Cours de Surete de Fonctionnement v3

Sûreté de
Fonctionnement (SdF)
QUALITÉ, LOGISTIQUE INDUSTRIELLE ET ORGANISATION
Youness EL ATTABI – Novembre 2011

Avant de commencer...
Présentations :
Mon parcours
Le programme des sessions
Votre présentation
Prénom, nom, entreprise d’accueil, fonction

Mes attentes, mes objectifs
Facteurs de réussite
Contenu
0 Etalonnage ; contenu du module / connaissances actuelles
Questions/Réponses
1. Introduction
1.1 Généralités ou comment construire ensemble la définition de la sûreté de fonctionnement
1.2 Historique
1.3 Définitions – Abréviations
2 Méthodes et outils de la sûreté de fonctionnement

2.1 Principe de la sûreté de fonctionnement
2.2 But de la sûreté de fonctionnement
2.3 Etudes de sûreté de fonctionnement
2.4 Outils utilisés en sûreté de fonctionnement
2.4.1 Analyse fonctionnelle externe (AFE)
2.4.2 Analyse fonctionnelle interne (AFI)
2.4.3 Analyse préliminaire de risques (APR)
2.4.4 Arbre de défaillances (ADD)
2.4.5 Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC)
3 Fiabilité prévisionnelle et opérationnelle

3.1 Probabilités : généralités
3.2 Modes de défaillance
3.3 Fonctions de base de fiabilité
3.4 Lois rencontrées en SdF
3.5 Notion de robustesse
0. Etalonnage :
contenu du module / connaissances actuelles
Périmètre illustré de l’enseignement
Utilisation électrique
Expression du besoin
Analyse fonctionnelle Analyse fonctionnelle Analyse

Analyse du besoin Modélisation
du besoin du produit dysfonctionnelle
Prestations
Livrable : Prestations Fonctions Solutions Identification des Diagramme de
attendues
attendues attendues : CDCF techniques risques fiabilité
Consommation
FC 32 : Résister au ST 68 : Béton α Mode de défaillance : Pour ST défini
électrique diverse...
Tsunami Ferraillage β D45 : casse structure P(D45) = 3.10-4
FC 33 : ..... ST 69 : ... D46 : ... P(D46) = ...
Périmètre illustré de l’enseignement
Assurance Qualité d’une
étude de sûreté de
fonctionnement
Phase 1 Définition du Phase 2 Analyse Phase 3 Analyse des Phase 4 Validation

besoin Fonctionnelle défaillances des objectifs
Ce n’est pas que de la théorie...
A qui rend service le produit ? Sur quoi agit le système ?
Etre Rayon de
Protéger des courbure « Vis de
Analyse ambiances ext. étanche à
plan (XZ) 12 »
l’eau,
Fonctionnelle l’air,
L’utilisateur Véhicule
poussière
Largeur du
Décompositions contact du Joint
fonctionnelle et PRODUIT
joint
Matérielle
Pare- Ruissèlem
brise ent d’eau …
O/N
Commentaires pour info, liste non
Niveau Définition
exhaustive
Défaillance 1 : Fuite d’eau Performances générales du véhicule
Insatisfaction ou dégradation
G1 conservées ; L’utilisateur peut continuer à
Analyse Défaillance 2 : Fuites d’air vert
d'une prestation ou d'une
fonctionnalité du véhicule
utiliser son véhicule ; il n’y a pas
d’impératif à une intervention
préliminaire des Apparition de symptômes gênant ;
risques Défaillance 3 : ..... G2 Perte d'une prestation ou d'une l’utilisateur peut continuer à utiliser son
jaune Fiabilité fonctionnalité du véhicule véhicule, mais une intervention s’impose
/ rapidement
disponibilité
- Impossibilité de commencer un trajet
- Impossibilité de finir un trajet par la perte
d'une fonction principale ou par le non
G3 Le véhicule est indisponible pour
respect de la réglementation (risque de
orange l'utilisateur
contravention)
- Impossibilité de stationner le véhicule en
l'état (risque d'inviolabilité)
- Peut potentiellement entraîner un

G4 Risque de dommages corporels accident de la circulation
Sécurité
rouge pour l’homme - Risque de dommage corporel sans
accident de la circulation
O/N
Ce n’est pas que de la théorie...
Analyse Fuite d’eau

Gravité
Qualitative et
Quantitative des
défaillances Problème d'étanchéité Détection
du au joint de feuillure
Calcul de la criticité
des défaillances
Déformation du
Mauvais design
PB sous
contrainte
piste de collage Occurrence
Continuité Préparation
Etat surface
O/N Orientation surface IPR = G x O x D
Situation de vie/Fonction/Critère Défaillance Initial Evolution Initial

Effet Mode Cause Validation G O D IPR Action Etat Responsable Date G O D IPR
AMDEC Véhicule en roulage
Fonction F1 : Isoler l'habitacle et les
occupants de l'environnement extérieur
Analyse des modes Essai Véhicule :

douche usine OK Client 12/1/1998
de défaillance de Rentrée d'eau ou Augmentaion
Mécontentement epaisseur :
F1.1-Etre étanche à l'air et à l'eau d'air dans le Déformation
client
leurs effets et de la véhicule PB sous *Calcul passage en
2.1/2.1 OK Client/Fournisseur 12/3/1998 7 2 2 28
contrainte 7 5 6 210
criticité Mauvais
design piste Validation
de collage collage 7 3 2 42 NA NA NA NA 7 3 2 42
O/N
1. Introduction
1.1 Généralités
Avez-vous déjà entendu parlé dans les médias d’accidents corrélés au
mauvais fonctionnement d’un système dans les industries
pétrochimiques, nucléaires, automobiles, spatiales, aéronautiques...?
Que s’est-il passé pour chacun de ces systèmes?
Les systèmes qui nous entourent peuvent-ils également contenir les

mêmes risques de défaillance? Peut-on être sûr de leur
fonctionnement?
Que feriez-vous en tant que Qualiticien pour rassurer les Lyonnais par
exemple quand au fonctionnement de la centrale nucléaire de Bugey,
de l’aéroport Saint-Exupéry, ou du réseau de distribution d’eau?
Durée 5mn/Présentation 5mn/Présentation par groupe de travail

1.1 Généralités - Réponses
Evénements médiatiques catastrophiques impliquant la défaillance de systèmes :
Bhopal (Inde, 1984) : usine de pesticides, 2 000 victimes officiellement ;
Navette Challenger (USA,1986) : explosion et perte de l’équipage ;
Tchernobyl (URSS, 1986) : explosion et fusion du cœur du réacteur suivies de fuites radioactives ;
Exxon Valdez (Alaska, 1989) : 40 000 t de brut, marée noire ;
Que s’est-il passé pour chacun de ces systèmes :

Le zéro défaut ou le risque zéro n’existe malheureusement pas pour les activités industrielles à cause
de l’occurrence de défaillances humaines ou matérielles. Ces défaillances internes ont conduit les
systèmes à ne plus remplir une ou plusieurs fonctions pour lesquelles ils ont été conçu.
Peut-on être sûr du fonctionnement des systèmes qui nous entourent?

Le lien de confiance qui existe entre les utilisateurs d’un système et le système en question est lié à
l’occurrence de ses défaillances. Il est totalement rationnel que des usagers délivrent une confiance
réduite à un système dont la défaillance a été constatée. Ainsi un débat sur l’énergie nucléaire a été vif
dans un grand nombre de pays suite à la catastrophe de Fukushima au Japon.
Quel rôle doit tenir le qualiticien

Comme tout bon qualiticien, le qualiticien Lyonnais fait preuve de rigueur et procède par étapes :
1. Définir un objectif : Tenter de réduire les risques (leur élimination totale étant illusoire) à un
niveau le plus faible possible et acceptable par l’opinion publique
2. Evaluer les risques potentiels
3. Prévoir l’occurrence des défaillances
4. Tenter de minimiser les conséquences des situations catastrophiques lorsqu’elles se produisent.
1.1 Généralités
Fort de ces réponses proposez une définition de la Sûreté de

fonctionnement.
Durée 5mn/Présentation 5mn/Présentation par groupe de travail

1.1 Généralités
Définition de la sûreté de fonctionnement
La Sûreté de Fonctionnement est l'aptitude d'un système à satisfaire à une ou plusieurs fonctions
requises dans des conditions données
La Sûreté de fonctionnement consiste à connaître, évaluer, prévoir, mesurer et maîtriser les
défaillances des systèmes technologiques et les défaillances humaines.
La Sûreté de fonctionnement est appelée la science des « défaillances ». D’autres désignations
existent suivant les domaines d’applications :
analyse de risque (milieu pétrolier),
aléatique,
cyndinique (science du danger),
FMDS (Fiabilité, Maintenabilité, Disponibilité, Sécurité), en anglais RAMS (Reliability, Availability,
Maintainability and Safety) :
La fiabilité est la probabilité de non-défaillance d’un équipement sur un intervalle de
temps donné
La disponibilité se définit par la probabilité d’être en état d’accomplir sa fonction à un
instant donné.
La maintenabilité est l’aptitude d’un système à être maintenu en état : Elle correspond
à la probabilité que la remise en état d’une entité en panne soit effectuée dans un
intervalle de temps.
La sécurité implique actuellement les aspects réglementaires de la sécurité des
personnes
1.2 Historique
Les premières démarches de fiabilité : (début du siècle)
• Transport ferroviaire : recueils statistiques des pièces mécaniques

• Production/Distribution électrique : Redondances de transformateurs et de lignes de distribution.
Théorie fausse de l’époque : la fiabilité d’une chaîne dépendait directement de celle du maillon le plus faible
Introduction de la statistique : les années 30
• Transports aériens : évaluation de la sécurité opérationnelle des vols d’aéronefs propulsés par un, deux, trois et
quatre moteurs. A cette occasion et pour la première fois, on a introduit des objectifs chiffrés en termes de
probabilité d’occurrence d’accident par heure de fonctionnement (1 accident pour 100 000 h de vol en 1939).
• Industrie militaire : Fin du concept du maillon le plus faible ; le mathématicien Robert Lusser lors de son étude
pour analyser les problèmes de fiabilité de la fusée V1 définit la loi de probabilités de défaillance d’éléments
placés en série. Il démontra que pour N éléments mis en série et ayant la même probabilité de défaillance P, la
probabilité de défaillance des N éléments en série était égale à PN.
• Industrie aérospatial : En 1949, le capitaine Murphy énonça sa fameuse loi « If anything can go wrong, it will »
(Si un problème risque de se produire, cela arrivera).
Notions de fiabilité en électronique : les années 50
L’avènement de l’électronique à tubes dans des équipements techniques de plus en plus complexes fit prendre
conscience de l’importance de leur fiabilité. On arriva à des situations telles que de nombreux systèmes n’étaient
disponibles qu’environ 30% de leur temps. En vue de quantifier la fiabilité des composants, les premiers
indicateurs chiffrés firent leur apparition (temps moyen de fonctionnement entre défaillance (FMED) ou en
anglais, MTBF (mean time between failure) pour servir de base aux premières clauses contractuelles de fiabilité.
1.2 Historique
Analyse des défaillances : les années 60
• Aéronautique/Spatial : Les programmes de missiles intercontinentaux et la conquête spatiale (programmes
Mercury et Gemini) des États-Unis ont formalisé l’essentiel des méthodes d’analyse de la Sûreté de
fonctionnement utilisées encore aujourd’hui : analyse des modes de défaillance et de leurs effets (aéronautique et
LEM) ; arbres des causes (aéronautique, missile Minuteman), méthode des combinaisons de pannes (SNIAS :
Concorde, puis Airbus), méthode du diagramme du succès et méthode THERP (Technique for human error rate
prediction).
• L’académie française accepta pour la première fois l’usage du terme fiabilité.
Evaluation des risques : les années 70

• Applications nucléaires : Diffusion des techniques d’évaluation opérationnelles et prévisionnelles de la fiabilité et
acceptation de la notion probabiliste de la sécurité dans les secteurs industriels présentant des risques pour les
biens, les personnes et l’environnement. Apparition des arbres de défaillance et arbres de conséquence à cette
époque.
Formalisation, généralisation de la Sdf dans tous les secteurs d’activité : De 1980 à nos jours
Les deux dernières décennies avant l’avènement du troisième millénaire ont été marquées par la prise en compte dans les
études de Sûreté de fonctionnement de la pénétration de l’informatique industrielle et des facteurs humains, avec
l’apparition de nouveaux outils : chaînes de Markov, réseaux de Pétri, simulation... ; HCR, HEART (pour les facteurs
humains) ; utilisation de logiciels de calcul de fiabilité ; modélisation et simulation des accidents (dispersion de
gaz...).
En conclusion, il n’existe désormais pratiquement aucun domaine d’activité industrielle dans les
pays développés où la Sûreté de fonctionnement n’est pas prise en compte (même partiellement)
dans tout le cycle de vie du produit (conception, fabrication, exploitation, maintenance et mise au
rebut).
1.2 Définitions - Abréviations
SdF : Sûreté de Fonctionnement (Dependability), aptitude d'une entité à satisfaire à une ou plusieurs fonctions requises
dans des conditions données.
FMDS (RAMS) : Fiabilité, Maintenabilité, Disponibilité et Sécurité, acronyme pour désigner la sûreté de fonctionnement.
PPM (ou K‰) : Pièces Par Million, valeur de 1 million de fois le rapport entre un nombre cumulé d’incidents et un nombre de
produits finis.
AFE (EFA) : Analyse Fonctionnelle Externe (External Functional Analysis), méthode visant à décrire de façon exhaustive les
fonctions à réaliser pour satisfaire les besoins réels de l’utilisateur. Elle peut être également appelée Analyse Fonctionnelle
du Besoin.
AFI (IFA) : Analyse Fonctionnelle Interne (Internal Functional Analysis), analyse visant à décrire comment les composants
du système étudié participent à la réalisation des fonctions. Elle peut être également appelée Analyse Fonctionnelle
Technique.
APR (PRA) : Analyse Préliminaire de Risques (Preliminary Risks Analysis), méthode visant à fournir l’ensemble des
événements redoutés prévisionnels dans toutes les phases de vie du système étudié.
ADD (FTA) : Arbre De Défaillances (Fault Tree Analysis), outil destiné à déterminer les causes ainsi que la combinaison
entre ces causes, qui pourraient conduire à la réalisation d’un événement redouté (ER).

AMDEC (FMECA) : Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (Failure Modes, Effects and
Criticality Analysis)
Méthode d'analyse d'un système qui comprend une analyse des modes de défaillance et de leurs effets, complétée par une
analyse de criticité des modes de défaillance.
ER (RE) : Evénement Redouté (Risk Event), l’évènement redouté se définit comme la manifestation de la défaillance. Il
s’exprime donc en termes de gêne pour le client.
Défaillance (Failure) :Cessation de l’aptitude d’une entité à accomplir une fonction requise.
Mode de défaillance (Failure Mode) : Manière de dont un système peut arrêter d’assurer ses fonctions. Il s’exprime en
termes physiques (rupture, fatigue, coincement, fuite, court-circuit…), chimiques ou autres ayant entraînés une défaillance.
1.2 Définitions - Abréviations
Fiabilité R(t) (Reliability) :La fiabilité est l'aptitude d'un composant ou d'un système à fonctionner pendant un intervalle de temps. Plus
précisément, la fiabilité est l'aptitude d'une entité à accomplir une fonction requise, dans des conditions données, durant un intervalle de
temps donné. Le terme fiabilité est également utilisé pour désigner la valeur de la fiabilité et peut être défini comme une probabilité. C'est
alors la probabilité pour qu’une entité puisse accomplir une fonction requise, dans des conditions données, pendant un intervalle de
temps donné. La notion de fiabilité est associée à celle de taux de défaillance.
Maintenabilité (Maintainability) : La maintenabilité est l'aptitude d'un composant ou d'un système à être maintenu ou remis en état de
fonctionnement. Plus précisément, la maintenabilité est, dans des conditions données d'utilisation, l'aptitude d'une entité à être maintenue
ou rétablie dans un état ou elle peut accomplir une fonction requise, lorsque la maintenance est accomplie dans des conditions données,
en utilisant des procédures et des moyens prescrits. Le terme maintenabilité est également utilisé pour désigner la valeur de la
maintenabilité. C'est alors, pour une entité donnée, utilisée dans des conditions données d’utilisation, la probabilité pour qu’une opération
de maintenance active puisse être effectuée pendant un intervalle de temps donné, lorsque la maintenance est assurée dans des
conditions données et avec l’utilisation de procédures et des moyens prescrits.
Disponibilité (Availability) : La disponibilité est l'aptitude d'un composant ou d'un système à être en état de marche à un instant donné.
Plus précisément, la disponibilité est l'aptitude d’une entité à être en état d’accomplir une fonction requise dans des conditions données, à
un instant donné, en supposant que la fourniture des moyens nécessaires est assurée. Le terme disponibilité est également utilisé pour
désigner la valeur de la disponibilité et peut être défini comme une probabilité. C'est alors la probabilité pour qu’une entité puisse
accomplir une fonction requise, dans des conditions données, à un instant donné.
Sécurité (Safety) : La sécurité est l'aptitude d'une entité à ne pas conduire à des accidents inacceptables. Plus précisément, la sécurité
est l'aptitude d'un produit à respecter, pendant toutes les phases de vie, un niveau acceptable de risques d'accident susceptible de causer
une agression du personnel ou une dégradation majeure du produit ou de son environnement.
Durabilité (Durability) : Aptitude d’une entité à accomplir une fonction requise dans des conditions données d’utilisation et de
maintenance, jusqu’à ce qu’un état limite soit atteint. Lorsque le système est réparable, l’état limite est au-delà duquel on ne répare plus.
Fonction défaillance F(t) (Unreliability) : La fonction défaillance représente la probabilité d’être défaillant avant un temps, kilométrage
ou un nombre de sollicitations donné. Rq : si on désigne la fonction fiabilité par R (Reliability), la fonction défaillance F (Failure) est égale
à 1-R. Chez certains clients, elle peut se retrouver sous la dénomination « défiabilité ».
2. Notions et outils
fondamentaux
2.1 Principe de la sûreté de fonctionnement
La sûreté de fonctionnement (SdF) est l'aptitude d'une entité à

satisfaire à une ou plusieurs fonctions requises dans des
conditions données.
La sûreté de fonctionnement regroupe quatre notions :

La fiabilité
La maintenabilité
La disponibilité
La sécurité.
2.2 But de la sûreté de fonctionnement
Le but de la sûreté de fonctionnement : mesurer la qualité de

service délivré par un système, de manière à ce que l’utilisateur
ait en lui une confiance justifiée.
Cette confiance justifiée s’obtient à travers une analyse

qualitative et quantitative des différentes propriétés du service
délivré par le système, mesurée par les grandeurs probabilistes
associées : fiabilité, maintenabilité, disponibilité, sécurité.
2.3 Etudes de sûreté de fonctionnement
Les études de sûreté de fonctionnement regroupent les activités d'évaluation
prévisionnelle de la fiabilité, de la maintenabilité, de la disponibilité et de la sécurité
d'une organisation, d'un système, d'un produit ou d'un moyen.
Ces évaluations permettent, par comparaison aux objectifs ou dans l'absolu,
d'identifier les actions de conception ou d'amélioration de l'entité pour atteindre le
niveau voulu.
Ces études consistent généralement à analyser les effets des pannes,
dysfonctionnements, erreurs d'utilisation ou agressions de l'entité étudiée.
L’étude de sûreté de fonctionnement comporte deux volets complémentaires :
Analyse fonctionnelle va détailler la manière dont le système va opérer dans
toutes ses phases de vie ainsi que les autres systèmes avec lesquels il va
pouvoir interagir,
Analyse dysfonctionnelle vise à imaginer l’ensemble des défaillances pouvant
survenir n’importe où dans le système, seules ou combinées entre elles, et à
analyser leur impact.
Les résultats de ces deux études sont mis en commun dans une modélisation du
système qui va représenter virtuellement celui-ci avant sa réalisation, tant dans son
fonctionnement attendu que dans les pannes susceptibles de lui arriver.
En étudiant cette modélisation, il devient alors possible de valider ou invalider une
solution technique, optimiser des choix architecturaux, remplacer des composants
critiques, ceci dans le but de :
réduire au maximum les risques ;
réduire au maximum les coûts d’exploitation ;
tolérer, dans la mesure du possible, certaines fautes en autorisant un
fonctionnement en mode dégradé sous certaines conditions.
L’analyse fonctionnelle externe (ou analyse fonctionnelle du besoin) est un outil qui
décrit de façon exhaustive les fonctions à réaliser pour satisfaire les besoins réels de
l’utilisateur.
Son principe est de considérer l’objet de l’étude comme une boîte noire, et de le
placer dans son environnement d’utilisation pour décrire ce qu’il doit faire, faisant
abstraction des solutions.
Cette approche se déroule en 7 phases :
Phase 1 : Définir les limites du système

Phase 2 : Valider le besoin du système
Phase 3 : Rechercher les situations de vie
Phase 4 : Lister les environnants au système par situation de vie
Phase 5 : Rechercher les relations entre le système et ses environnants (les
fonctions)
Phase 6 : Libeller ces fonctions
Phase 7 : Caractériser ces fonctions.
Phase 1 : Définir les limites du système
Cette phase a pour but de définir ce qu’est notre système et ce qui n’en fait pas partie.
Pour cela, nous pouvons utiliser une décomposition hiérarchique du produit appelée découpage
PBS (Product Breakdown Structure). C’est notamment au niveau des interfaces que cette
définition des limites est importante.
Pare-brise
Feuille de verre Rétroviseur

ext.
Feuille de verre
Capteur DDP
int.
Balais essui-vitre
Feuille PVB
Joint étanchéité
Emaillage
Colle
Embase
rétroviseur
Support capteur
DDP
• Avant de se lancer dans la conception d’un nouveau système, il est évident qu’il est
intéressant de se poser la question de son utilité et de la pérennité de celui-ci.
• L’outil destiné à valider le besoin d’un système est appelé « bête à cornes » en liaison
avec son mode de représentation.
A qui ça Sur quoi ça

sert ? agit ?
Système
But ?
- Pour faire quoi ?
- Pourquoi ?
Disparition ?
« Bête à cornes »
• « A qui ça sert ? »
Il s’agit de définir le client premier du système. Evidemment, s’il n’y a pas de client, c’est que le
système ne servira à rien.
• « Sur quoi ça agit ? »
Le but est de définir quel environnant principal sera modifié par le système étudié. Si le système
ne doit modifier aucun environnant, encore une fois il ne servira à rien.
• « Pour faire quoi ? »
Cette question doit préciser l’objet du système, que doit-il faire précisément. Encore une fois, s’il
ne fait rien, c’est qu’il ne sert à rien.
• « Pourquoi ? »
Cette question va nous amener à réfléchir sur le but premier du système.
• « Disparition »
Cette question sert à étudier la pérennité du système. Cette disparition peut être entraînée par la
perte du client (A qui ça sert ?), par la perte de l’environnant (Sur quoi ça agit ?), par le fait
de faire la même chose d’une autre manière (Pour faire quoi ?) ou par la perte de l’objet
premier du système (Pourquoi ?).
Ainsi, si les points de disparition semblent porter une probabilité faible, ce système pourra être
lancé ou, dans le cas contraire, il sera stoppé ou réorienté.
Exercice : Faire la bête à cornes du système représenté ci-

dessous

Corrigé :
A qui ça Sur quoi ça
sert ? agit ?
Système
But ?
A l‘homme - Pour faire quoi ?
- Pourquoi ?
Sur un support d'écriture
(ex : feuille de papier)
Disparition ?
« Pour faire quoi ? » : Pour laisser des traces sur un support d'écriture de la pensée, du savoir, …de
l'Homme
« Pourquoi ? » : Parce que l'Homme ne peut garder présent à l'esprit et pour toujours, l'ensemble de ce
qu'il pense, de ce qu'il sait...
«Disparition ? » :
•Perte de l’homme : Probabilité faible
•Perte du support d’écriture : Probabilité faible
•Perte du but :
-il est possible de faire la même chose différemment => outil informatique
-le but premier du système n’est pas remis en cause
Phase 3 : Rechercher les situations de vie

Les situations de vie représentent les différentes phases dans lesquelles se trouvera
le produit tout au long de son existence (allant de sa fabrication jusqu’à
sa destruction et recyclage), chacune d’entre elles pouvant influer sur son design.
Situations de vie du
Fabrication
Pare-brise
Logistique / stockage
Montage en usine
Véhicule à l'arrêt Utilisation du Pare-brise
Chocs parking
Lavage / entretien
Véhicule en roulage Roulage normal
Chocs
Réparation
Recyclage
Phase 4 : Lister les environnants au système par situation de vie

Cette phase consiste à rechercher les éléments physiques qui sont en relation avec le
système dans la situation de vie étudiée.
Ces éléments peuvent être les autres composants du système de niveau n+1,
l’ambiance dans laquelle se trouve le système, l’utilisateur du système ou l’environnant
qui doit être modifié.
Pare-brise
Utilisateur
Monteur
Ambiance extérieure
...
Phase 5 : Rechercher les relations entre le système et ses

environnants (les fonctions)
Les fonctions constituent les relations entre le système et ses environnants.
Elles sont classées en deux catégories :
Fonctions de service (ou principales) : elles représentent l’objet du système. Elles relient deux
environnants au travers du système.
Fonctions contraintes : elles représentent les contraintes auxquelles le système doit résister. Elles ne
relient qu’un environnant au système.
Les fonctions de service et contraintes sont représentées dans un schéma appelé « pieuvre »..
Reste du
véhicule
FP2
Utilisateur
FC4
FC2
FC3
Pare-brise
Monteur
FP3
FP1 FC1
Ambiance
extérieur
...
Phase 6 : Libeller ces fonctions
Le libellé des fonctions est constitué de la construction suivante :

Sujet : c’est le système étudié qui se trouve dans la bulle centrale de la pieuvre.
Verbe d’action : il transcrit la donnée de sortie de la fonction (ce que le produit doit faire).
Compléments : ils reprennent les éléments des bulles environnants. Cependant, pour simplifier la
phrase, le sujet peut être sous-entendu, donc omis dans la phrase.
Ce travail doit être effectué pour chaque situation de vie du système.
En reprenant notre exemple du pare-brise, chacune des fonctions pourra être libellée comme ci-
après :
FP1 : le PB doit assurer une bonne visibilité du milieu extérieur au conducteur.
FP2 : le PB doit plaire à l’utilisateur en s’intégrant esthétiquement au reste du véhicule.
FP3 : le PB doit respecter l’intégrité physique du monteur
FC1 : le PB doit isoler de l’ambiance extérieure (eau, air…).
FC2 : le PB doit respecter l’utilisateur.
FC3 : le PB doit résister à l’utilisateur.
FC4 : le PB doit s’adapter au reste du véhicule.
…
Phases 5/6 : Rechercher les relations entre le système et ses

environnants (les fonctions)
Exercice : Rechercher les fonctions principales et contraintes

du système représenté ci-dessous :
Phase 5/6 : Rechercher les relations entre le système et ses environnants (les fonctions)
Corrigé : Attention ! Il faut commencer par lister les situations

de vie du système :
Situation d’écriture
Situation de repos (posé, accroché...)
En situation d'écriture En situation Repos (Accroché ou posé)

Support
d'écrtiure
FP1
Main
FC3
Stylo FC3
Utilisateur
Stylo Vêtements
FC1 Objets divers
FC2
FC1 FC2 Ambiance
extérieur
Ambiance Poche/Sac
Oeil
extérieur
Fp1 = permettre à la main de l'Homme de laisser des traces Fc1 = résister à l’ambiance ext.
sur un support d'écriture Fc2 = s’accrocher à une poche
Fc1 = résister à l’ambiance extérieure Fc3 = préserver les vêtements ou objets divers
Fc 2 = être agréable à l'œil
Fc3 = respecter l’utilisateur
Phase 7 : Caractériser ces fonctions

Cette dernière phase consiste à déterminer des critères de performance pour chacune des fonctions
définies ci-avant, d’en préciser les niveaux attendus ainsi qu’une flexibilité (niveau de négociation
possible).
Les critères de performance correspondant à la partie verbale qualifient les données de sortie de la
fonction (ce que l’on attend du système). A contrario, les critères de performance associés aux parties
nominales servent à qualifier l’environnant correspondant, ils décrivent donc les données d’entrée de
la fonction.
A chaque critère de performance est associé un niveau qui doit être tolérancé pour permettre au
concepteur d’évaluer sa capabilité.
Enfin, à chaque critère est également associé un niveau de négociation possible entre le spécificateur
et le concepteur (appelé niveau de flexibilité) :
F0 : flexibilité nulle : niveau impératif
F1 : flexibilité faible : niveau peu négociable
F2 : flexibilité bonne : niveau négociable
F3 : flexibilité forte : niveau très négociable.
La donnée de sortie de l’analyse fonctionnelle externe est le cahier des charges fonctionnel du
système étudié.
Phase 7 : Caractériser ces fonctions – Le tableau fonctionnel
Décomposition
Fonction Critères Niveaux Flexibilité
fonctionnelle
Situation de vie : Véhicule à l'arrêt
Respecter les Te=50±3 F2
Mesures des performances
performances
thermiques. Re=5±3 F2
thermiques
FP1 : Résister à
l'ambiance ext. aucune infiltration d’eau
Etre étanche à l'eau Mesure de l'intrusion d'eau F0
admise
Etre étanche au bruit ... ... F2
Participer au maintien Conformité aux
CEE 92226 F0
FP2 : Participer à de l'occupant à l'int. du spécif./Normes
la sécurité véhicule ... ... ...
passive ... ... ...
...
... ... ...
L’objet de cette analyse est de décrire comment les composants du système participent à
la réalisation des fonctions.
Evidemment, à ce stade, il faut avoir défini le nombre de composants et le mode de
fonctionnement du système.
Cette analyse comporte deux étapes principales : la décomposition du système et
l’identification des flux à l’intérieur du système.
Décomposition du système
L’objet de cette décomposition est de définir les éléments constitutifs qui composent le
système. Cette décomposition va constituer la nomenclature produit.
Pare-brise
Feuille de verre ext.
Feuille de verre int.
Feuille PVB
Emaillage
Embase
Colle
rétroviseur
Embase DDP Colle

Identification des flux à l’intérieur du système

L’objet de cette étude est de déterminer comment chaque fonction définie lors de l’analyse
fonctionnelle externe, est réalisée par les différents composants.
En intégrant les composants dans la bulle centrale de la pieuvre, on illustre le chemin suivi
par chacune des fonctions. Ce chemin représente les flux à l’intérieur du système, flux qui
sont de trois types : matière, énergie ou information.
Les fonctions sont alors matérialisées dans le dessin par des traits représentant les
contacts entre les éléments eux-mêmes et entre les éléments et les différents
environnants. Ce schéma est classiquement appelé « bloc diagramme fonctionnel ».
Reste du
véhicule
Utilisateur FP1
PVB.
Feuille int.. Feuille ext.
Embase rétroviseur Embase DDP Conducteur
Ambiance
extérieur ...
Pour des systèmes complexes, on préférera plutôt le tableau d’analyse fonctionnelle, qui synthétise
la participation des composants à la réalisation des fonctions, à la place du bloc diagramme
fonctionnel.
Ainsi, selon les produits étudiés, on pourra utiliser soit le bloc diagramme fonctionnel, plus intuitif et
plus imagé mais plus compliqué à dessiner avec un ordinateur, soit le tableau d’analyse
fonctionnelle, plus facile à réaliser avec un tableur type Excel.
Ce genre de représentation est peut-être plus sûr pour ne rien oublier. En effet : toute fonction doit
être affectée à un composant au moins ; tout composant doit participer au moins à une fonction.
Fonctions
FP1 FP2 FP3 FC1 FC2 …
Composants
Feuille ext. X X X
PVB X X X
Feuille int. X X
Emaillage X X
Embase DDP X X
Embase Rétroviseur X X
Joint X
Colle
…
Pour des raisons visuelles et d’efficience on préfèrera une fois l’AFE terminée basculer
directement sur un outil riche de l’AFI : le FAST.
FAST= Analyse Fonctionnelle des systèmes techniques ( Function Analysis System Technic )
Cet outil permet une fois le recensement et l’identification des fonctions faites de construire
une décomposition fonctionnelle qui aboutira sur l’établissement de solutions techniques.
Méthodologie :
La fonction est placée dans un cadre.
Ce cadre est disposée sur la gauche d’un tableau .
Le groupe de travail doit répondre aux questions posées.
Les réponses ou solutions sont disposées sur une colonne à droite.
Chaque nouvelle solution est décortiquée en sous catégorie pour obtenir les éléments qui constituent la
ou les solutions à étudier.
DE LA FONCTION GLOBALE A LA SOLUTION

Fonction globale→ décomposition fonctionnelle → Solutions techniques
Technique interrogative :
Comment?
Intérêt : Relation BESOIN SOLUTION
Exercice : Réaliser le FAST du système ci-dessous.

Identifier les différentes situations de vie
Lister les fonctions pour chaque situation de vie
Faire le FAST complet Diviser les fonctions
par groupe de travail
Corrigé
Feuille de calcul
Microsoft Excel
2.4.3 Analyse Préliminaire des Risques (APR)
L’analyse préliminaire de risques est une méthode visant à fournir l’ensemble des
événements redoutés prévisionnels dans toutes les phases de vie du système étudié.
Cette analyse se décompose en deux approches complémentaires :

une approche fonctionnelle : analyse des conséquences des défaillances des
fonctions du système,
une approche agressions :
analyse des conséquences des agressions du système vers l’extérieur (éléments
potentiellement dangereux) ;
analyse des conséquences des agressions du milieu extérieur vers le système
(éléments sensibles).
Ces approches ont pour avantages d’obtenir un examen rapide des situations
dangereuses, ne nécessitant pas un niveau de description détaillé du système étudié.
Par contre, pour des systèmes complexes, elles ne permettent pas de décrire finement les
enchaînements qui conduisent à une défaillance majeure : l’utilisation ultérieure d’outils
tels que l’AMDEC ou arbre de défaillances sont nécessaires.
2.4.3.1 L’APR approche fonctionnelle
L’approche fonctionnelle a pour but d’étudier les conséquences de chaque mode de défaillance des
fonctions décrites dans l’analyse fonctionnelle. Elle est donc effectuée pour chaque fonction du
système dans chaque situation de vie.
Par mode de défaillance, on entend :

Absence de fonction à la sollicitation : ça ne marche pas,
Perte de fonction en fonctionnement : ça ne marche plus,
Fonctionnement dégradé : ça marche mal,
Fonctionnement intempestif : ça marche alors que l’on a rien demandé,
Fonctionnement intermittent : ça s’arrête et ça repart tout seul.
Toutes les fonctions de service et les fonctions contraintes listées dans l’analyse fonctionnelle externe
sont reprises comme données d’entrée pour l’APR approche fonctionnelle.
Pour chaque fonction, les modes de défaillance seront déterminés en tenant compte des différents
types définis ci-avant (absence, perte, dégradé, intempestif et intermittent).
Ensuite, l’événement redouté par le client est identifié pour chaque mode de défaillance. Par client, on
entend l’utilisateur final du macro-système dans la situation de vie étudiée. L’événement redouté
s’exprime donc en termes de gêne pour le client, allant de l’insatisfaction jusqu’à l’atteinte de l’intégrité
physique de l’utilisateur ou des personnes environnantes.
Cette première partie de l’APR correspond à la partie qualitative.

La partie quantitative de l’APR a, quant à elle, pour objet de hiérarchiser les risques pour permettre au groupe
d’analyse d’adapter la méthodologie de traitement en conséquence et ainsi les actions à mettre en œuvre.
Pour chaque mode de défaillance, on renseignera donc un niveau de gravité caractérisant le niveau de gêne du
mode de défaillance pour le client. Ce niveau découle directement de l’impact client défini comme étant l’événement
redouté.
Les niveaux de gravité sont évalués à partir des critères définis dans la grille ci-après.
Commentaires pour info, liste non
Niveau Définition
exhaustive
Performances générales du véhicule

Insatisfaction ou dégradation
G1 conservées ; L’utilisateur peut continuer à
d'une prestation ou d'une
vert utiliser son véhicule ; il n’y a pas
fonctionnalité du véhicule
d’impératif à une intervention
Apparition de symptômes gênant ;

G2 Perte d'une prestation ou d'une l’utilisateur peut continuer à utiliser son
jaune Fiabilité fonctionnalité du véhicule véhicule, mais une intervention s’impose
/ rapidement
disponibilité
- Impossibilité de commencer un trajet
- Impossibilité de finir un trajet par la perte
d'une fonction principale ou par le non
G3 Le véhicule est indisponible pour
respect de la réglementation (risque de
orange l'utilisateur
contravention)
- Impossibilité de stationner le véhicule en
l'état (risque d'inviolabilité)
- Peut potentiellement entraîner un

G4 Risque de dommages corporels accident de la circulation
Sécurité
rouge pour l’homme - Risque de dommage corporel sans
accident de la circulation
Après la gravité, on renseignera également le niveau d’occurrence. Cette évaluation correspond à la
probabilité d’apparition du mode de défaillance lié à l’événement initiateur.
Les niveaux d’occurrence sont évalués à partir des critères définis dans la grille ci-après.
Niveau Niveau d’innovation Taux de défaillance ressenti
Il est pratiquement impossible que

O1 Reprise d’éléments éprouvés en l’événement se produise au cours de la
vert série durée de vie de l’ensemble de la
population des systèmes
Reprise de concepts éprouvés
O2 dont les quelques défaillances Il est possible que quelques systèmes
jaune n’engendrent pas de pénalisation défaillent au cours de leur durée de vie
du marché
Il est possible qu’une part non négligeable

O3 Fortes modifications de concepts de systèmes présente une défaillance au
orange connus cours de leur vie impactant la rentabilité du
produit (retours garantie par exemple)
Il est possible qu’une majorité de systèmes

O4 présente des défaillances au cours de leur
Conception innovante
rouge vie engendrant un problème d’image de
marque du produit
Ainsi, compte tenu des niveaux de gravité et d’occurrence estimés, le groupe de travail traitera les
risques « majeurs » en priorité en utilisant les démarches et outils appropriés.
Bien entendu, les défaillances ayant une gravité élevée seront traitées en priorité par le groupe de
travail.
Etant donné que notre objectif premier dans la mise en œuvre de l’APR est la recherche et la
hiérarchisation des événements redoutés, notre analyse s’est volontairement limitée à identifier les
modes de défaillance, les événements initiateurs et leurs niveaux d’occurrence associés, les
événements redoutés et leurs niveaux de gravité associés.
L’identification des conséquences système et des scénarios (succession d’événements), et la

définition des actions de maîtrise de risques seront traités ultérieurement à l’aide d’autres outils.
Evénement Redouté Occur-

Fonction Mode de défaillance Evénement initiateur Gravité
(ER) rence
Situation de vie : Véhicule à l'arrêt
agression des vitres
Non tenue de la R43 : Process : Tempage
latérales sur les
casse non dispersée en Produit : design, G4 O1
Assurer la ocuupants lors d'un
fragements à l'impact épaisseur...
sécurité accident
passive des ... ... ...
occupants
2.4.3.2 L’APR menace/agressions
Il existe deux approches complémentaires à l’approche fonctionnelle décrite

ci-avant :
Une approche agressions du système vers l’extérieur, appelée

également agressions externes, qui étudie l’impact sur
l’environnement d’une défaillance d’un élément potentiellement
dangereux.
Une approche agressions du milieu extérieur vers le système, appelé

également agressions internes, qui étudie les conséquences des
agressions potentielles que le milieu extérieur peut induire sur les
éléments sensibles du système.
Approche agressions du système vers l’extérieur (agressions externes) :
Dans l’approche agressions du système vers l’extérieur, le groupe de travail recherchera l’ensemble des
éléments ayant une géométrie, ou contenant suffisamment d’énergie latente, présentant un danger
potentiel. Par énergie latente, on entend une énergie capable d’être libérée de façon incontrôlée (résistance
chauffante, ressort tendu, élément sous pression, dégagement de produits nocifs…).
Ensuite, on recherchera le ou les événements initiateurs qui pourraient libérer cette énergie latente,
risquant ainsi de provoquer l’événement redouté au niveau du client utilisateur. Les événements initiateurs
peuvent être liés à une défaillance interne au système, mauvaise manipulation de l’utilisateur, modification
du milieu environnant…
Tout comme l’approche fonctionnelle, l’événement redouté par le client est alors identifié pour chaque
élément potentiellement dangereux. L’événement redouté s’exprime donc en termes de gêne pour le client,
allant de l’insatisfaction jusqu’à l’atteinte de l’intégrité physique de l’utilisateur ou des personnes
environnantes.
Pour chaque élément potentiellement dangereux, on renseignera ensuite un niveau de gravité caractérisant
le niveau de gêne de l’élément potentiellement dangereux pour le client. Ce niveau découle directement de
l’impact client défini comme étant l’événement redouté.
Les niveaux de gravité et d’occurrence sont évalués à partir des critères définis dans les mêmes grilles que
celle utilisée pour l’APR approche fonctionnelle (cf. Grille de gravité et Grille d’occurrence pour l’Analyse
Préliminaire des Risques).
Comme pour l’approche fonctionnelle, notre analyse s’est volontairement limitée aux éléments décrits ci-
avant.
L’identification des conséquences système et des scénarios (succession d’événements), et la définition des
actions de maîtrise de risques seront traités ultérieurement à l’aide d’autres outils.
Approche agressions du milieu extérieur sur le système (agressions internes) :
Dans l’approche agressions du milieu extérieur sur le système, le groupe de travail recherchera l’ensemble
des composants constitutifs du système qui pourraient être sensibles à une agression extérieure, pouvant
provenir de l’environnement ou des autres systèmes interfacés avec le système étudié.
Ensuite, on recherchera le ou les événements initiateurs extérieurs au système qui pourraient dégrader
l’élément fragile. Par événement extérieur, on entend aussi bien les éléments du milieu ambiant
(température, agressions mécaniques ou chimiques…) que les défaillances des autres systèmes avec
lequel le système étudié est en interaction (vibrations…).
Tout comme l’approche agressions externes, l’événement redouté par le client est alors identifié pour
chaque élément fragile. L’événement redouté s’exprime donc en termes de gêne pour le client, allant de
l’insatisfaction jusqu’à l’atteinte de l’intégrité physique de l’utilisateur ou des personnes environnantes.
Pour chaque élément fragile, on renseignera ensuite un niveau de gravité caractérisant le niveau de gêne
de l’élément fragile pour le client. Ce niveau découle directement de l’impact client défini comme étant
l’événement redouté.
Les niveaux de gravité et d’occurrence sont évalués à partir des critères définis dans la même grille que
celle utilisée pour l’APR approche fonctionnelle (cf. Grille de gravité et Grille d’occurrence pour l’Analyse
Préliminaire des Risques).
Comme pour l’approche agressions externes, notre analyse s’est volontairement limitée aux éléments
décrits ci-avant.
L’identification des conséquences système et des scénarios (succession d’événements), et la définition des
actions de maîtrise de risques seront traités ultérieurement à l’aide d’autres outils.
Etude cas : Etude de sûreté de fonctionnement de la société BIQ

AFE :
Bête à cornes : OK
Pieuvre : OK
CDCF : OK
AFI :
Bloc diagramme fonctionnel : OK
FAST : OK
L’analyse fonctionnelle étant réalisée le groupe BIQ souhaite mettre en œuvre

l’étude des risques.
23 Qualiticiens sont responsables de l’étude et BIQ attend leurs conclusions.
L’arbre de défaillances est un outil destiné à déterminer les causes ainsi que la
combinatoire entre ces causes, qui pourraient conduire à la réalisation d’un événement
redouté (ER). Ces combinaisons d’événements sont représentées graphiquement à
l’aide d’une structure de type arbre, dans lequel les relations causes/effets sont
schématisées par des portes logiques ET ou OU.
Cet outil permet de :
visualiser la « mécanique » pouvant amener à la défaillance,

allouer une fiabilité aux différents composants du système par une quantification
« Top Down »,
évaluer la fiabilité de l’événement redouté par une quantification « Bottom Up ».
2.4.4.1 Construction de l’arbre de défaillances
L’arbre de défaillances est un outil déductif et itératif : on part d’un effet pour en trouver ses causes
en se posant la question « Pourquoi ? ». A la différence du diagramme « Causes – Effets » ou de
l’outil « 5 Pourquoi ? » où chaque cause peut individuellement entraîner l’effet non désiré, l’arbre de
défaillances permet, en plus, de mettre en évidence la combinatoire de ces causes.
Même si classiquement, un arbre de défaillances est représenté verticalement, on conviendra d’une
représentation de l’arbre couché où l’événement redouté est à gauche et les causes s’enchaînent
vers la droite.
Définition de l’événement redouté (« sommet de l’arbre »)

L’événement redouté (ER) est l’événement indésirable pour lequel on recherche toutes les causes,
et leur combinatoire, qui y conduisent. Cet événement est unique pour un arbre de défaillances et se
trouve à gauche de l’arbre (ou au sommet). Il doit être défini de façon précise afin d’éviter d’avoir
une analyse gigantesque ou impossible à faire.
Cet événement provient généralement de l’analyse préliminaire de risques utilisée en amont de
l’arbre de défaillances.
Portes logiques
L’arbre de défaillances est particulièrement bien adapté aux événements combinatoires, mais
devient délicat à mettre en œuvre quand il s’agit d’événements séquentiels.
Porte « OU » : l’événement E1 se produit dès qu’un événement A, B ou C se produit.

Porte « OU »
Porte « ET » : l’événement E1 ne se produit que si les événements A, B et C se produisent

simultanément.
Porte « ET »
Pour éviter de recopier inutilement des parties de dessin identiques d’une branche à l’autre
de l’arbre du dessin, on peut utiliser un système de renvoi.
Renvoi d’une partie de l’arbre
Déroulé de l’analyse
L’analyse débute par la recherche des causes immédiates nécessaires et suffisantes

pour obtenir l’événement redouté. Ces causes constituent des événements
intermédiaires dont on recherchera les causes et leur combinatoire, et ainsi de suite. A
chaque étape, la question pertinente pour rechercher les causes du niveau inférieure
est « pourquoi ? ».
Les causes correspondant au niveau le plus à droite (ou plus bas) de l’analyse sont
appelées événements élémentaires ou causes racines. Ces causes racines seront
identifiées d’une couleur spécifique dans l’arbre (la couleur jaune sera préconisée).
La difficulté de l’arbre de défaillances est de définir le niveau de détail adapté. De
façon générale, nous considérons que les événements élémentaires correspondent
aux défaillances des composants, un composant étant un sous-système réparable ou
interchangeable.
Dans le cas d’un arbre de défaillances mis en œuvre dans le cadre d’une démarche
Sureté de Fonctionnement, les événements de base correspondent aux défaillances
des sous-systèmes de niveau N-1 définis dans notre décomposition hiérarchique du
produit appelée découpage PBS (Product Breakdown Structure).
Dans la réalisation de l’arbre, le groupe de travail veillera à bien rester dans ses limites
de responsabilité tout en communiquant les causes identifiées à d’autres intervenants :
client, fournisseur...
2.4.4.2 Allocation fiabilité des différents composants du système
Une des utilisations de l’arbre des défaillances est l’allocation des objectifs de
fiabilité à chacun des composants du système par une quantification de type
« Top Down » : en partant de l’objectif alloué au système complet (gauche de
l’arbre), on donne un objectif de fiabilité à chacune des causes élémentaires
(racines de l’arbre).
Ainsi, conformément à l’algèbre de Boole :

Probabilité (A et B) = P (A) x P (B)
Probabilité (A ou B) = P (A) + P (B) - P (A) x P (B)* = P (A) + P (B)
(*) Simplification du théorème de Poincaré : P (A) x P (B) est négligeable étant
donné que les probabilités P (A) et P (B) sont faibles.
Par conséquent, à chaque passage de ET, on prend la racine carré de l’objectif

de l’événement supérieur (à gauche) ou on divise cet objectif en traversant un
OU. Une répartition peut également être effectuée au prorata des retours
observés sur les systèmes de génération précédente.
Cette approche peut donc permettre d’objectiver les valeurs des objectifs de
fiabilité alloués aux fournisseurs de sous-systèmes.
2.4.4.3 Evaluation de la probabilité d’apparition de l’événement redouté
A l’inverse de l’allocation, l’arbre de défaillances permet également d’évaluer la
probabilité d’apparition de l’événement redouté.
A partir de la probabilité d’apparition de chacune des causes élémentaires, on

calcule la probabilité d’apparition de l’événement redouté en remontant l’arbre
grâce à l’algèbre de Boole : quantification « Bottom Up ».
Ainsi, les probabilités se multiplient quand on passe une porte ET et les

probabilités s’additionnent lorsqu’on passe une porte OU.
Toute la difficulté de cette quantification réside dans l’évaluation de la probabilité

d’apparition de chacune des causes élémentaires.
Exercice : faire l’ADD de l’ER4 « coupure sur l’utilisateur »

Corrigé
2.4.5Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC)
L’AMDEC est définie comme étant une méthode

rigoureuse et préventive visant à recenser puis à évaluer
les défaillances d’un système.
Cette méthode est considérée par la plupart des industriels

comme l’outil d’analyse de risque le plus pertinent.
2.4.5.1AMDEC Produit
L’AMDEC Produit est utilisée pour fiabiliser les systèmes par l’analyse des défaillances dues aux
erreurs de conception. Ce type d’AMDEC est donc initialisé en phase de développement produit au
moment de sa conception.
Elle a pour objet de s’assurer que le « Design » répond à l’ensemble des critères du cahier des
charges : les modes de défaillance seront considérés comme étant la non-réalisation ou la mauvaise
réalisation des critères de performance associés aux fonctions décrites dans l’analyse fonctionnelle
du produit.
Cette analyse se décompose en trois parties :
Analyse qualitative : à partir des fonctions du produit, identification des modes de défaillance potentiels, de leurs
effets, de leurs causes, des contrôles de conception existants (prévention et détection),
Analyse quantitative : évaluation du risque lié à chaque mode de défaillance (gravité, occurrence, détection
IPR),
Plan d’actions correctives pour réduire les niveaux de risque les plus élevés : actions au niveau de la conception
du produit et actions pour améliorer les démarches de validation prévues.
Le tableau ci-après reprend le formalisme standard utilisé pour les AMDEC Produit, à moins qu’une exigence
particulière ne soit imposée par le client.
2.4.5.2AMDEC Process
L’AMDEC Process est utilisée pour analyser les défaillances générées par le
processus de fabrication. Ce type d’AMDEC est idéalement initialisé en phase
d’industrialisation au moment de la définition du processus de fabrication et de la
conception des moyens.
Elle a pour objet de s’assurer que le processus de fabrication répond à l’ensemble des
exigences définies pour la réalisation des opérations : les modes de défaillance seront
considérés comme étant la non-réalisation ou la mauvaise réalisation des exigences
produit/process associées aux opérations décrites dans la décomposition fonctionnelle
du processus de fabrication (incluant la réception, les flux inter-postes, les contrôles et
la livraison).
Cette analyse se décompose en trois parties :

Analyse qualitative : à partir des opérations élémentaires de fabrication, identification des
modes de défaillance potentiels, de leurs effets, de leurs causes, des contrôles de processus
existants (prévention et détection),
Analyse quantitative : évaluation du risque lié à chaque mode de défaillance (gravité,
occurrence, détection IPR),
Plan d’actions correctives pour réduire les niveaux de risque les plus élevés : actions au niveau
de la conception du produit/process et actions pour améliorer les détections prévues
(contrôles).
Le tableau ci-après reprend le formalisme standard utilisé pour les AMDEC Process, quelque
soit l’exigence du client.
3. Fiabilité Prévisionnelle et
Opérationnelle
3.1 Probabilités : généralités
L’ensemble des définitions et démarches détaillées depuis le début de l’enseignement ne trouvent de
légitimité que par les notions probabilistes d’apparition d’une défaillance à un instant t.
Considérons un système dont le fonctionnement au cours du temps sera représenté par la variable
P(t ) :
L’état normal de fonctionnement sera représenté par P (t ) = 1
L’état défaillant sera noté par P (t ) = 0.
L’instant t d’occurrence d’une défaillance (sauf action délibérée et programmée dans le temps)
n’est jamais prévisible et correspond à un événement aléatoire.
Etat P(t)
1
En fonctionnement Défaillant
0 Temps (t)
t
Une variable aléatoire est une variable réelle dont la valeur est liée au résultat d’une expérience
(dans le cas du jet de dé la variable aléatoire peut prendre les valeurs entières 1, 2, 3, 4, 5 et 6).
En Sûreté de fonctionnement les variables aléatoires peuvent être discrètes ou continues dans le
temps.
La probabilité d’un événement est un nombre réel toujours comprise entre 0 et 1 : 0 <P (A) < 1
3.2 Modes de défaillances
Comme nous l’avons vu l’apparition d’une défaillance soumise à une probabilité P(t) peut être la conséquence de
plusieurs causes voir de l’association de causes.
Les études quantitatives de fiabilité dans une démarche de Sdf ont pour objet de mettre en évidence les distributions
de défaillance :
De jeunesse : erreurs de conception et de fabrication
Occasionnelle ou anormale de la fabrication
Intrinsèque à la technologie
D’usure
Concernant l’usure en mécanique par exemple les causes affectant les solutions techniques peuvent être :
Corrosion : piqûres, contraintes, attaques chimiques
Flambage
Fatigue : thermique, usure
Ecaillage
Choc thermique
Radiation
Fatigue vibratoire
Déformation élastique
...
Les conséquences associées seront :

Rupture fragile
Rupture ductile
Rupture par fatigue
3.3 Fonctions de base de la Fiabilité
Fonction fiabilité R(t) :
Considérons l’instant T d’occurrence de la défaillance ; cette variable aléatoire permet de définir la

notion de fiabilité qui s’interprète comme la probabilité que l’entité considérée ne tombe pas en
panne avant un instant t donné ou bien comme la probabilité qu’elle tombe en panne après l’instant t.
Par extension, on appelle également fiabilité la probabilité associée R (t ) à cette notion.
Elle est définie par :

R (t ) = P (E non défaillante sur la durée [0, t], en supposant qu’elle n’est pas défaillante à
l’instant t = 0).
Ce qui peut s’exprimer par :
R (t ) = P (T > t )
L’aptitude contraire est appelée défiabilité, et est définie par :
R (t ) = 1 –R (t ) = P (t <T ) = F (t)
Il est possible de donner une approche intuitive de la notion de fiabilité d’un parc composé de N
entités identiques en fonctionnement et non réparées après défaillance. En considérant N(0) le
nombre d’entités fonctionnant à l’instant t = 0 et N (t ) le nombre d’entités survivant à l’instant t, le
quotient N(t )/N(0) représente une mesure expérimentale de la fiabilité des entités identiques.
Exercice :
On considère le nombre de défaillances Nombre de défaillances
observées sur les diodes laser par classe de temps de fonctionnement
utilisées pour la lecture de disques Intervalle (h) Nombres de défaillances par intervalle
optiques numériques pour un parc de 0 à 500 50
270 lecteurs tableau ci dessous). 500 à 1 000 100
1 000 à 1 500 50
Représentez la loi R (t ) approximée par 1 500 à 2 000 30
2 000 à 2 500 20
une représentation avec 8 classes
2 500 à 3 000 10
d’intervalles des temps. 3 000 à 3 500 5
3 500 à 4 000 5
Total 270
Corrigé
Nombres de défaillances par intervalle
120
100
80
60 Nombres de défaillances par intervalle
40
20
Nombres de défaillances par intervalle

0
0 à 500 500 à 1 1 000 à 1 500 à 2 000 à 2 500 à 3 000 à 3 500 à
000 1 500 2 000 2 500 3 000 3 500 4 000 120
100
80
Nombres de défaillances par

60
intervalle
40
20
0
0 à 500 500 à 1 1 000 à 1 1 500 à 2 2 000 à 2 2 500 à 3 3 000 à 3 3 500 à 4
000 500 000 500 000 500 000
Densité de défaillance f(t) :
C’est la probabilité ramenée à l’unité de temps qu’un système défaille à t.
La densité de probabilité de l’instant de la défaillance T s’obtient en dérivant la fonction de répartition
F (t ) :
f (t ) = dF (t )/dt = - dR(t )/dt
Taux de défaillance :
A partir de la connaissance des termes R (t ), f (t ) et F (t ), on peut définir la notion de taux de défaillance au temps t
qui est noté universellement par λ(t ).
C’est la probabilité ramenée à l’unité de temps, qu’un système ayant survécu jusqu’à t défaille entre t et t+dt.
En appliquant le théorème des probabilités conditionnelles, il vient, si dt est petit :
λ (t ) = -1/R t ( ) x dR(t )/dt
Pendant la durée de vie d’une entité, on constate que son taux de défaillance évolue au cours du temps.
Après la première mise en service, sur une période appelée période de jeunesse, le taux de défaillance est élevé puis
à tendance à décroître. Cela correspond àla période de rodage des systèmes mécaniques ou au déverminage de
cartes électroniques.
Ensuite le taux de défaillance de la majorité des entités est caractérisé par une valeur constante, ce qui signifie que la
probabilité d’une défaillance est identique pour chaque instant considéré. C’est la période de défaillance à taux
constant.
Ensuite, en raison du vieillissement des matériaux des composants ou de leur usure, on observe généralement un
taux de défaillance qui se met à croître de façon significative. Cette période de la vie de l’entité est appelée la période
de vieillissement ou d’usure.
Cette évolution est connue sous le nom de « courbe en baignoire »
3.4 Les lois rencontrées en SdF
Loi binomiale de paramètres p et n : Elle correspond à la probabilité de réalisation
d’un événement de probabilité p au cours de n expériences
Loi de Poisson de paramètre m : Elle correspond au nombre d’occurrences sur une

période donnée d’un événement dont la probabilité par unité de temps est constante.
Loi de Weibull : Cette loi est très utilisée pour représenter le comportement des
matériels pendant toute leur période de vie avec une loi de densité de probabilité définie
par :
R(t) = e-((t-γ)/η)^β λ (t ) = (β/η) x ((t-γ)/η)^(β-1)

On peut donner une interprétation de λ en fonction de β :
β paramètre de forme (sans unité), - λ(t) croissant pour β>1
η paramètre d’échelle (en unités de temps) - λ(t) constant pour β=1
γ paramètre de position (en unité de temps) - λ(t) décroissant pour β<1
3.4 Les lois rencontrées en SdF
Loi de Weibull : signification physique des valeurs de β
Pannes de jeunesse : β <1 : Défaut d’assemblage ou de fabrication
(défaut de serrage, étanchéité, pollution d’huile, propreté)=Process
défaillant ou définition du produit inadéquat.
Pannes aléatoires : β=1 : erreur humaine, événements naturels (foudre...)
Pannes de fatigue lente : 1 < β <2, Grand nombre de cycles
Pannes de fatigue moyenne : β=2, Etanchéité, tenue des soudures
Pannes de fatigue rapide : β>2, utilisation du produit dans son domaine

plastique, abrasion, corrosion
3.5 Notion de robustesse
Non dégradation des performances du produit en fonction de :
Des variabilités de fabrication
Des variabilités d’utilisation
Du vieillissement des composants du produit
Logique de robustesse :
Trouver le compromis entre performance satisfaisante et insensibilité aux bruits
Valider ce compromis pas essais, calcul, simulations, modélisation...
Dimensionnement en contrainte/résistance
Robustesse et modélisation :
Trouver un critère mesurable : exemple=>nombre de manipulation du rétroviseur
intérieur véhicule
Définir le profile de mission : processus physique + facteurs endommageants
Identifier la loi de propagation de ce processus physique
Estimer la loi d’apparition des défaillances
Rechercher des solutions si objectifs de fiabilité non tenus

Cours de Surete de Fonctionnement v3

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours de Surete de Fonctionnement v3

Transféré par

Droits d'auteur :

Formats disponibles

Sûreté de

Youness EL ATTABI – Novembre 2011

Le programme des sessions

Prénom, nom, entreprise d’accueil, fonction

2 Méthodes et outils de la sûreté de fonctionnement

3 Fiabilité prévisionnelle et opérationnelle

Analyse fonctionnelle Analyse fonctionnelle Analyse

Phase 1 Définition du Phase 2 Analyse Phase 3 Analyse des Phase 4 Validation

- Peut potentiellement entraîner un

Analyse Fuite d’eau

Situation de vie/Fonction/Critère Défaillance Initial Evolution Initial

Analyse des modes Essai Véhicule :

Que s’est-il passé pour chacun de ces systèmes?

Les systèmes qui nous entourent peuvent-ils également contenir les

Durée 5mn/Présentation 5mn/Présentation par groupe de travail

Que s’est-il passé pour chacun de ces systèmes :

Peut-on être sûr du fonctionnement des systèmes qui nous entourent?

Quel rôle doit tenir le qualiticien

Fort de ces réponses proposez une définition de la Sûreté de

Durée 5mn/Présentation 5mn/Présentation par groupe de travail

• Transport ferroviaire : recueils statistiques des pièces mécaniques

Introduction de la statistique : les années 30

Notions de fiabilité en électronique : les années 50

Evaluation des risques : les années 70

La sûreté de fonctionnement (SdF) est l'aptitude d'une entité à

La sûreté de fonctionnement regroupe quatre notions :

Le but de la sûreté de fonctionnement : mesurer la qualité de

Cette confiance justifiée s’obtient à travers une analyse

Cette approche se déroule en 7 phases :

Phase 1 : Définir les limites du système

Phase 1 : Définir les limites du système

Feuille de verre Rétroviseur

Phase 2 : Valider le besoin du système

A qui ça Sur quoi ça

Phase 2 : Valider le besoin du système

Phase 2 : Valider le besoin du système

Exercice : Faire la bête à cornes du système représenté ci-

Phase 2 : Valider le besoin du système

Phase 3 : Rechercher les situations de vie

Véhicule à l'arrêt Utilisation du Pare-brise

Véhicule en roulage Roulage normal

Phase 4 : Lister les environnants au système par situation de vie

Phase 5 : Rechercher les relations entre le système et ses

Phase 6 : Libeller ces fonctions

Le libellé des fonctions est constitué de la construction suivante :

Phases 5/6 : Rechercher les relations entre le système et ses

Exercice : Rechercher les fonctions principales et contraintes

Corrigé : Attention ! Il faut commencer par lister les situations

En situation d'écriture En situation Repos (Accroché ou posé)

Phase 7 : Caractériser ces fonctions

Phase 7 : Caractériser ces fonctions – Le tableau fonctionnel

Feuille de verre ext.

Feuille de verre int.

Embase DDP Colle

Identification des flux à l’intérieur du système

Feuille int.. Feuille ext.

Embase rétroviseur Embase DDP Conducteur

DE LA FONCTION GLOBALE A LA SOLUTION

Exercice : Réaliser le FAST du système ci-dessous.

Cette analyse se décompose en deux approches complémentaires :

Par mode de défaillance, on entend :

Cette première partie de l’APR correspond à la partie qualitative.

Performances générales du véhicule

Apparition de symptômes gênant ;