Arbres de défaillances

Bruno MAJOT
- 2005 -

1/41
 Synthèse

• Arborescence Retour
technique du système Règles de conception d’expériences
• Nomenclature du
 Événement Indésirable (EI),
système
liés au dysfonctionnement du système,
• Causes
identifié
• Hiérarchisation
lors d’une Analyse Préliminaire de
Risques (APR).
ARBRE DE de causes
EI • Scénarii
 Événement pressenti par le concepteur. DEFAILLANCES
d’apparition
 Effet client récurent. • Résultats
• Fonctions du
 Défaillance avérée. probabilistes
système

• Intervenants • Plans
• Animateur • Schémas

2/41
 Plan

GENERALITES
PRINCIPES DE BASE
DEPLOIEMENT
TRAITEMENT QUALITATIF
TRAITEMENT QUANTITATIF
TABLEAUX DE SYNTHESE
INTERETS
CONSEILS ET LIMITES
DOMAINES D'APPLICATION
BIBLIOGRAPHIE
3/41
 Généralités
 Arbre de causes ou de défaillances.
 Démarche apparue dans les années 1960 (aux EU, WASH1400 Rapport
Rasmussen).
 Domaines militaire et aéronautique puis nucléaire, chimique, etc.
 Analyse de :
 fiabilité,
 disponibilité,
 sécurité.
 Apparition de cette méthode car il devenait nécessaire de prendre en
compte les combinaisons de pannes : augmentation de la sécurité des
systèmes et donc de leur complexité (ex : redondance).
 Analyses qualitatives et quantitatives.

4/41
 Principes de base – Bases d’élaboration
 Définition de l‘Événement Indésirable (EI) fondamentale.
Nota : Événement Indésirable ou Événement Redouté.
Ex : Incendie ou Incendie 800°C – 5 minutes.

 Démarche déductive :
 Décomposition successive aux niveaux inférieurs.

 Représentation par :
 Opérateurs logiques.
 Événements.
 Symbole de transfert.

L’arbre de défaillance permet de mettre en évidence

les combinaisons de défaillances.

5/41
 Principes de base – Les opérateurs logiques
Représentation fonctionnelle Opérateur Symbole
(Dysfonctionnel)
X A
OU
Y A ET
Z X Y Z

A
ET
X Y Z A
OU

X Y Z
W
A
X
m/n A COMBINAISON m/n
(m, n)
Y

W X Y Z
Z

6/41
 Principes de base – Les événements
 Représentations :
Combinaison d'événements

Élémentaire

Non élémentaire mais non développé

ou non développé momentanément

Case configuration

Événement conditionnel

7/41
 Principes de base – Les événements (fin)

 Définitions des événements de base :

 Élémentaire :
• généralement une défaillance,
• phénomène assez connu pour ne pas le développer plus (probabilité
faible - Rex).
 Non élémentaire et non développé :
• événement étant une cause externe au système étudié (Ex : alimentation
HS),
• porte ET avec plus de 3 branches.
 Non élémentaire et non développé momentanément :
• pas de renseignements suffisants,
• à développer par un fournisseur ou à documenter.
 Case configuration :
• Permet de réaliser un seul arbre pour différentes phases de vie.

8/41
 Principes de base – Recherche des causes
 Détermination de toutes les causes menant à l'EI :
 Événements élémentaires.
 Ils sont organisés soit en panne simple soit en combinaison de pannes.
 Ils touchent des :
• défaillances de commande (rupture d’alimentation, défaillance logicielle,
etc.),
• défaillances intrinsèques (conception, utilisation, agression extérieure, erreur
humaine, process, etc.).
 Les défaillances prises en compte sont fonction des limites de l’étude :
• agressions extérieures,
• problèmes de process,
• erreur humaine.

9/41
 Principes de base – Recherche des causes (suite)

 Un système est soit :

 Non commandé, mauvaise commande ou pas de commande. Une
commande peut être :
• Un flux : information (électrique, électromagnétique, etc.), matière (gaz,
liquide, etc.).
 ex : pas d’alimentation (carburant, électricité etc.) à l’entrée d’un
moteur. Pas de commande issue d’un calculateur. Mauvaise information
issue d’un capteur.
 Une interaction mécanique : contact, tension, support, etc.
 ex : pas de transmission du mouvement de translation ensemble
bielle/manivelle.

10/41
 Principes de base – Recherche des causes (fin)

 Victime d’une Défaillance Intrinsèque (DI) :

• Conception (produit) (Ex : matériel inadapté, etc.).
• Fabrication (process) : Agression thermique

 Machine (Ex : Précision insuffisante, etc.),

 Homme (Ex : Soudure non conforme, etc.).
• Utilisation : Agression Sensibilité dépassée
(T<30°C)
 Usure, prise de jeu, etc. T=40°C

 Agressions extérieures (Ex : thermique, corrosion,

électromagnétisme, vibration, électrostatisme, hygrométrie, etc.)
combinées à la sensibilité du système à l’agression considérée.
 Erreur humaine (Ex : mauvaise opération, etc.).

11/41
 Déploiement – Démarches

 Construction de l'arbre de défaillances

E

s
A E1 E2
C
B

D E C E3 D E

A B

12/41
 Déploiement – Démarches (suite)

 Décomposition par « scénario »

 Décomposition par « corps de métiers »
 Décomposition binaire
 Décomposition par « cycle de vie »

13/41
 Déploiement – Démarches (suite)

 Décomposition par « scénario » :

EI

Scénario 1 Scénario 2 Scénario 3

Ex : Incendie
 Explosion
 Court-circuit
 etc.
14/41
 Déploiement – Démarches (suite)
 Décomposition par « corps de métier » :

L’arbre doit être à un

EI niveau suffisant pour
faire apparaître les
interfaces entre les
différentes technologies
(ou fournisseurs).

Pb électrique Pb mécanique Pb hydraulique Pb informatique /

électronique

15/41
 Déploiement – Démarches (suite)
 Décomposition binaire
 Défaillance intrinsèque.
 Non commande.
Exemple pour un système mécanique : EI = “L’hélice ne tourne pas”
EI “L’hélice ne tourne pas”
flux mécanique

MOTEUR1
ARBRE
Hélice HS* Hélice non commandée (NC**)
(DI) MOTEUR2
HÉLICE
Suite possible
sens de décomposition
Arbre cassé Arbre NC
Par scénario, (DI)
par phase du cycle de vie
ou / et AMDEC sous-système
système. Moteurs cassés (DI) Moteurs NC

Sens
Sensduduflux de la
flux
defonction
la fonction
Moteur 1 cassé Moteur 2 cassé “«rotation
rotation dede
* : HS : Hors Service ** NC : Non Commandé l’hélice”
l’hélice»
DI : Défaillance Intrinsèque

16/41
 Déploiement – Démarches (suite)
Exemple pour un système électronique
AMONT Alimentation AVAL
Entrées Sorties
Capteurs Synoptique général
Stratégie Actionneur d’un système
Paramètres réseau électronique
Calculateur

Masse

Effet indésirable au
AVAL niveau de l’actionneur

Mauvaise commande
Défaillance intrinsèque de l’actionneur
en entrée actionneur
( environnement, etc.)

Mauvaise commande
Mauvaise commande en sortie du calculateur
due à la connectique

Le calculateur prend la mauvaise Les entrées du calculateur ne

décision (DI soft ou composants) reflètent pas la réalité (NC)

AMONT

17/41
 Déploiement – Démarches (fin)
 Décomposition par « phase du cycle de vie » :

EI

Conception Fabrication Utilisation APV

18/41
 Déploiement – Principes

 Recherche des causes immédiates nécessaires et suffisantes :

 A effectuer rigoureusement étape par étape (possibilité de considérer les paramètres physiques et les
lois qui régissent le comportement des composants, de sous-systèmes ou du système).
Ex : débit = f(D,p)

Perte de débit

Diamètre
Chute de
intérieure hors
pression EI
tolérance
minimale
 Décomposition d’un événement intermédiaire :
 En événement(s) de base ou en événement(s) intermédiaire(s),
 Puis réitération de la démarche.

 Recherche des causes des événements intermédiaires

jusqu’à l’obtention d’événements de base.

19/41
 Déploiement – Principes (fin)

 “Compléter les portes !”

 Spécifier tous les événements d’entrée d’une porte logique avant
d’entreprendre l’analyse détaillée de l’un d’entre eux.

 “Pas de porte à porte !”

 Pas de connexion d’une porte logique à une autre porte logique :
• Risque de confusions,
• Compréhension insuffisante du système par l’analyste (risque d’avoir
oublié des étapes du raisonnement déductif).

 “Les causes sont antérieures aux conséquences !”

 Rechercher les causes d’un événement revient à remonter dans le temps
(en effet, les causes d’un événement doivent être antérieures à
l’existence de celui-ci).

20/41
 Déploiement – Recommandations
 Structurer au maximum l’arbre de défaillances, éviter les
“râteaux”.
 Reboucler avec l’arborescence technique (vérification de
prise en compte de tous les éléments du système).
 Repérer dans l’arbre les défaillances qui sont détectées par le
système.
 (Ex: allumage d’un voyant).

 S’assurer de l’indépendance de la détection et de

l’application.
 (recherche des modes communs éventuels).

 Possibilité d’utiliser des listes types de dangers.

 (Ex : liste de Willie HAMMER).
21/41
 Déploiement – Exemple de liste de Hammer

DANGER ARRIVEE CAUSE POSSIBLE EFFETS POSSIBLES

ELECTRICITE :
Choc : Génér ateur s de Défaut de déchar ge du Per sonnel
puissance cir cuit capacitif Electr ocution
Sour ces électr iques Coupur e dans la Inter fér ence dans le
natur elles (éclair ) pr otection ther mique fonctionnement
etc. etc. etc.
Ther mique : Cour t-cir cuit Equipement gr illé
Connecteur défectueux Tempér atur es accr ues
etc. etc.
CORROSION : Métaux qui r éagissent à Fuite de substances Dégr adation du
l’air cor r osives ou r éactives matér iau
etc. etc. Rugosité de la sur face
etc.

22/41
 Déploiement – Arrêt de la décomposition
 Le niveau de décomposition est fonction des objectifs de l’étude. On
considérera être en présence d’un événement de base, lorsque l’on atteint
un niveau de détail suffisant pour proposer un(des) plan(s) action(s) de
levée de risque.
 Le plus souvent, la décomposition est menée jusqu’à ce qu’on ait la
certitude que :
 On peut retrouver le traitement des événements de base dans les AMDEC.
 On dispose d’un retour d’expérience suffisant (études SdF déjà menées sur
des systèmes similaires ou de technologie voisine). Lorsque l’on est en
mesure de pouvoir quantifier les événements de base.
 Les événements de base sont libellés en terme de conditions fonctionnelles
non respectées et que l’on peut poursuivre l’étude par une vérification aux
plans.
 Un événement trouvé dans le déploiement d’une branche étudiée s’avère
être identique à un autre événement détecté dans une autre branche de
l’arbre. On veillera alors a les repérer et les libeller de façon identique.
 Dans tous les cas, les événements de base doivent être indépendants : qu’ils
ne possèdent pas de mode commun.

23/41
 Traitement qualitatif – Étapes
 Codage de l’arbre.
 Équation booléenne de l'arbre.
 Réduction de l'équation.
 Coupes minimales ou chemins critiques.
 Tableau du nombre d’apparition des événements de base
par longueur.
 Tableau d'apparition des événements de base dans les
différents EI du système.

24/41
 Traitement qualitatif – Codage de l’arbre

 Identifier les événements de base identiques sur l'ensemble des

EI et leur attribuer le même code.
 Coder les autres événements de base.
 Utilisation des lettres de l’alphabet et des chiffres.
(Ex : A1, B2, etc.)
 Complexité du codage fonction de la complexité du système.
(Ex : A à Z ou A01 à A99)

25/41
 Traitement qualitatif –
Équation et coupes minimales
 Équation booléenne de l’arbre. Rappel :
. « porte ET »
+ « porte OU »
Ei E4 = E + F
E3 = C.D
E E2 = E3 + E4 = E + F + CD
E1

Écriture de l ’équation de l ’arbre

A
Construction de l ’arbre

1
E1 = B.E2 = B.(E + F + CD)
Ei = A + E1 = A + B (E + F + CD)
B E2

Ei = A + BE + BF + BCD
E3 E4

C D E F

26/41
 Traitement qualitatif –
Équation et coupes minimales (suite)
 Réduction de l’équation.
Rappels :
A.A = A
A+A=A
A + A.B = A

Écriture de l ’équation de l ’arbre

Ei Ei = (C + D) . (C + E)
Construction de l ’arbre

Ei = CC + CE + DC + DE

E3 E4
Ei = C + CE + DC + DE

C D C E Ei = C + CD + DE

Équation réduite ER = C + DE

27/41
 Traitement qualitatif –
Équation et coupes minimales (fin)

 Coupes minimales ou chemins critiques :

 Plus petite combinaison d’événement entraînant l’EI,
 Peuvent être d’ordres différents :
• ordre 1 : simple défaillance entraînant l’EI,
• ordre 2 : paire de défaillances qui, se produisent en même temps, entraînent
l’EI,
• etc.

Ei = A + B.E + B.F + B.C.D

coupe d ’ordre 1
coupe d ’ordre 3
coupe d ’ordre 2

28/41
 Traitement qualitatif –
Tableaux d’apparition

Pour un EI : Pour tous les EI :

29/41
 Traitement qualitatif – Conclusion

 Traitement qualitatif indispensable :

 Pour l’exploitation des informations contenues dans l’arbre,
 Pour réaliser ensuite le traitement quantitatif.

 Exploiter ce traitement par typologie de pannes (problème

d’utilisation, problème de conception, etc.).
 Possibilité, à ce niveau de l’étude, de proposer des plans
d’actions et/ou des plans de validation.
 Ne pas effectuer le traitement quantitatif si les données sont
trop faibles.

30/41
 Traitement quantitatif – Données de base

 Probabilité de chaque événement de base :

 Sources de données :
• Le retour d'expérience (documenter le nombre de défaillances, l’échantillon
observé, les hypothèses effectuées, etc.),
• Les bases de données CNET ou MIL HDBK,
• Données constructeurs, industriels,…

31/41
 Traitement quantitatif – Formules
 Probabilité des coupes minimales.
 Poincaré
 n 
P  E.I  P  U C 
 i 1 i 
n n j-1   n k 1 j 1  
  P  C     P  C  C      P C  C  C  ...
 i  i j   i j k 
i 1 j  1 i = 1 k  3 j 2 i 1 
  1 n P C  C  ... C n 
 1 2 

 Standard n
P  E.I  1   1  P  C  
 i 
i 1

m  
P  Ci   P  e i 
 j
j1

n  m 

P  E.I  1   1   P 
e 
i
 
  j 
i 1 j1 

P = t pour = constante

Si  << 1 alors on a : Porte OU : P <  Pi (théorème de Poincaré), on prendra : P =  Pi
Porte ET : P   Pi
32/41
 Traitement quantitatif – Calculs

 Probabilité de chaque Événement Indésirable (EI).

 Étude de sensibilité.

33/41
 Tableaux de synthèse –Type 1
Code Evénement Probabilité EI 1 Gravité : EI 2 Gravité : EI 3 Gravité :

de Base d’apparition Ordre Ordre Ordre TC Ordre Ordre Ordre TC Ordre Ordre Ordre TC
1 2 3 % 1 2 3 % 1 2 3 %

Code associé Libellé de

l’événement de Probabilité de
lors du
base l’événement de
traitement de Ordre des coupes Taux de contribution
base
l’arbre minimales dans maxi des coupes dans
lesquelles l’événement lesquelles
de base apparaît pour l’événement apparaît
l’EI N°1

34/41
 Tableaux de synthèse – Type 2
Evénement de Nb de Nb de Autre Nb d’EI Taux de Gravité Innovant
base coupes coupes contribution maxi des (O/N)
minimales minimales maxi EI
d’ordre 1 d’ordre 2

A 2 2 10 % 2 O
pour EI 1
EXEMPLE

B 1 2 3 25 % 4 N
pour EI 2

C 2 3 ordre 3 2 2% 4 N
pour EI 1

etc. ...... ...... ...... ...... ...... ...... ......

Ordre de priorité : B, A, C.

35/41
 Intérêts généraux
 Permet d’identifier toutes les causes SIMPLES et COMBINEES d’un
événement.

 Estimer, à partir des probabilités des événements de base, la probabilité

de réalisation de l’EI.

 Prise en contact du facteur humain, des conditions externes et des

modes communs dans les analyses de sécurité.

 Déceler les « branches » fragiles qui affectent la probabilité de

réalisation de l’EI.

 Complément essentiel à l’AMDE(C) car prise en compte des

combinaisons de défaillances.

36/41
 Intérêts par domaine

 Conception :
 Déceler les organes dont il faut améliorer la fiabilité ou qu’il faut mettre en
redondance.

 Logistique :
 Prévoir les organes fragiles à approvisionner.

 Essai :
 Orienter les composants à prendre en compte de façon prioritaire dans les tests.

 Diagnostic :
 Orienter la recherche de panne.

37/41
 Conseils et limites

 Théoriquement applicable à tous les systèmes.

 Pas de quantification des dépendances temporelles.
 Dans le cas de système complexe, nécessité de disposer
d’un logiciel.

 Analyse d’un seul événement redouté. Pour un autre

événement redouté,il faut refaire un arbre.

 La modélisation est fortement tributaire de l’analyste.

38/41
 Domaines d’application

 Tous les domaines techniques.

 Arbres de défaillances utilisés comme :
 Méthode d’analyse pour la sécurité.
 Outil de quantification en fiabilité et disponibilité.
 Outil permettant la répartition, aux différents acteurs de
l’organisation industrielle, des défaillances à traiter (faire faire au
fournisseur).
 Aide au diagnostic (moyen de localisation pour l’après-vente).

39/41
 Logiciels de traitement

 AMDECEDIT  LOGADYS
 ARBORIS  LOGAN
 ARBRE  METEOR
 CARA  MICRARBRE
 CEDRE  MSI REALITY
 ESCAF  PHAMISS
 ETRA  RISK SPECTRUM
 FAULT TREE  SERENADE
 FIABEX  SOFIA
 FIGARO  SUPERNET
 FTAP  TERMITES
 GAMTREE  TREEMASTER
 GRAAFT  TRIADE

40/41
 Bibliographie

 Sûreté de Fonctionnement des systèmes industriels - A.

VILLEMEUR – Édition Eyrolles -1988
 Sécurité des systèmes - C. LIEVENS – Édition
Cepadues -1976
 Liste de Mr WILLIE HAMMER
 BNAe RE Aéro 701.11

41/41