Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Aucune catégorie
Telechargé par Mustapha Mtm

cours-de-surete-de-fonctionnement-v3

publicité 
Sûreté de
Fonctionnement (SdF)
QUALITÉ, LOGISTIQUE INDUSTRIELLE ET ORGANISATION
Youness EL ATTABI – Novembre 2011
Avant de commencer...
Présentations :
Mon parcours
Le programme des sessions
Votre présentation
Prénom, nom, entreprise d’accueil, fonction
Mes attentes, mes objectifs
Facteurs de réussite
Contenu
0 Etalonnage ; contenu du module / connaissances actuelles
Questions/Réponses
1.
Introduction
1.1
Généralités ou comment construire ensemble la définition de la sûreté de fonctionnement
1.2
Historique
1.3
Définitions – Abréviations
2
Méthodes et outils de la sûreté de fonctionnement
2.1
Principe de la sûreté de fonctionnement
2.2
But de la sûreté de fonctionnement
2.3
Etudes de sûreté de fonctionnement
2.4
Outils utilisés en sûreté de fonctionnement
2.4.1
Analyse fonctionnelle externe (AFE)
2.4.2
Analyse fonctionnelle interne (AFI)
2.4.3
Analyse préliminaire de risques (APR)
2.4.4
Arbre de défaillances (ADD)
2.4.5
Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC)
3
Fiabilité prévisionnelle et opérationnelle
3.1
Probabilités : généralités
3.2
Modes de défaillance
3.3
Fonctions de base de fiabilité
3.4
Lois rencontrées en SdF
3.5
Notion de robustesse
0. Etalonnage :
contenu du module / connaissances actuelles
Périmètre illustré de l’enseignement
Utilisation électrique
Expression du besoin
Analyse du besoin
Prestations
Livrable : Prestations
attendues
attendues
Consommation
électrique diverse...
Analyse fonctionnelle
du besoin
Analyse fonctionnelle
du produit
Analyse
dysfonctionnelle
Modélisation
Fonctions
attendues : CDCF
Solutions
techniques
Identification des
risques
Diagramme de
fiabilité
ST 68 : Béton α
Ferraillage β
ST 69 : ...
Mode de défaillance :
D45 : casse structure
D46 : ...
FC 32 : Résister au
Tsunami
FC 33 : .....
Pour ST défini
P(D45) = 3.10-4
P(D46) = ...
Périmètre illustré de l’enseignement
Assurance Qualité d’une
étude de sûreté de
fonctionnement
Phase 1 Définition du
besoin
Phase 2 Analyse
Fonctionnelle
Phase 3 Analyse des
défaillances
Phase 4 Validation
des objectifs
Ce n’est pas que de la théorie...
A qui rend service le produit ?
Sur quoi agit le système ?
Protéger des
ambiances ext.
Analyse
Fonctionnelle
L’utilisateur
Décompositions
fonctionnelle et
Matérielle
Véhicule
Etre
étanche à
l’eau,
l’air,
poussière
Rayon de
courbure
plan (XZ)
Largeur du
contact du
joint
PRODUIT
Parebrise
Ruissèlem
ent d’eau
« Vis de
12 »
Joint
…
O/N
Niveau
Définition
Défaillance 1 : Fuite d’eau
Analyse
préliminaire des
risques
Défaillance 2 : Fuites d’air
Défaillance 3 : .....
G1
vert
G2
jaune
Fiabilité
/
disponibilité
O/N
Insatisfaction ou dégradation
d'une prestation ou d'une
fonctionnalité du véhicule
Performances générales du véhicule
conservées ; L’utilisateur peut continuer à
utiliser son véhicule ; il n’y a pas
d’impératif à une intervention
Perte d'une prestation ou d'une
fonctionnalité du véhicule
Apparition de symptômes gênant ;
l’utilisateur peut continuer à utiliser son
véhicule, mais une intervention s’impose
rapidement
- Impossibilité de commencer un trajet
- Impossibilité de finir un trajet par la perte
d'une fonction principale ou par le non
Le véhicule est indisponible pour
respect de la réglementation (risque de
l'utilisateur
contravention)
- Impossibilité de stationner le véhicule en
l'état (risque d'inviolabilité)
G3
orange
G4
rouge
Commentaires pour info, liste non
exhaustive
Sécurité
Risque de dommages corporels
pour l’homme
- Peut potentiellement entraîner un
accident de la circulation
- Risque de dommage corporel sans
accident de la circulation
Ce n’est pas que de la théorie...
Analyse
Gravité
Fuite d’eau
Qualitative et
Quantitative des
défaillances
Calcul de la criticité
des défaillances
Déformation du
PB sous
contrainte
Mauvais design
piste de collage
Continuité
O/N
Orientation
Situation de vie/Fonction/Critère
AMDEC
Détection
Problème d'étanchéité
du au joint de feuillure
Effet
Mode
Défaillance
Cause
Etat
surface
Validation
Occurrence
Préparation
surface
Initial
G O D IPR
de défaillance de
O/N
Evolution
Responsable
Date
Initial
G O D IPR
Action
Etat
Essai Véhicule :
douche usine
OK
Client
12/1/1998
Augmentaion
epaisseur :
passage en
2.1/2.1
OK
Client/Fournisseur
12/3/1998 7 2 2 28
NA
NA
Véhicule en roulage
Fonction F1 : Isoler l'habitacle et les
occupants de l'environnement extérieur
Analyse des modes
leurs effets et de la
criticité
IPR = G x O x D
F1.1-Etre étanche à l'air et à l'eau
Mécontentement
client
Rentrée d'eau ou
d'air dans le Déformation
PB sous
*Calcul
véhicule
contrainte
Mauvais
design piste Validation
de collage collage
7 5 6
7 3 2
210
42 NA
NA
7 3 2 42
1. Introduction
1.1 Généralités
Avez-vous déjà entendu parlé dans les médias d’accidents corrélés au
mauvais fonctionnement d’un système dans les industries
pétrochimiques, nucléaires, automobiles, spatiales, aéronautiques...?
Que s’est-il passé pour chacun de ces systèmes?
Les systèmes qui nous entourent peuvent-ils également contenir les
mêmes risques de défaillance? Peut-on être sûr de leur
fonctionnement?
Que feriez-vous en tant que Qualiticien pour rassurer les Lyonnais par
exemple quand au fonctionnement de la centrale nucléaire de Bugey,
de l’aéroport Saint-Exupéry, ou du réseau de distribution d’eau?
Durée 5mn/Présentation 5mn/Présentation par groupe de travail
1.1 Généralités - Réponses
Evénements médiatiques catastrophiques impliquant la défaillance de systèmes :
Bhopal (Inde, 1984) : usine de pesticides, 2 000 victimes officiellement ;
Navette Challenger (USA,1986) : explosion et perte de l’équipage ;
Tchernobyl (URSS, 1986) : explosion et fusion du cœur du réacteur suivies de fuites radioactives ;
Exxon Valdez (Alaska, 1989) : 40 000 t de brut, marée noire ;
Que s’est-il passé pour chacun de ces systèmes :
Le zéro défaut ou le risque zéro n’existe malheureusement pas pour les activités industrielles à cause
de l’occurrence de défaillances humaines ou matérielles. Ces défaillances internes ont conduit les
systèmes à ne plus remplir une ou plusieurs fonctions pour lesquelles ils ont été conçu.
Peut-on être sûr du fonctionnement des systèmes qui nous entourent?
Le lien de confiance qui existe entre les utilisateurs d’un système et le système en question est lié à
l’occurrence de ses défaillances. Il est totalement rationnel que des usagers délivrent une confiance
réduite à un système dont la défaillance a été constatée. Ainsi un débat sur l’énergie nucléaire a été vif
dans un grand nombre de pays suite à la catastrophe de Fukushima au Japon.
Quel rôle doit tenir le qualiticien
Comme tout bon qualiticien, le qualiticien Lyonnais fait preuve de rigueur et procède par étapes :
1. Définir un objectif : Tenter de réduire les risques (leur élimination totale étant illusoire) à un
niveau le plus faible possible et acceptable par l’opinion publique
2. Evaluer les risques potentiels
3. Prévoir l’occurrence des défaillances
4. Tenter de minimiser les conséquences des situations catastrophiques lorsqu’elles se produisent.
1.1 Généralités
Fort de ces réponses proposez une définition de la Sûreté de
fonctionnement.
Durée 5mn/Présentation 5mn/Présentation par groupe de travail
1.1 Généralités
Définition de la sûreté de fonctionnement
La Sûreté de Fonctionnement est l'aptitude d'un système à satisfaire à une ou plusieurs fonctions
requises dans des conditions données
La Sûreté de fonctionnement consiste à connaître, évaluer, prévoir, mesurer et maîtriser les
défaillances des systèmes technologiques et les défaillances humaines.
La Sûreté de fonctionnement est appelée la science des « défaillances ». D’autres désignations
existent suivant les domaines d’applications :
analyse de risque (milieu pétrolier),
aléatique,
cyndinique (science du danger),
FMDS (Fiabilité, Maintenabilité, Disponibilité, Sécurité), en anglais RAMS (Reliability, Availability,
Maintainability and Safety) :
La fiabilité est la probabilité de non-défaillance d’un équipement sur un intervalle de
temps donné
La disponibilité se définit par la probabilité d’être en état d’accomplir sa fonction à un
instant donné.
La maintenabilité est l’aptitude d’un système à être maintenu en état : Elle correspond
à la probabilité que la remise en état d’une entité en panne soit effectuée dans un
intervalle de temps.
La sécurité implique actuellement les aspects réglementaires de la sécurité des
personnes
1.2 Historique
Les premières démarches de fiabilité : (début du siècle)
•
•
Transport ferroviaire : recueils statistiques des pièces mécaniques
Production/Distribution électrique : Redondances de transformateurs et de lignes de distribution.
Théorie fausse de l’époque : la fiabilité d’une chaîne dépendait directement de celle du maillon le plus faible
Introduction de la statistique : les années 30
•
•
•
Transports aériens : évaluation de la sécurité opérationnelle des vols d’aéronefs propulsés par un, deux, trois et
quatre moteurs. A cette occasion et pour la première fois, on a introduit des objectifs chiffrés en termes de
probabilité d’occurrence d’accident par heure de fonctionnement (1 accident pour 100 000 h de vol en 1939).
Industrie militaire : Fin du concept du maillon le plus faible ; le mathématicien Robert Lusser lors de son étude
pour analyser les problèmes de fiabilité de la fusée V1 définit la loi de probabilités de défaillance d’éléments
placés en série. Il démontra que pour N éléments mis en série et ayant la même probabilité de défaillance P, la
probabilité de défaillance des N éléments en série était égale à PN.
Industrie aérospatial : En 1949, le capitaine Murphy énonça sa fameuse loi « If anything can go wrong, it will »
(Si un problème risque de se produire, cela arrivera).
Notions de fiabilité en électronique : les années 50
L’avènement de l’électronique à tubes dans des équipements techniques de plus en plus complexes fit prendre
conscience de l’importance de leur fiabilité. On arriva à des situations telles que de nombreux systèmes n’étaient
disponibles qu’environ 30% de leur temps. En vue de quantifier la fiabilité des composants, les premiers
indicateurs chiffrés firent leur apparition (temps moyen de fonctionnement entre défaillance (FMED) ou en
anglais, MTBF (mean time between failure) pour servir de base aux premières clauses contractuelles de fiabilité.
1.2 Historique
Analyse des défaillances : les années 60
•
Aéronautique/Spatial : Les programmes de missiles intercontinentaux et la conquête spatiale (programmes
Mercury et Gemini) des États-Unis ont formalisé l’essentiel des méthodes d’analyse de la Sûreté de
fonctionnement utilisées encore aujourd’hui : analyse des modes de défaillance et de leurs effets (aéronautique et
LEM) ; arbres des causes (aéronautique, missile Minuteman), méthode des combinaisons de pannes (SNIAS :
Concorde, puis Airbus), méthode du diagramme du succès et méthode THERP (Technique for human error rate
prediction).
•
L’académie française accepta pour la première fois l’usage du terme fiabilité.
Evaluation des risques : les années 70
•
Applications nucléaires : Diffusion des techniques d’évaluation opérationnelles et prévisionnelles de la fiabilité et
acceptation de la notion probabiliste de la sécurité dans les secteurs industriels présentant des risques pour les
biens, les personnes et l’environnement. Apparition des arbres de défaillance et arbres de conséquence à cette
époque.
Formalisation, généralisation de la Sdf dans tous les secteurs d’activité : De 1980 à nos jours
Les deux dernières décennies avant l’avènement du troisième millénaire ont été marquées par la prise en compte dans les
études de Sûreté de fonctionnement de la pénétration de l’informatique industrielle et des facteurs humains, avec
l’apparition de nouveaux outils : chaînes de Markov, réseaux de Pétri, simulation... ; HCR, HEART (pour les facteurs
humains) ; utilisation de logiciels de calcul de fiabilité ; modélisation et simulation des accidents (dispersion de
gaz...).
En conclusion, il n’existe désormais pratiquement aucun domaine d’activité industrielle dans les
pays développés où la Sûreté de fonctionnement n’est pas prise en compte (même partiellement)
dans tout le cycle de vie du produit (conception, fabrication, exploitation, maintenance et mise au
rebut).
1.2 Définitions - Abréviations
SdF : Sûreté de Fonctionnement (Dependability), aptitude d'une entité à satisfaire à une ou plusieurs fonctions requises
dans des conditions données.
FMDS (RAMS) : Fiabilité, Maintenabilité, Disponibilité et Sécurité, acronyme pour désigner la sûreté de fonctionnement.
PPM (ou K‰) : Pièces Par Million, valeur de 1 million de fois le rapport entre un nombre cumulé d’incidents et un nombre de
produits finis.
AFE (EFA) : Analyse Fonctionnelle Externe (External Functional Analysis), méthode visant à décrire de façon exhaustive les
fonctions à réaliser pour satisfaire les besoins réels de l’utilisateur. Elle peut être également appelée Analyse Fonctionnelle
du Besoin.
AFI (IFA) : Analyse Fonctionnelle Interne (Internal Functional Analysis), analyse visant à décrire comment les composants
du système étudié participent à la réalisation des fonctions. Elle peut être également appelée Analyse Fonctionnelle
Technique.
APR (PRA) : Analyse Préliminaire de Risques (Preliminary Risks Analysis), méthode visant à fournir l’ensemble des
événements redoutés prévisionnels dans toutes les phases de vie du système étudié.
ADD (FTA) : Arbre De Défaillances (Fault Tree Analysis), outil destiné à déterminer les causes ainsi que la combinaison
entre ces causes, qui pourraient conduire à la réalisation d’un événement redouté (ER).
AMDEC (FMECA) : Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (Failure Modes, Effects and
Criticality Analysis)
Méthode d'analyse d'un système qui comprend une analyse des modes de défaillance et de leurs effets, complétée par une
analyse de criticité des modes de défaillance.
ER (RE) : Evénement Redouté (Risk Event), l’évènement redouté se définit comme la manifestation de la défaillance. Il
s’exprime donc en termes de gêne pour le client.
Défaillance (Failure) :Cessation de l’aptitude d’une entité à accomplir une fonction requise.
Mode de défaillance (Failure Mode) : Manière de dont un système peut arrêter d’assurer ses fonctions. Il s’exprime en
termes physiques (rupture, fatigue, coincement, fuite, court-circuit…), chimiques ou autres ayant entraînés une défaillance.
1.2 Définitions - Abréviations
Fiabilité R(t) (Reliability) :La fiabilité est l'aptitude d'un composant ou d'un système à fonctionner pendant un intervalle de temps. Plus
précisément, la fiabilité est l'aptitude d'une entité à accomplir une fonction requise, dans des conditions données, durant un intervalle de
temps donné. Le terme fiabilité est également utilisé pour désigner la valeur de la fiabilité et peut être défini comme une probabilité. C'est
alors la probabilité pour qu’une entité puisse accomplir une fonction requise, dans des conditions données, pendant un intervalle de
temps donné. La notion de fiabilité est associée à celle de taux de défaillance.
Maintenabilité (Maintainability) : La maintenabilité est l'aptitude d'un composant ou d'un système à être maintenu ou remis en état de
fonctionnement. Plus précisément, la maintenabilité est, dans des conditions données d'utilisation, l'aptitude d'une entité à être maintenue
ou rétablie dans un état ou elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données,
en utilisant des procédures et des moyens prescrits. Le terme maintenabilité est également utilisé pour désigner la valeur de la
maintenabilité. C'est alors, pour une entité donnée, utilisée dans des conditions données d’utilisation, la probabilité pour qu’une opération
de maintenance active puisse être effectuée pendant un intervalle de temps donné, lorsque la maintenance est assurée dans des
conditions données et avec l’utilisation de procédures et des moyens prescrits.
Disponibilité (Availability) : La disponibilité est l'aptitude d'un composant ou d'un système à être en état de marche à un instant donné.
Plus précisément, la disponibilité est l'aptitude d’une entité à être en état d’accomplir une fonction requise dans des conditions données, à
un instant donné, en supposant que la fourniture des moyens nécessaires est assurée. Le terme disponibilité est également utilisé pour
désigner la valeur de la disponibilité et peut être défini comme une probabilité. C'est alors la probabilité pour qu’une entité puisse
accomplir une fonction requise, dans des conditions données, à un instant donné.
Sécurité (Safety) : La sécurité est l'aptitude d'une entité à ne pas conduire à des accidents inacceptables. Plus précisément, la sécurité
est l'aptitude d'un produit à respecter, pendant toutes les phases de vie, un niveau acceptable de risques d'accident susceptible de causer
une agression du personnel ou une dégradation majeure du produit ou de son environnement.
Durabilité (Durability) : Aptitude d’une entité à accomplir une fonction requise dans des conditions données d’utilisation et de
maintenance, jusqu’à ce qu’un état limite soit atteint. Lorsque le système est réparable, l’état limite est au-delà duquel on ne répare plus.
Fonction défaillance F(t) (Unreliability) : La fonction défaillance représente la probabilité d’être défaillant avant un temps, kilométrage
ou un nombre de sollicitations donné. Rq : si on désigne la fonction fiabilité par R (Reliability), la fonction défaillance F (Failure) est égale
à 1-R. Chez certains clients, elle peut se retrouver sous la dénomination « défiabilité ».
2. Notions et outils
fondamentaux
2.1 Principe de la sûreté de fonctionnement
La sûreté de fonctionnement (SdF) est l'aptitude d'une entité à
satisfaire à une ou plusieurs fonctions requises dans des
conditions données.
La sûreté de fonctionnement regroupe quatre notions :
La fiabilité
La maintenabilité
La disponibilité
La sécurité.
2.2 But de la sûreté de fonctionnement
Le but de la sûreté de fonctionnement : mesurer la qualité de
service délivré par un système, de manière à ce que l’utilisateur
ait en lui une confiance justifiée.
Cette confiance justifiée s’obtient à travers une analyse
qualitative et quantitative des différentes propriétés du service
délivré par le système, mesurée par les grandeurs probabilistes
associées : fiabilité, maintenabilité, disponibilité, sécurité.
2.3 Etudes de sûreté de fonctionnement
Les études de sûreté de fonctionnement regroupent les activités d'évaluation
prévisionnelle de la fiabilité, de la maintenabilité, de la disponibilité et de la sécurité
d'une organisation, d'un système, d'un produit ou d'un moyen.
Ces évaluations permettent, par comparaison aux objectifs ou dans l'absolu,
d'identifier les actions de conception ou d'amélioration de l'entité pour atteindre le
niveau voulu.
Ces études consistent généralement à analyser les effets des pannes,
dysfonctionnements, erreurs d'utilisation ou agressions de l'entité étudiée.
L’étude de sûreté de fonctionnement comporte deux volets complémentaires :
Analyse fonctionnelle va détailler la manière dont le système va opérer dans
toutes ses phases de vie ainsi que les autres systèmes avec lesquels il va
pouvoir interagir,
Analyse dysfonctionnelle vise à imaginer l’ensemble des défaillances pouvant
survenir n’importe où dans le système, seules ou combinées entre elles, et à
analyser leur impact.
Les résultats de ces deux études sont mis en commun dans une modélisation du
système qui va représenter virtuellement celui-ci avant sa réalisation, tant dans son
fonctionnement attendu que dans les pannes susceptibles de lui arriver.
En étudiant cette modélisation, il devient alors possible de valider ou invalider une
solution technique, optimiser des choix architecturaux, remplacer des composants
critiques, ceci dans le but de :
réduire au maximum les risques ;
réduire au maximum les coûts d’exploitation ;
tolérer, dans la mesure du possible, certaines fautes en autorisant un
fonctionnement en mode dégradé sous certaines conditions.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
L’analyse fonctionnelle externe (ou analyse fonctionnelle du besoin) est un outil qui
décrit de façon exhaustive les fonctions à réaliser pour satisfaire les besoins réels de
l’utilisateur.
Son principe est de considérer l’objet de l’étude comme une boîte noire, et de le
placer dans son environnement d’utilisation pour décrire ce qu’il doit faire, faisant
abstraction des solutions.
Cette approche se déroule en 7 phases :
Phase 1 : Définir les limites du système
Phase 2 : Valider le besoin du système
Phase 3 : Rechercher les situations de vie
Phase 4 : Lister les environnants au système par situation de vie
Phase 5 : Rechercher les relations entre le système et ses environnants (les
fonctions)
Phase 6 : Libeller ces fonctions
Phase 7 : Caractériser ces fonctions.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
Phase 1 : Définir les limites du système
Cette phase a pour but de définir ce qu’est notre système et ce qui n’en fait pas partie.
Pour cela, nous pouvons utiliser une décomposition hiérarchique du produit appelée découpage
PBS (Product Breakdown Structure). C’est notamment au niveau des interfaces que cette
définition des limites est importante.
Pare-brise
Feuille de verre
ext.
Feuille de verre
int.
Rétroviseur
Capteur DDP
Balais essui-vitre
Feuille PVB
Joint étanchéité
Emaillage
Embase
rétroviseur
Support capteur
DDP
Colle
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
Phase 2 : Valider le besoin du système
•
•
Avant de se lancer dans la conception d’un nouveau système, il est évident qu’il est
intéressant de se poser la question de son utilité et de la pérennité de celui-ci.
L’outil destiné à valider le besoin d’un système est appelé « bête à cornes » en liaison
avec son mode de représentation.
A qui ça
sert ?
Sur quoi ça
agit ?
Système
But ?
- Pour faire quoi ?
- Pourquoi ?
Disparition ?
« Bête à cornes »
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
Phase 2 : Valider le besoin du système
« A qui ça sert ? »
Il s’agit de définir le client premier du système. Evidemment, s’il n’y a pas de client, c’est que le
système ne servira à rien.
•
« Sur quoi ça agit ? »
Le but est de définir quel environnant principal sera modifié par le système étudié. Si le système
ne doit modifier aucun environnant, encore une fois il ne servira à rien.
•
« Pour faire quoi ? »
Cette question doit préciser l’objet du système, que doit-il faire précisément. Encore une fois, s’il
ne fait rien, c’est qu’il ne sert à rien.
•
« Pourquoi ? »
Cette question va nous amener à réfléchir sur le but premier du système.
•
« Disparition »
Cette question sert à étudier la pérennité du système. Cette disparition peut être entraînée par la
perte du client (A qui ça sert ?), par la perte de l’environnant (Sur quoi ça agit ?), par le fait
de faire la même chose d’une autre manière (Pour faire quoi ?) ou par la perte de l’objet
premier du système (Pourquoi ?).
Ainsi, si les points de disparition semblent porter une probabilité faible, ce système pourra être
lancé ou, dans le cas contraire, il sera stoppé ou réorienté.
•
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
Phase 2 : Valider le besoin du système
Exercice : Faire la bête à cornes du système représenté cidessous
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
Phase 2 : Valider le besoin du système
Corrigé :
A qui ça
sert ?
Sur quoi ça
agit ?
Système
A l‘homme
But ?
- Pour faire quoi ?
- Pourquoi ?
Sur un support d'écriture
(ex : feuille de papier)
Disparition ?
« Pour faire quoi ? » : Pour laisser des traces sur un support d'écriture de la pensée, du savoir, …de
l'Homme
« Pourquoi ? » : Parce que l'Homme ne peut garder présent à l'esprit et pour toujours, l'ensemble de ce
qu'il pense, de ce qu'il sait...
«Disparition ? » :
•Perte de l’homme : Probabilité faible
•Perte du support d’écriture : Probabilité faible
•Perte du but :
-il est possible de faire la même chose différemment => outil informatique
-le but premier du système n’est pas remis en cause
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
Phase 3 : Rechercher les situations de vie
Les situations de vie représentent les différentes phases dans lesquelles se trouvera
le produit tout au long de son existence (allant de sa fabrication jusqu’à
sa destruction et recyclage), chacune d’entre elles pouvant influer sur son design.
Situations de vie du
Pare-brise
Fabrication
Logistique / stockage
Montage en usine
Véhicule à l'arrêt
Utilisation du Pare-brise
Chocs parking
Lavage / entretien
Véhicule en roulage
Roulage normal
Chocs
Réparation
Recyclage
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
Phase 4 : Lister les environnants au système par situation de vie
Cette phase consiste à rechercher les éléments physiques qui sont en relation avec le
système dans la situation de vie étudiée.
Ces éléments peuvent être les autres composants du système de niveau n+1,
l’ambiance dans laquelle se trouve le système, l’utilisateur du système ou l’environnant
qui doit être modifié.
Pare-brise
Utilisateur
Monteur
Ambiance extérieure
...
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
Phase 5 : Rechercher les relations entre le système et ses
environnants (les fonctions)
Les fonctions constituent les relations entre le système et ses environnants.
Elles sont classées en deux catégories :
Fonctions de service (ou principales) : elles représentent l’objet du système. Elles relient deux
environnants au travers du système.
Fonctions contraintes : elles représentent les contraintes auxquelles le système doit résister. Elles ne
relient qu’un environnant au système.
Les fonctions de service et contraintes sont représentées dans un schéma appelé « pieuvre »..
Reste du
véhicule
FP2
Utilisateur
FC4
FC2
FC3
FP1
Pare-brise
FP3
FC1
Ambiance
extérieur
...
Monteur
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
Phase 6 : Libeller ces fonctions
Le libellé des fonctions est constitué de la construction suivante :
Sujet : c’est le système étudié qui se trouve dans la bulle centrale de la pieuvre.
Verbe d’action : il transcrit la donnée de sortie de la fonction (ce que le produit doit faire).
Compléments : ils reprennent les éléments des bulles environnants. Cependant, pour simplifier la
phrase, le sujet peut être sous-entendu, donc omis dans la phrase.
Ce travail doit être effectué pour chaque situation de vie du système.
En reprenant notre exemple du pare-brise, chacune des fonctions pourra être libellée comme ciaprès :
FP1 : le PB doit assurer une bonne visibilité du milieu extérieur au conducteur.
FP2 : le PB doit plaire à l’utilisateur en s’intégrant esthétiquement au reste du véhicule.
FP3 : le PB doit respecter l’intégrité physique du monteur
FC1 : le PB doit isoler de l’ambiance extérieure (eau, air…).
FC2 : le PB doit respecter l’utilisateur.
FC3 : le PB doit résister à l’utilisateur.
FC4 : le PB doit s’adapter au reste du véhicule.
…
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
Phases 5/6 : Rechercher les relations entre le système et ses
environnants (les fonctions)
Exercice : Rechercher les fonctions principales et contraintes
du système représenté ci-dessous :
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
Phase 5/6 : Rechercher les relations entre le système et ses environnants (les fonctions)
Corrigé : Attention ! Il faut commencer par lister les situations
de vie du système :
Situation d’écriture
Situation de repos (posé, accroché...)
En situation d'écriture
En situation Repos (Accroché ou posé)
Support
d'écrtiure
FP1
Main
FC3
FC3
Stylo
Utilisateur
Stylo
Vêtements
Objets divers
FC1
FC2
FC1
Ambiance
extérieur
FC2
Oeil
Fp1 = permettre à la main de l'Homme de laisser des traces
sur un support d'écriture
Fc1 = résister à l’ambiance extérieure
Fc 2 = être agréable à l'œil
Fc3 = respecter l’utilisateur
Ambiance
extérieur
Poche/Sac
Fc1 = résister à l’ambiance ext.
Fc2 = s’accrocher à une poche
Fc3 = préserver les vêtements ou objets divers
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
Phase 7 : Caractériser ces fonctions
Cette dernière phase consiste à déterminer des critères de performance pour chacune des fonctions
définies ci-avant, d’en préciser les niveaux attendus ainsi qu’une flexibilité (niveau de négociation
possible).
Les critères de performance correspondant à la partie verbale qualifient les données de sortie de la
fonction (ce que l’on attend du système). A contrario, les critères de performance associés aux parties
nominales servent à qualifier l’environnant correspondant, ils décrivent donc les données d’entrée de
la fonction.
A chaque critère de performance est associé un niveau qui doit être tolérancé pour permettre au
concepteur d’évaluer sa capabilité.
Enfin, à chaque critère est également associé un niveau de négociation possible entre le spécificateur
et le concepteur (appelé niveau de flexibilité) :
F0 : flexibilité nulle : niveau impératif
F1 : flexibilité faible : niveau peu négociable
F2 : flexibilité bonne : niveau négociable
F3 : flexibilité forte : niveau très négociable.
La donnée de sortie de l’analyse fonctionnelle externe est le cahier des charges fonctionnel du
système étudié.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
Phase 7 : Caractériser ces fonctions – Le tableau fonctionnel
Décomposition
fonctionnelle
Situation de vie : Véhicule à l'arrêt
Fonction
FP1 : Résister à
l'ambiance ext.
Critères
Respecter les
performances
thermiques
Mesures des performances
thermiques.
Etre étanche à l'eau
Mesure de l'intrusion d'eau
Etre étanche au bruit
Participer au maintien
FP2 : Participer à de l'occupant à l'int. du
la sécurité
véhicule
passive
...
...
Conformité aux
spécif./Normes
...
...
...
Niveaux
Flexibilité
Te=50±3
F2
Re=5±3
F2
aucune infiltration d’eau
admise
F0
...
F2
CEE 92226
F0
...
...
...
...
...
...
2.4 Outils utilisés en sûreté de fonctionnement
2.4.2 Analyse fonctionnelle interne (AFI)
L’objet de cette analyse est de décrire comment les composants du système participent à
la réalisation des fonctions.
Evidemment, à ce stade, il faut avoir défini le nombre de composants et le mode de
fonctionnement du système.
Cette analyse comporte deux étapes principales : la décomposition du système et
l’identification des flux à l’intérieur du système.
Décomposition du système
L’objet de cette décomposition est de définir les éléments constitutifs qui composent le
système. Cette décomposition va constituer la nomenclature produit.
Pare-brise
Feuille de verre ext.
Feuille de verre int.
Feuille PVB
Emaillage
Embase
rétroviseur
Colle
Embase DDP
Colle
2.4 Outils utilisés en sûreté de fonctionnement
2.4.2 Analyse fonctionnelle interne (AFI)
Identification des flux à l’intérieur du système
L’objet de cette étude est de déterminer comment chaque fonction définie lors de l’analyse
fonctionnelle externe, est réalisée par les différents composants.
En intégrant les composants dans la bulle centrale de la pieuvre, on illustre le chemin suivi
par chacune des fonctions. Ce chemin représente les flux à l’intérieur du système, flux qui
sont de trois types : matière, énergie ou information.
Les fonctions sont alors matérialisées dans le dessin par des traits représentant les
contacts entre les éléments eux-mêmes et entre les éléments et les différents
environnants. Ce schéma est classiquement appelé « bloc diagramme fonctionnel ».
Reste du
véhicule
FP1
Utilisateur
PVB.
Feuille int..
Embase rétroviseur
Feuille ext.
Embase DDP
Conducteur
…
Ambiance
extérieur
...
2.4 Outils utilisés en sûreté de fonctionnement
2.4.2 Analyse fonctionnelle interne (AFI)
Pour des systèmes complexes, on préférera plutôt le tableau d’analyse fonctionnelle, qui synthétise
la participation des composants à la réalisation des fonctions, à la place du bloc diagramme
fonctionnel.
Ainsi, selon les produits étudiés, on pourra utiliser soit le bloc diagramme fonctionnel, plus intuitif et
plus imagé mais plus compliqué à dessiner avec un ordinateur, soit le tableau d’analyse
fonctionnelle, plus facile à réaliser avec un tableur type Excel.
Ce genre de représentation est peut-être plus sûr pour ne rien oublier. En effet : toute fonction doit
être affectée à un composant au moins ; tout composant doit participer au moins à une fonction.
Fonctions
Composants
Feuille ext.
PVB
Feuille int.
Emaillage
Embase DDP
Embase Rétroviseur
Joint
Colle
…
FP1
FP2
FP3
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
FC1
FC2
…
2.4 Outils utilisés en sûreté de fonctionnement
2.4.2 Analyse fonctionnelle interne (AFI)
Pour des raisons visuelles et d’efficience on préfèrera une fois l’AFE terminée basculer
directement sur un outil riche de l’AFI : le FAST.
FAST= Analyse Fonctionnelle des systèmes techniques ( Function Analysis System Technic )
Cet outil permet une fois le recensement et l’identification des fonctions faites de construire
une décomposition fonctionnelle qui aboutira sur l’établissement de solutions techniques.
Méthodologie :
La fonction est placée dans un cadre.
Ce cadre est disposée sur la gauche d’un tableau .
Le groupe de travail doit répondre aux questions posées.
Les réponses ou solutions sont disposées sur une colonne à droite.
Chaque nouvelle solution est décortiquée en sous catégorie pour obtenir les éléments qui constituent la
ou les solutions à étudier.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.2 Analyse fonctionnelle interne (AFI)
DE LA FONCTION GLOBALE A LA SOLUTION
Fonction globale→ décomposition fonctionnelle → Solutions techniques
Technique interrogative :
Comment?
Intérêt : Relation BESOIN
SOLUTION
2.4 Outils utilisés en sûreté de fonctionnement
2.4.2 Analyse fonctionnelle interne (AFI)
Exercice : Réaliser le FAST du système ci-dessous.
Identifier les différentes situations de vie
Lister les fonctions pour chaque situation de vie
Faire le FAST complet
Diviser les fonctions
par groupe de travail
2.4 Outils utilisés en sûreté de fonctionnement
2.4.2 Analyse fonctionnelle interne (AFI)
Corrigé
Feuille de calcul
Microsoft Excel
2.4 Outils utilisés en sûreté de fonctionnement
2.4.3 Analyse Préliminaire des Risques (APR)
L’analyse préliminaire de risques est une méthode visant à fournir l’ensemble des
événements redoutés prévisionnels dans toutes les phases de vie du système étudié.
Cette analyse se décompose en deux approches complémentaires :
une approche fonctionnelle : analyse des conséquences des défaillances des
fonctions du système,
une approche agressions :
analyse des conséquences des agressions du système vers l’extérieur (éléments
potentiellement dangereux) ;
analyse des conséquences des agressions du milieu extérieur vers le système
(éléments sensibles).
Ces approches ont pour avantages d’obtenir un examen rapide des situations
dangereuses, ne nécessitant pas un niveau de description détaillé du système étudié.
Par contre, pour des systèmes complexes, elles ne permettent pas de décrire finement les
enchaînements qui conduisent à une défaillance majeure : l’utilisation ultérieure d’outils
tels que l’AMDEC ou arbre de défaillances sont nécessaires.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.3 Analyse Préliminaire des Risques (APR)
2.4.3.1
L’APR approche fonctionnelle
L’approche fonctionnelle a pour but d’étudier les conséquences de chaque mode de défaillance des
fonctions décrites dans l’analyse fonctionnelle. Elle est donc effectuée pour chaque fonction du
système dans chaque situation de vie.
Par mode de défaillance, on entend :
Absence de fonction à la sollicitation : ça ne marche pas,
Perte de fonction en fonctionnement : ça ne marche plus,
Fonctionnement dégradé : ça marche mal,
Fonctionnement intempestif : ça marche alors que l’on a rien demandé,
Fonctionnement intermittent : ça s’arrête et ça repart tout seul.
Toutes les fonctions de service et les fonctions contraintes listées dans l’analyse fonctionnelle externe
sont reprises comme données d’entrée pour l’APR approche fonctionnelle.
Pour chaque fonction, les modes de défaillance seront déterminés en tenant compte des différents
types définis ci-avant (absence, perte, dégradé, intempestif et intermittent).
Ensuite, l’événement redouté par le client est identifié pour chaque mode de défaillance. Par client, on
entend l’utilisateur final du macro-système dans la situation de vie étudiée. L’événement redouté
s’exprime donc en termes de gêne pour le client, allant de l’insatisfaction jusqu’à l’atteinte de l’intégrité
physique de l’utilisateur ou des personnes environnantes.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.3 Analyse Préliminaire des Risques (APR)
2.4.3.1
L’APR approche fonctionnelle
Cette première partie de l’APR correspond à la partie qualitative.
La partie quantitative de l’APR a, quant à elle, pour objet de hiérarchiser les risques pour permettre au groupe
d’analyse d’adapter la méthodologie de traitement en conséquence et ainsi les actions à mettre en œuvre.
Pour chaque mode de défaillance, on renseignera donc un niveau de gravité caractérisant le niveau de gêne du
mode de défaillance pour le client. Ce niveau découle directement de l’impact client défini comme étant l’événement
redouté.
Les niveaux de gravité sont évalués à partir des critères définis dans la grille ci-après.
Niveau
Définition
G1
vert
G2
jaune
Fiabilité
/
disponibilité
G3
orange
G4
rouge
Sécurité
Commentaires pour info, liste non
exhaustive
Insatisfaction ou dégradation
d'une prestation ou d'une
fonctionnalité du véhicule
Performances générales du véhicule
conservées ; L’utilisateur peut continuer à
utiliser son véhicule ; il n’y a pas
d’impératif à une intervention
Perte d'une prestation ou d'une
fonctionnalité du véhicule
Apparition de symptômes gênant ;
l’utilisateur peut continuer à utiliser son
véhicule, mais une intervention s’impose
rapidement
Le véhicule est indisponible pour
l'utilisateur
- Impossibilité de commencer un trajet
- Impossibilité de finir un trajet par la perte
d'une fonction principale ou par le non
respect de la réglementation (risque de
contravention)
- Impossibilité de stationner le véhicule en
l'état (risque d'inviolabilité)
Risque de dommages corporels
pour l’homme
- Peut potentiellement entraîner un
accident de la circulation
- Risque de dommage corporel sans
accident de la circulation
2.4 Outils utilisés en sûreté de fonctionnement
2.4.3 Analyse Préliminaire des Risques (APR)
2.4.3.1
L’APR approche fonctionnelle
Après la gravité, on renseignera également le niveau d’occurrence. Cette évaluation correspond à la
probabilité d’apparition du mode de défaillance lié à l’événement initiateur.
Les niveaux d’occurrence sont évalués à partir des critères définis dans la grille ci-après.
Niveau
Niveau d’innovation
Taux de défaillance ressenti
O1
vert
Reprise d’éléments éprouvés en
série
Il est pratiquement impossible que
l’événement se produise au cours de la
durée de vie de l’ensemble de la
population des systèmes
O2
jaune
Reprise de concepts éprouvés
dont les quelques défaillances
n’engendrent pas de pénalisation
du marché
Il est possible que quelques systèmes
défaillent au cours de leur durée de vie
Il est possible qu’une part non négligeable
O3
Fortes modifications de concepts de systèmes présente une défaillance au
cours de leur vie impactant la rentabilité du
orange connus
produit (retours garantie par exemple)
O4
rouge
Conception innovante
Il est possible qu’une majorité de systèmes
présente des défaillances au cours de leur
vie engendrant un problème d’image de
marque du produit
2.4 Outils utilisés en sûreté de fonctionnement
2.4.3 Analyse Préliminaire des Risques (APR)
2.4.3.1
L’APR approche fonctionnelle
Ainsi, compte tenu des niveaux de gravité et d’occurrence estimés, le groupe de travail traitera les
risques « majeurs » en priorité en utilisant les démarches et outils appropriés.
Bien entendu, les défaillances ayant une gravité élevée seront traitées en priorité par le groupe de
travail.
Etant donné que notre objectif premier dans la mise en œuvre de l’APR est la recherche et la
hiérarchisation des événements redoutés, notre analyse s’est volontairement limitée à identifier les
modes de défaillance, les événements initiateurs et leurs niveaux d’occurrence associés, les
événements redoutés et leurs niveaux de gravité associés.
L’identification des conséquences système et des scénarios (succession d’événements), et la
définition des actions de maîtrise de risques seront traités ultérieurement à l’aide d’autres outils.
Fonction
Mode de défaillance
Evénement initiateur
Evénement Redouté
(ER)
Gravité
Occurrence
G4
O1
Situation de vie : Véhicule à l'arrêt
Assurer la
sécurité
passive des
occupants
Non tenue de la R43 : Process : Tempage
casse non dispersée en Produit : design,
fragements à l'impact
épaisseur...
...
...
agression des vitres
latérales sur les
ocuupants lors d'un
accident
...
2.4 Outils utilisés en sûreté de fonctionnement
2.4.3 Analyse Préliminaire des Risques (APR)
2.4.3.2
L’APR menace/agressions
Il existe deux approches complémentaires à l’approche fonctionnelle décrite
ci-avant :
Une approche agressions du système vers l’extérieur, appelée
également agressions externes, qui étudie l’impact sur
l’environnement d’une défaillance d’un élément potentiellement
dangereux.
Une approche agressions du milieu extérieur vers le système, appelé
également agressions internes, qui étudie les conséquences des
agressions potentielles que le milieu extérieur peut induire sur les
éléments sensibles du système.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.3 Analyse Préliminaire des Risques (APR)
2.4.3.2
L’APR menace/agressions
Approche agressions du système vers l’extérieur (agressions externes) :
Dans l’approche agressions du système vers l’extérieur, le groupe de travail recherchera l’ensemble des
éléments ayant une géométrie, ou contenant suffisamment d’énergie latente, présentant un danger
potentiel. Par énergie latente, on entend une énergie capable d’être libérée de façon incontrôlée (résistance
chauffante, ressort tendu, élément sous pression, dégagement de produits nocifs…).
Ensuite, on recherchera le ou les événements initiateurs qui pourraient libérer cette énergie latente,
risquant ainsi de provoquer l’événement redouté au niveau du client utilisateur. Les événements initiateurs
peuvent être liés à une défaillance interne au système, mauvaise manipulation de l’utilisateur, modification
du milieu environnant…
Tout comme l’approche fonctionnelle, l’événement redouté par le client est alors identifié pour chaque
élément potentiellement dangereux. L’événement redouté s’exprime donc en termes de gêne pour le client,
allant de l’insatisfaction jusqu’à l’atteinte de l’intégrité physique de l’utilisateur ou des personnes
environnantes.
Pour chaque élément potentiellement dangereux, on renseignera ensuite un niveau de gravité caractérisant
le niveau de gêne de l’élément potentiellement dangereux pour le client. Ce niveau découle directement de
l’impact client défini comme étant l’événement redouté.
Les niveaux de gravité et d’occurrence sont évalués à partir des critères définis dans les mêmes grilles que
celle utilisée pour l’APR approche fonctionnelle (cf. Grille de gravité et Grille d’occurrence pour l’Analyse
Préliminaire des Risques).
Comme pour l’approche fonctionnelle, notre analyse s’est volontairement limitée aux éléments décrits ciavant.
L’identification des conséquences système et des scénarios (succession d’événements), et la définition des
actions de maîtrise de risques seront traités ultérieurement à l’aide d’autres outils.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.3 Analyse Préliminaire des Risques (APR)
2.4.3.2
L’APR menace/agressions
Approche agressions du milieu extérieur sur le système (agressions internes) :
Dans l’approche agressions du milieu extérieur sur le système, le groupe de travail recherchera l’ensemble
des composants constitutifs du système qui pourraient être sensibles à une agression extérieure, pouvant
provenir de l’environnement ou des autres systèmes interfacés avec le système étudié.
Ensuite, on recherchera le ou les événements initiateurs extérieurs au système qui pourraient dégrader
l’élément fragile. Par événement extérieur, on entend aussi bien les éléments du milieu ambiant
(température, agressions mécaniques ou chimiques…) que les défaillances des autres systèmes avec
lequel le système étudié est en interaction (vibrations…).
Tout comme l’approche agressions externes, l’événement redouté par le client est alors identifié pour
chaque élément fragile. L’événement redouté s’exprime donc en termes de gêne pour le client, allant de
l’insatisfaction jusqu’à l’atteinte de l’intégrité physique de l’utilisateur ou des personnes environnantes.
Pour chaque élément fragile, on renseignera ensuite un niveau de gravité caractérisant le niveau de gêne
de l’élément fragile pour le client. Ce niveau découle directement de l’impact client défini comme étant
l’événement redouté.
Les niveaux de gravité et d’occurrence sont évalués à partir des critères définis dans la même grille que
celle utilisée pour l’APR approche fonctionnelle (cf. Grille de gravité et Grille d’occurrence pour l’Analyse
Préliminaire des Risques).
Comme pour l’approche agressions externes, notre analyse s’est volontairement limitée aux éléments
décrits ci-avant.
L’identification des conséquences système et des scénarios (succession d’événements), et la définition des
actions de maîtrise de risques seront traités ultérieurement à l’aide d’autres outils.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.3 Analyse Préliminaire des Risques (APR)
2.4.3.1
L’APR approche fonctionnelle
Etude cas : Etude de sûreté de fonctionnement de la société BIQ
AFE :
Bête à cornes : OK
Pieuvre : OK
CDCF : OK
AFI :
Bloc diagramme fonctionnel : OK
FAST : OK
L’analyse fonctionnelle étant réalisée le groupe BIQ souhaite mettre en œuvre
l’étude des risques.
23 Qualiticiens sont responsables de l’étude et BIQ attend leurs conclusions.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.4 Arbre de défaillances (ADD)
L’arbre de défaillances est un outil destiné à déterminer les causes ainsi que la
combinatoire entre ces causes, qui pourraient conduire à la réalisation d’un événement
redouté (ER). Ces combinaisons d’événements sont représentées graphiquement à
l’aide d’une structure de type arbre, dans lequel les relations causes/effets sont
schématisées par des portes logiques ET ou OU.
Cet outil permet de :
visualiser la « mécanique » pouvant amener à la défaillance,
allouer une fiabilité aux différents composants du système par une quantification
« Top Down »,
évaluer la fiabilité de l’événement redouté par une quantification « Bottom Up ».
2.4 Outils utilisés en sûreté de fonctionnement
2.4.4 Arbre de défaillances (ADD)
2.4.4.1
Construction de l’arbre de défaillances
L’arbre de défaillances est un outil déductif et itératif : on part d’un effet pour en trouver ses causes
en se posant la question « Pourquoi ? ». A la différence du diagramme « Causes – Effets » ou de
l’outil « 5 Pourquoi ? » où chaque cause peut individuellement entraîner l’effet non désiré, l’arbre de
défaillances permet, en plus, de mettre en évidence la combinatoire de ces causes.
Même si classiquement, un arbre de défaillances est représenté verticalement, on conviendra d’une
représentation de l’arbre couché où l’événement redouté est à gauche et les causes s’enchaînent
vers la droite.
Définition de l’événement redouté (« sommet de l’arbre »)
L’événement redouté (ER) est l’événement indésirable pour lequel on recherche toutes les causes,
et leur combinatoire, qui y conduisent. Cet événement est unique pour un arbre de défaillances et se
trouve à gauche de l’arbre (ou au sommet). Il doit être défini de façon précise afin d’éviter d’avoir
une analyse gigantesque ou impossible à faire.
Cet événement provient généralement de l’analyse préliminaire de risques utilisée en amont de
l’arbre de défaillances.
Portes logiques
L’arbre de défaillances est particulièrement bien adapté aux événements combinatoires, mais
devient délicat à mettre en œuvre quand il s’agit d’événements séquentiels.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.4 Arbre de défaillances (ADD)
2.4.4.1
Construction de l’arbre de défaillances
Porte « OU » : l’événement E1 se produit dès qu’un événement A, B ou C se produit.
Porte « OU »
Porte « ET » : l’événement E1 ne se produit que si les événements A, B et C se produisent
simultanément.
Porte « ET »
Pour éviter de recopier inutilement des parties de dessin identiques d’une branche à l’autre
de l’arbre du dessin, on peut utiliser un système de renvoi.
Renvoi d’une partie de l’arbre
2.4 Outils utilisés en sûreté de fonctionnement
2.4.4 Arbre de défaillances (ADD)
2.4.4.1
Construction de l’arbre de défaillances
Déroulé de l’analyse
L’analyse débute par la recherche des causes immédiates nécessaires et suffisantes
pour obtenir l’événement redouté. Ces causes constituent des événements
intermédiaires dont on recherchera les causes et leur combinatoire, et ainsi de suite. A
chaque étape, la question pertinente pour rechercher les causes du niveau inférieure
est « pourquoi ? ».
Les causes correspondant au niveau le plus à droite (ou plus bas) de l’analyse sont
appelées événements élémentaires ou causes racines. Ces causes racines seront
identifiées d’une couleur spécifique dans l’arbre (la couleur jaune sera préconisée).
La difficulté de l’arbre de défaillances est de définir le niveau de détail adapté. De
façon générale, nous considérons que les événements élémentaires correspondent
aux défaillances des composants, un composant étant un sous-système réparable ou
interchangeable.
Dans le cas d’un arbre de défaillances mis en œuvre dans le cadre d’une démarche
Sureté de Fonctionnement, les événements de base correspondent aux défaillances
des sous-systèmes de niveau N-1 définis dans notre décomposition hiérarchique du
produit appelée découpage PBS (Product Breakdown Structure).
Dans la réalisation de l’arbre, le groupe de travail veillera à bien rester dans ses limites
de responsabilité tout en communiquant les causes identifiées à d’autres intervenants :
client, fournisseur...
2.4 Outils utilisés en sûreté de fonctionnement
2.4.4 Arbre de défaillances (ADD)
2.4.4.1
Construction de l’arbre de défaillances
2.4 Outils utilisés en sûreté de fonctionnement
2.4.4 Arbre de défaillances (ADD)
2.4.4.2
Allocation fiabilité des différents composants du système
Une des utilisations de l’arbre des défaillances est l’allocation des objectifs de
fiabilité à chacun des composants du système par une quantification de type
« Top Down » : en partant de l’objectif alloué au système complet (gauche de
l’arbre), on donne un objectif de fiabilité à chacune des causes élémentaires
(racines de l’arbre).
Ainsi, conformément à l’algèbre de Boole :
Probabilité (A et B) = P (A) x P (B)
Probabilité (A ou B) = P (A) + P (B) - P (A) x P (B)* = P (A) + P (B)
(*) Simplification du théorème de Poincaré : P (A) x P (B) est négligeable étant
donné que les probabilités P (A) et P (B) sont faibles.
Par conséquent, à chaque passage de ET, on prend la racine carré de l’objectif
de l’événement supérieur (à gauche) ou on divise cet objectif en traversant un
OU. Une répartition peut également être effectuée au prorata des retours
observés sur les systèmes de génération précédente.
Cette approche peut donc permettre d’objectiver les valeurs des objectifs de
fiabilité alloués aux fournisseurs de sous-systèmes.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.4 Arbre de défaillances (ADD)
2.4.4.3 Evaluation de la probabilité d’apparition de l’événement redouté
A l’inverse de l’allocation, l’arbre de défaillances permet également d’évaluer la
probabilité d’apparition de l’événement redouté.
A partir de la probabilité d’apparition de chacune des causes élémentaires, on
calcule la probabilité d’apparition de l’événement redouté en remontant l’arbre
grâce à l’algèbre de Boole : quantification « Bottom Up ».
Ainsi, les probabilités se multiplient quand on passe une porte ET et les
probabilités s’additionnent lorsqu’on passe une porte OU.
Toute la difficulté de cette quantification réside dans l’évaluation de la probabilité
d’apparition de chacune des causes élémentaires.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.3 Analyse Préliminaire des Risques (APR)
2.4.3.1
L’APR approche fonctionnelle
Exercice : faire l’ADD de l’ER4 « coupure sur l’utilisateur »
2.4 Outils utilisés en sûreté de fonctionnement
2.4.3 Analyse Préliminaire des Risques (APR)
2.4.3.1
L’APR approche fonctionnelle
Corrigé
2.4 Outils utilisés en sûreté de fonctionnement
2.4.5Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC)
L’AMDEC est définie comme étant une méthode
rigoureuse et préventive visant à recenser puis à évaluer
les défaillances d’un système.
Cette méthode est considérée par la plupart des industriels
comme l’outil d’analyse de risque le plus pertinent.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.5Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC)
2.4.5.1AMDEC Produit
L’AMDEC Produit est utilisée pour fiabiliser les systèmes par l’analyse des défaillances dues aux
erreurs de conception. Ce type d’AMDEC est donc initialisé en phase de développement produit au
moment de sa conception.
Elle a pour objet de s’assurer que le « Design » répond à l’ensemble des critères du cahier des
charges : les modes de défaillance seront considérés comme étant la non-réalisation ou la mauvaise
réalisation des critères de performance associés aux fonctions décrites dans l’analyse fonctionnelle
du produit.
Cette analyse se décompose en trois parties :
Analyse qualitative : à partir des fonctions du produit, identification des modes de défaillance potentiels, de leurs
effets, de leurs causes, des contrôles de conception existants (prévention et détection),
Analyse quantitative : évaluation du risque lié à chaque mode de défaillance (gravité, occurrence, détection IPR),
Plan d’actions correctives pour réduire les niveaux de risque les plus élevés : actions au niveau de la conception
du produit et actions pour améliorer les démarches de validation prévues.
Le tableau ci-après reprend le formalisme standard utilisé pour les AMDEC Produit, à moins qu’une exigence
particulière ne soit imposée par le client.
2.4 Outils utilisés en sûreté de fonctionnement
2.4.5Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC)
2.4.5.2AMDEC Process
L’AMDEC Process est utilisée pour analyser les défaillances générées par le
processus de fabrication. Ce type d’AMDEC est idéalement initialisé en phase
d’industrialisation au moment de la définition du processus de fabrication et de la
conception des moyens.
Elle a pour objet de s’assurer que le processus de fabrication répond à l’ensemble des
exigences définies pour la réalisation des opérations : les modes de défaillance seront
considérés comme étant la non-réalisation ou la mauvaise réalisation des exigences
produit/process associées aux opérations décrites dans la décomposition fonctionnelle
du processus de fabrication (incluant la réception, les flux inter-postes, les contrôles et
la livraison).
Cette analyse se décompose en trois parties :
Analyse qualitative : à partir des opérations élémentaires de fabrication, identification des
modes de défaillance potentiels, de leurs effets, de leurs causes, des contrôles de processus
existants (prévention et détection),
Analyse quantitative : évaluation du risque lié à chaque mode de défaillance (gravité,
occurrence, détection IPR),
Plan d’actions correctives pour réduire les niveaux de risque les plus élevés : actions au niveau
de la conception du produit/process et actions pour améliorer les détections prévues
(contrôles).
Le tableau ci-après reprend le formalisme standard utilisé pour les AMDEC Process, quelque
soit l’exigence du client.
3. Fiabilité Prévisionnelle et
Opérationnelle
3.1 Probabilités : généralités
L’ensemble des définitions et démarches détaillées depuis le début de l’enseignement ne trouvent de
légitimité que par les notions probabilistes d’apparition d’une défaillance à un instant t.
Considérons un système dont le fonctionnement au cours du temps sera représenté par la variable
P(t ) :
L’état normal de fonctionnement sera représenté par P (t ) = 1
L’état défaillant sera noté par P (t ) = 0.
L’instant t d’occurrence d’une défaillance (sauf action délibérée et programmée dans le temps)
n’est jamais prévisible et correspond à un événement aléatoire.
Etat P(t)
1
En fonctionnement
0
Défaillant
t
Temps (t)
Une variable aléatoire est une variable réelle dont la valeur est liée au résultat d’une expérience
(dans le cas du jet de dé la variable aléatoire peut prendre les valeurs entières 1, 2, 3, 4, 5 et 6).
En Sûreté de fonctionnement les variables aléatoires peuvent être discrètes ou continues dans le
temps.
La probabilité d’un événement est un nombre réel toujours comprise entre 0 et 1 : 0 <P (A) < 1
3.2 Modes de défaillances
Comme nous l’avons vu l’apparition d’une défaillance soumise à une probabilité P(t) peut être la conséquence de
plusieurs causes voir de l’association de causes.
Les études quantitatives de fiabilité dans une démarche de Sdf ont pour objet de mettre en évidence les distributions
de défaillance :
De jeunesse : erreurs de conception et de fabrication
Occasionnelle ou anormale de la fabrication
Intrinsèque à la technologie
D’usure
Concernant l’usure en mécanique par exemple les causes affectant les solutions techniques peuvent être :
Corrosion : piqûres, contraintes, attaques chimiques
Flambage
Fatigue : thermique, usure
Ecaillage
Choc thermique
Radiation
Fatigue vibratoire
Déformation élastique
...
Les conséquences associées seront :
Rupture fragile
Rupture ductile
Rupture par fatigue
3.3 Fonctions de base de la Fiabilité
Fonction fiabilité R(t) :
Considérons l’instant T d’occurrence de la défaillance ; cette variable aléatoire permet de définir la
notion de fiabilité qui s’interprète comme la probabilité que l’entité considérée ne tombe pas en
panne avant un instant t donné ou bien comme la probabilité qu’elle tombe en panne après l’instant t.
Par extension, on appelle également fiabilité la probabilité associée R (t ) à cette notion.
Elle est définie par :
R (t ) = P (E non défaillante sur la durée [0, t], en supposant qu’elle n’est pas défaillante à
l’instant t = 0).
Ce qui peut s’exprimer par :
R (t ) = P (T > t )
L’aptitude contraire est appelée défiabilité, et est définie par :
R (t ) = 1 –R (t ) = P (t <T ) = F (t)
Il est possible de donner une approche intuitive de la notion de fiabilité d’un parc composé de N
entités identiques en fonctionnement et non réparées après défaillance. En considérant N(0) le
nombre d’entités fonctionnant à l’instant t = 0 et N (t ) le nombre d’entités survivant à l’instant t, le
quotient N(t )/N(0) représente une mesure expérimentale de la fiabilité des entités identiques.
3.3 Fonctions de base de la Fiabilité
Exercice :
On considère le nombre de défaillances
observées sur les diodes laser
utilisées pour la lecture de disques
optiques numériques pour un parc de
270 lecteurs tableau ci dessous).
Représentez la loi R (t ) approximée par
une représentation avec 8 classes
d’intervalles des temps.
Nombre de défaillances
par classe de temps de fonctionnement
Intervalle (h)
Nombres de défaillances par intervalle
0 à 500
500 à 1 000
1 000 à 1 500
1 500 à 2 000
2 000 à 2 500
2 500 à 3 000
3 000 à 3 500
3 500 à 4 000
Total
50
100
50
30
20
10
5
5
270
3.3 Fonctions de base de la Fiabilité
Corrigé
Nombres de défaillances par intervalle
120
100
80
Nombres de défaillances par intervalle
60
40
20
Nombres de défaillances par intervalle
0
0 à 500
500 à 1 1 000 à 1 500 à 2 000 à 2 500 à 3 000 à 3 500 à
000
1 500
2 000
2 500
3 000
3 500
4 000
120
100
80
Nombres de défaillances par
intervalle
60
40
20
0
0 à 500
500 à 1 1 000 à 1 1 500 à 2 2 000 à 2 2 500 à 3 3 000 à 3 3 500 à 4
000
500
000
500
000
500
000
3.3 Fonctions de base de la Fiabilité
Densité de défaillance f(t) :
C’est la probabilité ramenée à l’unité de temps qu’un système défaille à t.
La densité de probabilité de l’instant de la défaillance T s’obtient en dérivant la fonction de répartition
F (t ) :
f (t ) = dF (t )/dt = - dR(t )/dt
Taux de défaillance :
A partir de la connaissance des termes R (t ), f (t ) et F (t ), on peut définir la notion de taux de défaillance au temps t
qui est noté universellement par λ(t ).
C’est la probabilité ramenée à l’unité de temps, qu’un système ayant survécu jusqu’à t défaille entre t et t+dt.
En appliquant le théorème des probabilités conditionnelles, il vient, si dt est petit :
λ (t ) = -1/R t ( ) x dR(t )/dt
Pendant la durée de vie d’une entité, on constate que son taux de défaillance évolue au cours du temps.
Après la première mise en service, sur une période appelée période de jeunesse, le taux de défaillance est élevé puis
à tendance à décroître. Cela correspond àla période de rodage des systèmes mécaniques ou au déverminage de
cartes électroniques.
Ensuite le taux de défaillance de la majorité des entités est caractérisé par une valeur constante, ce qui signifie que la
probabilité d’une défaillance est identique pour chaque instant considéré. C’est la période de défaillance à taux
constant.
Ensuite, en raison du vieillissement des matériaux des composants ou de leur usure, on observe généralement un
taux de défaillance qui se met à croître de façon significative. Cette période de la vie de l’entité est appelée la période
de vieillissement ou d’usure.
Cette évolution est connue sous le nom de « courbe en baignoire »
3.4 Les lois rencontrées en SdF
Loi binomiale de paramètres p et n : Elle correspond à la probabilité de réalisation
d’un événement de probabilité p au cours de n expériences
Loi de Poisson de paramètre m : Elle correspond au nombre d’occurrences sur une
période donnée d’un événement dont la probabilité par unité de temps est constante.
Loi de Weibull : Cette loi est très utilisée pour représenter le comportement des
matériels pendant toute leur période de vie avec une loi de densité de probabilité définie
par :
R(t) = e-((t-γ)/η)^β
λ (t ) = (β/η) x ((t-γ)/η)^(β-1)
On peut donner une interprétation de λ en fonction de β :
β paramètre de forme (sans unité),
- λ(t) croissant pour β>1
- λ(t) constant pour β=1
η paramètre d’échelle (en unités de temps)
γ paramètre de position (en unité de temps)
- λ(t) décroissant pour β<1
3.4 Les lois rencontrées en SdF
Loi de Weibull : signification physique des valeurs de β
Pannes de jeunesse : β <1 : Défaut d’assemblage ou de fabrication
(défaut de serrage, étanchéité, pollution d’huile, propreté)=Process
défaillant ou définition du produit inadéquat.
Pannes aléatoires : β=1 : erreur humaine, événements naturels (foudre...)
Pannes de fatigue lente : 1 < β <2, Grand nombre de cycles
Pannes de fatigue moyenne : β=2, Etanchéité, tenue des soudures
Pannes de fatigue rapide : β>2, utilisation du produit dans son domaine
plastique, abrasion, corrosion
3.5 Notion de robustesse
Non dégradation des performances du produit en fonction de :
Des variabilités de fabrication
Des variabilités d’utilisation
Du vieillissement des composants du produit
Logique de robustesse :
Trouver le compromis entre performance satisfaisante et insensibilité aux bruits
Valider ce compromis pas essais, calcul, simulations, modélisation...
Dimensionnement en contrainte/résistance
Robustesse et modélisation :
Trouver un critère mesurable : exemple=>nombre de manipulation du rétroviseur
intérieur véhicule
Définir le profile de mission : processus physique + facteurs endommageants
Identifier la loi de propagation de ce processus physique
Estimer la loi d’apparition des défaillances
Rechercher des solutions si objectifs de fiabilité non tenus
Documents connexes
Technologie et réanimation
Technologie et réanimation
Juin 2014 - Sophie Touzet
Juin 2014 - Sophie Touzet
Initiation aux probabilités TS 13A Examen de juin
Initiation aux probabilités TS 13A Examen de juin
Insuffisance cardiaque
Insuffisance cardiaque
Q3 Criticité énergétique Solutions techniques pour les installations basse tension
Q3 Criticité énergétique Solutions techniques pour les installations basse tension
A M D E C
A M D E C
La gestion de crise
La gestion de crise
Economie publique et choix sociaux
Economie publique et choix sociaux
exo_loi_exp03
exo_loi_exp03
Téléchargement
publicité