Sûreté de Fonctionnement (SdF) QUALITÉ, LOGISTIQUE INDUSTRIELLE ET ORGANISATION Youness EL ATTABI – Novembre 2011 Avant de commencer... Présentations : Mon parcours Le programme des sessions Votre présentation Prénom, nom, entreprise d’accueil, fonction Mes attentes, mes objectifs Facteurs de réussite Contenu 0 Etalonnage ; contenu du module / connaissances actuelles Questions/Réponses 1. Introduction 1.1 Généralités ou comment construire ensemble la définition de la sûreté de fonctionnement 1.2 Historique 1.3 Définitions – Abréviations 2 Méthodes et outils de la sûreté de fonctionnement 2.1 Principe de la sûreté de fonctionnement 2.2 But de la sûreté de fonctionnement 2.3 Etudes de sûreté de fonctionnement 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) 2.4.2 Analyse fonctionnelle interne (AFI) 2.4.3 Analyse préliminaire de risques (APR) 2.4.4 Arbre de défaillances (ADD) 2.4.5 Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC) 3 Fiabilité prévisionnelle et opérationnelle 3.1 Probabilités : généralités 3.2 Modes de défaillance 3.3 Fonctions de base de fiabilité 3.4 Lois rencontrées en SdF 3.5 Notion de robustesse 0. Etalonnage : contenu du module / connaissances actuelles Périmètre illustré de l’enseignement Utilisation électrique Expression du besoin Analyse du besoin Prestations Livrable : Prestations attendues attendues Consommation électrique diverse... Analyse fonctionnelle du besoin Analyse fonctionnelle du produit Analyse dysfonctionnelle Modélisation Fonctions attendues : CDCF Solutions techniques Identification des risques Diagramme de fiabilité ST 68 : Béton α Ferraillage β ST 69 : ... Mode de défaillance : D45 : casse structure D46 : ... FC 32 : Résister au Tsunami FC 33 : ..... Pour ST défini P(D45) = 3.10-4 P(D46) = ... Périmètre illustré de l’enseignement Assurance Qualité d’une étude de sûreté de fonctionnement Phase 1 Définition du besoin Phase 2 Analyse Fonctionnelle Phase 3 Analyse des défaillances Phase 4 Validation des objectifs Ce n’est pas que de la théorie... A qui rend service le produit ? Sur quoi agit le système ? Protéger des ambiances ext. Analyse Fonctionnelle L’utilisateur Décompositions fonctionnelle et Matérielle Véhicule Etre étanche à l’eau, l’air, poussière Rayon de courbure plan (XZ) Largeur du contact du joint PRODUIT Parebrise Ruissèlem ent d’eau « Vis de 12 » Joint … O/N Niveau Définition Défaillance 1 : Fuite d’eau Analyse préliminaire des risques Défaillance 2 : Fuites d’air Défaillance 3 : ..... G1 vert G2 jaune Fiabilité / disponibilité O/N Insatisfaction ou dégradation d'une prestation ou d'une fonctionnalité du véhicule Performances générales du véhicule conservées ; L’utilisateur peut continuer à utiliser son véhicule ; il n’y a pas d’impératif à une intervention Perte d'une prestation ou d'une fonctionnalité du véhicule Apparition de symptômes gênant ; l’utilisateur peut continuer à utiliser son véhicule, mais une intervention s’impose rapidement - Impossibilité de commencer un trajet - Impossibilité de finir un trajet par la perte d'une fonction principale ou par le non Le véhicule est indisponible pour respect de la réglementation (risque de l'utilisateur contravention) - Impossibilité de stationner le véhicule en l'état (risque d'inviolabilité) G3 orange G4 rouge Commentaires pour info, liste non exhaustive Sécurité Risque de dommages corporels pour l’homme - Peut potentiellement entraîner un accident de la circulation - Risque de dommage corporel sans accident de la circulation Ce n’est pas que de la théorie... Analyse Gravité Fuite d’eau Qualitative et Quantitative des défaillances Calcul de la criticité des défaillances Déformation du PB sous contrainte Mauvais design piste de collage Continuité O/N Orientation Situation de vie/Fonction/Critère AMDEC Détection Problème d'étanchéité du au joint de feuillure Effet Mode Défaillance Cause Etat surface Validation Occurrence Préparation surface Initial G O D IPR de défaillance de O/N Evolution Responsable Date Initial G O D IPR Action Etat Essai Véhicule : douche usine OK Client 12/1/1998 Augmentaion epaisseur : passage en 2.1/2.1 OK Client/Fournisseur 12/3/1998 7 2 2 28 NA NA Véhicule en roulage Fonction F1 : Isoler l'habitacle et les occupants de l'environnement extérieur Analyse des modes leurs effets et de la criticité IPR = G x O x D F1.1-Etre étanche à l'air et à l'eau Mécontentement client Rentrée d'eau ou d'air dans le Déformation PB sous *Calcul véhicule contrainte Mauvais design piste Validation de collage collage 7 5 6 7 3 2 210 42 NA NA 7 3 2 42 1. Introduction 1.1 Généralités Avez-vous déjà entendu parlé dans les médias d’accidents corrélés au mauvais fonctionnement d’un système dans les industries pétrochimiques, nucléaires, automobiles, spatiales, aéronautiques...? Que s’est-il passé pour chacun de ces systèmes? Les systèmes qui nous entourent peuvent-ils également contenir les mêmes risques de défaillance? Peut-on être sûr de leur fonctionnement? Que feriez-vous en tant que Qualiticien pour rassurer les Lyonnais par exemple quand au fonctionnement de la centrale nucléaire de Bugey, de l’aéroport Saint-Exupéry, ou du réseau de distribution d’eau? Durée 5mn/Présentation 5mn/Présentation par groupe de travail 1.1 Généralités - Réponses Evénements médiatiques catastrophiques impliquant la défaillance de systèmes : Bhopal (Inde, 1984) : usine de pesticides, 2 000 victimes officiellement ; Navette Challenger (USA,1986) : explosion et perte de l’équipage ; Tchernobyl (URSS, 1986) : explosion et fusion du cœur du réacteur suivies de fuites radioactives ; Exxon Valdez (Alaska, 1989) : 40 000 t de brut, marée noire ; Que s’est-il passé pour chacun de ces systèmes : Le zéro défaut ou le risque zéro n’existe malheureusement pas pour les activités industrielles à cause de l’occurrence de défaillances humaines ou matérielles. Ces défaillances internes ont conduit les systèmes à ne plus remplir une ou plusieurs fonctions pour lesquelles ils ont été conçu. Peut-on être sûr du fonctionnement des systèmes qui nous entourent? Le lien de confiance qui existe entre les utilisateurs d’un système et le système en question est lié à l’occurrence de ses défaillances. Il est totalement rationnel que des usagers délivrent une confiance réduite à un système dont la défaillance a été constatée. Ainsi un débat sur l’énergie nucléaire a été vif dans un grand nombre de pays suite à la catastrophe de Fukushima au Japon. Quel rôle doit tenir le qualiticien Comme tout bon qualiticien, le qualiticien Lyonnais fait preuve de rigueur et procède par étapes : 1. Définir un objectif : Tenter de réduire les risques (leur élimination totale étant illusoire) à un niveau le plus faible possible et acceptable par l’opinion publique 2. Evaluer les risques potentiels 3. Prévoir l’occurrence des défaillances 4. Tenter de minimiser les conséquences des situations catastrophiques lorsqu’elles se produisent. 1.1 Généralités Fort de ces réponses proposez une définition de la Sûreté de fonctionnement. Durée 5mn/Présentation 5mn/Présentation par groupe de travail 1.1 Généralités Définition de la sûreté de fonctionnement La Sûreté de Fonctionnement est l'aptitude d'un système à satisfaire à une ou plusieurs fonctions requises dans des conditions données La Sûreté de fonctionnement consiste à connaître, évaluer, prévoir, mesurer et maîtriser les défaillances des systèmes technologiques et les défaillances humaines. La Sûreté de fonctionnement est appelée la science des « défaillances ». D’autres désignations existent suivant les domaines d’applications : analyse de risque (milieu pétrolier), aléatique, cyndinique (science du danger), FMDS (Fiabilité, Maintenabilité, Disponibilité, Sécurité), en anglais RAMS (Reliability, Availability, Maintainability and Safety) : La fiabilité est la probabilité de non-défaillance d’un équipement sur un intervalle de temps donné La disponibilité se définit par la probabilité d’être en état d’accomplir sa fonction à un instant donné. La maintenabilité est l’aptitude d’un système à être maintenu en état : Elle correspond à la probabilité que la remise en état d’une entité en panne soit effectuée dans un intervalle de temps. La sécurité implique actuellement les aspects réglementaires de la sécurité des personnes 1.2 Historique Les premières démarches de fiabilité : (début du siècle) • • Transport ferroviaire : recueils statistiques des pièces mécaniques Production/Distribution électrique : Redondances de transformateurs et de lignes de distribution. Théorie fausse de l’époque : la fiabilité d’une chaîne dépendait directement de celle du maillon le plus faible Introduction de la statistique : les années 30 • • • Transports aériens : évaluation de la sécurité opérationnelle des vols d’aéronefs propulsés par un, deux, trois et quatre moteurs. A cette occasion et pour la première fois, on a introduit des objectifs chiffrés en termes de probabilité d’occurrence d’accident par heure de fonctionnement (1 accident pour 100 000 h de vol en 1939). Industrie militaire : Fin du concept du maillon le plus faible ; le mathématicien Robert Lusser lors de son étude pour analyser les problèmes de fiabilité de la fusée V1 définit la loi de probabilités de défaillance d’éléments placés en série. Il démontra que pour N éléments mis en série et ayant la même probabilité de défaillance P, la probabilité de défaillance des N éléments en série était égale à PN. Industrie aérospatial : En 1949, le capitaine Murphy énonça sa fameuse loi « If anything can go wrong, it will » (Si un problème risque de se produire, cela arrivera). Notions de fiabilité en électronique : les années 50 L’avènement de l’électronique à tubes dans des équipements techniques de plus en plus complexes fit prendre conscience de l’importance de leur fiabilité. On arriva à des situations telles que de nombreux systèmes n’étaient disponibles qu’environ 30% de leur temps. En vue de quantifier la fiabilité des composants, les premiers indicateurs chiffrés firent leur apparition (temps moyen de fonctionnement entre défaillance (FMED) ou en anglais, MTBF (mean time between failure) pour servir de base aux premières clauses contractuelles de fiabilité. 1.2 Historique Analyse des défaillances : les années 60 • Aéronautique/Spatial : Les programmes de missiles intercontinentaux et la conquête spatiale (programmes Mercury et Gemini) des États-Unis ont formalisé l’essentiel des méthodes d’analyse de la Sûreté de fonctionnement utilisées encore aujourd’hui : analyse des modes de défaillance et de leurs effets (aéronautique et LEM) ; arbres des causes (aéronautique, missile Minuteman), méthode des combinaisons de pannes (SNIAS : Concorde, puis Airbus), méthode du diagramme du succès et méthode THERP (Technique for human error rate prediction). • L’académie française accepta pour la première fois l’usage du terme fiabilité. Evaluation des risques : les années 70 • Applications nucléaires : Diffusion des techniques d’évaluation opérationnelles et prévisionnelles de la fiabilité et acceptation de la notion probabiliste de la sécurité dans les secteurs industriels présentant des risques pour les biens, les personnes et l’environnement. Apparition des arbres de défaillance et arbres de conséquence à cette époque. Formalisation, généralisation de la Sdf dans tous les secteurs d’activité : De 1980 à nos jours Les deux dernières décennies avant l’avènement du troisième millénaire ont été marquées par la prise en compte dans les études de Sûreté de fonctionnement de la pénétration de l’informatique industrielle et des facteurs humains, avec l’apparition de nouveaux outils : chaînes de Markov, réseaux de Pétri, simulation... ; HCR, HEART (pour les facteurs humains) ; utilisation de logiciels de calcul de fiabilité ; modélisation et simulation des accidents (dispersion de gaz...). En conclusion, il n’existe désormais pratiquement aucun domaine d’activité industrielle dans les pays développés où la Sûreté de fonctionnement n’est pas prise en compte (même partiellement) dans tout le cycle de vie du produit (conception, fabrication, exploitation, maintenance et mise au rebut). 1.2 Définitions - Abréviations SdF : Sûreté de Fonctionnement (Dependability), aptitude d'une entité à satisfaire à une ou plusieurs fonctions requises dans des conditions données. FMDS (RAMS) : Fiabilité, Maintenabilité, Disponibilité et Sécurité, acronyme pour désigner la sûreté de fonctionnement. PPM (ou K‰) : Pièces Par Million, valeur de 1 million de fois le rapport entre un nombre cumulé d’incidents et un nombre de produits finis. AFE (EFA) : Analyse Fonctionnelle Externe (External Functional Analysis), méthode visant à décrire de façon exhaustive les fonctions à réaliser pour satisfaire les besoins réels de l’utilisateur. Elle peut être également appelée Analyse Fonctionnelle du Besoin. AFI (IFA) : Analyse Fonctionnelle Interne (Internal Functional Analysis), analyse visant à décrire comment les composants du système étudié participent à la réalisation des fonctions. Elle peut être également appelée Analyse Fonctionnelle Technique. APR (PRA) : Analyse Préliminaire de Risques (Preliminary Risks Analysis), méthode visant à fournir l’ensemble des événements redoutés prévisionnels dans toutes les phases de vie du système étudié. ADD (FTA) : Arbre De Défaillances (Fault Tree Analysis), outil destiné à déterminer les causes ainsi que la combinaison entre ces causes, qui pourraient conduire à la réalisation d’un événement redouté (ER). AMDEC (FMECA) : Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (Failure Modes, Effects and Criticality Analysis) Méthode d'analyse d'un système qui comprend une analyse des modes de défaillance et de leurs effets, complétée par une analyse de criticité des modes de défaillance. ER (RE) : Evénement Redouté (Risk Event), l’évènement redouté se définit comme la manifestation de la défaillance. Il s’exprime donc en termes de gêne pour le client. Défaillance (Failure) :Cessation de l’aptitude d’une entité à accomplir une fonction requise. Mode de défaillance (Failure Mode) : Manière de dont un système peut arrêter d’assurer ses fonctions. Il s’exprime en termes physiques (rupture, fatigue, coincement, fuite, court-circuit…), chimiques ou autres ayant entraînés une défaillance. 1.2 Définitions - Abréviations Fiabilité R(t) (Reliability) :La fiabilité est l'aptitude d'un composant ou d'un système à fonctionner pendant un intervalle de temps. Plus précisément, la fiabilité est l'aptitude d'une entité à accomplir une fonction requise, dans des conditions données, durant un intervalle de temps donné. Le terme fiabilité est également utilisé pour désigner la valeur de la fiabilité et peut être défini comme une probabilité. C'est alors la probabilité pour qu’une entité puisse accomplir une fonction requise, dans des conditions données, pendant un intervalle de temps donné. La notion de fiabilité est associée à celle de taux de défaillance. Maintenabilité (Maintainability) : La maintenabilité est l'aptitude d'un composant ou d'un système à être maintenu ou remis en état de fonctionnement. Plus précisément, la maintenabilité est, dans des conditions données d'utilisation, l'aptitude d'une entité à être maintenue ou rétablie dans un état ou elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données, en utilisant des procédures et des moyens prescrits. Le terme maintenabilité est également utilisé pour désigner la valeur de la maintenabilité. C'est alors, pour une entité donnée, utilisée dans des conditions données d’utilisation, la probabilité pour qu’une opération de maintenance active puisse être effectuée pendant un intervalle de temps donné, lorsque la maintenance est assurée dans des conditions données et avec l’utilisation de procédures et des moyens prescrits. Disponibilité (Availability) : La disponibilité est l'aptitude d'un composant ou d'un système à être en état de marche à un instant donné. Plus précisément, la disponibilité est l'aptitude d’une entité à être en état d’accomplir une fonction requise dans des conditions données, à un instant donné, en supposant que la fourniture des moyens nécessaires est assurée. Le terme disponibilité est également utilisé pour désigner la valeur de la disponibilité et peut être défini comme une probabilité. C'est alors la probabilité pour qu’une entité puisse accomplir une fonction requise, dans des conditions données, à un instant donné. Sécurité (Safety) : La sécurité est l'aptitude d'une entité à ne pas conduire à des accidents inacceptables. Plus précisément, la sécurité est l'aptitude d'un produit à respecter, pendant toutes les phases de vie, un niveau acceptable de risques d'accident susceptible de causer une agression du personnel ou une dégradation majeure du produit ou de son environnement. Durabilité (Durability) : Aptitude d’une entité à accomplir une fonction requise dans des conditions données d’utilisation et de maintenance, jusqu’à ce qu’un état limite soit atteint. Lorsque le système est réparable, l’état limite est au-delà duquel on ne répare plus. Fonction défaillance F(t) (Unreliability) : La fonction défaillance représente la probabilité d’être défaillant avant un temps, kilométrage ou un nombre de sollicitations donné. Rq : si on désigne la fonction fiabilité par R (Reliability), la fonction défaillance F (Failure) est égale à 1-R. Chez certains clients, elle peut se retrouver sous la dénomination « défiabilité ». 2. Notions et outils fondamentaux 2.1 Principe de la sûreté de fonctionnement La sûreté de fonctionnement (SdF) est l'aptitude d'une entité à satisfaire à une ou plusieurs fonctions requises dans des conditions données. La sûreté de fonctionnement regroupe quatre notions : La fiabilité La maintenabilité La disponibilité La sécurité. 2.2 But de la sûreté de fonctionnement Le but de la sûreté de fonctionnement : mesurer la qualité de service délivré par un système, de manière à ce que l’utilisateur ait en lui une confiance justifiée. Cette confiance justifiée s’obtient à travers une analyse qualitative et quantitative des différentes propriétés du service délivré par le système, mesurée par les grandeurs probabilistes associées : fiabilité, maintenabilité, disponibilité, sécurité. 2.3 Etudes de sûreté de fonctionnement Les études de sûreté de fonctionnement regroupent les activités d'évaluation prévisionnelle de la fiabilité, de la maintenabilité, de la disponibilité et de la sécurité d'une organisation, d'un système, d'un produit ou d'un moyen. Ces évaluations permettent, par comparaison aux objectifs ou dans l'absolu, d'identifier les actions de conception ou d'amélioration de l'entité pour atteindre le niveau voulu. Ces études consistent généralement à analyser les effets des pannes, dysfonctionnements, erreurs d'utilisation ou agressions de l'entité étudiée. L’étude de sûreté de fonctionnement comporte deux volets complémentaires : Analyse fonctionnelle va détailler la manière dont le système va opérer dans toutes ses phases de vie ainsi que les autres systèmes avec lesquels il va pouvoir interagir, Analyse dysfonctionnelle vise à imaginer l’ensemble des défaillances pouvant survenir n’importe où dans le système, seules ou combinées entre elles, et à analyser leur impact. Les résultats de ces deux études sont mis en commun dans une modélisation du système qui va représenter virtuellement celui-ci avant sa réalisation, tant dans son fonctionnement attendu que dans les pannes susceptibles de lui arriver. En étudiant cette modélisation, il devient alors possible de valider ou invalider une solution technique, optimiser des choix architecturaux, remplacer des composants critiques, ceci dans le but de : réduire au maximum les risques ; réduire au maximum les coûts d’exploitation ; tolérer, dans la mesure du possible, certaines fautes en autorisant un fonctionnement en mode dégradé sous certaines conditions. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) L’analyse fonctionnelle externe (ou analyse fonctionnelle du besoin) est un outil qui décrit de façon exhaustive les fonctions à réaliser pour satisfaire les besoins réels de l’utilisateur. Son principe est de considérer l’objet de l’étude comme une boîte noire, et de le placer dans son environnement d’utilisation pour décrire ce qu’il doit faire, faisant abstraction des solutions. Cette approche se déroule en 7 phases : Phase 1 : Définir les limites du système Phase 2 : Valider le besoin du système Phase 3 : Rechercher les situations de vie Phase 4 : Lister les environnants au système par situation de vie Phase 5 : Rechercher les relations entre le système et ses environnants (les fonctions) Phase 6 : Libeller ces fonctions Phase 7 : Caractériser ces fonctions. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) Phase 1 : Définir les limites du système Cette phase a pour but de définir ce qu’est notre système et ce qui n’en fait pas partie. Pour cela, nous pouvons utiliser une décomposition hiérarchique du produit appelée découpage PBS (Product Breakdown Structure). C’est notamment au niveau des interfaces que cette définition des limites est importante. Pare-brise Feuille de verre ext. Feuille de verre int. Rétroviseur Capteur DDP Balais essui-vitre Feuille PVB Joint étanchéité Emaillage Embase rétroviseur Support capteur DDP Colle 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) Phase 2 : Valider le besoin du système • • Avant de se lancer dans la conception d’un nouveau système, il est évident qu’il est intéressant de se poser la question de son utilité et de la pérennité de celui-ci. L’outil destiné à valider le besoin d’un système est appelé « bête à cornes » en liaison avec son mode de représentation. A qui ça sert ? Sur quoi ça agit ? Système But ? - Pour faire quoi ? - Pourquoi ? Disparition ? « Bête à cornes » 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) Phase 2 : Valider le besoin du système « A qui ça sert ? » Il s’agit de définir le client premier du système. Evidemment, s’il n’y a pas de client, c’est que le système ne servira à rien. • « Sur quoi ça agit ? » Le but est de définir quel environnant principal sera modifié par le système étudié. Si le système ne doit modifier aucun environnant, encore une fois il ne servira à rien. • « Pour faire quoi ? » Cette question doit préciser l’objet du système, que doit-il faire précisément. Encore une fois, s’il ne fait rien, c’est qu’il ne sert à rien. • « Pourquoi ? » Cette question va nous amener à réfléchir sur le but premier du système. • « Disparition » Cette question sert à étudier la pérennité du système. Cette disparition peut être entraînée par la perte du client (A qui ça sert ?), par la perte de l’environnant (Sur quoi ça agit ?), par le fait de faire la même chose d’une autre manière (Pour faire quoi ?) ou par la perte de l’objet premier du système (Pourquoi ?). Ainsi, si les points de disparition semblent porter une probabilité faible, ce système pourra être lancé ou, dans le cas contraire, il sera stoppé ou réorienté. • 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) Phase 2 : Valider le besoin du système Exercice : Faire la bête à cornes du système représenté cidessous 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) Phase 2 : Valider le besoin du système Corrigé : A qui ça sert ? Sur quoi ça agit ? Système A l‘homme But ? - Pour faire quoi ? - Pourquoi ? Sur un support d'écriture (ex : feuille de papier) Disparition ? « Pour faire quoi ? » : Pour laisser des traces sur un support d'écriture de la pensée, du savoir, …de l'Homme « Pourquoi ? » : Parce que l'Homme ne peut garder présent à l'esprit et pour toujours, l'ensemble de ce qu'il pense, de ce qu'il sait... «Disparition ? » : •Perte de l’homme : Probabilité faible •Perte du support d’écriture : Probabilité faible •Perte du but : -il est possible de faire la même chose différemment => outil informatique -le but premier du système n’est pas remis en cause 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) Phase 3 : Rechercher les situations de vie Les situations de vie représentent les différentes phases dans lesquelles se trouvera le produit tout au long de son existence (allant de sa fabrication jusqu’à sa destruction et recyclage), chacune d’entre elles pouvant influer sur son design. Situations de vie du Pare-brise Fabrication Logistique / stockage Montage en usine Véhicule à l'arrêt Utilisation du Pare-brise Chocs parking Lavage / entretien Véhicule en roulage Roulage normal Chocs Réparation Recyclage 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) Phase 4 : Lister les environnants au système par situation de vie Cette phase consiste à rechercher les éléments physiques qui sont en relation avec le système dans la situation de vie étudiée. Ces éléments peuvent être les autres composants du système de niveau n+1, l’ambiance dans laquelle se trouve le système, l’utilisateur du système ou l’environnant qui doit être modifié. Pare-brise Utilisateur Monteur Ambiance extérieure ... 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) Phase 5 : Rechercher les relations entre le système et ses environnants (les fonctions) Les fonctions constituent les relations entre le système et ses environnants. Elles sont classées en deux catégories : Fonctions de service (ou principales) : elles représentent l’objet du système. Elles relient deux environnants au travers du système. Fonctions contraintes : elles représentent les contraintes auxquelles le système doit résister. Elles ne relient qu’un environnant au système. Les fonctions de service et contraintes sont représentées dans un schéma appelé « pieuvre ».. Reste du véhicule FP2 Utilisateur FC4 FC2 FC3 FP1 Pare-brise FP3 FC1 Ambiance extérieur ... Monteur 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) Phase 6 : Libeller ces fonctions Le libellé des fonctions est constitué de la construction suivante : Sujet : c’est le système étudié qui se trouve dans la bulle centrale de la pieuvre. Verbe d’action : il transcrit la donnée de sortie de la fonction (ce que le produit doit faire). Compléments : ils reprennent les éléments des bulles environnants. Cependant, pour simplifier la phrase, le sujet peut être sous-entendu, donc omis dans la phrase. Ce travail doit être effectué pour chaque situation de vie du système. En reprenant notre exemple du pare-brise, chacune des fonctions pourra être libellée comme ciaprès : FP1 : le PB doit assurer une bonne visibilité du milieu extérieur au conducteur. FP2 : le PB doit plaire à l’utilisateur en s’intégrant esthétiquement au reste du véhicule. FP3 : le PB doit respecter l’intégrité physique du monteur FC1 : le PB doit isoler de l’ambiance extérieure (eau, air…). FC2 : le PB doit respecter l’utilisateur. FC3 : le PB doit résister à l’utilisateur. FC4 : le PB doit s’adapter au reste du véhicule. … 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) Phases 5/6 : Rechercher les relations entre le système et ses environnants (les fonctions) Exercice : Rechercher les fonctions principales et contraintes du système représenté ci-dessous : 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) Phase 5/6 : Rechercher les relations entre le système et ses environnants (les fonctions) Corrigé : Attention ! Il faut commencer par lister les situations de vie du système : Situation d’écriture Situation de repos (posé, accroché...) En situation d'écriture En situation Repos (Accroché ou posé) Support d'écrtiure FP1 Main FC3 FC3 Stylo Utilisateur Stylo Vêtements Objets divers FC1 FC2 FC1 Ambiance extérieur FC2 Oeil Fp1 = permettre à la main de l'Homme de laisser des traces sur un support d'écriture Fc1 = résister à l’ambiance extérieure Fc 2 = être agréable à l'œil Fc3 = respecter l’utilisateur Ambiance extérieur Poche/Sac Fc1 = résister à l’ambiance ext. Fc2 = s’accrocher à une poche Fc3 = préserver les vêtements ou objets divers 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) Phase 7 : Caractériser ces fonctions Cette dernière phase consiste à déterminer des critères de performance pour chacune des fonctions définies ci-avant, d’en préciser les niveaux attendus ainsi qu’une flexibilité (niveau de négociation possible). Les critères de performance correspondant à la partie verbale qualifient les données de sortie de la fonction (ce que l’on attend du système). A contrario, les critères de performance associés aux parties nominales servent à qualifier l’environnant correspondant, ils décrivent donc les données d’entrée de la fonction. A chaque critère de performance est associé un niveau qui doit être tolérancé pour permettre au concepteur d’évaluer sa capabilité. Enfin, à chaque critère est également associé un niveau de négociation possible entre le spécificateur et le concepteur (appelé niveau de flexibilité) : F0 : flexibilité nulle : niveau impératif F1 : flexibilité faible : niveau peu négociable F2 : flexibilité bonne : niveau négociable F3 : flexibilité forte : niveau très négociable. La donnée de sortie de l’analyse fonctionnelle externe est le cahier des charges fonctionnel du système étudié. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.1 Analyse fonctionnelle externe (AFE) Phase 7 : Caractériser ces fonctions – Le tableau fonctionnel Décomposition fonctionnelle Situation de vie : Véhicule à l'arrêt Fonction FP1 : Résister à l'ambiance ext. Critères Respecter les performances thermiques Mesures des performances thermiques. Etre étanche à l'eau Mesure de l'intrusion d'eau Etre étanche au bruit Participer au maintien FP2 : Participer à de l'occupant à l'int. du la sécurité véhicule passive ... ... Conformité aux spécif./Normes ... ... ... Niveaux Flexibilité Te=50±3 F2 Re=5±3 F2 aucune infiltration d’eau admise F0 ... F2 CEE 92226 F0 ... ... ... ... ... ... 2.4 Outils utilisés en sûreté de fonctionnement 2.4.2 Analyse fonctionnelle interne (AFI) L’objet de cette analyse est de décrire comment les composants du système participent à la réalisation des fonctions. Evidemment, à ce stade, il faut avoir défini le nombre de composants et le mode de fonctionnement du système. Cette analyse comporte deux étapes principales : la décomposition du système et l’identification des flux à l’intérieur du système. Décomposition du système L’objet de cette décomposition est de définir les éléments constitutifs qui composent le système. Cette décomposition va constituer la nomenclature produit. Pare-brise Feuille de verre ext. Feuille de verre int. Feuille PVB Emaillage Embase rétroviseur Colle Embase DDP Colle 2.4 Outils utilisés en sûreté de fonctionnement 2.4.2 Analyse fonctionnelle interne (AFI) Identification des flux à l’intérieur du système L’objet de cette étude est de déterminer comment chaque fonction définie lors de l’analyse fonctionnelle externe, est réalisée par les différents composants. En intégrant les composants dans la bulle centrale de la pieuvre, on illustre le chemin suivi par chacune des fonctions. Ce chemin représente les flux à l’intérieur du système, flux qui sont de trois types : matière, énergie ou information. Les fonctions sont alors matérialisées dans le dessin par des traits représentant les contacts entre les éléments eux-mêmes et entre les éléments et les différents environnants. Ce schéma est classiquement appelé « bloc diagramme fonctionnel ». Reste du véhicule FP1 Utilisateur PVB. Feuille int.. Embase rétroviseur Feuille ext. Embase DDP Conducteur … Ambiance extérieur ... 2.4 Outils utilisés en sûreté de fonctionnement 2.4.2 Analyse fonctionnelle interne (AFI) Pour des systèmes complexes, on préférera plutôt le tableau d’analyse fonctionnelle, qui synthétise la participation des composants à la réalisation des fonctions, à la place du bloc diagramme fonctionnel. Ainsi, selon les produits étudiés, on pourra utiliser soit le bloc diagramme fonctionnel, plus intuitif et plus imagé mais plus compliqué à dessiner avec un ordinateur, soit le tableau d’analyse fonctionnelle, plus facile à réaliser avec un tableur type Excel. Ce genre de représentation est peut-être plus sûr pour ne rien oublier. En effet : toute fonction doit être affectée à un composant au moins ; tout composant doit participer au moins à une fonction. Fonctions Composants Feuille ext. PVB Feuille int. Emaillage Embase DDP Embase Rétroviseur Joint Colle … FP1 FP2 FP3 X X X X X X X X X X X X X X X FC1 FC2 … 2.4 Outils utilisés en sûreté de fonctionnement 2.4.2 Analyse fonctionnelle interne (AFI) Pour des raisons visuelles et d’efficience on préfèrera une fois l’AFE terminée basculer directement sur un outil riche de l’AFI : le FAST. FAST= Analyse Fonctionnelle des systèmes techniques ( Function Analysis System Technic ) Cet outil permet une fois le recensement et l’identification des fonctions faites de construire une décomposition fonctionnelle qui aboutira sur l’établissement de solutions techniques. Méthodologie : La fonction est placée dans un cadre. Ce cadre est disposée sur la gauche d’un tableau . Le groupe de travail doit répondre aux questions posées. Les réponses ou solutions sont disposées sur une colonne à droite. Chaque nouvelle solution est décortiquée en sous catégorie pour obtenir les éléments qui constituent la ou les solutions à étudier. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.2 Analyse fonctionnelle interne (AFI) DE LA FONCTION GLOBALE A LA SOLUTION Fonction globale→ décomposition fonctionnelle → Solutions techniques Technique interrogative : Comment? Intérêt : Relation BESOIN SOLUTION 2.4 Outils utilisés en sûreté de fonctionnement 2.4.2 Analyse fonctionnelle interne (AFI) Exercice : Réaliser le FAST du système ci-dessous. Identifier les différentes situations de vie Lister les fonctions pour chaque situation de vie Faire le FAST complet Diviser les fonctions par groupe de travail 2.4 Outils utilisés en sûreté de fonctionnement 2.4.2 Analyse fonctionnelle interne (AFI) Corrigé Feuille de calcul Microsoft Excel 2.4 Outils utilisés en sûreté de fonctionnement 2.4.3 Analyse Préliminaire des Risques (APR) L’analyse préliminaire de risques est une méthode visant à fournir l’ensemble des événements redoutés prévisionnels dans toutes les phases de vie du système étudié. Cette analyse se décompose en deux approches complémentaires : une approche fonctionnelle : analyse des conséquences des défaillances des fonctions du système, une approche agressions : analyse des conséquences des agressions du système vers l’extérieur (éléments potentiellement dangereux) ; analyse des conséquences des agressions du milieu extérieur vers le système (éléments sensibles). Ces approches ont pour avantages d’obtenir un examen rapide des situations dangereuses, ne nécessitant pas un niveau de description détaillé du système étudié. Par contre, pour des systèmes complexes, elles ne permettent pas de décrire finement les enchaînements qui conduisent à une défaillance majeure : l’utilisation ultérieure d’outils tels que l’AMDEC ou arbre de défaillances sont nécessaires. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.3 Analyse Préliminaire des Risques (APR) 2.4.3.1 L’APR approche fonctionnelle L’approche fonctionnelle a pour but d’étudier les conséquences de chaque mode de défaillance des fonctions décrites dans l’analyse fonctionnelle. Elle est donc effectuée pour chaque fonction du système dans chaque situation de vie. Par mode de défaillance, on entend : Absence de fonction à la sollicitation : ça ne marche pas, Perte de fonction en fonctionnement : ça ne marche plus, Fonctionnement dégradé : ça marche mal, Fonctionnement intempestif : ça marche alors que l’on a rien demandé, Fonctionnement intermittent : ça s’arrête et ça repart tout seul. Toutes les fonctions de service et les fonctions contraintes listées dans l’analyse fonctionnelle externe sont reprises comme données d’entrée pour l’APR approche fonctionnelle. Pour chaque fonction, les modes de défaillance seront déterminés en tenant compte des différents types définis ci-avant (absence, perte, dégradé, intempestif et intermittent). Ensuite, l’événement redouté par le client est identifié pour chaque mode de défaillance. Par client, on entend l’utilisateur final du macro-système dans la situation de vie étudiée. L’événement redouté s’exprime donc en termes de gêne pour le client, allant de l’insatisfaction jusqu’à l’atteinte de l’intégrité physique de l’utilisateur ou des personnes environnantes. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.3 Analyse Préliminaire des Risques (APR) 2.4.3.1 L’APR approche fonctionnelle Cette première partie de l’APR correspond à la partie qualitative. La partie quantitative de l’APR a, quant à elle, pour objet de hiérarchiser les risques pour permettre au groupe d’analyse d’adapter la méthodologie de traitement en conséquence et ainsi les actions à mettre en œuvre. Pour chaque mode de défaillance, on renseignera donc un niveau de gravité caractérisant le niveau de gêne du mode de défaillance pour le client. Ce niveau découle directement de l’impact client défini comme étant l’événement redouté. Les niveaux de gravité sont évalués à partir des critères définis dans la grille ci-après. Niveau Définition G1 vert G2 jaune Fiabilité / disponibilité G3 orange G4 rouge Sécurité Commentaires pour info, liste non exhaustive Insatisfaction ou dégradation d'une prestation ou d'une fonctionnalité du véhicule Performances générales du véhicule conservées ; L’utilisateur peut continuer à utiliser son véhicule ; il n’y a pas d’impératif à une intervention Perte d'une prestation ou d'une fonctionnalité du véhicule Apparition de symptômes gênant ; l’utilisateur peut continuer à utiliser son véhicule, mais une intervention s’impose rapidement Le véhicule est indisponible pour l'utilisateur - Impossibilité de commencer un trajet - Impossibilité de finir un trajet par la perte d'une fonction principale ou par le non respect de la réglementation (risque de contravention) - Impossibilité de stationner le véhicule en l'état (risque d'inviolabilité) Risque de dommages corporels pour l’homme - Peut potentiellement entraîner un accident de la circulation - Risque de dommage corporel sans accident de la circulation 2.4 Outils utilisés en sûreté de fonctionnement 2.4.3 Analyse Préliminaire des Risques (APR) 2.4.3.1 L’APR approche fonctionnelle Après la gravité, on renseignera également le niveau d’occurrence. Cette évaluation correspond à la probabilité d’apparition du mode de défaillance lié à l’événement initiateur. Les niveaux d’occurrence sont évalués à partir des critères définis dans la grille ci-après. Niveau Niveau d’innovation Taux de défaillance ressenti O1 vert Reprise d’éléments éprouvés en série Il est pratiquement impossible que l’événement se produise au cours de la durée de vie de l’ensemble de la population des systèmes O2 jaune Reprise de concepts éprouvés dont les quelques défaillances n’engendrent pas de pénalisation du marché Il est possible que quelques systèmes défaillent au cours de leur durée de vie Il est possible qu’une part non négligeable O3 Fortes modifications de concepts de systèmes présente une défaillance au cours de leur vie impactant la rentabilité du orange connus produit (retours garantie par exemple) O4 rouge Conception innovante Il est possible qu’une majorité de systèmes présente des défaillances au cours de leur vie engendrant un problème d’image de marque du produit 2.4 Outils utilisés en sûreté de fonctionnement 2.4.3 Analyse Préliminaire des Risques (APR) 2.4.3.1 L’APR approche fonctionnelle Ainsi, compte tenu des niveaux de gravité et d’occurrence estimés, le groupe de travail traitera les risques « majeurs » en priorité en utilisant les démarches et outils appropriés. Bien entendu, les défaillances ayant une gravité élevée seront traitées en priorité par le groupe de travail. Etant donné que notre objectif premier dans la mise en œuvre de l’APR est la recherche et la hiérarchisation des événements redoutés, notre analyse s’est volontairement limitée à identifier les modes de défaillance, les événements initiateurs et leurs niveaux d’occurrence associés, les événements redoutés et leurs niveaux de gravité associés. L’identification des conséquences système et des scénarios (succession d’événements), et la définition des actions de maîtrise de risques seront traités ultérieurement à l’aide d’autres outils. Fonction Mode de défaillance Evénement initiateur Evénement Redouté (ER) Gravité Occurrence G4 O1 Situation de vie : Véhicule à l'arrêt Assurer la sécurité passive des occupants Non tenue de la R43 : Process : Tempage casse non dispersée en Produit : design, fragements à l'impact épaisseur... ... ... agression des vitres latérales sur les ocuupants lors d'un accident ... 2.4 Outils utilisés en sûreté de fonctionnement 2.4.3 Analyse Préliminaire des Risques (APR) 2.4.3.2 L’APR menace/agressions Il existe deux approches complémentaires à l’approche fonctionnelle décrite ci-avant : Une approche agressions du système vers l’extérieur, appelée également agressions externes, qui étudie l’impact sur l’environnement d’une défaillance d’un élément potentiellement dangereux. Une approche agressions du milieu extérieur vers le système, appelé également agressions internes, qui étudie les conséquences des agressions potentielles que le milieu extérieur peut induire sur les éléments sensibles du système. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.3 Analyse Préliminaire des Risques (APR) 2.4.3.2 L’APR menace/agressions Approche agressions du système vers l’extérieur (agressions externes) : Dans l’approche agressions du système vers l’extérieur, le groupe de travail recherchera l’ensemble des éléments ayant une géométrie, ou contenant suffisamment d’énergie latente, présentant un danger potentiel. Par énergie latente, on entend une énergie capable d’être libérée de façon incontrôlée (résistance chauffante, ressort tendu, élément sous pression, dégagement de produits nocifs…). Ensuite, on recherchera le ou les événements initiateurs qui pourraient libérer cette énergie latente, risquant ainsi de provoquer l’événement redouté au niveau du client utilisateur. Les événements initiateurs peuvent être liés à une défaillance interne au système, mauvaise manipulation de l’utilisateur, modification du milieu environnant… Tout comme l’approche fonctionnelle, l’événement redouté par le client est alors identifié pour chaque élément potentiellement dangereux. L’événement redouté s’exprime donc en termes de gêne pour le client, allant de l’insatisfaction jusqu’à l’atteinte de l’intégrité physique de l’utilisateur ou des personnes environnantes. Pour chaque élément potentiellement dangereux, on renseignera ensuite un niveau de gravité caractérisant le niveau de gêne de l’élément potentiellement dangereux pour le client. Ce niveau découle directement de l’impact client défini comme étant l’événement redouté. Les niveaux de gravité et d’occurrence sont évalués à partir des critères définis dans les mêmes grilles que celle utilisée pour l’APR approche fonctionnelle (cf. Grille de gravité et Grille d’occurrence pour l’Analyse Préliminaire des Risques). Comme pour l’approche fonctionnelle, notre analyse s’est volontairement limitée aux éléments décrits ciavant. L’identification des conséquences système et des scénarios (succession d’événements), et la définition des actions de maîtrise de risques seront traités ultérieurement à l’aide d’autres outils. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.3 Analyse Préliminaire des Risques (APR) 2.4.3.2 L’APR menace/agressions Approche agressions du milieu extérieur sur le système (agressions internes) : Dans l’approche agressions du milieu extérieur sur le système, le groupe de travail recherchera l’ensemble des composants constitutifs du système qui pourraient être sensibles à une agression extérieure, pouvant provenir de l’environnement ou des autres systèmes interfacés avec le système étudié. Ensuite, on recherchera le ou les événements initiateurs extérieurs au système qui pourraient dégrader l’élément fragile. Par événement extérieur, on entend aussi bien les éléments du milieu ambiant (température, agressions mécaniques ou chimiques…) que les défaillances des autres systèmes avec lequel le système étudié est en interaction (vibrations…). Tout comme l’approche agressions externes, l’événement redouté par le client est alors identifié pour chaque élément fragile. L’événement redouté s’exprime donc en termes de gêne pour le client, allant de l’insatisfaction jusqu’à l’atteinte de l’intégrité physique de l’utilisateur ou des personnes environnantes. Pour chaque élément fragile, on renseignera ensuite un niveau de gravité caractérisant le niveau de gêne de l’élément fragile pour le client. Ce niveau découle directement de l’impact client défini comme étant l’événement redouté. Les niveaux de gravité et d’occurrence sont évalués à partir des critères définis dans la même grille que celle utilisée pour l’APR approche fonctionnelle (cf. Grille de gravité et Grille d’occurrence pour l’Analyse Préliminaire des Risques). Comme pour l’approche agressions externes, notre analyse s’est volontairement limitée aux éléments décrits ci-avant. L’identification des conséquences système et des scénarios (succession d’événements), et la définition des actions de maîtrise de risques seront traités ultérieurement à l’aide d’autres outils. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.3 Analyse Préliminaire des Risques (APR) 2.4.3.1 L’APR approche fonctionnelle Etude cas : Etude de sûreté de fonctionnement de la société BIQ AFE : Bête à cornes : OK Pieuvre : OK CDCF : OK AFI : Bloc diagramme fonctionnel : OK FAST : OK L’analyse fonctionnelle étant réalisée le groupe BIQ souhaite mettre en œuvre l’étude des risques. 23 Qualiticiens sont responsables de l’étude et BIQ attend leurs conclusions. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.4 Arbre de défaillances (ADD) L’arbre de défaillances est un outil destiné à déterminer les causes ainsi que la combinatoire entre ces causes, qui pourraient conduire à la réalisation d’un événement redouté (ER). Ces combinaisons d’événements sont représentées graphiquement à l’aide d’une structure de type arbre, dans lequel les relations causes/effets sont schématisées par des portes logiques ET ou OU. Cet outil permet de : visualiser la « mécanique » pouvant amener à la défaillance, allouer une fiabilité aux différents composants du système par une quantification « Top Down », évaluer la fiabilité de l’événement redouté par une quantification « Bottom Up ». 2.4 Outils utilisés en sûreté de fonctionnement 2.4.4 Arbre de défaillances (ADD) 2.4.4.1 Construction de l’arbre de défaillances L’arbre de défaillances est un outil déductif et itératif : on part d’un effet pour en trouver ses causes en se posant la question « Pourquoi ? ». A la différence du diagramme « Causes – Effets » ou de l’outil « 5 Pourquoi ? » où chaque cause peut individuellement entraîner l’effet non désiré, l’arbre de défaillances permet, en plus, de mettre en évidence la combinatoire de ces causes. Même si classiquement, un arbre de défaillances est représenté verticalement, on conviendra d’une représentation de l’arbre couché où l’événement redouté est à gauche et les causes s’enchaînent vers la droite. Définition de l’événement redouté (« sommet de l’arbre ») L’événement redouté (ER) est l’événement indésirable pour lequel on recherche toutes les causes, et leur combinatoire, qui y conduisent. Cet événement est unique pour un arbre de défaillances et se trouve à gauche de l’arbre (ou au sommet). Il doit être défini de façon précise afin d’éviter d’avoir une analyse gigantesque ou impossible à faire. Cet événement provient généralement de l’analyse préliminaire de risques utilisée en amont de l’arbre de défaillances. Portes logiques L’arbre de défaillances est particulièrement bien adapté aux événements combinatoires, mais devient délicat à mettre en œuvre quand il s’agit d’événements séquentiels. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.4 Arbre de défaillances (ADD) 2.4.4.1 Construction de l’arbre de défaillances Porte « OU » : l’événement E1 se produit dès qu’un événement A, B ou C se produit. Porte « OU » Porte « ET » : l’événement E1 ne se produit que si les événements A, B et C se produisent simultanément. Porte « ET » Pour éviter de recopier inutilement des parties de dessin identiques d’une branche à l’autre de l’arbre du dessin, on peut utiliser un système de renvoi. Renvoi d’une partie de l’arbre 2.4 Outils utilisés en sûreté de fonctionnement 2.4.4 Arbre de défaillances (ADD) 2.4.4.1 Construction de l’arbre de défaillances Déroulé de l’analyse L’analyse débute par la recherche des causes immédiates nécessaires et suffisantes pour obtenir l’événement redouté. Ces causes constituent des événements intermédiaires dont on recherchera les causes et leur combinatoire, et ainsi de suite. A chaque étape, la question pertinente pour rechercher les causes du niveau inférieure est « pourquoi ? ». Les causes correspondant au niveau le plus à droite (ou plus bas) de l’analyse sont appelées événements élémentaires ou causes racines. Ces causes racines seront identifiées d’une couleur spécifique dans l’arbre (la couleur jaune sera préconisée). La difficulté de l’arbre de défaillances est de définir le niveau de détail adapté. De façon générale, nous considérons que les événements élémentaires correspondent aux défaillances des composants, un composant étant un sous-système réparable ou interchangeable. Dans le cas d’un arbre de défaillances mis en œuvre dans le cadre d’une démarche Sureté de Fonctionnement, les événements de base correspondent aux défaillances des sous-systèmes de niveau N-1 définis dans notre décomposition hiérarchique du produit appelée découpage PBS (Product Breakdown Structure). Dans la réalisation de l’arbre, le groupe de travail veillera à bien rester dans ses limites de responsabilité tout en communiquant les causes identifiées à d’autres intervenants : client, fournisseur... 2.4 Outils utilisés en sûreté de fonctionnement 2.4.4 Arbre de défaillances (ADD) 2.4.4.1 Construction de l’arbre de défaillances 2.4 Outils utilisés en sûreté de fonctionnement 2.4.4 Arbre de défaillances (ADD) 2.4.4.2 Allocation fiabilité des différents composants du système Une des utilisations de l’arbre des défaillances est l’allocation des objectifs de fiabilité à chacun des composants du système par une quantification de type « Top Down » : en partant de l’objectif alloué au système complet (gauche de l’arbre), on donne un objectif de fiabilité à chacune des causes élémentaires (racines de l’arbre). Ainsi, conformément à l’algèbre de Boole : Probabilité (A et B) = P (A) x P (B) Probabilité (A ou B) = P (A) + P (B) - P (A) x P (B)* = P (A) + P (B) (*) Simplification du théorème de Poincaré : P (A) x P (B) est négligeable étant donné que les probabilités P (A) et P (B) sont faibles. Par conséquent, à chaque passage de ET, on prend la racine carré de l’objectif de l’événement supérieur (à gauche) ou on divise cet objectif en traversant un OU. Une répartition peut également être effectuée au prorata des retours observés sur les systèmes de génération précédente. Cette approche peut donc permettre d’objectiver les valeurs des objectifs de fiabilité alloués aux fournisseurs de sous-systèmes. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.4 Arbre de défaillances (ADD) 2.4.4.3 Evaluation de la probabilité d’apparition de l’événement redouté A l’inverse de l’allocation, l’arbre de défaillances permet également d’évaluer la probabilité d’apparition de l’événement redouté. A partir de la probabilité d’apparition de chacune des causes élémentaires, on calcule la probabilité d’apparition de l’événement redouté en remontant l’arbre grâce à l’algèbre de Boole : quantification « Bottom Up ». Ainsi, les probabilités se multiplient quand on passe une porte ET et les probabilités s’additionnent lorsqu’on passe une porte OU. Toute la difficulté de cette quantification réside dans l’évaluation de la probabilité d’apparition de chacune des causes élémentaires. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.3 Analyse Préliminaire des Risques (APR) 2.4.3.1 L’APR approche fonctionnelle Exercice : faire l’ADD de l’ER4 « coupure sur l’utilisateur » 2.4 Outils utilisés en sûreté de fonctionnement 2.4.3 Analyse Préliminaire des Risques (APR) 2.4.3.1 L’APR approche fonctionnelle Corrigé 2.4 Outils utilisés en sûreté de fonctionnement 2.4.5Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC) L’AMDEC est définie comme étant une méthode rigoureuse et préventive visant à recenser puis à évaluer les défaillances d’un système. Cette méthode est considérée par la plupart des industriels comme l’outil d’analyse de risque le plus pertinent. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.5Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC) 2.4.5.1AMDEC Produit L’AMDEC Produit est utilisée pour fiabiliser les systèmes par l’analyse des défaillances dues aux erreurs de conception. Ce type d’AMDEC est donc initialisé en phase de développement produit au moment de sa conception. Elle a pour objet de s’assurer que le « Design » répond à l’ensemble des critères du cahier des charges : les modes de défaillance seront considérés comme étant la non-réalisation ou la mauvaise réalisation des critères de performance associés aux fonctions décrites dans l’analyse fonctionnelle du produit. Cette analyse se décompose en trois parties : Analyse qualitative : à partir des fonctions du produit, identification des modes de défaillance potentiels, de leurs effets, de leurs causes, des contrôles de conception existants (prévention et détection), Analyse quantitative : évaluation du risque lié à chaque mode de défaillance (gravité, occurrence, détection IPR), Plan d’actions correctives pour réduire les niveaux de risque les plus élevés : actions au niveau de la conception du produit et actions pour améliorer les démarches de validation prévues. Le tableau ci-après reprend le formalisme standard utilisé pour les AMDEC Produit, à moins qu’une exigence particulière ne soit imposée par le client. 2.4 Outils utilisés en sûreté de fonctionnement 2.4.5Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC) 2.4.5.2AMDEC Process L’AMDEC Process est utilisée pour analyser les défaillances générées par le processus de fabrication. Ce type d’AMDEC est idéalement initialisé en phase d’industrialisation au moment de la définition du processus de fabrication et de la conception des moyens. Elle a pour objet de s’assurer que le processus de fabrication répond à l’ensemble des exigences définies pour la réalisation des opérations : les modes de défaillance seront considérés comme étant la non-réalisation ou la mauvaise réalisation des exigences produit/process associées aux opérations décrites dans la décomposition fonctionnelle du processus de fabrication (incluant la réception, les flux inter-postes, les contrôles et la livraison). Cette analyse se décompose en trois parties : Analyse qualitative : à partir des opérations élémentaires de fabrication, identification des modes de défaillance potentiels, de leurs effets, de leurs causes, des contrôles de processus existants (prévention et détection), Analyse quantitative : évaluation du risque lié à chaque mode de défaillance (gravité, occurrence, détection IPR), Plan d’actions correctives pour réduire les niveaux de risque les plus élevés : actions au niveau de la conception du produit/process et actions pour améliorer les détections prévues (contrôles). Le tableau ci-après reprend le formalisme standard utilisé pour les AMDEC Process, quelque soit l’exigence du client. 3. Fiabilité Prévisionnelle et Opérationnelle 3.1 Probabilités : généralités L’ensemble des définitions et démarches détaillées depuis le début de l’enseignement ne trouvent de légitimité que par les notions probabilistes d’apparition d’une défaillance à un instant t. Considérons un système dont le fonctionnement au cours du temps sera représenté par la variable P(t ) : L’état normal de fonctionnement sera représenté par P (t ) = 1 L’état défaillant sera noté par P (t ) = 0. L’instant t d’occurrence d’une défaillance (sauf action délibérée et programmée dans le temps) n’est jamais prévisible et correspond à un événement aléatoire. Etat P(t) 1 En fonctionnement 0 Défaillant t Temps (t) Une variable aléatoire est une variable réelle dont la valeur est liée au résultat d’une expérience (dans le cas du jet de dé la variable aléatoire peut prendre les valeurs entières 1, 2, 3, 4, 5 et 6). En Sûreté de fonctionnement les variables aléatoires peuvent être discrètes ou continues dans le temps. La probabilité d’un événement est un nombre réel toujours comprise entre 0 et 1 : 0 <P (A) < 1 3.2 Modes de défaillances Comme nous l’avons vu l’apparition d’une défaillance soumise à une probabilité P(t) peut être la conséquence de plusieurs causes voir de l’association de causes. Les études quantitatives de fiabilité dans une démarche de Sdf ont pour objet de mettre en évidence les distributions de défaillance : De jeunesse : erreurs de conception et de fabrication Occasionnelle ou anormale de la fabrication Intrinsèque à la technologie D’usure Concernant l’usure en mécanique par exemple les causes affectant les solutions techniques peuvent être : Corrosion : piqûres, contraintes, attaques chimiques Flambage Fatigue : thermique, usure Ecaillage Choc thermique Radiation Fatigue vibratoire Déformation élastique ... Les conséquences associées seront : Rupture fragile Rupture ductile Rupture par fatigue 3.3 Fonctions de base de la Fiabilité Fonction fiabilité R(t) : Considérons l’instant T d’occurrence de la défaillance ; cette variable aléatoire permet de définir la notion de fiabilité qui s’interprète comme la probabilité que l’entité considérée ne tombe pas en panne avant un instant t donné ou bien comme la probabilité qu’elle tombe en panne après l’instant t. Par extension, on appelle également fiabilité la probabilité associée R (t ) à cette notion. Elle est définie par : R (t ) = P (E non défaillante sur la durée [0, t], en supposant qu’elle n’est pas défaillante à l’instant t = 0). Ce qui peut s’exprimer par : R (t ) = P (T > t ) L’aptitude contraire est appelée défiabilité, et est définie par : R (t ) = 1 –R (t ) = P (t <T ) = F (t) Il est possible de donner une approche intuitive de la notion de fiabilité d’un parc composé de N entités identiques en fonctionnement et non réparées après défaillance. En considérant N(0) le nombre d’entités fonctionnant à l’instant t = 0 et N (t ) le nombre d’entités survivant à l’instant t, le quotient N(t )/N(0) représente une mesure expérimentale de la fiabilité des entités identiques. 3.3 Fonctions de base de la Fiabilité Exercice : On considère le nombre de défaillances observées sur les diodes laser utilisées pour la lecture de disques optiques numériques pour un parc de 270 lecteurs tableau ci dessous). Représentez la loi R (t ) approximée par une représentation avec 8 classes d’intervalles des temps. Nombre de défaillances par classe de temps de fonctionnement Intervalle (h) Nombres de défaillances par intervalle 0 à 500 500 à 1 000 1 000 à 1 500 1 500 à 2 000 2 000 à 2 500 2 500 à 3 000 3 000 à 3 500 3 500 à 4 000 Total 50 100 50 30 20 10 5 5 270 3.3 Fonctions de base de la Fiabilité Corrigé Nombres de défaillances par intervalle 120 100 80 Nombres de défaillances par intervalle 60 40 20 Nombres de défaillances par intervalle 0 0 à 500 500 à 1 1 000 à 1 500 à 2 000 à 2 500 à 3 000 à 3 500 à 000 1 500 2 000 2 500 3 000 3 500 4 000 120 100 80 Nombres de défaillances par intervalle 60 40 20 0 0 à 500 500 à 1 1 000 à 1 1 500 à 2 2 000 à 2 2 500 à 3 3 000 à 3 3 500 à 4 000 500 000 500 000 500 000 3.3 Fonctions de base de la Fiabilité Densité de défaillance f(t) : C’est la probabilité ramenée à l’unité de temps qu’un système défaille à t. La densité de probabilité de l’instant de la défaillance T s’obtient en dérivant la fonction de répartition F (t ) : f (t ) = dF (t )/dt = - dR(t )/dt Taux de défaillance : A partir de la connaissance des termes R (t ), f (t ) et F (t ), on peut définir la notion de taux de défaillance au temps t qui est noté universellement par λ(t ). C’est la probabilité ramenée à l’unité de temps, qu’un système ayant survécu jusqu’à t défaille entre t et t+dt. En appliquant le théorème des probabilités conditionnelles, il vient, si dt est petit : λ (t ) = -1/R t ( ) x dR(t )/dt Pendant la durée de vie d’une entité, on constate que son taux de défaillance évolue au cours du temps. Après la première mise en service, sur une période appelée période de jeunesse, le taux de défaillance est élevé puis à tendance à décroître. Cela correspond àla période de rodage des systèmes mécaniques ou au déverminage de cartes électroniques. Ensuite le taux de défaillance de la majorité des entités est caractérisé par une valeur constante, ce qui signifie que la probabilité d’une défaillance est identique pour chaque instant considéré. C’est la période de défaillance à taux constant. Ensuite, en raison du vieillissement des matériaux des composants ou de leur usure, on observe généralement un taux de défaillance qui se met à croître de façon significative. Cette période de la vie de l’entité est appelée la période de vieillissement ou d’usure. Cette évolution est connue sous le nom de « courbe en baignoire » 3.4 Les lois rencontrées en SdF Loi binomiale de paramètres p et n : Elle correspond à la probabilité de réalisation d’un événement de probabilité p au cours de n expériences Loi de Poisson de paramètre m : Elle correspond au nombre d’occurrences sur une période donnée d’un événement dont la probabilité par unité de temps est constante. Loi de Weibull : Cette loi est très utilisée pour représenter le comportement des matériels pendant toute leur période de vie avec une loi de densité de probabilité définie par : R(t) = e-((t-γ)/η)^β λ (t ) = (β/η) x ((t-γ)/η)^(β-1) On peut donner une interprétation de λ en fonction de β : β paramètre de forme (sans unité), - λ(t) croissant pour β>1 - λ(t) constant pour β=1 η paramètre d’échelle (en unités de temps) γ paramètre de position (en unité de temps) - λ(t) décroissant pour β<1 3.4 Les lois rencontrées en SdF Loi de Weibull : signification physique des valeurs de β Pannes de jeunesse : β <1 : Défaut d’assemblage ou de fabrication (défaut de serrage, étanchéité, pollution d’huile, propreté)=Process défaillant ou définition du produit inadéquat. Pannes aléatoires : β=1 : erreur humaine, événements naturels (foudre...) Pannes de fatigue lente : 1 < β <2, Grand nombre de cycles Pannes de fatigue moyenne : β=2, Etanchéité, tenue des soudures Pannes de fatigue rapide : β>2, utilisation du produit dans son domaine plastique, abrasion, corrosion 3.5 Notion de robustesse Non dégradation des performances du produit en fonction de : Des variabilités de fabrication Des variabilités d’utilisation Du vieillissement des composants du produit Logique de robustesse : Trouver le compromis entre performance satisfaisante et insensibilité aux bruits Valider ce compromis pas essais, calcul, simulations, modélisation... Dimensionnement en contrainte/résistance Robustesse et modélisation : Trouver un critère mesurable : exemple=>nombre de manipulation du rétroviseur intérieur véhicule Définir le profile de mission : processus physique + facteurs endommageants Identifier la loi de propagation de ce processus physique Estimer la loi d’apparition des défaillances Rechercher des solutions si objectifs de fiabilité non tenus