Vous êtes sur la page 1sur 6

TP N 42

AMDEC et analyses dysfonctionnelles

Lobjet de ce TP est de rappeler les dmarches mthodologiques employes dans lAMDEC et les analyses dysfonctionnelles afin den cerner les apports et limitations pour identifier les risques dun systme. Il est illustr par deux exemples didactiques particulirement simples.

----

1 Prsenter les principales dmarches mthodologiques employes pour identifier des risques en soulignant leurs apports et limitations. 2 Faire lanalyse des risques dun frein de vlo 3 Faire lanalyse des risques dun ensemble de liaisons numriques srie

1 - Dmarches didentification des risques La matrise des risques rsulte dune dmarche itrative consistant rechercher et identifier les risques dun systme, les hirarchiser suivant leur gravit et/ou probabilit doccurrence puis les accepter ou les traiter par des actions de prvention (pour en diminuer la probabilit) ou de protection (pour en diminuer la gravit). Outre lvaluation des marges de dimensionnement qui assurent une certaine robustesse la conception (analyse pires cas, analyse des contraintes, etc.), les risques peuvent tre identifis par lexploitation du retour dexprience (portant notamment sur lanalyse des dysfonctionnements passs) et par deux dmarches complmentaires : lanalyse dductive descendante et lanalyse inductive montante.

??
Recommandations

?? ??

Analyse dductive descendante Bas sur limagination de lanalyste, la premire consiste identifier partir d'vnements redouts du systme des causes possibles de dfaillance de toute nature (matrielle, logicielle, humaine, etc.).

Analyse inductive montante La seconde consiste analyser les effets au niveau quipement puis sous-systme et systme de dfaillances des composants lmentaires. Lanalyse inductive montante est la principale dmarche suivie au cours de lAnalyse des Modes de Dfaillance, de leurs Effets et Criticits (AMDEC), notamment quand les modes de dfaillance lmentaires prendre en compte sont connus ou imposs par des normes. Le terme dAMDEC peut toutefois recouvrir indiffremment les deux dmarches, notamment sous la dnomination dAMDEC fonctionnelle. Le logiciel Failcab emploie les termes dAMDEC et dAPR (Analyse Prliminaire des Risques) pour diffrencier les deux dmarches.

1.1 Analyse dductive descendante Un grand nombre de risques est impossible imaginer en considrant le systme dans son ensemble. Aussi le dcompose-t-on pralablement en parties plus facile apprhender, selon diffrents aspects tels que fonctionnel, temporel, processus, tches, etc. Dans le cas dune dcomposition fonctionnelle arborescente, mene indiffremment jusquau niveau adquat, les risques peuvent tre identifis en s'interrogeant sur l'ventualit de la perte, de la dgradation ou du fonctionnement intempestif de chacune des fonctions lmentaires. Parmi les dgradations envisages, on considre notamment les perturbations de lenvironnement (pollution, dissipation thermique, etc.) ainsi que les sensibilits particulires vis--vis de ce dernier. Dans le cas dune dcomposition temporelle, linterrogation porte sur labsence d'vnement prvu ou lapparition possible de squences errones. Lidentification de risques conduit des recommandations diverses telles que : Exigences nouvelles concernant les fonctions, les oprations, le matriel, le logiciel (tolrance une ou plusieurs pannes, robustesse vis--vis de l'environnement, etc.), Modifications du design telles que la mise en place d'une protection spcifique, d'une redondance locale, d'un observable particulier, Procdures opratoires respecter, Formations particulires dispenser aux oprateurs, Demandes danalyse plus pousse sur certaines composantes (AMDEC, Analyse Pire Cas), Etc. Ce type de dmarche prsente certains avantages : Analyse prcoce ayant un vritable impact sur la conception Prise en compte de toutes les composantes du systme et de leurs interactions Ciblage de leffort ncessaire sur les points identifis comme critiques Mmorisation de la raison de choix techniques Mais galement certaines limitations : Difficults contractuelles pour chiffrer a priori le volume des analyses Absence de normes reconnues sur le sujet Implication ncessaire de spcialistes dans les divers domaines Frein culturel chez certains fiabilistes qui doivent participer la conception et ne plus se contenter dune simple action de vrification a posteriori La dmarche dductive est galement utilise dans larbre de fautes pour identifier les combinaisons d'vnements entranant la ralisation d'un vnement indsirable.

1.2 Analyse inductive montante. L'AMDEC se prsente sous forme de tableaux plusieurs colonnes selon les projets et les diffrentes variantes (AMD, AMDE, AMDEC).
Numro Composant Mode de dfaillance Effets au niveau quipement Effets au niveau systme Probabilit Gravit Symptmes Actions Observations observables correctives

Les modes de pannes considrs peuvent tre dfinis au niveau composant ou bloc fonctionnel (quelques composants assurant une fonction lmentaire) et sont gnralement issus de normes ou de bases de donnes. Ce type de dmarche prsente certains avantages : Analyse de l'ensemble des composants d'un produit ( exhaustivit des risques identifis) Bien adapte ltude des circuits lectroniques base de composants discrets Objet de normes diverses (NF X 60-510, CEI 812, MIL-STD-1629A) Permet de trier pour un mme symptme observable l'ensemble des causes possibles, afin de raliser le manuel de traitement des anomalies utilis en maintenance Mais galement certaines limitations : Analyse mono panne ne prenant pas en compte les dfaillances multiples Modes de pannes mal ou pas considrs : drive des paramtres de composants, pannes de composants trs intgrs ou effets non dterministes (ASIC, P...), anomalies aux interfaces (mcanique), etc. Erreurs de conception, de ralisation (logiciel, montage, ...) et d'oprations mal couvertes Analyse tardive s'appuyant sur une dfinition dtaille ayant peu d'impacts rels sur la conception Cot prohibitif (bien que prdictible) si gnralise un systme complexe

2 Analyse des risques dun frein de vlo

Le frein de vlo est un systme mcanique dont les dysfonctionnements rsultent essentiellement des interactions entre ses diffrents composants et non pas de dfaillance lmentaire de chacun dentre eux. Base sur une dcomposition fonctionnelle, la dmarche danalyse dductive descendante apparat donc la plus pertinente.

Le frein de vlo peut, par exemple, se dcomposer selon larborescente suivante afin didentifier les risques au niveau de chacune des fonctions lmentaires (ralise au moyen de loutil APR du logiciel FAILCAB) :
Arborescence 1. Frein 1.1. Commande de frein 1.1.1. Levier (poigne) 1.1.2. Rotation de la poigne par rapport au guidon 1.1.3. Liaison cble / levier 1.2. Transmission de l'effort (cble) 1.2.1. Rglage tension cble 1.2.1. Embout de gaine 1.2.2. Gaine / cble 1.3. Freinage 1.3.1. Liaison cble / trier 1.3.2. Rotation trier / cadre 1.3.3. Transmission et amplification d'effort (trier) 1.3.4. Rappel par ressort 1.3.4. Frottement roue (patin)

Arborescence 1. Frein 1.1. Commande de frein 1.1.1. Levier (poigne) 1.1.2. Rotation de la poigne par rapport au guidon

Risques

Gravit

Observations

1.1.3. Liaison cble / levier 1.2. Transmission de l'effort (cble) 1.2.1. Rglage tension cble 1.2.1. Embout de gaine 1.2.2. Gaine / cble 1.3. Freinage 1.3.1. Liaison cble / trier 1.3.2. Rotation trier / cadre

Rupture Dformation Grippage Perte de l'axe Jeu anormal Rupture liaison Dfaut de la Tension cble Perte tanchit Rupture Corrosion / grippage Rupture liaison Grippage Perte de l'axe Jeu anormal Rupture Dformation Rupture Force de rappel insuffisante Arrachement patin Usure importante Blocage intempestif

graissage

1.3.3. Transmission et amplification d'effort (trier) 1.3.4. Rappel par ressort

1.3.4. Frottement roue (patin)

3 Analyse de risques dun ensemble de liaisons numriques srie Cette fonction est assure par des composants lectroniques dont on connat les modes de dfaillance. La dmarche de lAMDEC classique apparat donc bien adapte. Portant sur une liaison entre un quipement metteur et 3 quipements rcepteurs (dont 2 redonds), lextrait dAMDEC suivant se limite aux 3 modes de dfaillance suivant de lun des rcepteurs : Circuit ouvert Court circuit Surtension injecte sur la ligne (panne du convertisseur dalimentation du rcepteur)

U2 U1 R U3 R Ct metteur Liaison numrique RS422 U4

quipement 1 nominal quipement 1 redond quipement 2

Composant

Modes de dfaillance

Effets

Criticit

Recommandations

U2

Circuit Ouvert

Perte de l'quipement 1N Redondance possible (1R)

U2

Court Circuit

Perte de l'quipement 1N Ecroulement du bus Perte mission

Placer des rsistances de limitation (en srie sur les lignes) au niveau des rcepteurs Protection de l'metteur et des autres rcepteurs / surtension max possible. Pouvoir dconnecter 1N

U2

Surtension (alim U2)

Perte de l'quipement 1N Perte du bus Perte mission

U3

...

Criticit : 1 = Perte Mission, 2 = Mission dgrade, 3 = Mineur