Académique Documents
Professionnel Documents
Culture Documents
AMDEC
Notes de cours
ECOLE NATIONALE
DE
L’INDUSTRIE MINERALE
Cours AMDEC 3ème année ii
INTRODUCTION .................................................................................................................... 1
1. HISTORIQUE ................................................................................................................... 2
2. DEFINITIONS ................................................................................................................... 2
ANNEXES ............................................................................................................................... 22
INTRODUCTION
Les enjeux qui accompagnent ces mutations créent un contexte national nouveau imposant de
nombreuses contraintes à tous les acteurs de la vie économique (contraintes financières,
technologiques, organisationnelles, etc.) et suggèrent de ce fait une stratégie orientée vers la
compétitivité, pouvant ouvrir de nouvelles perspectives à l’ensemble de l’économie
marocaine.
C’est ainsi que, face à la libéralisation, l’Entreprise marocaine doit s’apprêter à relever le défi
de la compétitivité. Dans cette perspective, l’amélioration du capital humain et de l’outil de
production constituent des préalables à toute performance en matière de productivité et de
qualité.
Parmi ces méthodes, l’AMDEC (Analyse des Modes de Défaillance, de leurs Effets et de
leur Criticité) constitue un outil méthodologique permettant l’analyse systématique des
dysfonctionnements potentiels d’un système. Cette démarche offre un cadre de travail
rigoureux en groupe, associant les compétences et expériences de l’ensemble des acteurs
concernés par l’amélioration de la Sûreté de Fonctionnement des installations.
1. Historique
L’AMDEC, Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (Norme
AFNOR X60-150), est une méthode qui a vu le jour aux Etats Unis, dans les années 1950,
sous la dénomination FMECA, Failure Mode, Effects and Criticality Analysis. Utilisée au
départ aux Etats Unis et au Japon, dans les industries à risques (aérospatial, armement,
nucléaire, etc.), elle est adoptée en Europe vers les années 1960 dans les programmes spatiaux
et aéronautiques. Son champ d’application s’est étendu dès le début des années 1970 aux
industries électroniques puis mécaniques, avant de s’élargir dans les années 1980 aux
industries de produits et de biens d’équipement et de production.
2. Définitions
L’AMDEC est une technique d’analyse rigoureuse qui a pour objectif la maîtrise de la
Sûreté de Fonctionnement des systèmes industriels (produits, processus de fabrication ou
moyens de production) par l’analyse détaillée de tous les risques de défaillance.
L’AMDEC est une méthode participative ; en effet, basée sur la mise en commun des
compétences de chaque participant, elle trouve toute son efficacité dans sa pratique en groupe
de travail pluridisciplinaire.
Elle peut être mise en œuvre tout au long du cycle de vie d’un système, depuis la conception
jusqu’à l’exploitation et la maintenance, en passant par la fabrication et l’industrialisation.
Cette méthode passe au crible tous les aspects d’un problème, sans en privilégier, ni en
négliger aucun ; les mailles du crible étant ajustables à la finesse des solutions recherchées.
En conclusion, l’AMDEC est une méthode qui consiste à identifier de façon inductive et
systématique les risques de défaillance d’un système, puis à rechercher leurs origines et leurs
conséquences. Elle permet de mettre en évidence les points critiques et de définir ensuite les
actions correctives à entreprendre, dans l’ordre d’urgence et d’importance.
Par ailleurs, l’AMDEC, associée éventuellement à d’autres méthodes, peut s’appliquer aussi :
A l’organisation : pour vérifier que la valeur ajoutée réalisée dans le service
corresponde bien aux attentes des « clients directs » et que son processus de réalisation
(organisation du service) soit fiable et n’engendre pas de défaillances ; on parle alors
d’AMDEC organisation ;
A la sécurité : pour assurer la sécurité des opérateurs dans les procédés où il existe des
risques pour l’homme ; c’est l’AMDEC sécurité.
4. Méthodologie AMDEC
L’AMDEC est une démarche très structurée, avec ses étapes et ses acteurs. Sa conduite se
déroule généralement en cinq phases, à savoir l’initialisation de l’étude, l’analyse
fonctionnelle, l’analyse AMDEC, la proposition d’actions correctives puis le suivi et contrôle.
Initialisation de l’étude
Analyse Fonctionnelle
Analyse AMDEC
Suivi et Contrôle
5. Initialisation de l’étude
L’initialisation de l’AMDEC est une étape préliminaire à ne pas négliger. Durant cette phase,
il sera procédé à :
La définition du système étudié ;
La définition des objectifs et causes de l’étude :
L’objectif final d’une AMDEC moyen de production est « Obtenir au meilleur
coût, le rendement global maximum des équipements de production, en
maîtrisant les défaillances ». Pour y arriver, on doit d’une part réduire le
nombre de défaillances (prévenir les pannes, fiabiliser la conception,
améliorer la fabrication, optimiser l’utilisation et la conduite, améliorer la
surveillance et les tests, améliorer la maintenance préventive et détecter à
l’avance les dégradations), et d’autre part réduire les temps d’indisponibilité
après défaillance (prévoir des outils de testabilité et d’aide au diagnostic,
prendre en compte la maintenabilité dès la conception et améliorer la
maintenance corrective).
La définition des limites de l’étude :
La réflexion sur les limites de l’étude revêt un aspect important ; en effet, elle
permet d’optimiser l’étude en ciblant les éléments sur lesquels il est possible
d’agir.
Remarque : Lors d’une analyse AMDEC, une défaillance peut être mise en
évidence alors que son origine est extérieure aux limites de l’étude. Dans ce
cas, il ne faudra ni la traiter dans le groupe, ni la mettre aux oubliettes, mais
la porter à la connaissance de l’entité concernée.
La constitution du groupe de travail :
Le groupe de travail est composé de personnes responsables et compétentes,
ayant la connaissance du dispositif, ou système à étudier, et pouvant apporter
les informations nécessaires à l’analyse.
Ce groupe comprend un noyau de permanents, généralement appartenant aux
entités Bureau d’Etudes, Méthodes, Fabrication. Il peut faire appel, si
nécessaire, à d’autres spécialistes, temporaires, en fonction de l’ordre du
jour. Ceux-ci peuvent éventuellement appartenir aux entités Essais, Achats,
Qualité, Entretien, etc.
Le nombre de personnes travaillant ensemble doit être limité à 6 (8 personnes
maximum).
Il faudra éviter de constituer un groupe non pluridisciplinaire, d’intégrer des
personnes non compétentes pour le sujet traité ou d’avoir un nombre de
participants trop élevé (excédant la dizaine).
La définition du planning ;
La préparation et la mise au point des supports de l’étude :
Les supports de l’étude constituent le dossier AMDEC. Celui-ci est constitué en
général :
- du cahier des charges,
- des plans (mécanique, électrique, hydraulique, pneumatique, etc.),
- du dossier maintenance (historique, arbre défaillance),
- de la feuille de synthèse (Voir Annexe 1),
- des barèmes de cotation de la criticité (Voir §7.4.5. ci-après),
- du tableau de saisie AMDEC ou « grilles AMDEC » (Voir Annexe 2).
6. Analyse Fonctionnelle
Toute entreprise entend bien satisfaire les besoins de ses clients. L’Analyse Fonctionnelle se
présente comme un moyen efficace permettant d’atteindre cet objectif.
En effet, l’analyse fonctionnelle est une méthode qui aide à définir le « bon système », celui
qui est réellement attendu par le client final, sans oublier les « n » utilisateurs intermédiaires
qui interviennent sur ce même système.
Pour ce faire, il faudra d’abord analyser le besoin réel du client final, puis prendre en
considération les besoins des utilisateurs intermédiaires du système. Par la suite, l’ensemble
de ces besoins devra être traduit en fonctions de service attendues, tout en tenant compte des
contraintes indiquées par le client final et les utilisateurs intermédiaires.
Par ailleurs, l’analyse fonctionnelle constitue une étape indispensable car il est nécessaire de
bien connaître les fonctions du système pour en analyser ensuite les risques de
dysfonctionnement. Elle facilite l’étape ultérieure d’analyse des défaillances (AMDEC). Elle
permet également au groupe de travail d’utiliser un vocabulaire commun. Elle peut être
menée de manière plus ou moins détaillée selon les objectifs.
Un système peut être défini comme étant « un ensemble d’éléments en inter-relation dans un
environnement donné ».
C
Composants internes
Système
C C
Utilisateur
Environnement
Un système est caractérisé par des objectifs (buts) qui déterminent sa fonction (son rôle) et ses
relations avec l’environnement.
Un système peut présenter plusieurs états, selon l’évolution des objectifs. Chaque état est
caractérisé par les éléments composant le système, les relations entre ces éléments et les
relations avec l’environnement.
Un système peut être découpé en plusieurs sous-systèmes, en interaction les uns avec les
autres. Chaque sous-système est défini par les missions qu’il doit accomplir. Plusieurs
décompositions en niveaux hiérarchiques sont possibles, selon les critères choisis.
Ce sont les fonctions attendues ou réalisées par le système pour répondre au besoin de
l’utilisateur. On distingue deux types de fonctions de service, les fonctions principales et les
fonctions contraintes.
La fonction principale peut être définie comme étant le service à rendre en utilisation. En
effet, un système n’a de fonction qu’en utilisation, c’est-à-dire « quand on s’en sert ». Un
système non utilisé encombre l’utilisateur (Exemple : cas d’une voiture en stationnement).
Un système peut avoir plusieurs utilisations ; il a alors plusieurs fonctions principales, selon
chaque utilisation (Exemple : un interrupteur fermé, sa fonction principale est de permettre au
courant de passer ; cet interrupteur étant ouvert, sa fonction principale est d’empêcher le
courant de passer).
Pour définir la fonction principale d’un système, il suffit de répondre à la question « A quoi ça
sert en utilisation ? » ; la réponse étant « Ca sert à …… ».
La fonction contrainte est une fonction imposée au système. Le concepteur doit en tenir
compte et la respecter. Une fonction contrainte peut avoir pour origine :
Un règlement (code de la route, législation en vigueur, etc.) ;
Une norme (antipollution, bruit, etc.) ;
Une loi physique (pesanteur, adhérence, etc.) ;
L’environnement (eau, air, température, etc.) ;
Une technologie adoptée ;
Un choix de l’entreprise ;
Etc.
Ce sont des fonctions internes au système qui résultent d’un choix de conception ou de
fabrication pour assurer les fonctions de service. Elles sont également appelées fonctions
internes ou de conception.
ME 1 ME 2
Fp
Système
ME 1 ME 2
Fp1
Système
Fc1 Fc3
Fc2
ME 3
ME 5
ME 4
Chaque fonction déterminée doit ensuite être exprimée par un verbe à l’infinitif, associé aux
milieux extérieurs concernés.
Un système peut être découpé en blocs fonctionnels ou structurels, sous une forme
arborescente, selon cinq niveaux. La décomposition d’un système (par exemple une
installation) se fait de manière descendante, en allant du fonctionnel au matériel.
MachineM
(Niveau1)
Sous-ensembleAA Sous-ensembleAB
(Niveau3)
OrganeAAA OrganeAAB
(Niveau4)
7. Analyse AMDEC
L’analyse AMDEC proprement dite consiste à identifier les dysfonctionnements potentiels ou
déjà constatés du système, à mettre en évidence les points critiques et à proposer des actions
correctives pour y remédier.
Cette étape est menée, élément par élément, au niveau de détail choisi. C’est le travail
essentiel de l’étude où la synergie du groupe de travail doit jouer à fond, avec l’aide de
l’animateur. Le tableau AMDEC est le support de travail de cette étape. Il doit être rempli au
fur et à mesure des travaux par l’animateur du groupe de travail.
Chaque défaillance d’un système peut être déterminée à l’aide de quatre critères qualitatifs, à
savoir le mode, la cause, l’effet et la détection de la défaillance.
Il convient d’abord de rappeler ce qu’est une défaillance. D’après la norme AFNOR X 60-
500, une défaillance est la cessation de l’aptitude d’un élément à accomplir une fonction
requise.
Pour chaque élément et pour chaque mode de défaillance, le groupe décrit les conséquences
subies par l’utilisateur. En AMDEC moyen, les conséquences sont relatives à l’utilisateur du
moyen (fabrication, service entretien, etc.).
NOTA : Un même mode de défaillance peut engendrer plusieurs effets simultanés qui
peuvent se cumuler et s’enchaîner. De même, plusieurs modes peuvent avoir le même effet.
7.1.4. Détection
Une cause (et/ou un mode) de défaillance étant supposée apparue, le groupe analyse et dresse
la liste de tout ce qui empêche cette cause (et/ou mode) d’arriver à l’utilisateur. La détection
est un phénomène ou paramètre physique, anomalie ou symptôme, pouvant être observé,
détecté ou mesuré de manière précoce, et traduisant l’apparition, la propagation ou l’évolution
d’un mécanisme de défaillance.
Classification des
Exemples
modes de défaillance
Classification des
Exemples
causes de défaillance
Mauvaise fixation ;
Causes liées à l’installation Montage, réglage défectueux ;
Installation défectueuse ; etc.
Classification des
Exemples
causes de défaillance
Température, humidité ;
Contact milieu
Vibrations, chocs, coups de bélier ;
ambiant
Pollution (poussière, huile, eau, copeaux) ; etc.
Classification des
Exemples
effets de défaillance
Classification des
Exemples
détections de défaillance
Destruction du produit ;
Fabrication Non-montabilité ;
Consignes, audit ; etc.
Vibrations, échauffements ;
Dégradation des lubrifiants ;
Traces d’usure, d’abrasion, de corrosion ;
Détections en phase d’exploitation
Fissures, rayures ;
Paramètres de fonctionnement ;
Coloration, aspect, bruit, odeur ; etc.
Disponibilité du
moyen de
Détections Détections production
Conception
Qualité du
produit fabriqué
Fabrication
EFFETS sur le
CAUSES fonctionnement
MODE
Installation de la
de défaillance et l’état du
défaillance
système
Exploitation
Coût de la
Internes à Dégradation Dégradations maintenance
Maintenance l’élément de la fonction fonctionnelles
et matérielles
Externes à Perte de la du système
l’élément fonction
Sécurité
opérateurs &
environnement
Il existe également d’autres mécanismes de défaillance, tels que récapitulés dans le tableau
suivant :
Cause
Mécanisme de Défaillance Effet de la
interne/externe à
base directe défaillance
l’élément
Cause Effet de la
Mécanisme de Défaillance de Défaillance
interne/externe à défaillance
propagation l’élément 1 de l’élément 2
l’élément 1 de l’élément 2
Le chiffrage des risques est basé sur la chaîne d’événements conduisant à la perception d’une
défaillance par l’utilisateur du système. Ce chiffrage permet de :
Mettre en évidence l’importance de chaque défaillance par la définition de trois
critères quantitatifs. Il s’agit de la fréquence potentielle d’apparition de la défaillance,
sa gravité et sa non-détection ;
Homogénéiser la cotation par l’utilisation de barèmes ;
Hiérarchiser les causes de défaillance afin de mettre en évidence celles qui devront
faire l’objet d’actions prioritaires.
Il se réfère à la gravité (ou sévérité) de l’effet de chaque défaillance, tel que ressenti par
l’utilisateur. Ainsi, la notion de gravité est directement liée à l’effet de la défaillance.
Pour chaque cause de défaillance, le produit des trois indices de fréquence, gravité et non-
détection est effectué. Le résultat donne l’indice de Criticité (C) ou l’Indice de Priorité de
Risque (IPR) :
C = IPR = F x G x D
A noter que la criticité d’une défaillance est associée à chaque combinaison cause-mode-effet.
Enfin, la notion de criticité englobe les critères de fréquence, gravité et probabilité de non-
détection.
Schéma récapitulatif
Détections
Pour chaque élément du moyen de production, le groupe de travail détermine et énumère dans
la feuille de saisie AMDEC (dont modèle ci-dessous) les éléments suivants :
(D’après la norme
CNOMO AMDEC – Moyen de production Folio /
E41.50.530.N)
Fournisseur : Rédacteur :
Criticité Criticité
Système : Service : Actions correctives
Indices nominaux Indices finaux
Sous-système : Date : Réf :
Modes de Resp./
Elément Fonctions Causes Effets Détection TI F G D C Actions TI’ F’ G’ D’ C’
défaillance Délai
Cette colonne permet d’inscrire la désignation de l’élément, ainsi que son repère de
nomenclature, s’il existe.
Cette colonne permet d’inscrire les effets provoqués par l’apparition des modes de
défaillance ; tels que perçus par l’utilisateur du dispositif.
Cette colonne permet d’inscrire les modes de détection qui sont les signes provoqués
par l’apparition de la défaillance, sans qu’elle n’ait encore généré l’apparition de
conséquences.
Cette colonne permet d’inscrire l’ensemble des mesures correctives décidées par le
groupe de travail, pour éliminer les points critiques (cf. §8 ci-après).
8. Actions correctives
Après la mise en évidence des risques de défaillances critiques, il est impératif que des actions
correctives soient prises.
En effet, une action corrective est un moyen, dispositif, procédure, documentation ou
formation permettant de réduire la valeur d’un ou de plusieurs termes du produit F x G x D et
par conséquent celle de la criticité.
Il existe trois types d’actions correctives :
Des actions de prévention des défaillances ;
Des actions de réduction des effets des défaillances ;
Des actions de détection préventive des défaillances.
Les actions correctives sont engagées pour les causes de défaillance dont la criticité dépasse
un seuil fixé à l’avance. On choisit habituellement les seuils suivants :
12, lorsque les objectifs de sûreté de fonctionnement sont sévères ;
16, cas le plus souvent utilisé pour les organes mécaniques ;
24, sur des composants électriques ou électroniques, où l’indice de non-détection est
presque toujours égal à 4.
De la même manière, des actions correctives sont engagées si les indices F ou G sont
supérieurs ou égaux à la valeur 4 et ce, même si le seuil de criticité n’est pas atteint.
C’est un moyen, dispositif ou procédure pouvant être mis en œuvre pour éviter (ou limiter)
l’apparition des causes et/ou des modes de défaillance d’une part ; et pour supprimer les
causes et/ou les modes existants d’autre part. Elle permet d’éviter que la cause et/ou mode
n’atteigne l’utilisateur. L’action de prévention vise l’amélioration de la fiabilité du système ;
que ce soit en phase de conception, de fabrication ou d’exploitation.
Elle permet ainsi de faire chuter l’indice de fréquence F.
C’est un moyen, dispositif ou procédure pouvant être mis en œuvre pour supprimer ou réduire
les effets de la défaillance sur le système ou l’utilisateur.
L’action de réduction a pour objectifs :
D’interrompre le plus tôt possible l’enchaînement des effets au niveau du système ;
De limiter les temps d’indisponibilité ;
De réduire les non-conformités des produits ;
De réduire les durées d’intervention et les coûts de maintenance corrective ;
De réduire les impacts sur la sécurité ou l’environnement.
Elle permet de faire chuter l’indice de gravité G.
Mise à jour de Décembre 2012 M.N. NGOTE
Cours AMDEC 3ème année 17
C’est un moyen, dispositif ou procédure pouvant être mis en œuvre pour détecter de manière
précoce :
Une cause de défaillance liée à la conception, la fabrication, le montage et
l’exploitation du système ;
La défaillance d’un autre élément (avant propagation).
Elle permet de déclencher des actions de prévention.
Enfin, l’action de détection permet de faire chuter l’indice de non-détection D.
Schéma récapitulatif
Actions de
détection
Détections
Actions de Actions de
prévention réduction
8.4. Remarques
Les moyens d’action peuvent être mis en œuvre soit par le constructeur, soit par
l’utilisateur du système.
Il est préférable d’intervenir le plus tôt possible dans le cycle de vie et le plus en
amont possible du mécanisme de défaillance.
Il faut bien distinguer les notions de « détection » et « action de détection ». En effet,
une détection est une anomalie observable de manière précoce alors qu’une action de
détection est un moyen d’observer l’anomalie.
Contrôle de réception ;
Revue de conception ;
Inspection permanente ;
Contrôle de fabrication ;
Visite périodique ;
Auto-contrôle au démarrage ;
Surveillance conditionnelle ;
Système de surveillance ;
Suivi des paramètres de fonctionnement ;
Aide à la supervision de la machine ; etc.
etc.
On utilise souvent une grille d’aide à la décision, dans laquelle on peut faire apparaître le
critère de difficulté de mise en place des actions à entreprendre. Le critère de coût n’apparaît
qu’à ce stade de l’analyse.
Un nouveau calcul des criticités (IPR) est effectué après chaque modification.
10. Conclusion
L'AMDEC est une méthode d'analyse prévisionnelle de la Sûreté de Fonctionnement
(Fiabilité, Maintenabilité, Disponibilité et Sécurité). Son efficacité est fonction :
d'un travail en groupe bien formalisé (ordre du jour des réunions précis, travail entre
réunions planifié, conduite de réunions maîtrisée, ...) ;
du fait que l'on analyse et corrige en commun un dispositif au lieu d'attendre que ce
dispositif soit en service et révèle ses défaillances, ou entraîne une non-qualité des
pièces produites ;
de la mise en commun des expériences d'origines diverses et des banques de
données (qualitatives et quantitatives) ;
du fait que les participants sont responsables de l'évaluation du dispositif et des actions
d'amélioration entreprises ;
de l'utilisation d'une méthodologie simple et objective, mise en oeuvre par
l'animateur ;
de l'existence d'indices de criticité permettant de hiérarchiser les défaillances.
Il faut noter malgré tout, que pour des problèmes de qualité et de fiabilité apparaissant en
exploitation, l'AMDEC peut être utilisée efficacement pour déclencher les actions curatives et
préventives, à partir des défaillances réelles observées. Il ne s’agit plus alors d’une AMDEC
prévisionnelle mais d’une AMDEC opérationnelle.
Phase 4 : Suivi
ANNEXES
Organe : _____________________________________________________________________________________________
Objet : _____________________________________________________________________________________________
_____________________________________________________________________________________________________
_____________________________________________________________________________________________________
_____________________________________________________________________________________________________
_____________________________________________________________________________________________________
_____________________________________________________________________________________________________
_____________________________________________________________________________________________________
P Semaines (Dates) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
L
A
Prévisionnel
N
N
I Réalisé
N
G Légende Début Réunion Fin Bilan Suivi
Initial Evolution
Dates
Bilan Nombre Total
de IPR > 16
Causes %
Observations : _________________________________________________________________________________________
_____________________________________________________________________________________________________
_____________________________________________________________________________________________________
_____________________________________________________________________________________________________
Fournisseur : Rédacteur :
Criticité Criticité
Système : Service : Actions correctives
Indices nominaux Indices finaux
Sous-système : Date : Réf :
Modes de Resp./
Elément Fonctions Causes Effets Détection TI F G D C Actions TI’ F’ G’ D’ C’
défaillance Délai
Cavitation ;
Débit insuffisant Fuites internes ;
Usure de la pompe.
Abrasion ;
Jeu excessif
Usure.
Vitesse excessive ;
Ajustements trop serrés ;
Grippage
Température excessive ;
Guider et supporter un
Roulements arbre en rotation
Manque de lubrifiant.
Fatigue ;
Ecaillage Surcharge ;
Manque de lubrifiant.
Abrasion ;
Supporter et guider un Frottement excessif
Palier lisse arbre en rotation
Usure du coussinet
(surcharge) ;
Viscosité lubrifiant.
Transmettre un
Défaut d’alignement ;
Accouplement à mouvement de rotation et
Rupture douille Sous-dimensionnement ;
douille un couple de torsion entre
Fatigue.
deux arbres
Fatigue ;
Surcharge ;
Rupture de dent Sous-dimensionnement ;
Assurer la transmission Corps étranger ;
d’un mouvement de Matériau peu résilient.
Engrenage
rotation Fatigue ;
Tapures de trempe ;
Fissures
Mauvais profils de
raccordement.
Défaut enroulement ;
Défaut balais ;
Générer un couple de
Moteur électrique rotation
Blocage Blocage roulement ;
Défaut d’alimentation ou
de connexion.
Présence de
Générer un signal Signal intempestif corps étrangers ;
Détecteur de position électrique selon la position Dépôts.
d’une pièce
Pas de signal Défaut interne.
METHODE HAZOP
Dans certains cas, le nombre de composants d’un système constitue un handicap à l’utilisation
de l’AMDEC et ce, en raison de la lourdeur de cette approche. Aussi, d’autres méthodes très
semblables ont été développées. C’est ainsi qu’au début des années 1970, une méthode dite
HAZOP (Hazard and Operability Study) a été développée pour l’industrie chimique anglaise.
NONE No flow
More flow
Cette méthode ne nécessite pas comme l’AMDEC l’analyse de chaque composant. C’est
plutôt une analyse causes-conséquences.
Cette méthode pose de nombreux problèmes, car il est difficile d’affecter à chaque « mot-
guide » une portion du système et/ou une fonction bien déterminée ; des erreurs ou des
omissions peuvent alors être commises.
HAZOP est une méthode particulièrement adaptée aux systèmes véhiculant des fluides. Son
domaine d’emploi est celui des automatismes continus de l’industrie chimique, ou de tout
système dont le nombre de composants rendrait une AMDEC trop lourde.
ARBRES DE DEFAILLANCE
La méthode d’analyse de sûreté de fonctionnement par les Arbres de Défaillance a été mise au
point par Bell Telephone en 1961, pour évaluer la fiabilité du système de lancement d’un
missile. Elle a été ensuite développée par Boeing avant d’être généralisée à d’autres domaines
industriels tels que l’aéronautique, le nucléaire, etc.
Cette méthode est également connue sous la dénomination d’Arbre des Causes ou Arbre des
Défauts ou Arbre des Fautes. La terminaison anglo-saxonne est Fault Tree Method.
Souvent utilisée en conjonction avec une AMDEC, c’est une sorte d’organigramme
permettant de décrire la manière dont un dispositif peut être indisponible ou défaillant.
La méthode des Arbres de Défaillance consiste à :
Rechercher de manière déductive et systématique toutes les combinaisons de causes
possibles d’un événement indésirable unique ;
Représenter graphiquement ces combinaisons sous forme arborescente.
A noter qu’il existe plusieurs variantes de représentation. Celle développée ci-après utilise le
symbolisme logique de l’Algèbre de BOOLE.
Cet aspect graphique de la méthode des Arbres de Défaillance peut éventuellement être
complété par un aspect qualitatif et un aspect quantitatif.
L’aspect qualitatif consiste à obtenir, à partir de la représentation graphique, l’équation
Booléenne des combinaisons des événements conduisant à l’événement indésirable.
L’aspect quantitatif consiste à déterminer, par calcul, la probabilité d’apparition de
l’événement indésirable.
Le tableau suivant récapitule les principaux symboles utilisés dans la construction des Arbres
de Défaillance :
Démarche de l’analyse
La méthodologie d’analyse de la sûreté de fonctionnement d’un système, par la méthode des
Arbres de Défaillance, se déroule généralement en trois étapes ; la construction graphique, la
qualification et la quantification. En pratique, on se limite souvent aux première et deuxième
étapes.
Remarque :
Une analyse AMDE ou AMDEC, réalisée antérieurement, facilite la construction de l’Arbre
de Défaillance.
La construction de l’Arbre de Défaillance étant achevée, une expression qualitative est donnée
par un polynôme Booléen, représentant l’équation de la défaillance sommet.
L’Algèbre de Boole permet de déterminer l’équation régissant tout événement en fonction des
événements qui le provoquent. Il est donc possible, par développements successifs, d’obtenir
l’équation Booléenne définissant la défaillance sommet en fonction des défaillances de base.
L’obtention et la réduction de cette équation nécessite l’utilisation des propriétés connues de
l’Algèbre de Boole.
Norme américaine
“MIL Std 1629 A : Procedures for performing a Failure Mode, Effects and
Criticality Analysis”
Normes AFNOR
AFNOR X60-500 : Terminologie relative à la fiabilité, maintenabilité,
disponibilité
AFNOR X60-510 : Techniques d'analyse de la fiabilité des systèmes. Procédures
d'analyse des modes de défaillance et de leurs effets (AMDE)