
___________________________________________________________________________
5.3.2. Création du plan de maintenance technique

De façon simultanée, il convient de remplir tous les éléments qui constituent un
plan de maintenance planifiée :
− La nature de l’opération (procédure complète),
− Le type de maintenance,
− La période d’intervention,
− Les consignes particulières (état de l’équipement, sécurité des hommes,
confidentialité),
− La qualification et le nombre des intervenants,
− Leurs temps d’intervention,
− Le temps d’indisponibilité pour la production,
− La nature et le nombre de pièces de rechange ainsi que les paramètres de
gestion,
− La nature des outillages,
− La référence et la position de la documentation technique nécessaire.
De manière à établir une fréquence ou un intervalle concernant une action, il

est nécessaire de s’assurer de la disponibilité et de la fiabilité des données
opérationnelles susceptibles de suggérer un intervalle raisonnable.
Le groupe MBF peut utiliser les éléments suivants :
− des connaissances antérieures provenant d’autres équipements similaires,
indiquant qu’une action de maintenance programmée s’est avérée efficace et
acceptable du point de vue économique (activité efficiente),
− des données d’essais en provenance du fabricant/ fournisseur spécifiant
qu’une action de maintenance programmée sera efficace pour la partie de
l’équipement en cours d’évaluation. Il reste à l’utilisateur à démontrer la
justification économique de cette action.
La fréquence / intervalle de l’action peut être aussi établie à priori par du

personnel expérimenté utilisant un jugement d’expert, ainsi qu’en utilisant
l’expérience d’exploitation, conjointement à des données précises (fiabilité,
redondance, etc.).
On obtient alors la liste des tâches de maintenance nécessaires pour obtenir le
niveau de sûreté de fonctionnement choisi en utilisant la fiche 6 (Figure 10.18)
___________________________________________________________________________
___________________________________________________________________________
5.3.3. Planning des tâches de maintenance
Ces résultats sont alors présentés sous forme de détails spécifiques

personnalisés sur la fiche 7 (figure 10.20) afin de constituer le planning de
maintenance. Le programme initial constitue la base d’un programme de
maintenance évolutif et dynamique qui sera par la suite modifié par le retour.
Entreprise : ................... Projet : ...........

MBF Maintenance Basée sur la Fiabilité Site : ..............................Date : ..............
Equipement : ...................Fonction
Planification des tâches
Ss ensemble : ..........................................
Date de la
Eléments Tâches Intervenants Commentaires première
intervention
VALIDATION PAR GROUPE MANAGEMENT : .............................................. DATE : ...................................
Figure 10.20. Fiche 7 : actions de maintenance
5.4. Etape 4. : Optimisation du plan de maintenance, retour

d’expérience :
Le programme de maintenance initial est basé sur l’information disponible au

moment de l’analyse.
L’équipement nécessite un programme de maintenance dynamique ainsi q’une
logistique de maintenance capable de recueillir et d’analyser les données
d’exploitation tout au long de sa vie.
___________________________________________________________________________
___________________________________________________________________________
L’expérience peut être utilisée afin d’améliorer le programme de maintenance

en examinant l’efficacité de chaque action et en déterminant son coût par rapport
au coût de la défaillance qu’elle évite.
étape 4
rapports
d’intervention mise en place d’une
boucle améliorative
mise en place
d’indicateurs
études de
fiabilité
analyse des
données
Base de connaissance
de l’entreprise
Figure 10.21. Etape 4 : l’étape itérative de la MBF
Le retour d’expérience est constitué d’un recueil d’informations relatives au

fonctionnement des différents équipements, que l’on peut stocker dans une base de
données, dans quatre parties bien distinctes :
- les données sur la fiabilité,
- les événements,
- l’historique des équipements,
- les informations spécifiques détenues par le département Maintenance.
On pourra s’aider du tableau 10.1. pour essayer de balayer complètement les

tâches au cours de cette remise en cause du PMT. Le délai entre deux reprises est
généralement de 6 mois.
___________________________________________________________________________
___________________________________________________________________________
Tableau 10.1. : Tableau d’aide à la décision pour le retour d’expérience
défaillance défaillance il existe un stratégie

sur CCS, CCP vécue plan de
ou CCQ maintenance
oui oui oui maintenir ou optimiser le plan de
maintenance
oui oui non élaborer un plan de maintenance
oui non oui simplifier le plan de maintenance
oui non non évaluer l’intérêt du plan de
maintenance
non oui oui revoir la criticité et supprimer le
plan de maintenance
non oui non revoir la criticité et maintenir une
maintenance corrective
non non oui supprimer le plan de maintenance
non non non confirmer la maintenance
corrective existante
La prise en compte des rapports d’interventions des travaux de maintenance,

et plus particulièrement des relevés de maintenance préventive (échange standard,
surveillance préventive, révision, rénovation, reconstruction, inspection, contrôle,
visite, test) est utile pour valider ou infirmer le programme de maintenance planifiée.
Le détail des défaillances collectées permet de préparer des analyses de
défaillance de système non encore traité ou d’optimiser ceux qui existent déjà.
L’utilisation de base de données techniques génériques est recommandée dans
le cas de la mise en place d’un outil de retour commun à plusieurs entreprises du
même domaine.
Dans le cas de la persistance d’une défaillance, un certain nombre de questions
doivent être posées, par exemple :
- Existe-il une tâche de maintenance préventive prévue ?
- Si oui, est-elle bien adaptée ?
* si oui, augmenter la fréquence,
* si non, modifier la tâche
- Si non, ajouter une action de maintenance préventive, si possible
* simple à mettre en place
* prenant en compte l’expérience des personnels et l’historique des
défaillances
* évolutive
___________________________________________________________________________
___________________________________________________________________________
Figure 10.22. Mise en place d’une boucle améliorative et d’un retour d’expérience
La prise en compte des feuilles de suivi des opérateurs de production est à

étudier si elles tiennent compte des arrêts et des actions préventives des opérateurs.
La mise en place d’indicateurs adaptés (exemple TRS : voir cours de la gestion
de la maintenance) ainsi mise en place (rapports trimestriels, semestriels, annuels).
Ce système d’information peut également être utilisé pour mettre en place une
aide au diagnostic à la disposition des opérateurs ou des techniciens de maintenance.
6. CONCLUSION
L’approche simplifiée ou globale que propose la méthode MBF s’inscrit dans

une démarche à court ou long terme pour une étude rapide d’un équipement qui
pose problème ou pour une analyse sélective ou générale des équipements, des
défaillances et des causes de défaillances rencontrées dans l’entreprise.
Les résultats escomptés de l’analyse sont de quatre types :
- connaître les fonctions utilisées,
- avoir une meilleure connaissance des défaillances et des causes de
défaillances,
___________________________________________________________________________
___________________________________________________________________________
- définir un programme de maintenance préventive pour chaque équipement,
- responsabiliser le personnel
Les bénéfices à retirer du programme de maintenance planifié sont :

- une plus grande vigilance de la sécurité des hommes,
- une amélioration du fonctionnement des équipements,
- une meilleure approche des coûts effectifs de maintenance,
- une durée de vie allongée pour les équipements onéreux à l’achat,
- faire participer la production au bon état de l’équipement,
- Obtenir la coopération Production / Maintenance et responsabiliser le
personnel.
Lors de l’utilisation des données d’historiques, une attention particulière doit

être portée sur le niveau de confiance de celles-ci et sur leur interprétation. En effet,
une utilisation erronée de retour d’expérience entraîne une dégradation de la MBF.
Dans le cas où les données n’existent pas, la méthode MBF peut être utilisée avec
bénéfice, le jugement d’expert y est plus important.
En effet, les historiques sont généralement obtenus à partir des rapports
d’intervention remplis par les intervenants. Ces données sont donc plus orientées
réparation et il est difficile d’en extraire les causes, modes et effets de défaillances. Le
critère détection n’est pas souvent noté et les défaillances sont donc déduites des
historiques par l’interprétation d’une personne qui ne connait donc plus les
conditions d’exploitation au moment de la défaillance.
La méthode MBF, par ses démarches participatives dans la conception du
programme de maintenance planifiée et avec l’implication du personnel de
production et de maintenance à la gestion de l’outil de travail, est le premier pas vers
la TPM (Total Productive Management, voir cours de maintenance industrielle) et
vers la certification, car elle permet en particulier :
- la définition des missions de chacun,
- le développement du préventif par rapport au correctif,
- la création d’un plan de maintenance
- la mise en place d’outils d’analyse AMDEC,
- les bases de données pour une amélioration continue.
___________________________________________________________________________

Fiabilité - Maintenabilité - Disponibilité

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Fiabilité - Maintenabilité - Disponibilité

Uploaded by

Copyright:

Available Formats

Chapitre1 Cours de Contrôle et Fiabilité

CHAPITRE 1 : PRINCIPAUX CONCEPTS

Les activités industrielles et humaines sont presque quotidiennement sujet

2. LA SURETE DE FONCTIONNEMENT (SdF)

2.1. Les enjeux de la sûreté de fonctionnement

La sûreté de fonctionnement (SdF) consiste à connaître, évaluer, maîtriser,

Figure 1.1. Les enjeux de la sûreté de fonctionnement

2.2. Évolution de la discipline

La SdF est appelée la science des « défaillances ». D’autres désignations existent

2.3. Missions et fonctions

MISSION Larguer un satellite

Fonction 1 Fonction 2 Fonction 3 Fonction N

2.4. Avant Projet

2.5. Description des procédés industriels

Au sens très large : Un processus assure la fabrication d’un produit ou fournit

2.5.1. Description générale

2.5.2. Description fonctionnelle

MACHINE À LAVER Fonction : laver et

CIRCUIT DE CIRCUIT DE CIRCUIT DE CIRCUIT DE 2ème niveau

Alimentation Pompage de Motorisation Evacuation 3ème niveau

Figure 1.3. : Description fonctionnelle d’une machine à laver la vaisselle

Des méthodes issues des techniques de l’analyse de la valeur et de l’analyse

Figure 1.4 : Représentation d’un système

Exemple : le système de propulsion d’un avion quadriréacteur comporte les 4

Dans la suite de ce cours, on utilisera les termes suivants :

(PIECE) ⊂ (COMPOSANT) ⊂ (SOUS-SYSTEME) ⊂ (SYSTEME

2.5.3. Description matérielle

3. LES PRINCIPALES COMPOSANTES DE LA SURETE DE

L’aptitude contraire sera dénommée « défiabilité » ; sa mesure est notée :

R(t) = 1 – R(t) (1.2)

3.1.2. Types de fiabilité

Fiabilité opérationnelle Effets des actions de

Figure 1.5 : Evolution de la fiabilité opérationnelle pendant la durée de vie

3.1.3. Qualité et Fiabilité

L’aptitude contraire sera dénommée « indisponibilité » ; sa mesure est notée

C’est l’aptitude d’une entité à être maintenue ou rétablie, sur un intervalle de

M(t) = P [E est réparée sur [0,t]] (1.5)

L’aptitude contraire sera dénommée « immaintenabilité » ; sa mesure est notée

Cette notion ne concerne que les systèmes réparables. En d’autres termes, la

De nombreux concepts liés à celui de maintenabilité on été définis ;

3.3.1. Assurance de la maintenabilité

Pour assurer une bonne maintenabilité

Il faut intervenir tout au Il faut intégrer les concepts

* Facilité la réalisation des opérations de maintenance

Figure 1.6 : Assurance de la maintenabilité

3.3.2. Autres concepts relatifs à la maintenabilité

3.4.1. Evaluation de la sécurité

3.5. Relation entre fiabilité, maintenabilité, disponibilité et

Logisti que de Disponibilité

Figure 1.7 : Relation entre fiabilité, maintenabilité, disponibilité et sécurité

3.6. La SdF : une composante de la performance industrielle

La SdF est une composante de la performance industrielle. En effet, l’obtention

Les actions à engager dans les trois domaines de la qualité, de la maintenance et

Figure 1.8. : Sécurité, Qualité, Maintenance des démarches complémentaires

4.1. Définition de la défaillance

4.1.1. La défaillance fonctionnelle

Figure 1.9. : Défaillance et dégradation

4.2. Les causes d’une défaillance

«Ce sont les circonstances liées à la conception, la fabrication ou l’emploi et qui

d’une dégradation physique d’un environnement défavorable

Etat physique du système

PANNE Effet fonctionnel local PANNE

ERREUR Effet fonctionnel ERREUR