Assurance Et Disponibilité Des Systèmes: Licence 2

Licence 2 :
Assurance et disponibilité des

systèmes
Dr. H Boudhar
Département GIM
Assurance, Qualité et
Système
Système
• Un système peut être décrit comme un ensemble
d‘éléments en interaction entre eux et avec
l'environnement dont le comportement dépend :
– Des comportements individuels des éléments qui le
composent,
– Des règles d'interaction entre éléments (interfaces,
algorithmes, protocoles),
– De l'organisation topologique des éléments
(architectures).
• Dans un système, on distingue : les fonctions et la
structure (ou encore architecture matérielle
support).
Fonction du système
• Une fonction peut être définie comme l'action
d'une entité ou de l'un de ses composants
exprimée en terme de finalité.
– Fonction principale : raison d‘être d'un système (pour
un téléphone portable, la fonction principale est la
communication entre 2 entités) ;
– Fonctions secondaires : fonctions assurées en plus de
la fonction principale (sms, horloge, réveil, jeux . . . ) ;
– Fonctions de protection : moyens pour assurer la
sécurité des biens, des personnes et environnement ;
– Fonctions redondantes : plusieurs composants
assurent la même fonction.
Fonction du système
Structure du système
Cycle de développement
• Définition : les différentes phases par
lesquelles un système doit passer, avant sa
production.
• Le cycle de développement en V est composé de
deux blocs :
– Construction du système : la partie descendante du
cycle en V, où le système est graduellement
décomposé en ses divers sous-systèmes et modules
jusqu’au niveau composant.
– Vérification & Validation (V & V) du système : où les
composants une fois réalisés sont intégrés dans des
ensembles et des sous-systèmes graduellement plus
grands, jusqu’à ce que le système complet soit
construit.
• Analyse/Spécification :
Elle consiste dans la réalisation de l’analyse des
besoins et des spécifications.
Cette phase propose la définition :
– des fonctionnalités,
– des interfaces,
– des contraintes et des exigences du système,
– la préparation du plan qualité, du plan de validation,
– de l’étude de faisabilité,
– la définition du niveau de la fiabilité souhaité du
système.
• Conception :
Cette phase débute par la définition de
l’architecture du système, puis des sous
systèmes et de leur fonctionnement, du plan
de tests et d’essais et de l’analyse des risques
• Réalisation :
Elle consiste à passer du résultat de la
conception à un ensemble d’activités
d’industrialisation permettant la fabrication et
l’assemblage des composants.
• Vérification :
Dans cette phase tous les modules ou sous-
systèmes sont vérifiés, testés par rapport à la
conception. La vérification est
complémentaire avec l’assemblage des
modules et des sous-systèmes jusqu’au
système final.
• Validation :
C’est la validation du système final. Il s’agit
d’une validation fonctionnelle, une phase
importante, où sont constatées les
fonctionnalités et le niveau de qualité par
rapport aux spécification/analyse de besoins.
Définition
• La qualité : l'aptitude d'un produit ou d'un service à
satisfaire les exigences spécifiées.
• Un processus : ensemble d'activités corrélées ou
interactives qui transforme des éléments d'entrée en
éléments de sortie.
• Le management de la qualité : activités coordonnées
permettant d'orienter et de contrôler un organisme en
matière de qualité.
• L’assurance de la qualité : partie du management de la
qualité visant à donner confiance en ce que les exigences
pour la qualité seront satisfaites.
• Conformité : satisfaction d'une exigence. / Non-conformité
: non-satisfaction d'une exigence.
Modèle d’un système de management
de la qualité basé sur des processus
Sûreté de
fonctionnement (SdF)
Sûreté de fonctionnement
• Définition :
▪ la fiabilité, la disponibilité, la maintenabilité et la sécurité
[Fournier, 1993] ;
▪ la science des défaillances [Villemeur, 1988] ;
▪ la confiance justifiée dans le service délivré [Laprie et al.,
1995] ;
▪ le maintien de la qualité dans le temps [Mortureux, 2001].
• Peut être vue comme étant composée des trois éléments
suivants :
– Attributs : points de vue pour évaluer la sûreté de
fonctionnement ;
– Entraves : événements qui peuvent affecter la sûreté de
fonctionnement du système ;
– Moyens : moyens pour améliorer la sûreté de fonctionnement.
• Entraves :
– Faute : La cause de l'erreur (par exemple une faute de
développement logiciel).
– Erreur : La cause de la défaillance, en affectant une partie
de l‘état du système (par exemple, une variable erronée).
– Défaillance : Une défaillance est la cessation de l'aptitude
d'une entité à accomplir une fonction requise.
• L’évènement de défaillance est succédé par un état de panne, qui
peut être complète ou partielle.
• La défaillance peut être causée durant la conception, la
fabrication, l’utilisation ou même durant la maintenance.
– Panne : La panne est l'inaptitude d'une entité à accomplir
une mission. Une panne résulte toujours d'une défaillance.
• Type de défaillance :
– Ne pas affecter directement les fonctions du système
– affecter la disponibilité ou la sécurité.
4 catégories de défaillances selon la conséquence :
▪ Défaillance mineure : Défaillance qui nuit au bon fonctionnement d'un
système en causant un dommage négligeable au système ou à son
environnement sans présenter de risque pour l'homme.
▪ Défaillance significative : Défaillance qui nuit au bon fonctionnement sans
causer de dommage notable ni présenter de risque important pour l'homme.
▪ Défaillance critique : Défaillance qui entraîne la perte d'une (ou des)
fonction(s) essentielle(s) du système et cause des dommages importants au
système en ne présentant qu'un risque négligeable de mort ou de blessure
▪ Défaillance catastrophique : Défaillance qui occasionne la perte d'une (ou
des) fonction(s) essentielle(s) du système en causant des dommages
importants au système ou à son environnement et/ou entraîne la mort ou des
dommages corporels
• Mode de défaillance :
– Définition : Un mode de défaillance est l'effet par
lequel une défaillance est observée. Plus,
précisément, il s'agit d'un des états possibles d'une
entité en panne pour une fonction requise donnée.
– On classe généralement les modes de défaillance en 4
catégories
Mode de défaillance Explication
Fonctionnement prématuré Fonctionne alors que ce n'est pas
prévu à cet instant
Ne fonctionne pas au moment prévu ne démarre pas lors de la sollicitation
Ne s'arrête pas au moment prévu continue à fonctionner alors que ce
n'est pas prévu
Défaillance en fonctionnement
Caractéristiques de la défaillance
• Fonction de défaillance :
Probabilité F(t) que le système S soit défaillant, à
l’instant t dans des conditions données.
F(t)=P[S est défaillant à l’instant t]
• Taux de défaillance :
1. Un taux supposé constant : λ
2. Taux représentant une proportion de survivants
à l’instant t, tirée d’un échantillon : λ(t)
• Taux de défaillance et la courbe en baignoire :
• Taux de défaillance et la courbe en baignoire :
➢Période de jeunesse : elle concerne les défaillances
précoces dues à des problèmes de conception
(mauvais dimensionnement d’un composant,…) ou de
production (dérive d’un processus de fabrication);
➢Période utile : pouvant être plus ou moins importante
selon le type de matériel (plus pour l’électronique et
moins pour le mécanique), est caractéristique des
défaillance aléatoire;
➢Période d’usure ou vieillissement : correspond aux
défaillances dues à des phénomènes d’usure, de
vieillissement, etc.
• Fiabilité (Reliability en anglais) : Aptitude
d'un bien à accomplir une fonction requise
dans des conditions données pendant un
temps donné. (temps = distance parcourue)
• La fiabilité d'un équipement dépend de
nombreux facteurs :
• Maintenabilité (Maintainability en anglais) :
Dans les conditions d'utilisation données pour
lesquelles il a été conçu, la maintenabilité est
l’aptitude d'un bien à être maintenu ou rétabli
dans un état où il peut remplir une fonction
requise, lorsque la maintenance est accomplie
dans des conditions données, en utilisant des
procédures et des moyens prescrits.
• La maintenabilité d'un équipement dépend de
nombreux facteurs :
Facteurs liés à l’ Facteurs liés au Facteurs liés à la
EQUIPEMENT CONSTRUCTEUR MAINTENANCE
- documentation - conception - préparation et formation
- aptitude au démontage - qualité du service après- des
- facilité d'utilisation vente personnels
- facilité d'obtention des - moyens adéquats
pièces de rechange - études d'améliorations
- coût des pièces de (maintenance
rechange améliorative)
• Disponibilité (Availability en anglais) : Aptitude d'un
bien à être en état d'accomplir une fonction requise
dans des conditions données, à un instant donné ou
durant un intervalle de temps donné, en supposant
que la fourniture des moyens extérieurs nécessaires est
assurée.
Cette aptitude dépend de la combinaison de la
fiabilité, de la maintenabilité et de la logistique de
maintenance.
Les moyens extérieurs nécessaires autres que la
logistique de maintenance n'affectent pas la
disponibilité du bien
• La disponibilité d'un équipement dépend de
nombreux facteurs :
• La sécurité (Safety en anglais) : est l’aptitude
d’une entité à éviter de faire apparaître, dans
des conditions données, des événements
critiques ou catastrophiques.
• Attributs :
– Disponibilité ;
– Fiabilité ;
– Maintenabilité ;
– Sécurité ;
– Testabilité : le degré d'un composant ou d'un système à
fournir des informations sur son état et ses performances ;
– Diagnosticabilité : capacité d'un système a exhiber des
symptômes pour des situations d'erreur ;
– Survivabilité : capacité d'un système à continuer sa
mission après perturbation humaine ou
environnementale;
–…
Niveau de caractérisation FMD d’un
système
Propriétés Caractéristique FMD

Ensemble Toujours réparable Disponibilité
Module Réparable ou Maintenabilité et fiabilité
consommable
Composant Consommable, parfois Fiabilité
réparable
Caractéristiques de FMDS
• Fiabilité :
Probabilité R(t) que le système S accomplisse
ces fonctions, dans les conditions données
pendant l’intervalle de temps [0, t], sachant
que l’entité n’est pas en panne à l’instant 0.
R(t)=P[S non défaillant sur [0, t]]

• Maintenabilité :
Probabilité M(t) que le système S soit en état, à
l’instant t, d’accomplir ses fonctions, sachant que
l’entité était en panne à l’instant 0.
Autrement dit, que la maintenance accomplie dans
des conditions données, avec des procédures et
des moyens prescrits, soit achevée au temps t,
sachant que l’entité est défaillante au temps t = 0.
M(t)=P[S est réparé sur [0, t]]

j
• Disponibilité :
Probabilité A(t) que le système S soit en état, à
l’instant t, d’accomplir les fonctions requises
dans des conditions données.
A(t)=P[S non défaillant à l’instant t]

• Sécurité :
Probabilité S(t) que le système S ne laisse pas
apparaître dans des conditions données, des
événements critiques ou catastrophiques.
S(t)=P[S évite des événements critiques ou

catastrophiques sur [0, t]]
Relation entre défaillance et fiabilité
• Fiabilité : R(t) = probabilité que l'entité ne soit pas
défaillante dans l'intervalle de temps [0,t];
• Défaillance : F(t) = probabilité que l'entité soit
défaillante à l’instant t;
• F(t) = 1-R(t);
Grandeurs caractéristiques de FMD
• MTTF (mean time to [first] failure) : temps
moyen avant première défaillance;
temps cumulés de fonctionnement jusqu' à la 1ère défaillance
MTTF 
nombre de première défaillance
• MTBF (mean time between failure) : temps

moyen entre deux défaillances successives ;
temps cumulés d' exploitation après la 1ère défaillance
MTBF 
nombre total de défaillance après la 1ère
• MUT (mean up time) : temps moyen de
disponibilité ;
temps cumulés de fonctionnement après la 1ère défaillance
MUT 
nombre d' intervalles entre 2 défaillances successives
• MDT ou MTI (mean down time) : temps moyen
d’indisponibilité ou temps moyen d’arrêt propre ;
temps cumulés d' arrêts
MDT 
nombre total de défaillance après la 1ère
• MTTR (mean time to repair) : temps moyen de
réparation.
• Dans les systèmes réparables, MTTF est un
indicateur de qualité. Le premier TTF est à
intégrer à la collecte des TBF.
• Dans les systèmes « monocoup » ou non
réparables : MTTF = MTBF.
• MTI est important en gestion de la maintenance,
pour estimer les coûts indirects d’indisponibilité.
• MDT << MUT, il y a quasi-identité entre MUT et
MTBF
• Indicateurs de fiabilité :
– MTTF : moyenne des temps de bon
fonctionnement jusqu’à la première défaillance,
dont la date d’arrivée est peu significative de la
suite.
– MTBF : calculée à partir d’une moyenne
statistique d’un échantillon de n durées TBF.
 TBF 
MTBF  i
N
• Indicateurs de fiabilité :
– MTBF : calculée à partir de l’espérance
mathématique de la variable aléatoire TBF en
utilisant une loi de probabilité R(t) ajustée à un
échantillon de n valeurs de TBF relevées.

MTBF   R(t ) dt
0
• Indicateurs de maintenabilité :
MTTR : est l’indicateur de maintenabilité.
– calculée à partir d’une moyenne statistique d’un
échantillon de n durées TTR
 TTR 
MTTR  i
N
– calculée à partir de l’espérance mathématique de
la variable aléatoire TTR en utilisant une loi de
probabilité M(t) ajustée à un échantillon de n
valeurs de TTR relevées. 
MTTR   [1  M (t )] dt
0
• Indicateurs de disponibilité :
MTBF
D 1
MTBF  MTTR
MUT
D 1
MTBF
• Les moyens :
Définition : Les moyens sont des solutions éprouvées pour casser les
enchaînements (Faute, Erreur, Défaillance) et donc améliorer la fiabilité du
système.
 la prévention de faute : consiste à éviter des fautes qui auraient pu être
introduites pendant le développement du système. Cela peut être accompli en
utilisant des méthodologies de développement et de bonnes techniques
d'implantation.
 L‘élimination de faute : peut être divisée en 2 catégories :
 Pendant la phase de développement : en utilisant des techniques de vérification
avancées de façon à détecter les fautes et les enlever avant envoi a la production ;
 Pendant l'utilisation : il faut tenir à jour les défaillances rencontrées et les retirer pendant
les cycles de maintenance.
 La prévision de faute : consiste a anticiper les fautes (de manière qualitative
ou probabiliste) et leur impact sur le système.
 La tolérance aux fautes : consiste à mettre en place des mécanismes qui
maintiennent le service fourni par le système, même en présence de fautes.
On accepte dans ce cas un fonctionnement dégradé.
• Les moyens :
La tolérance aux fautes repose sur l'utilisation de mécanismes de
redondance, l'idée est de réaliser la même fonction par des moyens
différents. On distingue plusieurs types de redondance :
– Redondance homogène : on réplique plusieurs composants identiques
– Redondance avec dissemblance : les sous-systèmes réalisent les
mêmes fonctions mais sont différents (par exemple, plusieurs équipes
de conception, matériel différent).
– Redondance froide : les composants sont actives quand ceux déjà
actifs tombent en panne.
– Redondance chaude : les composants tournent en parallèle et
politique de prise de main.
– Redondance tiède : les composants tourner au ralenti avant de
prendre la main.
• Sécurité vs Fiabilité (Conséquence de la défaillance) :
Si la défaillance de l’entité est susceptible de produire
un danger, alors on parle de défaillance dangereuse,
dans le cas contraire, on parle de défaillance « sûre ».
La sécurité étant l’absence de danger, la probabilité de
défaillance sûre peut donc être considérée comme
caractérisant la sécurité de l’entité. Ainsi, la sécurité
peut être considérée comme la partie de la fiabilité
relative aux défaillances sûres. En pratique, on
s’attachera plutôt à identifier exhaustivement et à
évaluer les défaillances dangereuses.
• Sécurité vs Maintenabilité :
Une meilleure maintenabilité est un gage à une meilleure sécurité. Généralement,
les équipements de sécurité sont conçus avec une bonne fiabilité et avec des
capacités de tolérance aux fautes par recours à des redondances. Souvent, on
retrouve des architectures « 2 parmi 3 » permettant de reconfigurer vers un état
relativement moins sûr afin d’assurer un mode dégradé en cas de défaillance ou
panne du composant principal. La restauration du mode nominal dépend de la
maintenabilité de ce composant. Ainsi le concept d’intégrité de sécurité en
sécurité fonctionnelle s’apparente à la disponibilité de la fonction sécurité et est
donc largement tributaire de la maintenabilité.
Par ailleurs, dans un système de production, les procédures de maintenance se
déroulent parfois avec précipitation sous l’influence du facteur de disponibilité ;
ceci amène à shunter certaines consignes de sécurité et par conséquent prendre
délibérément un risque inutile !
Il convient donc de veiller, dans le cadre du Système de Management de la
Sécurité, sur le respect des procédures de sécurité de telle sorte que toute
transgression soit réprimée.
• Sécurité vs Disponibilité :
La sécurité et la disponibilité sont deux concepts souvent difficiles à concilier. En
effet, comme il est impossible de garantir une probabilité nulle pour les
défaillances dangereuses, on s’efforce de les détecter au plus vite et d’enclencher
les moyens visant à empêcher leur propagation. Souvent, ces moyens ont pour
effet de réduire la disponibilité de la fonction assurée, voir de l’interrompre (par
principe de précaution par exemple).
Dans certains domaines tels que les transports guidés, l’application du principe de
sécurité « Vision zéro » oppose très souvent les équipes de sécurité et
d’exploitation. La première cherchant à éviter le moindre risque, l’autre ayant pour
vocation d’éviter les retards provoquant une concentration de masses de
voyageurs sur les quais, ce qui peut être à l’origine de mouvements de foules, ou
de panique, pouvant causer la chute de passagers sur la voie.
Certes, le concept de sécurité ne prime pas d’une manière triviale sur la
disponibilité mais il est plutôt perçu comme une approbation ou un gage à une «
disponibilité » optimale (respectant la contrainte sécuritaire) et non pas maximale.
Maintenance
Maintenabilité et maintenance
• La maintenabilité est une caractéristique du
système et est définie en terme de
probabilité.
• La maintenance est une action réalisée par les
techniciens de maintenance sur le système
pour le remettre en état.
Maintenance
• Maintenance : l’ensemble de toutes les
actions techniques, administratives et de
management durant le cycle de vie d’un bien,
destinées à le maintenir ou à le rétablir dans
un état dans lequel il peut accomplir la
fonction requise
Stratégies de maintenance
• La maintenance préventive : exécutée à des
intervalles prédéterminés ou selon des critères
prescrits et destinée à réduire la probabilité de
défaillance ou la dégradation du fonctionnement
d'un bien.
"elle sert principalement à éviter les pannes".
• La maintenance corrective : exécutée après
détection d'une panne et destinée à remettre un
bien dans un état dans lequel il peut accomplir
une fonction requise.
• La maintenance corrective peut être réalisée
sous deux formes :
➢Maintenance palliative : il s’agit de réparations
qui servent à remettre le système en état
provisoire de marche.
➢Maintenance curative : il s’agit de réparations
complètes qui servent à remettre le système à son
état initial.
• La maintenance préventive peut être réalisée sous trois
formes :
➢ Maintenance systématique : Maintenance préventive
exécutée à des intervalles de temps préétablis ou selon un
nombre défini d'unités d'usage mais sans contrôle
préalable de l‘état du bien.
➢ Maintenance conditionnelle : Maintenance préventive
basée sur une surveillance du fonctionnement du bien
et/ou des paramètres significatifs de ce fonctionnement
intégrant les actions qui en découlent.
➢ Maintenance prévisionnelle : Maintenance conditionnelle
exécutée en suivant les prévisions extrapolées de l'analyse
et de l’évaluation de paramètres significatifs de la
dégradation du bien.
Aspect économique du choix d’un « niveau de préventif »

Amélioration de la SdF
Méthodes d’analyse
• Méthodes d'analyse : Des méthodes
d’abstraction du système sous forme d’un modèle
relatif à une caractéristique de sûreté de
fonctionnement (fiabilité, disponibilité,
maintenabilité, sécurité). Les éléments de ce
modèle seront des événements susceptibles de
se produire dans le système et son
environnement, tels que :
– Des défaillances et des pannes des composants du
système,
– Des événements lies à l'environnement,
– Des erreurs humaines en phase d'exploitation.
Sûreté de fonctionnement (Méthodes
d’analyse)
Démarches/Méthodes Inductive/Déductive Quantitative/Qualitative Objectifs visés
Analyse préliminaire de Inductive Qualitative Repérer a priori les

risques (APR) risques à étudier
Analyse des modes de Inductive Qualitative Recenser les
défaillance et de leurs conséquences des
effets (AMDE) défaillances
Analyse des modes de Inductive Quantitative Évaluer les conséquences
défaillance, de leurs Des défaillances
effets et de leurs criticités
(AMDEC)
Arbre de causes Déductive Qualitative Organiser les éléments
ayant contribué à un
accident
Arbre d’événement Inductive Quantitative Évaluer les conséquences
possibles d’un événement
Arbre de défaillances Déductive Quantitative Évaluer les scénarios d’un
accident potentiel
Graphes d’état Inductive Quantitative Évaluer les états possibles
d’un système réparable
Inductives : Causes pour en déduire les conséquences, Déductives : Conséquences pour remonter aux Causes,
AMDE(C)
• AMDE :
– Analyse des Modes de Défaillances et de leurs Effets
(AMDE) : est l’une des premières méthodes
systématiques permettant d'analyser les défaillances.
– Elle a été développée par l'armée américaine.
▪ Quand : Elle se fait en phase initiale de développement.
▪ But : les objectifs sont
➢ identifier les modes de défaillances des différentes parties du
système,
➢ Evaluer les effets de chaque mode de défaillance des composants
sur les fonctions du système,
AMDE(C)
• AMDEC :
– Analyse des Modes de Défaillances et de leurs Effets et
de leur Criticité (AMDEC) : est une méthode d’analyse
prévisionnelle de la fiabilité qui permet de recenser
systématiquement les défaillances potentielles d’un
dispositif puis d’estimer les risques liés à l’apparition de
ces défaillances, afin d’engager les actions correctives à
apporter au dispositif.
– Elle reprend les principales étapes de l’AMDE et ajoute une
évaluation quantitative de la criticité.
– Si l’évaluation de criticité est difficile on utilise uniquement
l’AMDE.
▪ But : AMDE + Evaluation de la criticité de défaillance
AMDE(C)
• AMDEC : Il existe plusieurs types d’AMDEC :
– AMDEC Produit,
– AMDEC Processus,
– AMDEC Moyen de production,
– AMDEC Organisation,
– AMDEC Service,
– AMDEC Sécurité.
AMDE(C)
• AMDEC Produit : L’AMDEC-Produit est utilisée
pour l’aide à la validation des études de définition
d’un nouveau produit fabriqué par l’entreprise.
Elle est mise en œuvre pour évaluer les défauts
potentiels du nouveau produit et leurs causes.
Cette évaluation de tous les défauts possibles
permettra d’y remédier, après hiérarchisation,
par la mise en place d’actions correctives sur la
conception et préventives sur l’industrialisation.
AMDE(C)
• AMDEC Processus : L’AMDEC-Processus est utilisée pour
étudier les défauts potentiels d’un produit nouveau ou non,
engendrés par le processus de fabrication.
Elle est mise en œuvre pour évaluer et hiérarchiser les
défauts potentiels d’un produit dont les causes proviennent
de son processus de fabrication.
S’il s’agit d’un nouveau procédé, l’AMDEC-Processus en
permettra l’optimisation, en visant la suppression des
causes de défaut pouvant agir négativement sur le produit.
S’il s’agit d’un procédé existant, l’AMDEC-Processus en
permettra l’amélioration.
AMDE(C)
• AMDEC Moyen de production :
L’AMDEC - Moyen de production, plus souvent appelée AMDEC-Moyen,
permet de réaliser l’étude du moyen de production lors de sa conception
ou pendant sa phase d’exploitation.
À la conception du moyen de production, la réalisation d’une AMDEC
permet de faire le recensement et l’analyse des risques potentiels de
défaillance qui auraient pour conséquence d’altérer la performance
globale du dispositif de production, l’altération de performance pouvant
se mesurer par une disponibilité faible du moyen de production.
Dans ce cas de figure, l’analyse est conduite sur la base des plans et/ou
prototypes du moyen de production.
L’objectif est généralement ici de :
— modifier la conception ;
— lister les pièces de rechange ;
— prévoir la maintenance préventive.
AMDE(C)
• AMDEC Moyen de production :
Pour un moyen de production en cours d’exploitation, la
réalisation d’une AMDEC permet l’analyse des causes réelles de
défaillance ayant pour conséquence l’altération de la performance
du dispositif de production. Cette altération de performance se
mesure par une disponibilité faible du moyen de production.
Dans ce cas de figure, l’analyse est conduite sur le site, avec des
récapitulatifs des pannes, les plans, les schémas, etc.
L’objectif est généralement ici de :
— connaître l’existant ;
— améliorer ;
— optimiser la maintenance (gamme, procédures, etc.) ;
— optimiser la conduite (procédures, modes dégradés, etc.).
AMDE(C)
• Danger : désigne une nuisance potentielle
pouvant porter atteinte aux biens
(détérioration ou destruction), à
l’environnement, ou aux personnes.
• Risque : Combinaison de la probabilité
d’occurrence d’un dommage et de sa gravité.
AMDE(C)
• Cause de défaillance : Une cause de défaillance est l’événement
initial pouvant conduire à la défaillance d’un dispositif par
l’intermédiaire de son mode de défaillance. Plusieurs causes
peuvent être associées à un même mode de défaillance. Une même
cause peut provoquer plusieurs modes de défaillance.
• Effet de la défaillance : L’effet d’une défaillance est, par définition,
une conséquence subie par l’utilisateur. Il est associé au couple
(mode-cause de défaillance) et correspond à la perception finale de
la défaillance par l’utilisateur.
• Mode de défaillance : Un mode de défaillance est la manière par
laquelle un dispositif peut venir à être défaillant, c’est-à-dire à ne
plus remplir sa fonction. Le mode de défaillance est toujours relatif
à la fonction du dispositif. Il s’exprime toujours en termes
physiques.
détérioration
Grippage Corrosion
d’équipement
Mode Cause
Effet
AMDE(C)
• Mode de détection : Une cause de défaillance
étant supposée apparue, le mode de
détection est la manière par laquelle un
utilisateur (opérateur et/ou mainteneur) est
susceptible de détecter sa présence avant que
le mode de défaillance ne se soit produit
complètement, c’est-à-dire bien avant que
l’effet de la défaillance ne puisse se produire.
AMDE(C)
• Criticité : La criticité est une évaluation quantitative du
risque constitué par le scénario (mode-cause-effet-
détection) de défaillance analysé. La criticité est
évaluée à partir de la combinaison de trois facteurs :
– la fréquence d’apparition du couple mode-cause ;
– la gravité de l’effet ;
– la possibilité d’utiliser les signes de détection.
Exemple : une défaillance critique est une défaillance
dont l’apparition du couple mode-cause est très
fréquente, dont la gravité de l’effet est grande et dont il
n’existe pas de moyen pour la détecter avant
l’apparition de l’effet.
AMDE(C)
Construction de l’équipe de
La recherche et la prise travail
d’actions
préventives/correctives
Analyse fonctionnelle
Réévaluation de la criticité
L’étude qualitative/
quantitative :
Suivi Causes-modes-effets de
défaillance et évaluation de
Présentation des résultats la criticité
La hiérarchisation par
criticité
AMDE(C)
• Groupe de travail :
un groupe de travail pluridisciplinaire est constitué par le demandeur et il
est composé des personnes responsables et concernées pouvant apporter
des informations nécessaires à l’analyse, grâce à leurs connaissances
techniques ou à leurs expériences sur des moyens similaires.
Le groupe de travail comprend :
— un représentant du service procédant à l’investissement du
moyen de production ;
— le concepteur du moyen étudié ;
— un utilisateur futur du moyen étudié ;
— un mainteneur futur du moyen étudié.
Le groupe peut réunit aussi :
— un spécialiste ou expert d’un sujet traité ponctuellement ;
— les services Qualité, Fiabilité, Sécurité, Essais, Achats.
AMDE(C)
• Analyse fonctionnelle :
Le but de l’analyse fonctionnelle est de
déterminer d’une manière assez complète les
fonctions principales d’un produit, les fonctions
contraintes et les fonctions élémentaires.
fonctions contraintes : répondent aux
interrelations avec le milieu extérieur.
fonctions élémentaires : assurent les fonctions
principales, ce sont les fonctions des différents
composants élémentaires du système
AMDE(C)
• Analyse fonctionnelle : pour réaliser une analyse
fonctionnelle, il faut passer par trois étapes principales :
1. Définir le besoin à satisfaire : cela consiste à décrire le besoin et la
façon dont il satisfait et comment il risque de ne pas être satisfait.
2. Définir les fonctions qui correspondent au besoin. Ainsi, répondre à
la question à quoi sa sert ? Ceci pour chaque fonction.
3. Etablir l’arbre fonctionnel afin de visualiser l’analyse fonctionnelle.
Les fonctions principales comportent des sous fonctions ou résultent
d’un ensemble de fonctions élémentaires
AMDE(C)
• L’étude qualitative/quantitative (Causes-
modes-effets de défaillance et évaluation de
la criticité) :
L’évaluation des risques potentiels est réalisée
en calculant la criticité, à partir de l’estimation
des indices de fréquence, de gravité et de
non-détection.
AMDE(C)
• Indice de fréquence (F) : relatif à la fréquence
d’apparition de la défaillance. Cette fréquence
exprime la probabilité combinée d’apparition
du mode de défaillance par l’apparition de la
cause de la défaillance. L’indice F est
déterminé à partir du barème de cotation
AMDE(C)
• Indice de fréquence (F) :
Valeurs de F Fréquence d’apparition de la défaillance
1 Défaillance pratiquement inexistante sur des installations similaires en
exploitation, au plus un défaut sur la durée de vie de l’installation.
2 Défaillance rarement apparue sur du matériel similaire existant en
exploitation (exemple : un défaut par an) ou
Composant d’une technologie nouvelle pour lequel toutes les conditions
sont théoriquement réunies pour prévenir la défaillance, mais il n’y a pas
d’expérience sur du matériel similaire.
3 Défaillance occasionnellement apparue sur du matériel similaire existant en
exploitation (exemple : un défaut par trimestre).
4 Défaillance fréquemment apparue sur un composant connu ou sur du
matériel similaire existant en exploitation (exemple : un défaut par mois) ou
Composant d’une technologie nouvelle pour lequel toutes les conditions ne
sont pas réunies pour prévenir la défaillance, et il n’y a pas d’expérience sur
du matériel similaire.
AMDE(C)
• Indice de gravité (G) : relatif aux
conséquences provoquées par l’apparition du
mode de défaillance. L’indice sanctionne
uniquement l’effet le plus grave produit par le
mode de défaillance, même lorsque plusieurs
effets ont été identifiés. L’indice G est
déterminé à partir du barème de cotation
AMDE(C)
• Indice de gravité (G) :
Valeurs de G Gravité de la défaillance
1 Défaillance mineure : aucune dégradation notable du matériel (exemple :
TI≤ 10 min).
2 Défaillance moyenne : nécessitant une remise en état de courte durée
(exemple 10 min < TI≤30 min).
3 Défaillance majeure : nécessitant une intervention de longue durée
(exemple 30 min < TI ≤90 min)
ou
Non-conformité du produit, constatée et corrigée par l’utilisateur du moyen
de production.
TI : temps d’intervention
AMDE(C)
• Indice de gravité (G) :
4 Défaillance catastrophique : très critique nécessitant une grande
intervention (exemple TI > 90 min)
ou
Non-conformité du produit, constatée par un client aval (interne à
l’entreprise)
ou
Dommage matériel important (sécurité des biens).
5 Sécurité/Qualité : accident pouvant provoquer des problèmes de sécurité
des personnes, lors du dysfonctionnement ou lors de l’intervention
ou
Non-conformité du produit envoyé en clientèle.
TI : temps d’intervention
AMDE(C)
• Indice de non-détection (D) : relatif à la
possibilité de détecter la défaillance (couple
mode de défaillance - cause) avant qu’elle ne
produise l’effet. L’indice D est déterminé à
partir du barème de cotation.
AMDE(C)
• Indice de non-détection (D) :
Valeurs de D Non-détection de la défaillance
1 Les dispositions prises assurent une détection totale de la cause initiale ou
du mode de défaillance, permettant ainsi d’éviter l’effet le plus grave
provoqué par la défaillance pendant la production.
2 Il existe un signe avant-coureur de la défaillance mais il y a risque que ce
signe ne soit pas perçu par l’opérateur. La détection est exploitable.
3 La cause et/ou le mode de défaillance sont difficilement décelables ou les
éléments de détection sont peu exploitables. La détection est faible.
4 Rien ne permet de détecter la défaillance avant que l’effet ne se produise : il
s’agit du cas sans détection.
AMDE(C)
• Indice de criticité (C) : qui permettra de hiérarchiser les
défaillances et de recenser celles dont le niveau de criticité
est supérieur à une limite constante et caractéristique du
dispositif considéré. Il peut être contractuellement imposé.
Le seuil de criticité varie en fonction des objectifs de
fiabilité ou des technologies traitées.
C=F×G×D
Exemple : La norme CNOMO E41.50.530.N fait référence aux seuils
de criticité suivants :
– 12, lorsque les objectifs de fiabilité sont sévères ;
– 16, cas le plus souvent utilisé pour les organes mécaniques ;
– 24, sur des composants électriques ou électroniques, où l’indice
de non-détection est presque toujours égal à 4.
AMDE(C)
• La recherche et la prise d’actions
préventives/correctives :
1. Fixation de limite d’acceptation pour la criticité.
2. La diminution de la criticité peut être obtenue :
• Par la mise en œuvre de modifications ou d’améliorations de la
conception de l’installation, qui permettront :
– Soit de rendre le moyen de production plus fiable (diminuer la fréquence
d’apparition de l’aléa F),
– Soit de rendre le moyen de production plus maintenable (diminuer le
temps d’immobilisation TI par la réduction des effets des défaillances) ;
• Par la mise en œuvre de dispositions organisationnelles
concernant la maintenance ou la conduite de l’installation
(exemple : définir la gamme de maintenance préventive, écrire les
modes opératoires de réglage, mettre en stock des pièces de
rechange, etc.).
AMDE(C)
• La recherche et la prise d’actions
préventives/correctives :
– Le choix du type d’action corrective à mettre en place
doit être guidé par le critère le plus pénalisant dans la
note de criticité C=F×G×D.
– Le but est de réduire au mieux les indices F, G et D.
– Si aucune action corrective ne peut permettre de
ramener l’indice F (G) au-dessous de 4, le groupe de
travail devra définir une action visant à maintenir ou à
ramener les deux autres critères "G et D" ("F et D") à
une valeur égale à 1
AMDE(C)
• Réévaluation de la criticité :
– Actions correctives=> Nouveaux Indices (F’, G’ et D’).
• Indice F’ : l’amélioration de la note de fréquence F s’obtient par une
action sur la fiabilité du composant analysé ou sur les conditions
d’utilisation ou par une action de maintenance préventive
systématique, etc.
• Indice G’ : l’amélioration de la note de gravité G s’obtient par une
action sur la maintenabilité ou sur l’aptitude à diagnostiquer et à
réparer plus rapidement. Cela peut entraîner des modifications de
conception (suivi de la qualité produite, confinement des risques,
etc.).
• Indice D’ : l’amélioration de la note de non-détection D s’obtient en
agissant sur la validation de la conception (calculs, essais, etc.), et/ou
sur une aide à la supervision, par une maintenance préventive.
– Indice C’=F’×G’×D’, qui permettra de quantifier le progrès
réalisé.
AMDE(C)
• Présentation des résultats :
Système Criticité Actions Criticité
Sous-système Indices correctives Indices finaux
nominaux
Composant
Fonction
défaillance
Mode de
Causes
Effets
Détection
Actions
Délai
Resp./
TI F G D C TI’ F’ G’ D’ C’
D’après la norme CNOMO E41.50.530.N Édition juin 1994

AMDE(C)
• Limitations :
– La qualité d’une AMDEC dépend complètement de la
qualité des études réalisées en amont et, en particulier, de
l’analyse fonctionnelle. Elle dépend également de la
qualité de la communication à l’intérieur du groupe de
travail ;
– Par principe, l’analyse des modes de défaillance tend vers
l’exhaustivité, c’est pourquoi il est important de bien
préciser les limites de l’étude ;
– Lourdeur de la méthode : Volume de la documentation
nécessaire ; Le temps passé à l’analyse (compter une
journée d’analyse pour un dispositif comprenant entre 10
et 15 composants et/ou organes) ;
AMDE(C)
• Limitations :
– Il faut remarquer la difficulté ou même
l’impossibilité de prendre en compte les
phénomènes combinatoires ou dynamiques ou les
pannes multiples. D’autres méthodes sont alors
plus adaptées;
– L’AMDEC est par nature mieux adaptée aux
dispositifs mécaniques et analogiques qu’aux
systèmes numériques ;
AMDE(C)
• Limitations :
– L’AMDEC est essentiellement destinée à l’analyse des
modes de défaillance d’entités matérielles
(mécanique, électrique, pneumatique, hydraulique,
etc.). La méthode est plus délicate de mise en œuvre
dans le cadre d’études de système logiciel, celui-ci ne
pouvant être traité comme un composant ou un
ensemble de composants ;
– Pour garantir l’exhaustivité de l’AMDEC, il est
nécessaire d’envisager l’ensemble des modes de
défaillance et de ne pas en ignorer certains sous
prétexte que leur probabilité d’apparition est
négligeable.
AMDE(C)
• AMDEC exemple : Dispositif de positionnement d’une
source de chaleur
Ce système permet de positionner la source de chaleur
située au-dessus du produit fabriqué qui, lui-même, circule
sur un convoyeur à bande.
Le principe de fonctionnement est le suivant : lorsque le
vérin est commandé à la sortie, il entraîne les leviers 1 et 2,
solidaires entre eux de l’axe 1. Ces leviers sont articulés
autour des deux axes (l’un est situé au niveau de la rotule
du vérin, l’autre est repéré axe 1). Le levier 2 est solidaire
de la source de chaleur rayonnante. La sortie de la tige du
vérin entraîne donc une rotation de la source de chaleur
rayonnante autour de l’axe 1 via le levier 2.
AMDE(C)
• AMDEC exemple : Dispositif de
positionnement d’une source de chaleur
AMDE(C)
source de chaleur
La rentrée de la tige du vérin provoque les mouvements
inverses ; la source de chaleur a alors opéré une rotation
autour de l’axe 1, via le levier 2. Le rayonnement de chaleur
n’est plus localisé au-dessus du produit.
Les relevés de panne de la machine à laquelle appartient ce
système montrent que ce dernier est responsable de 40 %
du temps d’indisponibilité totale de la ligne. Cependant
aucune information précise ne permet de connaître
précisément les causes des dysfonctionnements. Il est alors
décidé de réaliser une AMDEC sur ce système.
AMDE(C)
source de chaleur
– Étape 1 : préparation de l’analyse
L’analyse AMDEC a été effectuée en groupe de travail
comprenant : un animateur, un technicien de
maintenance, un technicien méthode processus, un
technicien qualité, deux opérateurs de production.
Deux réunions de travail (d’une durée unitaire de 4 h) ont
été nécessaires pour réaliser l’analyse. La première
réunion comprenait la formation des membres du groupe,
la validation de l’analyse fonctionnelle ainsi que la mise au
point du barème de cotation
AMDE(C)
• AMDEC exemple : Dispositif de positionnement d’une source de chaleur
– Étape 2 : analyse
La préparation de l’analyse doit permettre de cerner le périmètre de
l’étude et de déterminer les objectifs associés à l’analyse.
Dans ce cas, l’étude sera limitée au mécanisme d’articulation de la source
de chaleur.
Les objectifs sont l’identification des causes de dysfonctionnement et la
détermination d’actions correctives visant à éradiquer les
dysfonctionnements connus.
– Fonctions de service
• F1 : positionner/articuler le four
– Fonctions techniques de conception :
• FT1 : aligner automatiquement le vérin
• FT2 : assembler le vérin au levier 1
• FT3 : assembler le levier 1 et le levier 2
• FT4 : guider la rotation de la source de chaleur
• FT5 : maintenir le système
AMDE(C)
Composants Fonctions de service Fonctions techniques de conception
F1 FT1 FT2 FT3 FT4 FT5
Vérin × × × ×
Chape arrière ×
Rotule avant × × ×
Levier 1 × × ×
Levier 2 × ×
Axe 1 × × ×
Plaque support ×
Bâti ×
AMDE(C)
Valeurs de F Fréquence d’apparition de la défaillance
1 Défaillance pratiquement inexistante La fréquence du défaut est supérieure à un an.
2 Défaillance rarement apparue sur ce matériel ou sur matériel similaire existant en exploitation
La fréquence du défaut est comprise entre trois mois et un an.
3 Défaillance occasionnellement apparue sur ce matériel ou sur du matériel similaire existant en
exploitation La fréquence du défaut est comprise entre un mois et trois
mois.
4 Défaillance fréquemment apparue sur un composant connu ou sur du matériel similaire existant
en exploitation La fréquence du défaut est inférieure à un mois.
AMDE(C)
1 Défaillance mineure, aucune dégradation notable du matériel. Temps d’intervention inférieur à

30 min
2 Défaillance moyenne nécessitant une remise en état de courte durée. Temps d’intervention
compris entre 30 min et 1 h
3 Défaillance majeure nécessitant une intervention de longue durée. Temps d’intervention compris
entre 1 et 4 h
4 Défaillance catastrophique nécessitant une grande intervention. Temps d’intervention supérieur
à4h
5 Sécurité/Qualité. Accident pouvant provoquer des problèmes de sécurité des personnes, en
dysfonctionnement ou en intervention ou non-conformité du produit envoyé en Clientèle
AMDE(C)
Valeurs de D Non-détection de la défaillance
1 Les dispositions prises assurent une détection totale de la cause initiale ou
du mode de défaillance, permettant ainsi d’éviter l’effet le plus grave
provoqué par la défaillance pendant la production.
2 Il existe un signe avant-coureur de la défaillance mais il y a risque que ce
signe ne soit pas perçu par l’opérateur. La détection est exploitable.
3 La cause et/ou le mode de défaillance sont difficilement décelables ou les
éléments de détection sont peu exploitables. La détection est faible.
4 Rien ne permet de détecter la défaillance avant que l’effet ne se produise : il
s’agit du cas sans détection.
AMDE(C)
CM – Action du client concernant les dispositions de maintenance du moyen.

AMDE(C)
• AMDEC exemple : Dispositif de positionnement d’une source de chaleur
– Étape 3 : synthèse
La synthèse de l’analyse a mis en évidence l’origine du problème : c’est la
chaleur transmise par convection sur les différents composants du système qui
produit le grippage de tous les composants intervenant dans les articulations.
Le nombre de scénarios de défaillance identifié est de 23, dont 15 avec un
niveau de criticité supérieur à 12 en première cotation. Les actions projetées
visent deux objectifs :
• La mise à niveau du plan de maintenance préventive de l’équipement (graissage, contrôle,
changement périodique) ;
• La fiabilisation de l’équipement en remplaçant les matériaux conducteurs de la chaleur par des
isolants thermiques conservant de bonnes caractéristiques mécaniques (cisaillement en
particulier).
La seconde cotation après application des mesures correctives laisse envisager
qu’aucun scénario de défaillance ne dépassera 16 en criticité.
Diagramme de fiabilité
• En pratique, on a rarement affaire à un seul
composant
• La fiabilité des systèmes concerne l’ensemble des
composants constituant un système (mécanique,
électronique, informatique,...)
• Si système à composant unique, alors la
défaillance du composant ⇒défaillance du
système
• Si système multi-composants, la défaillance du
système survient à la suite de défaillances de
sous-ensembles de composants bien définis!
• Fonction de structure et schéma bloc :
l’évaluation quantitative/qualitative de la
fiabilité s’appuie sur une représentation du
système sous forme d’une fonction de
structure ou d’un schéma
• Fonction de structure :
– Soit un système binaire à n composants C={1,2,…,n} .
– A chaque composant, on associe une variable xi à
valeurs dans {0,1}
1 𝑠𝑖 𝑙𝑒 𝑐𝑜𝑚𝑝𝑜𝑠𝑎𝑛𝑡 𝑒𝑠𝑡 𝑒𝑛 𝑏𝑜𝑛 é𝑡𝑎𝑡
𝑥𝑖 =
0 𝑠𝑖 𝑙𝑒 𝑐𝑜𝑚𝑝𝑜𝑠𝑎𝑛𝑡 𝑒𝑠𝑡 𝑒𝑛 𝑝𝑎𝑛𝑛𝑒
– Vecteur x=(x1,x2,…,xn) {0,1}n décrit conjointement les
états des composants
– On introduit une fonction ϕ(x) à valeur dans {0,1}
décrit l’état du système de façon binaire
• ϕ(x) 1 𝑠𝑖 𝑙𝑒 𝑠𝑦𝑠𝑡è𝑚𝑒 𝑥 𝑒𝑠𝑡 𝑒𝑛 𝑏𝑜𝑛 é𝑡𝑎𝑡
𝜑(𝑥) =
0 𝑠𝑖 𝑙𝑒 𝑠𝑦𝑠𝑡è𝑚𝑒 𝑥 𝑒𝑠𝑡 𝑒𝑛 𝑝𝑎𝑛𝑛𝑒
• On peut munir l’ensemble {0,1}n des opérations d’addition
(∔) et de multiplication (·) définies comme suit :
• Pour deux variables binaires :
– Addition (∔), correspond à l’union des événements (U):
x1 ∔x2=x1+x2-x1x2
– Multiplication (·) , correspond à l’intersection des événements
(∩):
x1·x2=x1x2
– Propriétés de distributivité, commutativité et associativité.
• Pour deux vecteurs x et y :
– Addition de vecteurs : x ∔y=(x1 ∔y1,…, xn ∔yn)
– Multiplication de vecteurs : x·y=(x1·y1,…, xn·yn)
• Exemple :
– Système de freinage d’un véhicule freins avant,
freins arrière.
– Si freins arrière en panne ⇒on peut toujours
freiner
– Si les 2 freins (avant & arrière) en panne ⇒on ne
peut plus freiner ⇒système de freinage est
déclaré en panne
• Exemple :
– Soit x1 la fonction indicatrice des freins avant & x2
celle des freins arrière ⇒Le système de freinage
peut être décrit par la fonction de structure
– ϕ(x)= 1-(1- x1)(1- x2)= x1 ∔x2=max(x1 , x2)
x1 x2 ϕ(x)
0 0 0
0 1 1
1 0 1
1 1 1
• schéma bloc fonctionnel :
– Le système est représenté par des blocs agencés par
rapport au fonctionnement global (i.e., l’aspect
fonctionnel)
– Permet de décrire un système complexe par une
décomposition par niveaux
• Historiquement, le BDF est la 1ère méthode
utilisée pour analyser des systèmes et faire du
calcul de fiabilité (Reliability Block Diagram -
RDB)
• Utilisée dans de nombreux domaines pour les
systèmes non-réparables
• S’applique aux systèmes binaires avec
hypothèse que l’état d’une entité ne dépend
pas de l’état des autres entités
• Principe d’élaboration :
– Considérons une fonction F du système (aspect
fonctionnel)
– L’analyse par BDF a pour but de représenter (ou
modéliser) le fonctionnement du système et plus
particulièrement la fonction F
– Pour cette modélisation, les blocs représentent
généralement des composants, des sous-systèmes ou
des fonctions,
– La modélisation consiste à rechercher les liens entre
les blocs en appliquant les principes suivants:
• Principe 1 :
– les blocs qui représentent des composants dont la
défaillance (ou la panne) entraîne la défaillance du
système (i.e., la perte de la fonction F) sont placés en série
– association en série
– La défaillance d’une seule entité (donc a fortiori de

plusieurs entités) coupe le chemin de succès réalisant la
fonction F (S=F(E))
– Cette typologie ne tolère aucune faute
• Principe 2 :
– les blocs qui représentent des composants dont la défaillance (ou la
panne) ne provoque pas la défaillance du système qu’en combinaisons
avec d’autres composants sont disposés en parallèle avec ces
derniers.
– association en parallèle (ou système redondant 1/n)
• le système fonctionne si au moins l’un des composants fonctionne
• le système n’est défaillant que lorsque tous les n entités sont tous défaillantes
à la fois
– système redondant k/n

• le système fonctionne si au moins k composants parmi les n composants
fonctionnent
• ff
• Exercice :
La figure ci-contre représente le schéma
simplifié d’une alimentation électrique.
L’alimentation principale peut être secourue en
cas de défaillance par le réseau auxiliaire
(220kV) et par les deux diesels.
On dira que l’on a la fonction alimentation
électrique si l’un des deux jeux de barres HA
ou HB est sous tension.
Donner le Bloc Digramme de fiabilité

• Evaluation de la fiabilité d’un système non-réparable :
– Système série :
• Soit Ei l’événement « le composant i fonctionne à l’instant t »

• La fiabilité du système s’écrit :
RS= P(E1.E2…..En)  RS= P(E1).P(E2)…P(En) car événements
indépendants
RS= R1.R2…Rn = ∏ni=1 Ri
• fonction de structure : ϕ(x)=min(x1,…,xn)= ∏ni=1 xi
remarque : la fiabilité d’un système série est donc plus faible
que celle de son plus mauvais élément!
• Exercice 1 :
Une chaîne est composée de 100 maillons, 99
d’entre eux ont une fiabilité de 0.995 (i.e., 1
chance sur 200 (1/200 = 0.005) de se rompre)
mais l’un des maillons est plus faible et n’a
qu’une fiabilité de 0.90 (i.e., 1/10 de chance
de se rompre)
Calculer la fiabilité de la chaîne. Que
remarquez vous ?
• Evaluation de la fiabilité d’un système non-
réparable :
– Système parallèle :
• Soit Ei l’événement « le composant i fonctionne à l’instant t »

• La fiabilité du système s’écrit :
RS= P(E1UE2…. UEn)= 1-P(˥E1∩˥E2…. ∩˥ En)
RS=1-(P(˥E1).P(˥E2)…P(˥En)) car événements indépendants
P(˥E1)=F(t)=1-R(t)=>RS=1-∏ni=1 (1-Ri)
• fonction de structure : ϕ(x)=max(x1,…,xn)=x1 ∔x2 … ∔xn=1-
∏ni=1 (1- xi)
• Exercice 2 :
Une système parallèle est composé de 100
composants, 99 d’entre eux ont une fiabilité
de 0.995 (i.e., 1 chance sur 200 (1/200 =
0.005) de se rompre) mais l’un des maillons
est plus faible et n’a qu’une fiabilité de 0.90
(i.e., 1/10 de chance de se rompre)
Calculer la fiabilité de la chaîne. Que
remarquez vous ?
• Exercice 3 :
– Chaîne exercice 1;
– Si tous les maillons avaient la même fiabilité de
0.995, la chaîne aurait eu une fiabilité de 0,606
– Mettons la en parallèle avec une chaîne dont la
fiabilité est de 0.55
– Calculer la fiabilité du système. Que remarquez
vous ?
– Système k/n :
• dans ce modèle, le système fonctionne, si k parmi n composants fonctionnent.

• fonction de structure : ϕ(x)=max(x1, 𝑛
• (1- xi) 1 𝑠𝑖 𝑥𝑖 ≥ 𝑘
𝑖=1
𝜑 𝑥 = 𝑛
Calcul de la fiabilité : 0 𝑠𝑖 𝑥𝑖 < 𝑘
𝑖=1
• Elle est donnée par RS = P[au moins k composants parmi n fonctionnent]
• Supposons que tous les composants sont identiques, indépendants et de
fiabilité RC → le nombre (i ) de composants en fonctionnement suit alors une
loi binomiale de paramètre n et p = Rc
𝑛 𝑛!
𝑅𝑠 = 𝑅𝑐𝑖 (1 − 𝑅𝑐 )𝑛−𝑖
𝑖=𝑘 𝑖! 𝑛 − 𝑖 !
• RS est la probabilité d’obtenir i succès (i bons composants parmi n)

– Système série-parallèle
• Fonction de structure
𝑚 𝑛
𝜑 𝑥 =1− [1 − 𝑥𝑖,𝑗 ]
𝑗 =1 𝑖=1
• Fiabilité
𝑚 𝑛
𝑅𝑠 = 1 − [1 − 𝑅𝑖,𝑗 ]
𝑗 =1 𝑖=1
– Système parallèle-série
𝑛 𝑚
𝜑 𝑥 = [1 − (1 − 𝑥𝑖,𝑗 )]
𝑗 =1 𝑖=1
• Fiabilité
𝑛 𝑚
𝑅𝑠 = [1 − (1 − 𝑅𝑖,𝑗 )]
𝑗 =1 𝑖=1
– Ce sont des systèmes qui ne se réduisent pas à des
structures série ou parallèle
– La fonction de structure peut s’établir à partir d’une
décomposition (ou factorisation) en systèmes élémentaires
– Le composant 5 rend le système complexe

– Pour l’étude des systèmes à structure complexe, on
introduit les notions de coupes (de dysfonctionnement) et
chemins minimaux (de fonctionnement)
réparable :
– Chemin (en anglais « Tie ») : un sous-ensemble
de composants dont le bon fonctionnement
simultané assure le bon fonctionnement du
système (et cela indépendamment des états des
autres composants)
– Chemin minimal : chemin qui ne contient pas
d’autres chemins
réparable :
– Coupe (en anglais « Cut ») : un sous-ensemble
de composants dont la défaillance simultanée
conduit à la défaillance du système (et cela
indépendamment des états des autres
composants)
– Coupe minimale : coupe qui ne contient pas
d’autres coupes
– Exemple :
– {1,2,3} est un chemin non minimal. Il contient le chemin

minimal {1,2}
– Ensemble des chemins minimaux
• ECmin = {(1,2); (3,4); (1,5,4); (3,5,2)}
• j
– Exemple :
– {1,3,5} est une coupe non minimale, elle contient la coupe

minimale {1,3}
– Ensemble des coupes minimales
• EKmin = {(1,3); (2,4); (1,5,4); (3,5,2)}
• j
réparable :
– Equivalence 1
• système initial <=> système formé par ses chemins
minimaux en parallèle (où chaque chemin est représenté par
un système en série ayant pour composants les composants
du chemin)
𝑐
𝜑 𝑥 =1− [1 − 𝑥𝑖 ]
𝑗 =1
𝑖∈𝐶𝑗
• c : nombre de chemins minimaux du système

réparable :
– Equivalence 2
• système initial <=> système formé par ses coupes minimales
en série (où chaque coupe est représentée par un système
en parallèle ayant pour composants les composants de la
coupe)
𝑘
𝜑 𝑥 = [1 − (1 − 𝑥𝑖 )]
𝑗 =1
𝑖∈𝐾𝑗
• k : nombre de coupes minimales du système

• Bornes de Fiabilité (évaluation probabiliste
des systèmes)
– Le calcul exacte de la fiabilité des systèmes peut
être coûteux (problème NP-difficile)
– Il est souhaitable de calculer des bornes au lieu de
la valeur exacte de la fiabilité des systèmes
– Il existe plusieurs types de bornes (e.g., min-max;
inclusion-exclusion, bornes des ensembles
minimaux, bornes triviales, ….)
• Bornes de Fiabilité (évaluation probabiliste
des systèmes)
– Bornes des ensembles minimaux
• Soit K = {K1, K2, ….,Kk}, ensemble des coupes minimales
• C = {C1, C2, ….,Ck}, ensemble des chemins minimaux
• Une borne inférieure de la fiabilité du système
complexe est obtenue par les coupes minimales et
une borne supérieure par les chemins minimaux
𝑘 𝑐
1− 1 − 𝑅𝑖 ≤ 𝑅𝑠 ≤ 1 − 1− 𝑅𝑖
𝑗 =1 𝑗 =1
𝑖∈𝐾𝑗 𝑖∈𝐶𝑗
• Bornes de Fiabilité (évaluation probabiliste des
systèmes)
– Exemple : Données sur la fiabilité des composants
R1 = R2 = R3= R4 = 0.9
• Coupes minimales :
– K = {(1,3); (2,3); 4} désignons ces coupes par la notation K = (1,3);
1
K = (2,3); K = 4;
2 3
• Chemins minimaux :
– C = {(1,2,3); (3,4)} } désignons ces chemins par la notation C1 = (
1,2,3); C2 = (3,4)
systèmes)
R1 = R2 = R3= R4 = 0.9
• calcul de la borne supérieure :

𝑠𝑢𝑝
–=K =1{(− 1 − 𝑅𝑖 1 − 𝑅𝑖
– 1,3); (2,3); 4}
𝑖∈𝐶
désignons
1 𝑖∈𝐶2coupes par la notation K = (1,3); K =
ces 1 2
(2,3);
= 1 − K1=−4;𝑅1 𝑅2 𝑅3 1 − 𝑅3 𝑅4 = 0.948
3
• calcul de la borne inférieure :

– C = {(1,2,3); (3,4)} } désignons ces chemins par la notation C1 = (
1,2,3);
𝑖𝑛𝑓 = 1 − C2 =1(3,4)
− 𝑅𝑖 1 − 1 − 𝑅𝑖 1 − 1 − 𝑅𝑖
𝑖∈𝐾1 𝑖∈𝐾2 𝑖∈𝐾3
= 1 − 1 − 𝑅1 1 − 𝑅3 1 − 1 − 𝑅2 1 − 𝑅3 1 − 1 − 𝑅4
= 0.882
systèmes)
R1 = R2 = R3= R4 = 0.9
• la fiabilité du système est comprise entre les bornes inf et
sup
0.882≤Rs ≤ 0.948
• Pour le diagramme BDF donné dans cet exemple, on peut

calculer exactement la fiabilité du système, on constate
qu’elle est bien dans les bornes inf et sup
• c 𝑅𝑠 = 1 − 1 − 𝑅1 𝑅2 1 − 𝑅3 𝑅4 = 0.883

Assurance Et Disponibilité Des Systèmes: Licence 2

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Assurance Et Disponibilité Des Systèmes: Licence 2

Transféré par

Droits d'auteur :

Formats disponibles

Licence 2 :

Assurance et disponibilité des

Propriétés Caractéristique FMD

R(t)=P[S non défaillant sur [0, t]]

M(t)=P[S est réparé sur [0, t]]

A(t)=P[S non défaillant à l’instant t]

S(t)=P[S évite des événements critiques ou

• MTBF (mean time between failure) : temps

Aspect économique du choix d’un « niveau de préventif »

Analyse préliminaire de Inductive Qualitative Repérer a priori les

D’après la norme CNOMO E41.50.530.N Édition juin 1994

1 Défaillance pratiquement inexistante La fréquence du défaut est supérieure à un an.

1 Défaillance mineure, aucune dégradation notable du matériel. Temps d’intervention inférieur à

CM – Action du client concernant les dispositions de maintenance du moyen.

– La défaillance d’une seule entité (donc a fortiori de

– système redondant k/n

Donner le Bloc Digramme de fiabilité

• Soit Ei l’événement « le composant i fonctionne à l’instant t »

• Soit Ei l’événement « le composant i fonctionne à l’instant t »

• dans ce modèle, le système fonctionne, si k parmi n composants fonctionnent.

• RS est la probabilité d’obtenir i succès (i bons composants parmi n)

– Le composant 5 rend le système complexe

– {1,2,3} est un chemin non minimal. Il contient le chemin

– {1,3,5} est une coupe non minimale, elle contient la coupe

• c : nombre de chemins minimaux du système

• k : nombre de coupes minimales du système

• calcul de la borne supérieure :

• calcul de la borne inférieure :

• Pour le diagramme BDF donné dans cet exemple, on peut

Vous aimerez peut-être aussi